Quando cria um hub do Network Connectivity Center, pode escolher uma das seguintes topologias predefinidas. A topologia de malha é a predefinição.
- Topologia de malha
- Topologia em estrela
- Topologia de inspeção híbrida (pré-visualização): apenas suportada com o gateway do NCC
Depois de criar um hub com uma topologia predefinida, não pode alterar a topologia.
Grupos de raios
Consoante a topologia, um hub suporta um ou mais grupos de raios. Os tipos de raios que podem estar em cada grupo de raios também dependem da topologia do hub. Para todas as topologias, aplicam-se as seguintes caraterísticas:
- Cada grupo de spoke é um domínio de encaminhamento com a sua própria tabela de rotas. A tabela de rotas do grupo de raios é atualizada automaticamente à medida que os raios são adicionados ou removidos do grupo de raios.
- Cada raio adicionado a um centro só pode pertencer a um grupo de raios.
- O Network Connectivity Center aceita automaticamente raios adicionados a partir do mesmo projeto que o hub.
- O Network Connectivity Center oferece opções de revisão de propostas de raios e aceitação automática quando adiciona raios de VPC que estão em projetos diferentes do hub. Para mais informações, consulte o artigo VPC spokes num projeto diferente de um hub.
Para ver os passos de configuração de topologias e grupos de raios, consulte o artigo Configure um hub.
Topologia de malha
Com a topologia de malha, todos os raios no hub pertencem a um único grupo de raios.
Se criar um hub sem especificar explicitamente uma topologia, a topologia do hub é, por predefinição, uma malha. Quando adiciona duas ou mais redes VPC de carga de trabalho ao hub como raios VPC, cada raio VPC exporta as respetivas rotas de sub-rede de acordo com os filtros de inclusão e exclusão de exportação configurados. Para mais informações acerca da troca de rotas de sub-redes entre os spokes da VPC, consulte a vista geral dos spokes da VPC.
A topologia de malha também suporta a conetividade de rede de grande escala entre os raios da VPC e os raios híbridos. Os administradores de spoke ou os administradores de rede de uma rede VPC de encaminhamento que contenha spokes híbridos têm de configurar o anúncio de rotas de sub-rede recebidas de spokes da VPC. Para mais informações, consulte o artigo Estabelecer a conetividade entre raios híbridos e raios da VPC.
O diagrama seguinte mostra um hub que usa a topologia de malha e tem três raios de VPC.
Tipos de raios suportados
A topologia de malha suporta raios da VPC, raios da VPC do produtor e raios híbridos no respetivo grupo de raios único.
O comando gcloud network-connectivity hubs groups list --hub
só
devolve o grupo de raios predefinido único quando usa a topologia de malha.
Topologia em estrela
A topologia de estrela tem dois grupos de raios que fornecem segmentação de rede através de tabelas de rotas separadas para cada grupo de raios. As seguintes regras da tabela de rotas aplicam-se a cada grupo de raios:
- O grupo de raios central permite rotas na respetiva tabela de rotas que permitem que os recursos nos raios do grupo central comuniquem com os recursos nos raios do grupo central ou do grupo periférico.
- O grupo de raios edge só permite trajetos na respetiva tabela de trajetos que permitam que os recursos nos raios do grupo edge comuniquem com os recursos nos raios do grupo central. O Network Connectivity Center proíbe rotas na tabela de rotas do grupo de raios periféricos que forneçam conetividade entre diferentes raios no grupo periférico.
Sujeitos às regras da tabela de rotas do grupo de spoke, os administradores de spoke ou os administradores de rede podem fazer o seguinte.
Use export include e export exclude filters para controlar os intervalos de sub-redes que um raio de VPC exporta para a tabela de rotas do grupo de raios ao qual o raio de VPC pertence.
Controle os intervalos de sub-redes spoke da VPC que são exportados nas sessões BGP dos Cloud Routers em spokes híbridos. Para mais informações, consulte o artigo Estabelecer a conetividade entre raios híbridos e raios da VPC.
O diagrama seguinte mostra a conetividade da topologia em estrela entre quatro raios da VPC. Os raios da VPC center-vpc-a e center-vpc-b são membros do grupo de raios central, e os raios da VPC edge-vpc-c e edge-vpc-d são membros do grupo de raios periférico.
Tipos de raios suportados
A topologia em estrela suporta raios da VPC, raios da VPC do produtor e raios híbridos. A tabela seguinte mostra os grupos de raios suportados de acordo com o tipo de raio:
| Spoke | Pode estar no grupo de raios central | Pode estar no grupo de raios periféricos |
|---|---|---|
| VPC spoke | ||
| VPC spoke do produtor | ||
| Hub híbrido com transferência de dados de site a site desativada | ||
| Hub híbrido com transferência de dados de site a site ativada |
O comando gcloud network-connectivity hubs groups list --hub
devolve
os grupos center e edge quando usa a topologia em estrela.
Compatibilidade de raios híbridos com topologia em estrela
Um hub configurado para usar a topologia em estrela aplica as seguintes limitações aos respetivos raios híbridos:
- Os raios híbridos com a transferência de dados site a site ativada têm de estar no grupo de raios central.
- Os raios híbridos sem a transferência de dados de site a site ativada podem estar no grupo de raios central ou no grupo de raios periférico.
Para informações detalhadas sobre como configurar a topologia de malha ou estrela para os raios da VPC, consulte o artigo Configure um hub.
Topologia de inspeção híbrida
A topologia de inspeção híbrida só é suportada com o gateway do NCC. Esta topologia tem os seguintes quatro grupos de raios que oferecem capacidades de segmentação de rede e inspeção de pacotes:
- O grupo de raios prod foi concebido para cargas de trabalho de produção.
- O grupo de raios non-prod foi concebido para cargas de trabalho de não produção.
- O grupo de spoke serviços foi concebido para serviços essenciais para cargas de trabalho de produção e não de produção.
- O grupo de raios gateways suporta raios de gateway do NCC que funcionam como pontos de verificação de segurança.
As seguintes regras aplicam-se à tabela de rotas de cada grupo de raios:
O grupo de raios de produção permite rotas na respetiva tabela de rotas que permitem que os recursos nos raios do grupo de produção comuniquem com os recursos nos raios do grupo de produção, do grupo de serviços ou do grupo de gateway. O Network Connectivity Center proíbe trajetos na tabela de trajetos do grupo de raios de produção que forneçam conetividade a raios no grupo de não produção.
O grupo de raios de não produção permite rotas na respetiva tabela de rotas que permitem que os recursos nos raios do grupo de não produção comuniquem com os recursos nos raios do grupo de não produção, do grupo de serviços ou do grupo de gateway. O Network Connectivity Center proíbe trajetos na tabela de trajetos do grupo de raios de não produção que forneçam conetividade aos raios no grupo de produção.
O grupo de serviços permite trajetos na respetiva tabela de trajetos que permitem que os recursos nos raios do grupo de serviços comuniquem com os recursos nos raios de qualquer grupo de raios.
O grupo de raios do gateway permite rotas na respetiva tabela de rotas que permitem que cada raio do gateway da NCC comunique com recursos nos raios do grupo de produção, do grupo de não produção ou do grupo de serviços. O Network Connectivity Center não permite que os spokes do gateway do NCC comuniquem entre si.
Sujeitos às regras da tabela de rotas do grupo de raios, os administradores de raios ou os administradores de rede podem fazer o seguinte:
Use filtros de inclusão e exclusão de exportação para controlar os intervalos de sub-redes que um raio de VPC exporta para a tabela de rotas do grupo de raios ao qual o raio de VPC pertence.
Crie anúncios de rotas personalizadas nas sessões BGP dos Cloud Routers que gerem ligações híbridas nos spokes da gateway da NCC. Estes anúncios de rotas personalizadas podem incluir intervalos de sub-redes de raios de VPC. Para mais informações, consulte o artigo Adicione ligações híbridas ao gateway da NCC.
Controle os intervalos de sub-redes spoke da VPC que são exportados nas sessões BGP dos Cloud Routers em spokes híbridos. Para mais informações, consulte o artigo Estabelecer a conetividade entre raios híbridos e raios da VPC.
Disponibilidade do Security Service Edge
A inspeção de pacotes do Security Service Edge (SSE) só está disponível para tráfego que é encaminhado entre um spoke do gateway do NCC num grupo de spokes de gateways e um spoke no grupo de produção, no grupo de não produção ou no grupo de serviços.
A tabela seguinte resume se o encaminhamento é permitido e se a inspeção de pacotes SSE está disponível para o tráfego encaminhado entre hubs em diferentes grupos de hubs.
| Destino do recurso spoke | ||||
|---|---|---|---|---|
| Recurso de origem spoke | no grupo prod | no grupo non-prod | no grupo serviços | no grupo gateways |
| no grupo prod | Encaminhamento Inspeção SSE |
Encaminhamento Inspeção SSE |
Encaminhamento Inspeção SSE |
Encaminhamento Inspeção SSE |
| no grupo non-prod | Encaminhamento Inspeção SSE |
Encaminhamento Inspeção SSE |
Encaminhamento Inspeção SSE |
Encaminhamento Inspeção SSE |
| no grupo serviços | Encaminhamento Inspeção SSE |
Encaminhamento Inspeção SSE |
Encaminhamento Inspeção SSE |
Encaminhamento Inspeção SSE |
| no grupo gateways | Encaminhamento Inspeção SSE |
Encaminhamento Inspeção SSE |
Encaminhamento Inspeção SSE |
Encaminhamento Inspeção SSE |
Tipos de raios suportados
A topologia de inspeção híbrida suporta raios de VPC, raios de VPC de produtor, raios híbridos e raios de gateway da NCC. A tabela seguinte mostra os grupos de raios suportados de acordo com o tipo de raio.
| Spoke | Pode estar no grupo de raios de produção | Pode estar no grupo de spoke de não produção | Pode estar no grupo de serviços | Pode estar no grupo de raios de gateways |
|---|---|---|---|---|
| VPC spoke | ||||
| VPC spoke do produtor | ||||
| Hub híbrido com transferência de dados de site a site desativada | ||||
| Hub híbrido com transferência de dados de site a site ativada | ||||
| NCC Gateway spoke |
O que se segue?
- Para saber mais sobre o Network Connectivity Center, consulte o artigo Vista geral do Network Connectivity Center.
- Para encontrar soluções para problemas comuns, consulte o artigo Resolva problemas do Network Connectivity Center.
- Para obter detalhes sobre a API e os comandos
gcloud, consulte APIs e referência. - Para criar centros e nós, consulte o artigo Trabalhe com centros e nós.