Wenn Sie einen Network Connectivity Center-Hub erstellen, können Sie eine der folgenden voreingestellten Topologien auswählen. Die Mesh-Topologie ist die Standardeinstellung.
- Mesh-Netzwerktopologie
- Sterntopologie
- Hybride Prüftopologie (Vorschau): wird nur mit dem NCC-Gateway unterstützt
Nachdem Sie einen Hub mit einer voreingestellten Topologie erstellt haben, können Sie die Topologie nicht mehr ändern.
Spoke-Gruppen
Je nach Topologie unterstützt ein Hub eine oder mehrere Spoke-Gruppen. Die Arten von Spokes, die in jeder Spoke-Gruppe enthalten sein können, hängen auch von der Hub-Topologie ab. Für alle Topologien gelten die folgenden Merkmale:
- Jede Spoke-Gruppe ist eine Routing-Domäne mit einer eigenen Routingtabelle. Die Routentabelle der Spoke-Gruppe wird automatisch aktualisiert, wenn Spokes der Spoke-Gruppe hinzugefügt oder daraus entfernt werden.
- Jeder Spoke, der einem Hub hinzugefügt wird, kann nur zu einer Spoke-Gruppe gehören.
- Network Connectivity Center akzeptiert automatisch Spokes, die aus demselben Projekt wie der Hub hinzugefügt werden.
- Network Connectivity Center bietet sowohl die automatische Annahme als auch die Überprüfung von Spoke-Vorschlägen, wenn Sie VPC-Spokes hinzufügen, die sich in anderen Projekten als dem Hub befinden. Weitere Informationen finden Sie unter VPC-Spokes in einem anderen Projekt als einem Hub.
Eine Anleitung zum Konfigurieren von Topologien und Spoke-Gruppen finden Sie unter Hub konfigurieren.
Mesh-Netzwerktopologie
Bei der Mesh-Topologie gehören alle Spokes am Hub zu einer einzigen Spoke-Gruppe.
Wenn Sie einen Hub erstellen, ohne explizit eine Topologie anzugeben, wird standardmäßig die Mesh-Topologie verwendet. Wenn Sie dem Hub zwei oder mehr Arbeitslast-VPC-Netzwerke als VPC-Spokes hinzufügen, exportiert jeder VPC-Spoke seine Subnetzrouten gemäß den konfigurierten Filtern für Ein- und Ausschluss von Exporten. Weitere Informationen zum Austausch von Subnetzrouten zwischen VPC-Spokes finden Sie unter VPC-Spokes.
Die Mesh-Topologie unterstützt auch die Netzwerkkonnektivität im großen Maßstab zwischen VPC-Spokes und Hybrid-Spokes. Spoke-Administratoren oder Netzwerkadministratoren für ein Routing-VPC-Netzwerk, das Hybrid-Spokes enthält, müssen das Advertising von Subnetzrouten konfigurieren, die von VPC-Spokes empfangen werden. Weitere Informationen finden Sie unter Verbindung zwischen Hybrid-Spokes und VPC-Spokes herstellen.
Das folgende Diagramm zeigt einen Hub, der die Mesh-Topologie verwendet und drei VPC-Spokes hat.
Unterstützte Spoke-Typen
Die Mesh-Netzwerktopologie unterstützt VPC-Spokes, Ersteller-VPC-Spokes und Hybrid-Spokes in ihrer einzelnen Spoke-Gruppe.
Der gcloud network-connectivity hubs groups list --hub-Befehl gibt bei Verwendung der Mesh-Topologie nur die einzelne Standard-Spoke-Gruppe zurück.
Sterntopologie
Die Sterntopologie hat zwei Spoke-Gruppen, die eine Netzwerksegmentierung mit separaten Routingtabellen für jede Spoke-Gruppe ermöglichen. Für jede Spoke-Gruppe gelten die folgenden Regeln für Routentabellen:
- Die Center-Spoke-Gruppe erlaubt Routen in ihrer Routentabelle, die es Ressourcen in Spokes der Center-Gruppe ermöglichen, mit Ressourcen in Spokes der Center- oder Edge-Gruppe zu kommunizieren.
- Die Edge-Spoke-Gruppe lässt in ihrer Routentabelle nur Routen zu, die es Ressourcen in Spokes der Edge-Gruppe ermöglichen, mit Ressourcen in Spokes der Center-Gruppe zu kommunizieren. Das Network Connectivity Center verbietet Routen in der Routentabelle der Edge-Spoke-Gruppe, die Konnektivität zwischen verschiedenen Spokes in der Edge-Gruppe ermöglichen würden.
Vorbehaltlich der Regeln der Spoke-Gruppen-Routingtabelle können Spoke-Administratoren oder Netzwerkadministratoren Folgendes tun.
Mit Export-Include-- und Export-Exclude-Filtern können Sie festlegen, welche Subnetzbereiche ein VPC-Spoke in die Routentabelle der Spoke-Gruppe exportiert, zu der der VPC-Spoke gehört.
Steuern Sie, welche VPC-Spoke-Subnetzbereiche in den BGP-Sitzungen von Cloud Routern in Hybrid-Spokes exportiert werden. Weitere Informationen finden Sie unter Verbindung zwischen Hybrid-Spokes und VPC-Spokes herstellen.
Das folgende Diagramm zeigt die Konnektivität in Sternform zwischen vier VPC-Spokes. Die VPC-Spokes center-vpc-a und center-vpc-b sind Mitglieder der Center-Spoke-Gruppe und die VPC-Spokes edge-vpc-c und edge-vpc-d sind Mitglieder der Edge-Spoke-Gruppe.
Unterstützte Spoke-Typen
Die Sterntopologie unterstützt VPC-Spokes, Ersteller-VPC-Spokes und Hybrid-Spokes. In der folgenden Tabelle sind die Speichengruppen aufgeführt, die je nach Speichentyp unterstützt werden:
| Spoke | Kann in der Center-Spoke-Gruppe sein | Kann sich in der Edge-Spoke-Gruppe befinden |
|---|---|---|
| VPC-Spoke | ||
| Ersteller-VPC-Spoke | ||
| Hybrid-Spoke mit deaktivierter Site-to-Site-Datenübertragung | ||
| Hybrid-Spoke mit aktivierter Site-to-Site-Datenübertragung |
Der gcloud network-connectivity hubs groups list --hub-Befehl gibt bei Verwendung der Star-Topologie die Gruppen Center und Edge zurück.
Kompatibilität von Hybrid-Spokes mit der Sterntopologie
Für einen Hub, der für die Verwendung der Stern-Topologie konfiguriert ist, gelten die folgenden Einschränkungen für seine Hybrid-Spokes:
- Hybrid-Spokes mit aktivierter Site-to-Site-Datenübertragung müssen sich in der Center-Spoke-Gruppe befinden.
- Hybrid-Spokes ohne aktivierte Site-to-Site-Datenübertragung können sich entweder in der Center-Spoke-Gruppe oder in der Edge-Spoke-Gruppe befinden.
Ausführliche Informationen zum Konfigurieren der Mesh- oder Sterntopologie für Ihre VPC-Spokes finden Sie unter Hub konfigurieren.
Hybride Prüftopologie
Die hybride Prüftopologie wird nur mit dem NCC-Gateway unterstützt. Diese Topologie hat die folgenden vier Spoke-Gruppen, die Netzwerksegmentierung und Paketprüfung ermöglichen:
- Die Spoke-Gruppe prod ist für Produktionsarbeitslasten vorgesehen.
- Die Spoke-Gruppe non-prod ist für Nicht-Produktionsarbeitslasten vorgesehen.
- Die Spokegruppe services ist für Dienste vorgesehen, die sowohl für Produktions- als auch für Nichtproduktionsarbeitslasten unerlässlich sind.
- Die Spoke-Gruppe gateways unterstützt NCC-Gateway-Spokes, die als Sicherheitskontrollpunkte dienen.
Für die Routentabelle für jede Spoke-Gruppe gelten die folgenden Regeln:
Die Prod-Spoke-Gruppe erlaubt Routen in ihrer Routentabelle, die es Ressourcen in Spokes der Prod-Gruppe ermöglichen, mit Ressourcen in Spokes der Prod-Gruppe, der Services-Gruppe oder der Gateway-Gruppe zu kommunizieren. Das Network Connectivity Center verbietet Routen in der Routentabelle der Produktions-Spoke-Gruppe, die eine Verbindung zu Spokes in der Nicht-Produktionsgruppe ermöglichen würden.
Die Non-Prod-Spoke-Gruppe erlaubt Routen in ihrer Routentabelle, die es Ressourcen in Spokes der Non-Prod-Gruppe ermöglichen, mit Ressourcen in Spokes der Non-Prod-Gruppe, der Services-Gruppe oder der Gateway-Gruppe zu kommunizieren. Network Connectivity Center verbietet Routen in der Routentabelle der Non-Prod-Spoke-Gruppe, die eine Verbindung zu Spokes in der Prod-Gruppe ermöglichen würden.
Die Services-Spoke-Gruppe erlaubt Routen in ihrer Routentabelle, die es Ressourcen in Spokes der Services-Gruppe ermöglichen, mit Ressourcen in Spokes einer beliebigen Spoke-Gruppe zu kommunizieren.
Die Gateway-Spoke-Gruppe erlaubt Routen in ihrer Routentabelle, die es jedem NCC-Gateway-Spoke ermöglichen, mit Ressourcen in Spokes der Produktionsgruppe, der Nicht-Produktionsgruppe oder der Dienstgruppe zu kommunizieren. Network Connectivity Center lässt nicht zu, dass NCC-Gateway-Spokes miteinander kommunizieren.
Vorbehaltlich der Regeln der Spoke-Gruppen-Routingtabelle können Spoke-Administratoren oder Netzwerkadministratoren Folgendes tun:
Mit Filtern zum Ein- und Ausschließen von Exporten können Sie steuern, welche Subnetzbereiche ein VPC-Spoke in die Routentabelle der Spoke-Gruppe exportiert, zu der der VPC-Spoke gehört.
Erstellen Sie benutzerdefinierte Route Advertisements für die BGP-Sitzungen von Cloud Routern, die Hybridverbindungen in NCC Gateway-Spokes verwalten. Diese benutzerdefinierten Route Advertisements können VPC-Spoke-Subnetzbereiche enthalten. Weitere Informationen finden Sie unter Hybridverbindungen zum NCC-Gateway hinzufügen.
Steuern Sie, welche VPC-Spoke-Subnetzbereiche in den BGP-Sitzungen von Cloud Routern in Hybrid-Spokes exportiert werden. Weitere Informationen finden Sie unter Verbindung zwischen Hybrid-Spokes und VPC-Spokes herstellen.
Verfügbarkeit von Security Service Edge
Die SSE-Paketprüfung (Security Service Edge) ist nur für Traffic verfügbar, der zwischen einem NCC Gateway-Spoke in der Gateway-Spoke-Gruppe und einem Spoke in der Produktionsgruppe, der Nicht-Produktionsgruppe oder der Dienstgruppe weitergeleitet wird.
In der folgenden Tabelle wird zusammengefasst, ob das Routing zulässig ist und ob die SSE-Paketprüfung für Traffic verfügbar ist, der zwischen Spokes in verschiedenen Spoke-Gruppen weitergeleitet wird.
| Zielressourcen-Spoke | ||||
|---|---|---|---|---|
| Quell-Ressourcen-Spoke | in der Gruppe prod | in der Gruppe non-prod | in der Gruppe Dienste | in der Gruppe Gateways |
| in der Gruppe prod | routing SSE inspection |
Routing SSE-Prüfung |
routing SSE inspection |
Routing SSE-Prüfung |
| in der Gruppe non-prod | Routing SSE-Prüfung |
routing SSE inspection |
routing SSE inspection |
Routing SSE-Prüfung |
| in der Gruppe Dienste | routing SSE inspection |
routing SSE inspection |
routing SSE inspection |
Routing SSE-Prüfung |
| in der Gruppe Gateways | Routing SSE-Prüfung |
Routing SSE-Prüfung |
Routing SSE-Prüfung |
Routing SSE-Prüfung |
Unterstützte Spoke-Typen
Die hybride Prüftopologie unterstützt VPC-Spokes, Ersteller-VPC-Spokes, Hybrid-Spokes und NCC-Gateway-Spokes. In der folgenden Tabelle sind die unterstützten Spokegruppen nach Spoketyp aufgeführt.
| Spoke | Kann sich in der Produktions-Spoke-Gruppe befinden | Kann sich in der Non-Prod-Spoke-Gruppe befinden | Kann in der Gruppe „Services“ sein | Kann sich in der Gateway-Spoke-Gruppe befinden |
|---|---|---|---|---|
| VPC-Spoke | ||||
| Ersteller-VPC-Spoke | ||||
| Hybrid-Spoke mit deaktivierter Site-to-Site-Datenübertragung | ||||
| Hybrid-Spoke mit aktivierter Site-to-Site-Datenübertragung | ||||
| NCC-Gateway-Spoke |
Der Befehl gcloud network-connectivity hubs groups list --hub gibt die Gruppen für Produktion, Nicht-Produktion, Dienste und Gateway zurück, wenn die hybride Prüftopologie verwendet wird.
Nächste Schritte
- Informationen zum Network Connectivity Center finden Sie unter Network Connectivity Center – Übersicht.
- Lösungen für häufige Probleme finden Sie unter Fehlerbehebung beim Network Connectivity Center.
- Ausführliche Informationen zur API und zu
gcloud-Befehlen finden Sie unter APIs und Referenz. - Informationen zum Erstellen von Hubs und Spokes finden Sie unter Mit Hubs und Spokes arbeiten.