Esta página oferece uma vista geral da perspetiva de um administrador de um spoke da nuvem virtual privada (VPC).
Se o hub do Network Connectivity Center e o spoke da VPC estiverem no mesmo projeto, os administradores do spoke da VPC têm de ter as seguintes associações de gestão de identidade e acesso (IAM) nesse projeto:
Se o hub do Network Connectivity Center e o spoke da VPC estiverem em projetos diferentes, as políticas de IAM têm de ter as seguintes associações.
Os administradores do spoke da VPC têm de ter as seguintes associações da IAM no projeto que contém a rede VPC (spoke):
Os administradores de VPCs spoke também têm de ter as seguintes associações IAM no hub do Network Connectivity Center ou no projeto que contém o hub do Network Connectivity Center:
Também pode usar funções personalizadas, desde que incluam as mesmas autorizações que as funções predefinidas indicadas anteriormente.
Quando uma rede VPC e o hub do Network Connectivity Center estão localizados em projetos diferentes, um administrador de spoke de VPC tem de criar uma proposta de spoke para pedir que uma rede VPC se junte ao hub. Um administrador do hub revê a proposta. Se o administrador do hub aceitar a proposta, a rede da VPC é ligada ao hub. Um administrador do hub também pode rejeitar propostas de spoke. Os administradores do spoke podem verificar o estado de uma proposta de spoke de VPC em qualquer altura.
Pode propor atualizações a um spoke de VPC existente para alterar o conjunto de intervalos de sub-redes que são exportados para tabelas de rotas do hub.
Para mais informações, consulte as secções seguintes.
- Proponha um spoke de VPC num projeto diferente
- Verifique o estado de um spoke da VPC
- Veja a tabela de rotas da VPC
- Vista geral dos spokes da VPC
- Altere os intervalos de endereços de sub-rede exportados (Pré-visualização)
Unicidade do encaminhamento de sub-rede
Semelhante ao intercâmbio da rede da VPC, Google Cloud proíbe conflitos de intervalo de endereços IP de sub-redes entre raios da VPC ligados a um hub do Network Connectivity Center. Um intervalo de endereços IP de sub-rede entra em conflito com outro intervalo de endereços IP de sub-rede quando uma das seguintes condições é verdadeira:
- Um intervalo de endereços IP de sub-rede numa rede da VPC corresponde exatamente a um intervalo de endereços IP de sub-rede noutra rede da VPC.
- Um intervalo de endereços IP de sub-rede numa rede VPC enquadra-se num intervalo de endereços IP de sub-rede noutra rede VPC.
- Um intervalo de endereços IP de sub-rede numa rede VPC contém um intervalo de endereços IP de sub-rede noutra rede VPC.
Os raios da VPC não podem exportar intervalos de endereços IP de sub-redes em conflito para o mesmo hub do Network Connectivity Center. Pode usar a flag exclude-export-ranges
na CLI do Google Cloud ou o campo excludeExportRanges na API para impedir que
um intervalo de endereços IP de sub-rede seja partilhado a partir de um raio da VPC para
um hub do Network Connectivity Center. Por exemplo, suponha que tem duas redes VPC que quer ligar ao mesmo hub do Network Connectivity Center:
- A primeira rede VPC tem uma sub-rede cujo intervalo de endereços IPv4 interno principal é 100.64.0.0/16, o que resulta num encaminhamento de sub-rede para 100.64.0.0/16.
- A segunda rede VPC tem uma sub-rede com um intervalo de endereços IPv4 interno secundário de 100.64.0.0/24, o que resulta num encaminhamento de sub-rede para 100.64.0.0/24.
Os dois encaminhamentos de sub-rede têm intervalos de endereços IP de sub-rede em conflito porque 100.64.0.0/24 se enquadra em 100.64.0.0/16. Não pode ligar ambas as redes como spokes da VPC ao mesmo hub do Network Connectivity Center, a menos que resolva o conflito. Pode usar uma das seguintes estratégias para resolver o conflito:
- Exclua o intervalo de endereços IP 100.64.0.0/16 quando anexar a primeira rede VPC ao hub ou exclua o intervalo de endereços IP 100.64.0.0/24 quando anexar a segunda rede VPC ao hub.
- Exclua 100.64.0.0/16 ou todo o espaço RFC 6598, 100.64.0.0/10, quando anexar cada rede de VPC.
Interação com encaminhamentos de sub-rede de intercâmbio da rede da VPC
Os trajetos de sub-rede de peering são os que são trocados entre redes VPC ligadas através de peering de redes VPC. Embora as rotas de sub-rede de peering nunca sejam trocadas entre os raios da VPC ligados a um hub do Network Connectivity Center, continua a ter de ter em consideração as rotas de sub-rede de peering. Do ponto de vista de cada spoke da VPC, todos os encaminhamentos de sub-redes locais, os encaminhamentos de sub-redes de peering importados e os encaminhamentos de sub-redes do Network Connectivity Center importados não podem entrar em conflito.
Para ilustrar este conceito, considere a seguinte configuração:
- A rede da VPC
net-aé um spoke da VPC ligado a um hub do Network Connectivity Center. - A rede da VPC
net-bé um spoke da VPC ligado ao mesmo hub do Network Connectivity Center. - As redes da VPC
net-benet-cestão ligadas entre si através do intercâmbio das redes da VPC.
Suponhamos que existe um intervalo de endereços IP de sub-rede local para 100.64.0.0/24 em
net-c. Isto cria um encaminhamento de sub-rede local em net-c e um encaminhamento de sub-rede de intercâmbio em net-b. Embora o encaminhamento da sub-rede de peering para o intervalo de endereços IP 100.64.0.0/24 não seja exportado para o hub do Network Connectivity Center, a sua existência em net-b impede que net-b possa importar um encaminhamento do Network Connectivity Center cujo destino corresponda exatamente a 100.64.0.0/24, se enquadre em 100.64.0.0/24 ou contenha 100.64.0.0/24. Consequentemente, não podem existir rotas de sub-rede locais para 100.64.0.0/24, 100.64.0.0/25 ou 100.64.0.0/16 em net-a a menos que configure net-a para não exportar o intervalo em conflito.
Tabelas de rotas que mostram rotas de sub-rede
Google Cloud mostra os encaminhamentos de sub-redes do Network Connectivity Center importados dos raios da VPC em duas tabelas de encaminhamento:
- A tabela de rotas do hub do Network Connectivity Center.
- A tabela de rotas da rede VPC para cada rede VPC (hub).
Google Cloud atualiza automaticamente a tabela de rotas da rede da VPC de cada spoke da VPC e a tabela de rotas do hub do Network Connectivity Center quando uma das seguintes condições é cumprida:
- Quando realiza uma atividade do ciclo de vida de uma rota de sub-rede, como adicionar ou eliminar uma sub-rede.
- Quando os spokes da VPC são adicionados ou removidos do hub.
Nas tabelas de rotas da rede VPC, cada rota importada de outros raios da VPC aparece como uma rota de sub-rede do Network Connectivity Center cuja rota seguinte é o hub do Network Connectivity Center. Estas rotas de sub-rede do Network Connectivity Center têm nomes que começam com o prefixo ncc-subnet-route-. Para ver o próximo salto real de uma rota de sub-rede do Network Connectivity Center importada, pode ver a tabela de rotas do hub do Network Connectivity Center ou ver a tabela de rotas da rede VPC do spoke da VPC que exporta a rota de sub-rede para o hub do Network Connectivity Center.
Para mais informações acerca das rotas de VPC, consulte o artigo Rotas na documentação da VPC.
O que se segue?
- Para criar centros e nós, consulte o artigo Trabalhe com centros e nós.
- Para criar um nó num projeto diferente do centro, consulte o artigo Proponha um nó de VPC num projeto diferente.
- Para ver uma lista de parceiros cujas soluções estão integradas com o Network Connectivity Center, consulte Parceiros do Network Connectivity Center.
- Para encontrar soluções para problemas comuns, consulte a secção Resolução de problemas.
- Para obter detalhes sobre a API e os comandos
gcloud, consulte APIs e referência.