Hub-Verwaltung – Übersicht

Diese Seite bietet einen Überblick über die Rolle "Network Connectivity Center-Hub-Administrator" (roles/networkconnectivity.hubAdmin ). Ein IAM-Hauptkonto (Identity and Access Management) mit der Rolle Hub-Administrator kann folgendes tun:

• Erstellen Sie einen Hub und erstellen Sie VPC-Spokes (Virtual Private Cloud) für VPC-Netzwerke, die sich im selben Projekt wie der Hub befinden.
• Spoke-Administratoren Zugriff gewähren, damit sie VPC-Spoke-Angebote für VPC-Netzwerke in verschiedenen Projekten erstellen können.
• VPC-Spoke-Vorschläge prüfen, annehmen und ablehnen oder automatische Annahme für Spoke-Gruppen einrichten
• Hub-Routingtabellen ansehen

Benutzerdefinierte Rollen können auch verwendet werden, wenn sie mindestens die gleichen Berechtigungen der Rolle „Network Connectivity Center-Hub-Administrator“ haben.

So werden VPC-Spokes einem Hub hinzugefügt

Befinden sich ein VPC-Netzwerk und ein Network Connectivity Center-Hub im selben Projekt, wird durch das Erstellen eines VPC-Spoke für das VPC-Netzwerk sofort eine Verbindung zum Hub hergestellt, ohne dass zusätzliche Schritte erforderlich sind.

Wenn sich ein VPC-Netzwerk und ein Network Connectivity Center-Hub in verschiedenen Projekten befinden, ist dies der Prozess zum Erstellen eines VPC-Spokes:

1. Ein Hub-Administrator legt IAM-Richtlinienbindungen fest, mit denen Spoke-Administratoren in anderen Projekten VPC-Spoke-Angebote erstellen können. Hinweis: Hub-Administratoren können IAM-Richtlinienbindungen jederzeit ändern. Beispielsweise kann ein Hub-Administrator den Zugriff später widerrufen, sodass ein Spoke-Administrator keine zusätzlichen Spoke-Angebote erstellen kann. Dies gilt, wenn automatische Annahme für Spokes nicht aktiviert ist.
2. Während der Hub-Erstellung wählt der Hub-Administrator die Konnektivitätstopologie zwischen der Standard-Mesh-Topologie und der Sterntopologie aus (Vorschau).
3. Ein Spoke-Administrator schlägt einen VPC-Spoke vor. Wenn das Spoke-Angebot für einen Hub gilt, der zur Verwendung der Start-Topologie konfiguriert wurde (Vorschau), weist der Spoke-Administrator den Spoke entweder der Center- oder der Edge-Gruppe zu. Bei der Mesh-Netzwerktopologie gehören alle Spokes zur einzigen Standardgruppe.
4. Ein Hub-Administrator prüft jeden Spoke-Vorschlag und akzeptiert ihn oder lehnt ihn ab. Im Folgenden wird beschrieben, wie die Hub-Verbindung funktioniert, um einen Vorschlag anzunehmen oder abzulehnen:
   • Ein Spoke wird erst aktiv, wenn ein Hub-Administrator das Spoke-Vorschlag annimmt. Das Network Connectivity Center stellt nur eine Netzwerkverbindung zu aktiven Spokes bereit.
   • Ein Hub-Administrator kann einen zuvor akzeptierten VPC-Spoke ablehnen, wodurch der Spoke inaktiv wird. Wenn ein zuvor aktiver VPC-Spoke inaktiv wird, stellt das Network Connectivity Center keine Netzwerkverbindung zum Spoke bereit.

Projekte automatisch akzeptieren

Ein Hub-Administrator kann die automatische Annahme für Spoke-Gruppen in einem Hub aktivieren. Ist dies der Fall werden Spokes aus der Liste der automatisch akzeptierten Projekte automatisch in den Hub und die Gruppe aufgenommen, ohne dass eine Überprüfung erfolgt. Sie sind nach dem Spoke-Vorschlag sofort aktiv.

Die Hub-Routentabelle

Die Hub-Routingtabelle zeigt Subnetzrouten an, die aus den VPC-Spokes importiert wurden. Wenn ein neuer VPC-Spoke erstellt wird, werden alle lokalen Subnetzrouten aus dem VPC-Netzwerk in den Hub exportiert, es sei denn, der Spoke-Administrator verwendet die exclude-export-ranges-Flag in der Google Cloud CLI oder dem Feld excludeExportRanges in der API. Weitere Informationen finden Sie unter Eindeutigkeit der Subnetzroute.

Wenn Sie einen neuen VPC-Spoke erstellen, geschieht Folgendes:

• Ein Spoke gehört zu genau einer Gruppe.
• Jede Gruppe hat eine entsprechende Routingtabelle.
• Spokes sind mit dieser Routingtabelle verknüpft.
• Spoke-Subnetze werden an eine oder mehrere Routingtabellen weitergeleitet.

Da es nur eine Standardgruppe in einer Mesh-Topologieverbindung gibt, werden die Subnetzrouten an eine einzelne Hub-Routingtabelle weitergegeben. Spokes, die mit einem Hub verbunden sind, der die Star-Topologie unterstützt (Vorschau) gehören zu einer von zwei verschiedenen Gruppen, entweder der Center oder Edge-Gruppe. Daher werden zwei Hub-Routingtabellen generiert und jede einer Spoke-Gruppe zugeordnet. Die Subnetzrouten von Spokes in der Center-Gruppe werden an die Center- und Edge-Routingtabellen weitergegeben. die Subnetzrotuen von Spokes in der Edge-Gruppe werden an die Center-Routingtabelle weitergegeben.

Ausführliche Informationen zu Verbindungstopologien finden Sie unter Voreingestellte Topologien.

Google Cloud aktualisiert die VPC-Netzwerk-Routingtabelle jedes VPC-Spokes und die Network Connectivity Center-Hub-Routingtabelle automatisch, wenn eines der folgenden Ereignisse eintritt:

• Sie führen eine Subnetzlebenszyklusaktivität aus, z. B. das Hinzufügen oder Löschen eines Subnetzes.
• Sie fügen dem Hub VPC-Spokes hinzu oder entfernen sie daraus.

Weitere Informationen finden Sie in der VPC-Dokumentation unter Routingtabellen mit Subnetzrouten und Routen.

Nächste Schritte

• Informationen zum Erstellen von Hubs und Spokes finden Sie unter Mit Hubs und Spokes arbeiten.
• Eine Liste der Partner, deren Lösungen in das Network Connectivity Center eingebunden sind, finden Sie unter Network Connectivity Center-Partner.
• Lösungen für Probleme mit der Router-Appliance erhalten Sie unter Fehlerbehebung.
• Ausführliche Informationen zur API und zu gcloud-Befehlen finden Sie unter APIs und Referenz.