Neste tópico, mostramos como implementar e gerenciar o modelo hub e spoke ao usar o Microsoft AD gerenciado.
Hub e spoke no Google Cloud
O modelo hub e spoke é um design de rede em que o dispositivo central, ou hub, está conectado a vários outros dispositivos, ou spokes. Para implementar esse design no Google Cloud, crie uma nuvem privada virtual (VPC, na sigla em inglês) conectada à sua rede local por meio do Cloud Interconnect ou da VPN. A VPC serve como hub. Com o peering da VPC, é possível criar conexões com outros projetos e recursos locais, ou spokes.
Embora esse modelo funcione para pares imediatos do hub, ele não é dimensionado para pares de pares. O peering da VPC não é transitivo e a troca de rota personalizada só é compatível com a propagação de rotas para um par imediato, não para pares de pares.
Impacto no Microsoft AD gerenciado
Para fornecer conectividade com redes autorizadas hospedadas em projetos de usuários, o Microsoft AD gerenciado usa o peering da VPC com a troca de rotas ativada por padrão. Isso permite a conectividade entre as redes autorizadas e os projetos de locatário hospedados pela VPC. Também é possível configurar o Cloud Interconnect ou a VPN diretamente com uma rede autorizada.
No entanto, se a rede autorizada for um spoke ou estiver conectada a uma rede conectada à rede local, os recursos do Microsoft AD gerenciado não poderão acessar recursos locais e vice-versa. Há duas soluções alternativas possíveis para permitir a conectividade.
Como usar VPC compartilhada
Se possível, use uma VPC compartilhada. Ela não depende do peering, por isso não é afetada pelas mesmas limitações de troca de rota.
Usar VPN
Você também pode usar a VPN entre o hub e os spokes em vez do peering da VPC para superar a limitação da troca de rotas.
Figura 1. Como usar a VPN para evitar a limitação de troca de rotas.
Essa solução é menos ideal porque requer mais planejamento de rede e gera um custo extra de túneis de VPN. Quando você cria uma VPN entre o hub e o spoke, o Microsoft AD gerenciado é considerado um par direto da rede autorizada e as rotas para a rede do hub são exportadas. Ao usar essa abordagem, recomendamos o uso do peering de DNS entre a rede autorizada e o hub e os spokes para que as solicitações de DNS possam ser encaminhadas para a rede do Microsoft AD gerenciado por meio da configuração de rede autorizada.