Este tópico mostra como implementar e gerir o modelo de hub e spoke quando usa o Microsoft AD gerido.
Hub e spoke no dispositivo Google Cloud
O modelo de hub e raios é um design de rede em que o dispositivo central, ou hub, está ligado a vários outros dispositivos, ou raios. Para implementar esta estrutura no Google Cloud, cria uma nuvem virtual privada (VPC) que está ligada à sua rede nas instalações através do Cloud Interconnect ou da VPN. A VPC funciona como o hub. Através do intercâmbio de VPCs, pode criar ligações a outros projetos e aos seus recursos nas instalações ou spokes.
Embora este modelo funcione para pares imediatos do hub, não é escalável para pares de pares. A interligação de VPCs não é transitiva e a troca de rotas personalizadas só suporta a propagação de rotas para um par imediato e não para pares de pares.
Impacto no Microsoft AD gerido
Para fornecer conetividade com redes autorizadas alojadas em projetos de utilizadores, o Managed Microsoft AD usa o peering de VPC com a troca de trajetos ativada por predefinição. Isto permite a conetividade entre as redes autorizadas e os projetos de inquilinos alojados pela VPC. Também pode configurar o Cloud Interconnect ou a VPN diretamente com uma rede autorizada.
No entanto, se a rede autorizada for um spoke ou estiver interligada a uma rede que esteja ligada à rede no local, os recursos do Microsoft AD gerido não vão conseguir alcançar os recursos no local e vice-versa. Existem duas soluções alternativas possíveis para permitir a conetividade.
Usar a VPC partilhada
Se possível, use uma VPC partilhada. Não depende da interligação, pelo que não é afetado pelas limitações de troca de rotas iguais.
Usar VPN
Também pode usar a VPN entre o hub e os spokes em vez da interligação de VPCs para ultrapassar a limitação de troca de rotas.
Figura 1. Usar uma VPN para evitar a limitação de troca de rotas.
Esta solução alternativa é menos ideal porque requer mais planeamento de rede e incorre no custo adicional de túneis VPN. Quando cria uma VPN entre o hub e o spoke, o Managed Microsoft AD é considerado um par direto da rede autorizada e as rotas para a rede do hub são exportadas. Quando usar esta abordagem, recomendamos que use o peering de DNS entre a rede autorizada e o hub e os spokes para que os pedidos de DNS possam ser encaminhados para a rede do Microsoft AD gerido através da configuração da rede autorizada.