このページでは、Network Connectivity Center のハブ管理者ロール(roles/networkconnectivity.hubAdmin)の概要について説明します。ハブ管理者ロールを持つ Identity and Access Management(IAM)プリンシパルは、次のことができます。
- ハブを作成し、ハブと同じプロジェクトにある VPC ネットワーク用の Virtual Private Cloud(VPC)スポークを作成する。
- スポーク管理者にアクセス権を付与して、異なるプロジェクトにある VPC ネットワーク用の VPC スポークの提案を作成できるようにする。
- VPC スポークの提案を確認、承認、拒否するか、スポーク グループの自動承諾を設定する。
- ハブ ルート テーブルを表示する。
Network Connectivity Center ハブ管理者ロールと同じ権限、またはそれ以上の権限が含まれているカスタムロールも使用できます。
VPC スポークがハブに参加する方法
VPC ネットワークと Network Connectivity Center ハブが同じプロジェクトにある場合、VPC ネットワーク用の VPC スポークを作成すると、追加の手順なしでハブへの接続が直ちに確立されます。
VPC ネットワークと Network Connectivity Center ハブが異なるプロジェクトにある場合、VPC スポークを作成するプロセスは次のとおりです。
- ハブ管理者は、他のプロジェクトのスポーク管理者が VPC スポークの提案を作成できるように IAM ポリシー バインディングを設定します。注: ハブ管理者は、いつでも IAM ポリシー バインディングを変更できます。たとえば、ハブ管理者は後でアクセス権を取り消して、スポーク管理者に追加のスポーク提案を作成させないようにできます。これは、スポークの自動承認が有効になっていない場合に true になります。
- ハブの作成時に、ハブ管理者はデフォルトのメッシュ トポロジとスタートポロジの間の接続トポロジを選択します。
- スポーク管理者は VPC スポークを提案します。スポークの提案が、スタートポロジを使用するように構成されたハブ用である場合、スポーク管理者はスポークをセンター グループまたはエッジグループに割り当てます。メッシュ トポロジの場合、すべてのスポークが単一のデフォルト グループに属します。
- ハブ管理者は、各スポークの提案を審査し、提案を承認または拒否します。以下では、提案を承認または拒否した後のハブ接続の動作について説明します。
- スポークは、ハブ管理者がスポークの提案を承認した後にのみアクティブになります。Network Connectivity Center は、アクティブなスポークへのネットワーク接続のみを提供します。
- ハブ管理者は、以前に承認された VPC スポークを拒否して、スポークを非アクティブにできます。以前にアクティブであった VPC スポークが非アクティブになった場合、Network Connectivity Center はスポークへのネットワーク接続を提供しません。
自動承諾プロジェクト
ハブ管理者は、ハブ内のスポーク グループの自動承諾を有効にできます。有効にすると、自動承諾プロジェクト リストのスポークは、そのスポークの提案後、ハブとグループにおいて審査なしで自動的に承諾され、すぐに有効になります。
ハブ ルート テーブル
ハブ ルートテーブルには、VPC スポークからインポートされたサブネット ルートが示されます。新しい VPC スポークが作成されると、VPC ネットワークのすべてのローカル サブネット ルートがハブにエクスポートされます。ただし、スポーク管理者が Google Cloud CLI で exclude-export-ranges フラグを使用している場合、または API で excludeExportRanges フィールドを使用している場合は、この限りではありません。詳細については、サブネット ルートの一意性をご覧ください。
新しい VPC スポークを作成すると、次の処理が行われます。
- スポークは 1 つのグループにのみ属します。
- 各グループには対応するルートテーブルがあります。
- スポークは、そのルートテーブルに関連付けられます。
- スポーク サブネットは、1 つ以上のルートテーブルに伝播されます。
メッシュ トポロジ接続にはデフォルト グループが 1 つしかないため、サブネット ルートは単一のハブ ルートテーブルに伝播されます。スタートポロジをサポートするハブに接続されているスポークは、センターとエッジの 2 つのグループのいずれかに属します。したがって、2 つのハブルート テーブルが生成され、それぞれスポーク グループに関連付けられます。センター グループのスポークのサブネット ルートは、センター ルート テーブルとエッジ ルート テーブルに伝播されます。エッジグループのスポークのサブネット ルートは、センター ルートテーブルに伝播されます。
接続トポロジの詳細については、事前定義されたトポロジをご覧ください。
次のいずれかが行われると、Google Cloud は、各 VPC スポークの VPC ネットワーク ルート テーブルと Network Connectivity Center ハブ ルート テーブルを自動的に更新します。
- サブネットの追加または削除など、サブネット ライフサイクルに関する操作が行われる。
- ハブに VPC スポークを追加または削除します。
詳細については、VPC ドキュメントのサブネット ルートを示すルートテーブルとルートをご覧ください。
次のステップ
- ハブとスポークの作成については、ハブとスポークの操作をご覧ください。
- ソリューションが Network Connectivity Center と統合されているパートナーのリストを確認するには、Network Connectivity Center のパートナーをご覧ください。
- ルーター アプライアンスの問題の解決方法については、トラブルシューティングをご覧ください。
- API と
gcloudコマンドの詳細については、API とリファレンスをご覧ください。