ハブの管理の概要

このページでは、Network Connectivity Center のハブ管理者ロール(roles/networkconnectivity.hubAdminの概要について説明します。ハブ管理者ロールを持つ Identity and Access Management(IAM)プリンシパルは、次のことができます。

Network Connectivity Center ハブ管理者ロールと同じ権限、またはそれ以上の権限が含まれているカスタムロールも使用できます。

VPC スポークがハブに参加する方法

VPC ネットワークと Network Connectivity Center ハブが同じプロジェクトにある場合、VPC ネットワーク用の VPC スポークを作成すると、追加の手順なしでハブへの接続が直ちに確立されます。

VPC ネットワークと Network Connectivity Center ハブが異なるプロジェクトにある場合、VPC スポークを作成するプロセスは次のとおりです。

  1. ハブ管理者は、他のプロジェクトのスポーク管理者が VPC スポークの提案を作成できるように IAM ポリシー バインディングを設定します。注: ハブ管理者は、いつでも IAM ポリシー バインディングを変更できます。たとえば、ハブ管理者は後でアクセス権を取り消して、スポーク管理者に追加のスポーク提案を作成させないようにできます。
  2. スポーク管理者は VPC スポークを提案します。
  3. ハブ管理者は、各スポークの提案を審査し、提案を承認または拒否します。以下では、提案を承認または拒否した後のハブ接続の動作について説明します。
    • スポークは、ハブ管理者がスポークの提案を承認した後にのみアクティブになります。Network Connectivity Center は、アクティブなスポークへのネットワーク接続のみを提供します。
    • ハブ管理者は、以前に承認された VPC スポークを拒否して、スポークを非アクティブにできます。以前にアクティブであった VPC スポークが非アクティブになった場合、Network Connectivity Center はスポークへのネットワーク接続を提供しません。

ハブ ルート テーブル

各 Network Connectivity Center ハブには、VPC スポークからインポートされたサブネット ルートを示す 1 つの読み取り専用ルートテーブルがあります。新しい VPC スポークが作成されると、VPC ネットワークのすべてのローカル サブネット ルートがハブにエクスポートされます。ただし、スポーク管理者が Google Cloud CLI で exclude-export-ranges フラグを使用している場合、または API で excludeExportRanges フィールドを使用している場合は、この限りではありません。詳細については、サブネット ルートの一意性をご覧ください。

次のいずれかが行われると、Google Cloud は、各 VPC スポークの VPC ネットワーク ルート テーブルと Network Connectivity Center ハブ ルート テーブルを自動的に更新します。

詳細については、VPC ドキュメントのサブネット ルートを示すルートテーブルルートをご覧ください。

次のステップ