Spoke VPC
Network Connectivity Center fornisce connettività tra reti VPC su larga scala con il supporto degli spoke VPC. Gli spoke VPC riducono la complessità operativa della gestione delle singole connessioni in peering di rete VPC in coppia tramite l'utilizzo di spoke VPC e un modello di gestione della connettività centralizzata. Gli spoke VPC esportano e importano tutte le route di subnet IPv4 da altri spoke VPC su un hub Network Connectivity Center. In questo modo viene garantita la connettività IPv4 completa tra tutti i carichi di lavoro presenti in tutte queste reti VPC. Il traffico di rete tra VPC rimane all'interno della rete Google Cloud e non passa per internet, il che contribuisce a garantire privacy e sicurezza.
Gli spoke VPC possono trovarsi nello stesso progetto e nella stessa organizzazione o in un progetto e un'organizzazione diversi rispetto all'hub del Network Connectivity Center. Gli spoke VPC possono essere connessi a un solo hub alla volta.
Per informazioni su come creare uno spoke VPC, consulta Creare uno spoke VPC.
Confronto con il peering di rete VPC
Gli spoke VPC sono progettati per supportare i requisiti dei carichi di lavoro delle aziende di medie e grandi dimensioni per la connettività instradata tra intervalli di subnet IPv4 situati in molte reti VPC distinte.
Una rete VPC può essere sia uno spoke VPC di Network Connectivity Center sia connessa ad altre reti VPC utilizzando il peering di rete VPC. Tuttavia, i route delle sottoreti che la rete VPC spoke importa utilizzando il peering di rete VPC non vengono condivisi con altri spoke VPC connessi all'hub di Network Connectivity Center. Di conseguenza, i servizi gestiti basati sull'accesso ai servizi privati non sono raggiungibili per impostazione predefinita utilizzando altri spoke VPC di un hub Network Connectivity Center. In questo caso, puoi rendere raggiungibile il servizio gestito utilizzando uno spoke VPC del producer (anteprima).
Funzionalità | Peering di rete VPC | Spoke VPC |
---|---|---|
Reti VPC |
Fino a 25 (è necessario ridurre altre quote VPC). |
Fino a 250 spoke VPC attivi per hub. |
Istanze VM |
Network Connectivity Center supporta fino al numero massimo di peering per rete VPC (non sono necessarie quote per gruppi di peering separati). |
|
Intervalli di subnet (route di subnet) | ||
Route statiche e dinamiche |
500 route dinamiche per hub. Lo scambio di route statiche non è supportato. |
|
Esportare i filtri |
I filtri specifici non sono supportati. Consulta Opzioni di scambio route nella documentazione del peering di rete VPC. |
Fino a 16 intervalli CIDR supportati per spoke VPC. |
Indirizzi IP |
Indirizzi IP interni, inclusi indirizzi IP privati e indirizzi IPv4 pubblici utilizzati privatamente. Vedi Intervalli IPv4 validi. |
Indirizzi IPv4 interni, inclusi gli indirizzi IP privati e esclusi gli indirizzi IPv4 pubblici utilizzati privatamente. Vedi Intervalli IPv4 validi. |
Famiglie di indirizzi IP |
Indirizzi IPv4 e IPv6/IPv4 a doppio stack. |
Solo indirizzi IPv4. |
Rendimento e throughput (rispetto ad altri meccanismi di connettività VPC) |
Latenza più bassa, velocità effettiva più elevata (equivalente VM-VM). |
Latenza più bassa, velocità effettiva più elevata (equivalente VM-VM). |
Spoke VPC in un progetto diverso da un hub
Utilizzando Network Connectivity Center, puoi collegare reti VPC, rappresentate come spoke VPC, a un singolo hub in un altro progetto, incluso un progetto in un'altra organizzazione. In questo modo puoi connettere le tue reti VPC a più progetti e organizzazioni su larga scala.
Puoi essere uno dei seguenti tipi di utenti:
- Un amministratore dell'hub che possiede un hub in un progetto
- Un amministratore di spoke della rete VPC o un amministratore di rete che vuole aggiungere la propria rete VPC in un progetto diverso come spoke all'hub
L'amministratore dell'hub controlla chi può creare uno spoke VPC in un progetto diverso associato al proprio hub utilizzando le autorizzazioni Identity and Access Management (IAM). L'amministratore dello spoke della rete VPC crea uno spoke in un progetto diverso dall'hub. Questi raggi sono inattivi al momento della creazione. L'amministratore dell'hub deve esaminarli e può accettare o rifiutare il raggio. Se l'amministratore dell'hub accetta lo spoke, questo diventa attivo.
Network Connectivity Center accetta sempre automaticamente gli spoke creati nello stesso progetto dell'hub.
Per informazioni dettagliate su come gestire gli hub con spoke VPC in un progetto diverso dall'hub, consulta la Panoramica della gestione degli hub. Per informazioni dettagliate per gli amministratori degli spoke, consulta la Panoramica dell'amministrazione degli spoke.
Connettività VPC con filtri di esportazione
Network Connectivity Center ti consente di limitare la connettività di tutte le reti VPC spoke a un sottoinsieme di subnet nella VPC spoke. Puoi limitare la connettività specificando gli intervalli di indirizzi IP da pubblicizzare e creando un elenco di intervalli CIDR che possono essere pubblicizzati dalla rete VPC. Puoi anche limitare la connettività specificando un elenco di intervalli CIDR consentiti, bloccando così tutti gli intervalli tranne quelli consentiti.
Escludi intervalli di esportazione
Puoi impedire la pubblicità di un intervallo di indirizzi IP utilizzando il flag --exclude-export-ranges
in Google Cloud CLI o il campo excludeExportRanges
nell'API. Le eventuali sottoreti corrispondenti all'intervallo specificato vengono escluse dall'esportazione nell'hub. Questo filtraggio è utile quando hai subnet che devono essere private all'interno della rete VPC o che potrebbero sovrapporsi ad altre subnet nella tabella di route dell'hub.
Includi intervalli di esportazione
Puoi stabilire un elenco di intervalli CIDR che possono essere pubblicizzati
da uno spoke VPC utilizzando il flag include-export-ranges
o il campo includeExportRanges
nell'API. Viene stabilita una connettività più precisa se la utilizzi insieme all'intervallo di indirizzi IP del filtro di esclusione dell'esportazione. Questo filtro determina se un determinato intervallo di subnet può essere pubblicizzato dalla rete VPC.
Considerazioni
Tieni presente quanto segue quando utilizzi i filtri di esportazione degli intervalli di esclusione e inclusione:
Gli intervalli di inclusione devono essere esclusivi tra loro, il che significa che non devono sovrapporsi. Ad esempio, supponiamo che esistano tre intervalli di indirizzi IP:
Range 1
:10.100.64.0/18
Range 2
:10.100.250.0/21
Range 3
:10.100.100.0/22
Range 1
erange 2
sono intervalli di inclusione validi perché non si sovrappongono. Tuttavia,range 3
è inferiore arange 1
, il che può causare sovrapposizioni, pertantorange 3
non è valido.Poiché Network Connectivity Center dispone già di filtri di esportazione esclusi disponibili nel criterio di configurazione di rete, sia i filtri di esportazione inclusi che quelli esclusi incidono sugli intervalli CIDR di configurazione di rete validi. Quando vengono utilizzati sia i filtri di esportazione che includono sia quelli che escludono, gli intervalli di indirizzi IP inclusi devono essere un superinsieme degli intervalli di indirizzi IP esclusi.
Per impostazione predefinita, tutti i criteri di connettività VPC hanno un intervallo CIDR incluso di
0.0.0.0/0
, il che significa che se non specifichi il filtro di inclusione durante la creazione dello spoke VPC, Network Connectivity Center imposta l'intervallo di inclusione predefinito su tutti gli indirizzi IPv4 privati validi come definito in Intervalli IPv4 validi.Per perfezionare un intervallo di inclusione, puoi aggiungere più intervalli di esclusione. Ad esempio, se specifichi
10.1.0.0/16
come intervallo di inclusione e10.1.100.0/24
e10.1.200.0/24
come intervalli di esclusione, il risultato è una connettività perfezionata con la combinazione di filtri di inclusione ed esclusione. Sono inclusi10.1.0.0/24
,10.1.99.0/24
,10.1.101.0/24
,10.1.199.0/24
e10.1.201.0/24
.10.1.255.0/24
Gli intervalli di sottoreti esistenti continuano a funzionare come previsto. Gli intervalli che si sovrappongono a quelli inclusi e esclusi durante la creazione di nuovi intervalli di subnet generano un errore.
Esempi di intervalli di subnet non validi
Gli esempi seguenti mostrano intervalli di sottoreti non validi:
Sovrapposizione con intervallo di esclusione: supponiamo che esistano i seguenti intervalli di indirizzi IP.
Intervallo incluso:
10.0.0.0/8
Exclude range 4
:10.1.1.0/24
Subnet range 4
:10.1.0.0/16
In questo caso, l'intervallo di inclusione contiene
subnet range 4
. Tuttavia, è un superinsieme diexclude range 4
. Di conseguenza,subnet range 4
non è valido.Sovrapposizione con l'intervallo di inclusione: supponiamo che esistano i seguenti intervalli di indirizzi IP.
Intervallo incluso:
10.1.1.0/24
Subnet range 5
:10.1.0.0/16
Subnet range 5
si sovrappone all'intervallo di inclusione, quindi non è valido.
Se inserisci un intervallo di subnet non valido durante la procedura di creazione della subnet, viene visualizzato un errore Invalid IPCiderRange
simile al seguente:
Invalid IPCidrRange: CIDR_RANGE conflicts with existing subnetwork SUBNET_RANGE in region REGION
Topologie preimpostate
Network Connectivity Center ti consente di specificare la configurazione di connettività desiderata su tutti gli spoke VPC. Puoi scegliere una delle seguenti due topiarie predefinite:
- Topologia mesh
- Topologia a stella
Quando crei un hub utilizzando il comando gcloud network-connectivity hubs create
, scegli la topologia mesh o a stella preimpostata. Se la topologia non è specificata, viene applicata la topologia mesh. Una volta impostata durante la creazione dell'hub, non puoi modificare la topologia
di un determinato hub.
Per modificare le impostazioni di topologia di uno spoke, puoi eliminarlo e crearne uno nuovo con un nuovo hub che utilizza una topologia diversa.
Topologia mesh
La topologia mesh fornisce connettività di rete su larga scala tra gli spoke VPC.
Questa topologia consente a tutti gli spoke di connettersi e comunicare tra loro. Le subnet all'interno di questi spoke VPC sono completamente raggiungibili, a meno che non specifichi exclude export filters
.
Per impostazione predefinita, quando due o più reti VPC per i carichi di lavoro
sono configurate per partecipare a un hub di Network Connectivity Center come spoke,
Network Connectivity Center crea automaticamente una rete mesh completa tra
ogni spoke.
Tutti i raggi all'interno della topologia mesh appartengono a un unico gruppo predefinito. La topologia mesh è supportata sui tipi di spoke VPC e ibridi.
Il seguente diagramma mostra la connettività della topologia mesh in Network Connectivity Center.
Topologia a stella
La topologia a stella è supportata solo con gli spoke VPC. Quando utilizzi la topologia a stella per la connettività, i raggi di bordo e le relative sottoreti associate raggiungono solo i raggi centrali designati, mentre i raggi centrali possono raggiungere tutti gli altri raggi. In questo modo, viene garantita la segmentazione e la separazione della connettività tra le reti VPC perimetrali.
Poiché gli spoke VPC possono essere collegati a un hub in un altro progetto, gli spoke VPC possono provenire da domini amministrativi diversi. Questi spoke che si trovano in un progetto diverso dall'hub potrebbero non dover comunicare con tutti gli altri spoke nell'hub di Network Connectivity Center.
Puoi scegliere la topologia a stella per il seguente caso d'uso:
Carichi di lavoro in esecuzione in reti VPC diverse che non richiedono connettività tra loro, ma richiedono l'accesso solo alle reti VPC tramite la rete VPC dei servizi condivisi centrali.
Controllo della sicurezza della comunicazione su più reti VPC che richiede che il traffico passi attraverso un insieme di appliance virtuali di rete (NVA) centralizzate.
Il seguente diagramma mostra la connettività con topologia a stella in Network Connectivity Center.
center-vpc-a
e center-vpc-b
sono associati al gruppo centrale, mentre
edge-vpc-c
e edge-vpc-d
sono associati al gruppo di bordo. In questo caso,
l'utilizzo della topologia a stella consente a edge-vpc-c
e edge-vpc-d
di essere
collegati a center-vpc-a
e center-vpc-b
e di propagare le loro subnet al
gruppo centrale, ma di non essere collegati tra loro (nessuna raggiungibilità diretta
tra edge-vpc-c
e edge-vpc-d
). Nel frattempo, center-vpc-a
e center-vpc-b
sono collegati tra loro e a edge-vpc-c
e
edge-vpc-d
, consentendo così la raggiungibilità completa dai VPC del gruppo centrale ai VPC del gruppo perimetrale.
Gruppi di spoke
Un gruppo di raggi è un sottoinsieme di raggi collegati a un mozzo. Per configurare Network Connectivity Center utilizzando la topologia a stella, devi separare tutti gli spoke VPC in due diversi gruppi, denominati anche domini di routing:
- Un gruppo di spoke centrali che comunicano con tutti gli altri spoke collegati all'hub
- Un gruppo di raggi esterni, che comunicano solo con i raggi appartenenti al gruppo centrale
Uno spoke VPC può appartenere a un solo gruppo alla volta. I gruppi vengono creati automaticamente quando crei un hub.
Un amministratore dell'hub può aggiornare un gruppo di spoke utilizzando il comando gcloud network-connectivity hubs groups update
. L'amministratore dell'hub può aggiungere un elenco di ID progetto o di numeri di progetto per attivare l'accettazione automatica per i raggi. Quando l'accettazione automatica è attivata, lo spoke del progetto con accettazione automatica viene collegato automaticamente all'hub senza che sia necessaria la revisione delle singole proposte di spoke.
Puoi elencare i gruppi center ed edge come risorse nidificate per un hub specifico utilizzando il comando gcloud network-connectivity hubs groups list --hub
.
Per gli hub creati con topologia mesh, l'output restituisce il gruppo predefinito.
Per gli hub creati con topologia a stella, l'output restituisce gruppi centrali e periferici.
Per informazioni dettagliate su come configurare la topologia mesh o a stella per i tuoi spoke VPC, consulta Configurare un hub.
Limitazioni
Questa sezione descrive le limitazioni degli spoke VPC in generale e quando sono collegati a un hub in un altro progetto. Queste limitazioni si applicano anche agli spoke VPC producer (anteprima).
Limiti degli spoke VPC
- Le reti VPC possono connettersi tra loro in modo esclusivo tramite l'hub di Network Connectivity Center o tramite il peering di rete VPC.
- Non puoi utilizzare il peering di rete VPC tra due spoke VPC connessi allo stesso hub Network Connectivity Center. Tuttavia, tieni presente quanto segue:
- Uno spoke VPC producer richiede una connessione di peering a uno spoke VPC sullo stesso hub. La connettività tramite Network Connectivity Center non è stabilita tra lo spoke VPC producer e lo spoke VPC in peering.
- Puoi avere uno spoke VPC collegato a Network Connectivity Center con un peering tramite il peering di rete VPC con un VPC separato che non fa parte di Network Connectivity Center.
- Le VPC connesse tra loro utilizzando Network Connectivity Center e il peering di rete VPC in qualsiasi combinazione non sono transitive.
- Lo scambio di route statiche IPv4 tra gli spoke VPC non è supportato.
- Le route che rimandano agli indirizzi IP virtuali dei bilanciatori del carico di rete passthrough interni in altri spoke VPC non sono supportate.
- Le subnet sovrapposte devono essere mascherate dai filtri di esportazione di esclusione.
- L'aggiornamento di
export range filters
dopo la creazione dello spoke VPC non è supportato. - Per un raggio in un progetto diverso dall'hub, quando viene aggiunto un nuovo perimetro di Controlli di servizio VPC, non puoi aggiungere nuovi raggi che violano il perimetro, ma i raggi esistenti continuano a funzionare.
- La connettività di topologia a stella non supporta spoke ibridi o lo scambio di route dinamici.
Requisiti del periodo di attesa dopo l'eliminazione di uno spoke VPC
Per un nuovo spoke per la stessa rete VPC collegata a un hub diverso, devi attendere il periodo di attesa di almeno 10 minuti. Se non è consentito un periodo di attesa adeguato, la nuova configurazione potrebbe non essere applicata. Questo periodo di attesa non è necessario se la rete VPC viene aggiunta come spoke allo stesso hub.
Quote e limiti
Per informazioni dettagliate sulle quote, consulta Quote e limiti.
Fatturazione
Ore di spoke
Le ore di spoke vengono addebitate al progetto in cui si trova la risorsa spoke eseguono
seguono i prezzi standard delle ore di spoke. Le ore del raggio vengono addebitate solo quando il raggio è nello stato ACTIVE
.
Traffico in uscita
Il traffico in uscita viene addebitato al progetto della risorsa spoke da cui ha origine il traffico. I prezzi sono gli stessi indipendentemente dal fatto che il traffico superi i confini del progetto.
Accordo sul livello del servizio
Per informazioni sull'accordo sul livello del servizio di Network Connectivity Center, consulta Accordo sul livello del servizio (SLA) di Network Connectivity Center.
Prezzi
Per informazioni sui prezzi, consulta la pagina relativa ai prezzi di Network Connectivity Center.
Passaggi successivi
- Per creare hub e spoke, consulta Utilizzare hub e spoke.
- Per visualizzare un elenco di partner le cui soluzioni sono integrate con Network Connectivity Center, consulta Partner di Network Connectivity Center.
- Per trovare soluzioni ai problemi comuni, consulta la sezione Risoluzione dei problemi.
- Per informazioni dettagliate sui comandi API e
gcloud
, consulta API e riferimenti.