本页面简要介绍了 Network Connectivity Center hub 管理员角色 (roles/networkconnectivity.hubAdmin)。具有 hub 管理员角色的 Identity and Access Management (IAM) 主账号可以执行以下操作:
- 创建 hub,并为与该 hub 位于同一项目中的 VPC 网络创建 Virtual Private Cloud (VPC) spoke。
- 向 spoke 管理员授予访问权限,以便他们可以为不同项目中的 VPC 网络创建 VPC spoke 提案。
- 查看、接受和拒绝 VPC spoke 提案。
- 查看 hub 路由表。
如果自定义角色至少可提供 Network Connectivity Center hub 管理员角色的相同权限,则也可以使用自定义角色。
VPC spoke 如何加入 hub
如果 VPC 网络和 Network Connectivity Center hub 位于同一项目中,则为 VPC 网络创建 VPC spoke 会立即建立与该 hub 的连接,而无需执行任何其他步骤。
如果 VPC 网络和 Network Connectivity Center hub 位于不同的项目中,则创建 VPC spoke 的过程如下:
- Hub 管理员建立 IAM 政策绑定,可让其他项目中的 spoke 管理员创建 VPC spoke 提案。注意:Hub 管理员随时可以更改 IAM 政策绑定。例如,hub 管理员可以稍后撤消访问权限,以防止 spoke 管理员创建其他 spoke 提案。
- Spoke 管理员提出 VPC spoke。
- Hub 管理员审核每个 spoke 提案,然后接受或拒绝提案。下面介绍了 hub 连接在接受或拒绝提案后的工作原理:
- 只有在 hub 管理员接受 spoke 提案后,spoke 才会变为活跃状态。Network Connectivity Center 仅提供与活跃 spoke 的网络连接。
- Hub 管理员可以拒绝之前接受的 VPC spoke,使 spoke 处于非活跃状态。当之前的活跃 VPC spoke 变为非活跃状态时,Network Connectivity Center 不会提供与该 spoke 的网络连接。
Hub 路由表
每个 Network Connectivity Center hub 都有一个只读路由表,其中显示了从 VPC spoke 导入的子网路由。创建新的 VPC spoke 后,VPC 网络中的所有本地子网路由都会导出到 hub,除非 spoke 管理员在 Google Cloud CLI 中使用 exclude-export-ranges 标志或在 API 中使用 excludeExportRanges 字段。如需了解详情,请参阅子网路由唯一性。
如果出现以下任一情况,Google Cloud 会自动更新每个 VPC spoke 的 VPC 网络路由表和 Network Connectivity Center hub 路由表:
- 执行子网生命周期活动,例如添加或删除子网。
- 在 hub 中添加或移除 VPC spoke。
如需了解详情,请参阅 VPC 文档中的显示子网路由的路由表和路由。
后续步骤
- 如要创建 Hub 和 Spoke,请参阅使用 Hub 和 Spoke。
- 如需查看其解决方案已与 Network Connectivity Center 集成的合作伙伴列表,请参阅 Network Connectivity Center 合作伙伴。
- 如需查找路由器设备问题的解决方案,请参阅问题排查。
- 如需获取有关 API 和
gcloud命令的详细信息,请参阅 API 和参考。