Esegui il deployment del modello hub e spoke

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questo argomento mostra come implementare e gestire il modello di hub e spoke quando utilizzi Microsoft AD gestito.

Hub e spoke su Google Cloud

Il modello hub e spoke è un progetto di rete in cui il dispositivo centrale, o hub, è collegato a più altri dispositivi o spegni. Per implementare questa progettazione su Google Cloud, devi creare un Virtual Private Cloud (VPC) connesso alla tua rete on-premise tramite Cloud Interconnect o VPN. La rete VPC funge da hub. Il peering VPC consente di creare connessioni ad altri progetti e alle tue risorse on-premise, o spoke.

Sebbene questo modello funzioni per i peer immediati dell'hub, non è in grado di adattarsi ai peer di altri peer. Il peering VPC non è transitorio e lo scambio di route personalizzate supporta solo la propagazione delle route a un peer immediato, non ai peer dei peer.

Impatto sulla versione gestita di Microsoft AD

Per fornire connettività con reti autorizzate ospitate nei progetti utente, la versione gestita di Microsoft AD utilizza il peering VPC con lo scambio di route abilitato per impostazione predefinita. Ciò consente la connettività tra le reti autorizzate e i progetti tenant ospitati dal VPC. Puoi anche configurare Cloud Interconnect o VPN direttamente con una rete autorizzata.

Tuttavia, se la rete autorizzata è uno spoke o se è connessa in peering a una rete che è connessa alla rete on-premise, le risorse Microsoft AD gestite non saranno in grado di raggiungere le risorse on-premise e viceversa. Esistono due possibili soluzioni alternative per consentire la connettività.

Utilizzo di VPC condiviso

Se possibile, utilizza un VPC condiviso. Non si basa sul peering, quindi non è interessato dalle limitazioni relative allo scambio di route.

Uso della VPN

Per superare il limite di scambio delle route, puoi anche utilizzare la VPN tra l'hub e gli spoke invece del peering VPC.

Soluzione VPN

Figura 1. Utilizzare la VPN per evitare i limiti di scambio delle route.

Questa soluzione alternativa è meno ideale perché richiede più pianificazione di rete e comporta i costi aggiuntivi dei tunnel VPN. Quando crei una VPN tra hub e spoke, Microsoft AD gestito viene considerato un peer diretto della rete autorizzata e le route per la rete dell'hub vengono esportate. Se scegli questo approccio, ti consigliamo di utilizzare il peering DNS tra la rete autorizzata e l'hub e gli spoke in modo che le richieste DNS possano essere inoltrate alla rete Microsoft AD gestita tramite la configurazione della rete autorizzata.