Network Connectivity Center è un framework di orchestrazione che semplifica la connettività di rete tra le risorse spoke connesse a una risorsa di gestione centrale chiamata hub. Network Connectivity Center supporta i seguenti tipi di spoke:
- Spoke Virtual Private Cloud (VPC)
- Spoke VPC del producer
- Spoke gateway NCC
- Spoke ibridi, costituiti da:
- Tunnel VPN ad alta disponibilità
- Collegamenti VLAN di Cloud Interconnect
- VM appliance router
Con la connettività hub and spoke, puoi:
- Connetti più reti VPC tra loro. Le reti VPC possono trovarsi in progetti diversi nella stessa organizzazione Google Cloud o in organizzazioni diverse.
- Connetti più reti VPC a reti on-premise o di altri provider cloud. Queste reti esterne possono essere raggiungibili tramite qualsiasi tipo di spoke ibrido. Questo approccio è noto come connettività da sito a cloud.
- Utilizza le VM appliance router per gestire la connettività tra le reti VPC.
- Utilizza una rete VPC come rete WAN (wide area network) a livello aziendale per connettere reti esterne a Google Cloud. Google Cloud Puoi stabilire la connettività tra i tuoi siti esterni utilizzando qualsiasi tipo di spoke ibrido. Questo approccio è noto come connettività da sito a sito.
Come funziona
Quando un hub utilizza gli spoke VPC, puoi configurare la connettività tra queste reti VPC connesse all'hub scambiando le route di subnet tra tutte o alcune delle reti VPC.
Quando un hub utilizza sia spoke VPC che spoke ibridi, la connettività any-to-any è supportata in tutti questi spoke.
Quando un hub utilizza spoke ibridi che si trovano in una singola rete VPC, puoi anche configurare il trasferimento di dati da sito a sito in modo che le route dinamiche i cui hop successivi sono uno spoke ibrido, ad esempio un collegamento VLAN Cloud Interconnect, vengano pubblicizzate a una rete on-premise dalle sessioni BGP degli altri spoke ibridi in quella rete VPC.
Per una descrizione dettagliata di hub e spoke, consulta le sezioni seguenti.
Hub
Un hub Network Connectivity Center è una risorsa globale a cui si collegano gli spoke. Un singolo hub può contenere spoke di più regioni. Tuttavia, se uno degli spoke di un hub utilizza la funzionalità di trasferimento di dati site-to-site, tutte le risorse associate a questi spoke devono trovarsi nella stessa rete VPC. Gli spoke che non utilizzano il trasferimento di dati site-to-site possono essere associati a qualsiasi rete VPC del tuo progetto.
Spoke
Uno spoke rappresenta una o più risorse di rete Google Cloud collegate a un hub.
Quando crei uno spoke, devi associarlo ad almeno una risorsa di connettività supportata, chiamata anche risorsa di supporto.
Uno spoke può utilizzare una qualsiasi delle seguenti risorse Google Cloud come risorsa di supporto.
Spoke VPC
Gli spoke VPC consentono di connettere due o più reti VPC a un hub in modo che possano scambiare le route delle subnet. Gli spoke VPC collegati a un singolo hub possono fare riferimento a reti VPC nello stesso progetto o in un progetto diverso (incluso un progetto in un'organizzazione diversa).
Gli spoke VPC esportano le route di subnet nell'hub e importano le route di subnet e le route dinamiche dall'hub.
Per informazioni dettagliate sugli spoke VPC, consulta la panoramica degli spoke VPC.
Gli spoke VPC forniscono connettività tra gli intervalli di subnet IPv4 e IPv6 di più reti VPC. Puoi configurare ogni VPC spoke per esportare gli intervalli di subnet nel seguente modo:
- Solo intervalli di subnet IPv4
- Intervalli di subnet IPv4 e IPv6
- Solo intervalli di subnet IPv6
Considera uno spoke la cui rete VPC ha un mix di tipi di stack di subnet. Se configuri lo spoke in modo che esporti solo gli intervalli di subnet IPv6, vengono scambiati gli intervalli di subnet IPv6 delle subnet dual-stack e solo IPv6, ma non gli intervalli di subnet IPv4 delle subnet solo IPv4 e dual-stack.
Spoke VPC del producer
Se hai uno spoke VPC esistente che utilizza un servizio da una rete producer in un altro progetto tramite il peering di rete VPC, puoi rendere il servizio raggiungibile dagli altri spoke nell'hub Network Connectivity Center creando uno spoke VPC producer.
Per informazioni dettagliate sugli spoke VPC del producer, consulta Spoke VPC del producer.
Spoke gateway
NCC Gateway è un tipo di spoke regionale collegato all'hub Network Connectivity Center. Consente la sicurezza per il traffico Cross-Cloud Network. NCC Gateway abilita l'ispezione Security Service Edge (SSE) di terze parti.
Per informazioni dettagliate sugli spoke gateway NCC, consulta la panoramica del gateway NCC.
Spoke ibridi
Uno spoke ibrido rappresenta una o più risorse di connettività di rete che sono connesse a un hub. Un tipo di spoke ibrido può essere una delle seguenti risorse a cui è associato uno spoke:
- VM appliance router
- Tunnel VPN ad alta disponibilità
- Collegamenti VLAN di Cloud Interconnect
Un singolo spoke ibrido può essere associato a più risorse dello stesso tipo. Ad esempio, uno spoke ibrido può fare riferimento a due o più tunnel VPN ad alta disponibilità, ma lo stesso spoke ibrido non può fare riferimento anche a VM appliance router o a collegamenti VLAN Cloud Interconnect. Uno spoke ibrido deve trovarsi nello stesso progetto dell'hub Network Connectivity Center.
Il trasferimento di dati site-to-site utilizzando gli spoke ibridi richiede che gli spoke si trovino nella stessa rete VPC. Per saperne di più, consulta la panoramica del trasferimento di dati tra siti.
Spoke dell'appliance router
Uno spoke associato a un'istanza VM dell'appliance router supporta i seguenti casi d'uso:
- Connettività da sito a cloud IPv4: stabilisci la connettività tra un sito esterno e le risorse della tua rete VPC.
- Trasferimento di dati da sito a sito IPv4: utilizza la rete Google come parte di una rete WAN (wide area network) che include i tuoi siti esterni per spostare i dati tra tutti i siti.
- Connettività IPv4 tra reti VPC: utilizza un'appliance virtuale di rete di terze parti per stabilire la connettività tra le tue reti VPC.
Tutti gli spoke site-to-site connessi allo stesso hub devono avere tutte le risorse di backend nella stessa rete VPC.
Spoke del tunnel VPN ad alta disponibilità
Uno spoke associato a tunnel Cloud VPN (VPN ad alta disponibilità) supporta i seguenti casi d'uso:
- Connettività da sito a cloud IPv4: stabilisci la connettività tra un sito esterno e le risorse della tua rete VPC.
- Trasferimento di dati da sito a sito IPv4: utilizza la rete Google come parte di una rete WAN (wide area network) che include i tuoi siti esterni per spostare i dati tra tutti i siti.
Tutte le appliance collegate da un singolo spoke e tutti i tunnel Cloud VPN e i collegamenti VLAN devono trovarsi nella stessa rete VPC.
Spoke di collegamento VLAN Cloud Interconnect
Uno spoke associato ai collegamenti VLAN Cloud Interconnect supporta i seguenti casi d'uso:
- Connettività da sito a cloud IPv4: tutte le appliance collegate da un singolo spoke devono trovarsi nella stessa rete VPC.
- Trasferimento di dati site-to-site IPv4: tutti i tunnel Cloud VPN, i collegamenti VLAN o entrambi devono trovarsi nella stessa rete VPC.
Scambio di route con connettività VPC
Gli spoke VPC di Network Connectivity Center supportano lo scambio dei seguenti intervalli di subnet:
- Intervalli di subnet IPv4 che utilizzano indirizzi privati, esclusi gli indirizzi IPv4 pubblici utilizzati privatamente
- Intervalli di subnet IPv6
Le route dinamiche IPv4, ovvero le route apprese dagli spoke ibridi tramite BGP, possono essere scambiate anche con gli spoke VPC o altri spoke ibridi.
Importazione delle subnet hub per gli spoke ibridi
Puoi ottenere la pubblicità automatica degli intervalli di subnet IP degli spoke VPC alle reti on-premise e di altri provider cloud tramite BGP attivando l'importazione delle subnet hub per gli spoke ibridi. Se abilitate, tutte le nuove subnet VPC create o eliminate e presenti nella tabella di routing hub vengono importate automaticamente dagli spoke ibridi e pubblicizzate tramite BGP ai peer remoti.
Per annunciare automaticamente gli intervalli di indirizzi IP delle subnet spoke VPC
agli spoke ibridi, utilizza il flag --include-import-ranges con il
campo ALL_IPV4_RANGES durante la creazione dello spoke. Per impostazione predefinita, il campo
--include-import-ranges è vuoto, il che significa che nessuna subnet hub viene
importata negli spoke ibridi nuovi o esistenti finché non viene specificato
ALL_IPV4_RANGES. Gli spoke ibridi possono anche inviare intervalli di indirizzi IP pubblici utilizzati privatamente
all'hub Network Connectivity Center.
Per informazioni dettagliate su come creare spoke ibridi, consulta Utilizzare gli spoke.
Annuncio di route personalizzato
L'annuncio di route personalizzato in Cloud Router
ti offre il controllo manuale sui prefissi pubblicizzati dagli spoke ibridi.
Puoi specificare route pubblicizzate personalizzate
(incluse le route predefinite, 0.0.0.0/0 per le route IPv4 o ::/0 per
le route IPv6) per tutte le sessioni BGP quando non hai bisogno della pubblicità automatica
delle subnet spoke VPC. Per impostazione predefinita, le altre subnet spoke VPC
non vengono pubblicizzate, il che significa che le posizioni on-premise non
apprendono automaticamente la raggiungibilità di questi intervalli di indirizzi IP.
Considerazioni per l'importazione delle subnet hub
Tieni presenti le seguenti considerazioni quando utilizzi la funzionalità delle subnet dell'hub di importazione.
- Per impostazione predefinita, tutte le subnet spoke VPC nella tabella di route dell'hub vengono pubblicizzate a uno spoke ibrido se quest'ultimo ha
ALL_IPV4_RANGESspecificato nel campo--include-import-ranges. - La priorità della route seguita è subnet di rete VPC di destinazione, subnet hub e route personalizzate del router Cloud in questo ordine.
- Network Connectivity Center impedisce sovrapposizioni tra le subnet VPC di routing e le subnet hub di altri spoke VPC.
- Se una route personalizzata del router Cloud è esattamente uguale o si sovrappone alle subnet VPC di destinazione o alle subnet hub, la route personalizzata del router Cloud viene ignorata.
- Gli attributi BGP delle subnet hub sono gli stessi delle subnet del VPC di destinazione dello spoke ibrido.
- I criteri del router Cloud nella sessione BGP vengono applicati anche alle subnet hub importate di Network Connectivity Center.
- Se la rete VPC di routing dello spoke ibrido imposta la modalità di routing dinamico su
regional, vengono pubblicizzate solo le subnet hub nella stessa regione dello spoke ibrido.
Esempi di casi d'uso
Le sezioni seguenti descrivono i principali casi d'uso di Network Connectivity Center.
Connettere reti VPC diverse con Network Connectivity Center
Quando colleghi due o più spoke VPC a un hub, Network Connectivity Center fornisce la connettività tramite le route delle subnet tra tutte le reti VPC rappresentate dagli spoke. L'utilizzo di un hub semplifica la gestione della connettività delle subnet mesh su larga scala. Consulta le quote per scoprire quante reti VPC possono essere connesse a un hub.
Il seguente diagramma mostra due VPC spoke.
Connettività on-premise per gli spoke VPC
Gli spoke VPC possono connettersi alle reti on-premise utilizzando spoke ibridi che si trovano in altre reti VPC (di routing). Ogni hub Network Connectivity Center supporta più spoke VPC e collegamenti VLAN Cloud Interconnect, tunnel VPN ad alta disponibilità o VM appliance router aggiunte come spoke ibridi.
Connettere reti utilizzando le VM appliance router
Network Connectivity Center può utilizzare le VM appliance router nei seguenti due scenari di connettività IPv4:
- Connessione di una rete VPC a una rete on-premise o di un altro provider cloud utilizzando route dinamiche
- Connessione di due reti VPC tra loro utilizzando route dinamiche
Con questa opzione, router Cloud gestisce le sessioni BGP per le VM appliance router.
Collegare una rete esterna a Google Cloud
Il seguente diagramma utilizza uno spoke ibrido con una VM appliance router per connettere due reti VPC a una rete esterna. La VM Cloud Router ha una scheda di interfaccia di rete (NIC) in ogni rete VPC.
Per ulteriori informazioni su questo caso d'uso, consulta Topologie da sito a cloud che utilizzano un'appliance di terze parti.
Gestire la connettività tra le reti VPC
Il seguente diagramma utilizza uno spoke ibrido con una VM appliance router che esegue un software specializzato di firewall o di ispezione dei pacchetti per connettere due reti VPC.
Per maggiori informazioni, consulta Topologia da VPC a VPC che utilizza un'appliance di terze parti.
Eseguire il trasferimento di dati sulla rete di Google (site-to-site)
Il trasferimento di dati fornisce connettività IPv4 tra reti esterne utilizzando una rete VPC e spoke ibridi. Google Cloud Puoi trasferire dati tra più reti on-premise o ad altre reti cloud.
Quando crei uno spoke ibrido, puoi attivare l'opzione di trasferimento dei dati per quello spoke. Quando il trasferimento di dati è abilitato per gli spoke ibridi connessi allo stesso hub, le route dinamiche apprese da ogni VM appliance router, tunnel Cloud VPN o collegamento VLAN Cloud Interconnect vengono riannunciate alle altre VM, ai tunnel o ai collegamenti VLAN associati a qualsiasi spoke ibrido connesso allo stesso hub. Il trasferimento dei dati richiede che tutti gli spoke ibridi facciano riferimento a VM appliance router, tunnel Cloud VPN o collegamenti VLAN Cloud Interconnect in una singola rete VPC.
Ad esempio, supponiamo di avere data center a New York, Sydney e Tokyo. Dopo aver utilizzato le risorse supportate per connettere la rete VPC a ciascuno di questi siti, puoi creare uno spoke per rappresentare ogni rete. Dopo aver completato questa configurazione, Network Connectivity Center fornirà la connettività mesh completa tra tutti e tre i siti.
Come mostrato nel seguente diagramma, puoi creare spoke che si basano su risorse di connettività come Cloud VPN, Cloud Interconnect e appliance router.
Il diagramma non mostra Cross-Cloud Interconnect, ma puoi anche utilizzare i collegamenti VLAN Cross-Cloud Interconnect.
Per ulteriori informazioni su questo caso d'uso, consulta la panoramica del trasferimento di dati tra siti.
Considerazioni sul Network Connectivity Center
Prima di configurare Network Connectivity Center, esamina le sezioni seguenti.
Indirizzamento IP
Il supporto della versione IP dipende dal tipo di spoke:
VPC spoke: Network Connectivity Center supporta le seguenti versioni IP:
IPv4 e IPv6 per lo scambio di intervalli di subnet.
Puoi configurare gli spoke VPC in modo che scambino solo intervalli di subnet IPv4, solo intervalli di subnet IPv6 o entrambi.
Indirizzi IPv4 solo per lo scambio di route dinamiche.
Spoke ibridi: Network Connectivity Center supporta solo IPv4. Ad esempio:
Se in uno spoke è attivato il trasferimento di dati site-to-site, le risorse associate agli spoke supportano solo il traffico IPv4. Questa affermazione si applica a tutti i tipi di spoke ibridi: appliance router, collegamento VLAN e spoke VPN.
Gli spoke dell'appliance router da sito a cloud supportano solo il traffico IPv4.
Quando crei una VM appliance router, l'indirizzo IPv4 interno principale della VM deve essere un indirizzo RFC 1918.
Routing
Le route installate dagli spoke ibridi di Network Connectivity Center vengono trattate come route dinamiche.
Per informazioni su come vengono gestite le route dinamiche rispetto ad altri tipi di route, consulta Applicabilità e ordine nella documentazione VPC.
| Risorsa | Casi d'uso applicabili |
|---|---|
| Assegnazione delle priorità | Tutte le risorse spoke ibride utilizzano i router Cloud. Per informazioni dettagliate su come i router Cloud elaborano le route apprese per creare route dinamiche in una rete VPC o in un hub Network Connectivity Center, consulta Route apprese nella documentazione di Cloud Router. |
| ASN | Tutti i router di peering non Google associati a un singolo spoke devono utilizzare lo stesso ASN quando pubblicizzano i prefissi al router Cloud. Ciò è importante perché, se due peer pubblicizzano lo stesso prefisso con ASN o percorsi AS diversi, per quel prefisso viene ripubblicizzato solo l'ASN e il percorso AS di un peer. I diversi spoke devono avere ASN diversi. ovvero, se due sessioni BGP appartengono a spoke diversi, devono avere ASN diversi. Inoltre, se utilizzi la funzionalità di trasferimento dei dati, devi assegnare gli ASN come descritto in Requisiti ASN per il trasferimento dei dati da sito a sito. |
| Sessioni BGP | Le community BGP non sono supportate. |
Modifiche alla pubblicità dell'itinerario quando si utilizza il trasferimento dati site-to-site
Quando aggiungi un collegamento VLAN Cloud Interconnect o un tunnel Cloud VPN a uno spoke ibrido, Network Connectivity Center aggiorna la sessione BGP corrispondente per il collegamento VLAN o il tunnel Cloud VPN in modo che ripubblichi i prefissi appresi dalle sessioni BGP degli altri collegamenti VLAN Cloud Interconnect o tunnel Cloud VPN connessi a uno qualsiasi degli spoke ibridi dell'hub che hanno l'opzione di trasferimento di dati da sito a sito abilitata.
Assistenza per altri prodotti
Le sezioni seguenti descrivono il funzionamento di Network Connectivity Center con altri prodotti e funzionalità di rete.
Spoke VPC e peering di rete VPC
Gli spoke VPC di Network Connectivity Center supportano lo scambio di quanto segue:
- Intervalli di subnet IPv4 validi che utilizzano indirizzi privati, esclusi gli indirizzi IPv4 pubblici utilizzati privatamente
- Intervalli di subnet IPv6
- Route dinamiche IPv4
Gli spoke VPC non supportano lo scambio di quanto segue:
- Route delle subnet di peering
- Route locali con indirizzi IPv4 pubblici utilizzati privatamente
- Route di subnet locali con indirizzi IPv6
Gli spoke VPC non scambiano route statiche; tuttavia, gli spoke VPC possono importare route dinamiche IPv4 di Network Connectivity Center dagli spoke ibridi che si trovano nello stesso hub Network Connectivity Center.
Per ulteriori informazioni sugli spoke VPC di Network Connectivity Center, consulta la panoramica degli spoke VPC.
Per informazioni dettagliate su come vengono scambiate le route utilizzando il peering di rete VPC, consulta le opzioni di scambio di route nella documentazione sul peering di rete VPC.
Anche se gli spoke VPC di Network Connectivity Center non supportano lo scambio di route statiche, una rete VPC spoke può comunque importare le route statiche e dinamiche da un'altra rete VPC utilizzando il peering di rete VPC.
Inoltre, uno spoke VPC può comunque importare route dinamiche da un'altra rete VPC utilizzando il peering di rete VPC. Se l'altra rete VPC ha route dinamiche con hop successivo collegamenti VLAN Cloud Interconnect o tunnel Cloud VPN che si connettono a una rete on-premise, puoi connettere la rete VPC spoke alla rete on-premise utilizzando annunci di route personalizzate Cloud Router e opzioni di scambio di route del peering di rete VPC come descritto nell'esempio di rete di transito della documentazione sul peering di rete VPC.
Reti VPC condivise
Quando utilizzi reti VPC condiviso, devi creare l'hub nel progetto host. Questa limitazione si applica solo ai raggi ibridi.
Consigliamo di assegnare il ruolo networkconnectivity.googleapis.com/spokeAdmin
agli amministratori dei progetti di servizio. Per informazioni dettagliate su questo ruolo e su altri ruoli di Network Connectivity Center, consulta Ruoli e autorizzazioni.
Reti precedenti
Le risorse spoke non possono far parte di una rete legacy.
Tunnel VPN
I tunnel VPN classica non sono supportati.
Trasferimento di dati
Se utilizzi Data Transfer, consulta la sezione Considerazioni nella panoramica del trasferimento dati site-to-site.
Accordo sul livello del servizio
Per informazioni sull'accordo sul livello del servizio Network Connectivity Center, consulta l'Accordo sul livello del servizio (SLA) Network Connectivity Center.
Prezzi
Per informazioni sui prezzi, consulta la pagina Prezzi di Network Connectivity Center.
Passaggi successivi
- Per scoprire come gestire hub e spoke, consulta Utilizzare hub e spoke.
- Per scoprire come utilizzare gli spoke Cloud VPN, consulta Connettere due siti utilizzando gli spoke Cloud VPN.
- Per ottenere un elenco dei partner le cui soluzioni sono integrate con Network Connectivity Center, consulta Partner Network Connectivity Center.
- Per visualizzare le quote e i limiti di Network Connectivity Center, consulta Quote e limiti.