このページでは、Network Connectivity Center のハブ管理者ロール(roles/networkconnectivity.hubAdmin)の概要について説明します。ハブ管理者ロールを持つ Identity and Access Management(IAM)プリンシパルは、次のことができます。
- ハブを作成し、ハブと同じプロジェクトにある VPC ネットワーク用の Virtual Private Cloud(VPC)スポークを作成する。
- スポーク管理者にアクセス権を付与して、異なるプロジェクトにある VPC ネットワーク用の VPC スポークの提案を作成できるようにする。
- VPC スポークの提案を確認、承認、拒否する。
- ハブ ルート テーブルを表示する。
Network Connectivity Center ハブ管理者ロールと同じ権限、またはそれ以上の権限が含まれているカスタムロールも使用できます。
VPC スポークがハブに参加する方法
VPC ネットワークと Network Connectivity Center ハブが同じプロジェクトにある場合、VPC ネットワーク用の VPC スポークを作成すると、追加の手順なしでハブへの接続が直ちに確立されます。
VPC ネットワークと Network Connectivity Center ハブが異なるプロジェクトにある場合、VPC スポークを作成するプロセスは次のとおりです。
- ハブ管理者は、他のプロジェクトのスポーク管理者が VPC スポークの提案を作成できるように IAM ポリシー バインディングを設定します。注: ハブ管理者は、いつでも IAM ポリシー バインディングを変更できます。たとえば、ハブ管理者は後でアクセス権を取り消して、スポーク管理者に追加のスポーク提案を作成させないようにできます。
- スポーク管理者は VPC スポークを提案します。
- ハブ管理者は、各スポークの提案を審査し、提案を承認または拒否します。以下では、提案を承認または拒否した後のハブ接続の動作について説明します。
- スポークは、ハブ管理者がスポークの提案を承認した後にのみアクティブになります。Network Connectivity Center は、アクティブなスポークへのネットワーク接続のみを提供します。
- ハブ管理者は、以前に承認された VPC スポークを拒否して、スポークを非アクティブにできます。以前にアクティブであった VPC スポークが非アクティブになった場合、Network Connectivity Center はスポークへのネットワーク接続を提供しません。
ハブ ルート テーブル
各 Network Connectivity Center ハブには、VPC スポークからインポートされたサブネット ルートを示す 1 つの読み取り専用ルートテーブルがあります。新しい VPC スポークが作成されると、VPC ネットワークのすべてのローカル サブネット ルートがハブにエクスポートされます。ただし、スポーク管理者が Google Cloud CLI で exclude-export-ranges フラグを使用している場合、または API で excludeExportRanges フィールドを使用している場合は、この限りではありません。詳細については、サブネット ルートの一意性をご覧ください。
次のいずれかが行われると、Google Cloud は、各 VPC スポークの VPC ネットワーク ルート テーブルと Network Connectivity Center ハブ ルート テーブルを自動的に更新します。
- サブネットの追加または削除など、サブネット ライフサイクルに関する操作が行われる。
- ハブへの VPC スポークの追加、またはハブからの VPC スポークの削除が行われる。
詳細については、VPC ドキュメントのサブネット ルートを示すルートテーブルとルートをご覧ください。
次のステップ
- ハブとスポークの作成については、ハブとスポークの操作をご覧ください。
- ソリューションが Network Connectivity Center と統合されているパートナーのリストを確認するには、Network Connectivity Center パートナーをご覧ください。
- ルーター アプライアンスの問題の解決方法については、トラブルシューティングをご覧ください。
- API と
gcloudコマンドの詳細については、API とリファレンスをご覧ください。