建立 Network Connectivity Center 中樞時,可以選擇下列其中一種預設拓撲。預設拓撲為網格拓撲。
使用預設拓撲建立中樞後,就無法變更拓撲。
輪輻群組
視拓撲而定,中樞支援一或多個輪輻群組。 每個輪輻群組可包含的輪輻類型,也取決於中樞拓撲。所有拓撲都適用下列特徵:
- 每個 Spoke 群組都是一個具有專屬路由表的路由網域。當輪輻新增至輪輻群組或從輪輻群組移除時,輪輻群組的路由表會自動更新。
- 新增至中樞的每個輻射只能屬於一個輻射群組。
- 如果輪輻與中樞位於同一個專案,網路連線中心會自動接受輪輻。
- 新增與中樞位於不同專案的虛擬私有雲輪輻時,Network Connectivity Center 提供自動接受和輪輻提案審查選項。詳情請參閱「VPC 輪輻位於與中心不同的專案中」。
如需設定拓撲和 Spoke 群組的操作步驟,請參閱設定 Hub。
網格拓撲
在網格拓撲中,中樞上的所有輪輻都屬於單一輪輻群組。
如果您建立中樞時未明確指定拓撲,中樞拓撲預設為網格。將兩個以上的工作負載 VPC 網路做為 VPC 輪輻新增至中樞時,每個 VPC 輪輻會根據設定的匯出包含和匯出排除篩選器,匯出其子網路路由。如要進一步瞭解虛擬私有雲輪輻之間的子網路路徑交換,請參閱虛擬私有雲輪輻總覽。
網格拓撲也支援虛擬私有雲輪輻和混合輪輻之間的高規模網路連線。如果路由虛擬私有雲網路包含混合式輪輻,輪輻管理員或網路管理員必須設定從虛擬私有雲輪輻接收的子網路路由通告。詳情請參閱「在混合式輻射網路和虛擬私有雲輻射網路之間建立連線」。
下圖顯示使用網狀拓樸的中心,以及三個 VPC 輪輻。
支援的 Spoke 類型
網狀拓撲支援單一輪輻群組中的虛擬私有雲輪輻、供應商虛擬私有雲輪輻和混合型輪輻。
使用網狀拓撲時,gcloud network-connectivity hubs groups list --hub
指令只會傳回單一預設 Spoke 群組。
星型拓撲
星狀拓撲有兩個輻射群組,可為每個輻射群組使用不同的路由表,提供網路區隔。下列路由表規則適用於每個 Spoke 群組:
- 中央輪輻群組允許路由表中的路由,讓中央群組輪輻中的資源與中央群組或邊緣群組輪輻中的資源通訊。
- 邊緣輪輻群組只允許路由表中的路由,讓邊緣群組輪輻中的資源與中央群組輪輻中的資源通訊。Network Connectivity Center 禁止邊緣輪輻群組路由表中的路由,因為這類路由會在邊緣群組的不同輪輻之間提供連線。
視子群組路由表規則而定,子群組管理員或網路管理員可以執行下列操作。
控制混合式輪輻中 Cloud Router 的 BGP 工作階段要匯出哪些 VPC 輪輻子網路範圍。詳情請參閱「在混合式輻射網路和虛擬私有雲輻射網路之間建立連線」。
下圖顯示四個虛擬私有雲輪輻之間的星型拓撲連線。center-vpc-a 和 center-vpc-b 虛擬私有雲輪輻是中心輪輻群組的成員,edge-vpc-c 和 edge-vpc-d 虛擬私有雲輪輻則是邊緣輪輻群組的成員。
支援的 Spoke 類型
星狀拓撲支援虛擬私有雲輪輻、供應商虛擬私有雲輪輻和混合輪輻。下表列出根據 Spoke 類型支援的 Spoke 群組:
| Spoke | 可位於中央輪輻群組中 | 可位於邊緣輪輻群組中 |
|---|---|---|
| 虛擬私有雲輪輻 | ||
| 供應商虛擬私有雲輪輻 | ||
| 混合式子網路,站對站資料移轉已停用 | ||
| 已啟用站對站資料移轉的混合式輪輻 |
使用星狀拓撲時,gcloud network-connectivity hubs groups list --hub 指令會傳回 center 和 edge 群組。
混合式輪輻與星狀拓撲的相容性
設定為使用星狀拓撲的中樞,會對混合式輪輻強制執行下列限制:
- 啟用站對站資料移轉的混合式輪輻必須位於中心輪輻群組中。
- 如果混合式支點未啟用網站對網站資料轉移功能,則可位於中心支點群組或邊緣支點群組。
如要進一步瞭解如何為虛擬私有雲端子網設定網狀或星狀拓撲,請參閱「設定中樞」。
混合式檢查拓撲
混合式檢查拓撲僅支援 NCC 閘道。 這個拓撲有下列四個 Spoke 群組,可提供網路區隔和封包檢查功能:
- prod 輻射群組專為正式環境工作負載設計。
- 非正式環境的子網路群組是為非正式環境工作負載而設計。
- 服務 spokes 群組適用於實際工作環境和非實際工作環境工作負載不可或缺的服務。
- 「閘道」輪輻群組支援 NCC 閘道輪輻,可做為安全檢查點。
下列規則適用於每個 Spoke 群組的路由表:
生產環境輪輻群組允許路由表中的路由,讓生產環境群組輪輻中的資源,與生產環境群組、服務群組或閘道群組輪輻中的資源通訊。Network Connectivity Center 會禁止在正式版輪輻群組路由表中,提供連線至非正式版群組輪輻的路由。
非生產環境輪輻群組允許路由表中的路由,讓非生產環境群組輪輻中的資源與非生產環境群組、服務群組或閘道群組輪輻中的資源通訊。Network Connectivity Center 會禁止非正式版輪輻群組路由表中的路由,因為這些路由會連線至正式版群組中的輪輻。
服務輪輻群組允許路由表中的路由,讓服務群組輪輻中的資源與任何輪輻群組輪輻中的資源通訊。
閘道輪輻群組允許路由表中的路由,讓每個 NCC 閘道輪輻與生產環境群組、非生產環境群組或服務群組輪輻中的資源通訊。Network Connectivity Center 不允許 NCC 閘道輪輻彼此通訊。
根據子群組路由表規則,子群組管理員或網路管理員可以執行下列操作:
使用匯出納入和匯出排除篩選器,控制 VPC 輪輻匯出至所屬輪輻群組路徑表的子網路範圍。
在管理 NCC Gateway Spoke 中混合式連線的 Cloud Router BGP 工作階段上,建立自訂路徑通告。這些自訂路徑通告可包含 VPC 輪輻子網路範圍。詳情請參閱「將混合式連線新增至 NCC Gateway」。
控制混合式輪輻中 Cloud Router 的 BGP 工作階段要匯出哪些 VPC 輪輻子網路範圍。詳情請參閱「在混合式輻射網路和虛擬私有雲輻射網路之間建立連線」。
安全服務邊緣適用範圍
安全服務邊緣 (SSE) 封包檢查僅適用於在閘道輪輻群組中的 NCC 閘道輪輻,以及在正式版群組、非正式版群組或服務群組中的輪輻之間路由傳送的流量。
下表摘要說明在不同輪輻群組的輪輻之間轉送流量時,是否允許轉送,以及是否可進行 SSE 封包檢查。
| 目的地資源輪輻 | ||||
|---|---|---|---|---|
| 來源資源輪輻 | 「prod」群組中 | 在非正式群組中 | 「服務」群組中 | 在「gateways」群組中 |
| 「prod」群組中 | 路由 SSE 檢查 |
路由 SSE 檢查 |
路由 SSE 檢查 |
路由 SSE 檢查 |
| 在非正式群組中 | 路由 SSE 檢查 |
路由 SSE 檢查 |
路由 SSE 檢查 |
路由 SSE 檢查 |
| 「服務」群組中 | 路由 SSE 檢查 |
路由 SSE 檢查 |
路由 SSE 檢查 |
路由 SSE 檢查 |
| 在「gateways」群組中 | 路由 SSE 檢查 |
路由 SSE 檢查 |
路由 SSE 檢查 |
路由 SSE 檢查 |
支援的 Spoke 類型
混合式檢查拓撲支援虛擬私有雲輪輻、供應商虛擬私有雲輪輻、混合式輪輻和 NCC 閘道輪輻。下表列出各 Spoke 類型支援的 Spoke 群組。
| Spoke | 可加入正式版輪輻群組 | 可加入非正式環境輪輻群組 | 可位於服務輪輻群組中 | 可加入閘道輪輻群組 |
|---|---|---|---|---|
| 虛擬私有雲輪輻 | ||||
| 供應商虛擬私有雲輪輻 | ||||
| 混合式子網路,站對站資料移轉已停用 | ||||
| 已啟用站對站資料移轉的混合式輪輻 | ||||
| NCC 閘道輪輻 |
使用混合檢查拓撲時,gcloud network-connectivity hubs groups list --hub 指令會傳回生產環境、非生產環境、服務和閘道群組。
後續步驟
- 如要瞭解 Network Connectivity Center,請參閱 Network Connectivity Center 總覽。
- 如要尋找常見問題的解決方法,請參閱「排解 Network Connectivity Center 問題」。
- 如要瞭解 API 和
gcloud指令的詳細資料,請參閱「API 和參考資料」。 - 如要建立中樞和輪輻,請參閱「與中樞和輪輻搭配使用」。