本页面从 Virtual Private Cloud (VPC) spoke 管理员的角度进行了简要介绍。
如果 Network Connectivity Center hub 和 VPC spoke 位于同一项目中,则 VPC spoke 管理员必须同时具有该项目的以下 Identity and Access Management (IAM) 绑定:
如果 Network Connectivity Center hub 和 VPC spoke 位于不同的项目中,则 IAM 政策必须具有以下绑定。
VPC spoke 管理员必须同时具有包含 VPC 网络 (spoke) 的项目的以下 IAM 绑定:
VPC spoke 管理员还必须同时具有 Network Connectivity Center hub 或包含 Network Connectivity Center hub 的项目的以下 IAM 绑定:
您也可以使用自定义角色,只要自定义角色可提供与前面列出的预定义角色相同的权限即可。
当 VPC 网络和 Network Connectivity Center hub 位于不同的项目中时,VPC spoke 管理员必须创建 spoke 提案,以请求 VPC 网络加入该 hub。Hub 管理员审核提案。如果 hub 管理员接受提案,则 VPC 网络会连接到该 hub。Hub 管理员也可以拒绝 spoke 提案。Spoke 管理员随时可以检查 VPC spoke 提案的状态。
如需了解详情,请参阅以下部分。
子网路由唯一性
与 VPC 网络对等互连类似,Google Cloud 会禁止连接到 Network Connectivity Center hub 的 VPC spoke 之间的子网 IP 地址范围冲突。如果满足以下任一条件,一个子网 IP 地址范围会与其他子网 IP 地址范围冲突:
- 一个 VPC 网络中的子网 IP 地址范围与另一个 VPC 网络中的子网 IP 地址范围完全匹配。
- 一个 VPC 网络中的子网 IP 地址范围在另一个 VPC 网络中的子网 IP 地址范围内。
- 一个 VPC 网络中的子网 IP 地址范围包含另一个 VPC 网络中的子网 IP 地址范围。
VPC spoke 无法将有冲突的子网 IP 地址范围导出到同一 Network Connectivity Center hub。您可以在 Google Cloud CLI 中使用 exclude-export-ranges 标志或在 API 中使用 excludeExportRanges 字段来防止 VPC spoke 与 Network Connectivity Center hub 之间共享子网 IP 地址范围。例如,假设您有两个要连接到同一 Network Connectivity Center hub 的 VPC 网络:
- 第一个 VPC 网络具有一个其主要内部 IPv4 地址范围为
100.64.0.0/16的子网,因此生成100.64.0.0/16的子网路由。 - 第二个 VPC 网络具有一个次要内部 IPv4 地址范围为
100.64.0.0/24的子网,因此生成100.64.0.0/24的子网路由。
两个子网路由具有有冲突的子网 IP 地址范围,因为 100.64.0.0/24 在 100.64.0.0/16 范围内。除非解决冲突,否则您无法将两个网络作为 VPC spoke 连接到同一个 Network Connectivity Center hub。您可以使用以下策略之一来解决冲突:
- 在将第一个 VPC 网络连接到 hub 时排除
100.64.0.0/16IP 地址范围,或者在将第二个 VPC 网络连接到 hub 时排除100.64.0.0/24IP 地址范围。 - 在连接每个 VPC 网络时排除
100.64.0.0/16或整个 RFC 6598 空间100.64.0.0/10。
与 VPC 网络对等互连子网路由的交互
对等互连子网路由是使用 VPC 网络对等互连连接的 VPC 网络之间交换的路由。即使对等互连子网路由从未在连接到 Network Connectivity Center hub 的 VPC Spoke 之间交换,您仍需要考虑对等互连子网路由。从每个 VPC spoke 的角度来看,所有本地子网路由、导入的对等互连子网路由和导入的 Network Connectivity Center 子网路由不能发生冲突。
为说明此概念,请考虑以下配置:
- VPC 网络
net-a是连接到 Network Connectivity Center hub 的 VPC spoke。 - VPC 网络
net-b是连接到同一个 Network Connectivity Center hub 的 VPC spoke。 - VPC 网络
net-b和net-c使用 VPC 网络对等互连相互连接。
假设 net-c 中存在 100.64.0.0/24 的本地子网 IP 地址范围。这会在 net-c 中创建一个本地子网路由,并在 net-b 中创建一个对等互连子网路由。即使 100.64.0.0/24 IP 地址范围的对等互连子网路由未导出到 Network Connectivity Center hub,其存在于 net-b 中也会使 net-b 无法导入目的地与 100.64.0.0/24 完全匹配、在 100.64.0.0/24 范围内或包含 100.64.0.0/24 的 Network Connectivity Center 路由。因此,100.64.0.0/24、100.64.0.0/25 或 100.64.0.0/16 的本地子网路由不能存在于 net-a 中,除非您将 net-a 配置为不导出有冲突的范围。
显示子网路由的路由表
Google Cloud 会在两个路由表中显示从 VPC spoke 导入的 Network Connectivity Center 子网路由:
- Network Connectivity Center hub 路由表。
- 每个 VPC (spoke) 网络的 VPC 网络路由表。
如果满足以下任一条件,Google Cloud 会自动更新每个 VPC spoke 的 VPC 网络路由表和 Network Connectivity Center hub 路由表:
- 执行子网路由生命周期活动(例如添加或删除子网)时。
- 在 hub 中添加或移除 VPC spoke 时。
在 VPC 网络路由表中,从其他 VPC spoke 导入的每个路由都会显示为其下一个跃点是 Network Connectivity Center hub 的 Network Connectivity Center 子网路由。这些 Network Connectivity Center 子网路由的名称以 ncc-subnet-route- 前缀开头。如需了解导入的 Network Connectivity Center 子网路由的实际下一个跃点,您可以查看 Network Connectivity Center hub 路由表,也可以查看将子网路由导出到 Network Connectivity Center hub 的 VPC spoke 的 VPC 网络路由表。
如需详细了解 VPC 路由,请参阅 VPC 文档中的路由。
后续步骤
- 如要创建 hub 和 spoke,请参阅使用 hub 和 spoke。
- 如需在与 Hub 不同的项目中创建 Spoke,请参阅在其他项目中建议 VPC Spoke。
- 如需查看其解决方案已与 Network Connectivity Center 集成的合作伙伴列表,请参阅 Network Connectivity Center 合作伙伴。
- 如需查找常见问题的解决方案,请参阅问题排查。
- 如需获取有关 API 和
gcloud命令的详细信息,请参阅 API 和参考。