本主题介绍如何在使用托管式 Microsoft AD 时实现和管理中心辐射型模型。
Google Cloud 上的中心辐射型拓扑
中心辐射型模型是一种网络设计,其中中央设备(中心)连接到多个其他设备(辐条)。要在 Google Cloud 上实现此设计,请创建一个虚拟私有云 (VPC),通过 Cloud Interconnect 或 VPN 连接到本地网络。VPC 充当中心。使用 VPC 对等互连,您可以创建与其他项目和本地资源(辐条)的连接。
虽然此模型适用于中心的直接对等方,但不会扩缩到对等方的对等方。VPC 对等互连不具有传递性,并且自定义路由交换仅支持将路由传播到直接对等方,而不支持传播到对等方的对等方。
对托管式 Microsoft AD 的影响
为了提供与托管在用户项目中的已获授权的网络的连接,托管式 Microsoft AD 将使用默认情况下启用路由交换的 VPC 对等互连。这样便可在已获授权的网络与 VPC 托管的租户项目之间进行连接。您还可以直接通过已获授权的网络设置 Cloud Interconnect 或 VPN。
但是,如果已获授权的网络是辐射网络,或者已与连接到本地网络的网络对等互连,则托管式 Microsoft AD 资源将无法访问本地资源,反之亦然。可以通过两种解决方法进行连接。
使用共享 VPC
如果可行,请使用共享 VPC。它不依赖于对等互连,因此不受同一路由交换限制的影响。
使用 VPN
您还可以在中心与辐条之间使用 VPN 而不是 VPC 对等互连,以克服路由交换限制。
图 1:使用 VPN 来避免路由交换限制。
这种解决方法不太理想,因为它需要更多的网络规划,并且 VPN 隧道会产生额外费用。在中心与辐条之间创建 VPN 时,托管式 Microsoft AD 会被视为已获授权的网络的直接对等方,并且将会导出传播到中心网络的路由。使用此方法时,建议您在已获授权的网络与中心辐射型网络之间使用 DNS 对等互连,以便通过已获授权的网络配置将 DNS 请求转发到托管式 Microsoft AD 网络。