spoke VPC
Network Connectivity Center fornisce connettività di rete tra VPC su larga scala con il supporto per gli spoke VPC. VPC gli spoke riducono la complessità operativa della gestione per le connessioni di peering di rete VPC a coppie attraverso l'uso spoke VPC e connettività centralizzata completamente gestito di Google. Gli spoke VPC esportano e importano tutte le subnet IPv4 da altri VPC spoke su un hub di Network Connectivity Center. Ciò garantisce connettività IPv4 completa tra tutti i carichi di lavoro che risiedono in tutte queste reti VPC. Rete tra VPC il traffico rimane all'interno della rete Google Cloud e non passa attraverso Internet, il che contribuisce a garantire privacy e sicurezza.
Gli spoke VPC possono trovarsi nello stesso progetto e nella stessa organizzazione o in una un progetto e un'organizzazione diversi dall'hub di Network Connectivity Center. Gli spoke VPC possono essere connessi a un hub alla volta.
Per informazioni su come creare uno spoke VPC, consulta Crea uno spoke VPC.
Confronto con il peering di rete VPC
Gli spoke VPC sono progettati per supportare aziende di medie e grandi dimensioni requisiti dei carichi di lavoro per la connettività instradata tra intervalli di subnet IPv4 in molte reti VPC distinte.
Una rete VPC può essere uno spoke VPC di Network Connectivity Center e di essere connesso tramite peering di rete VPC. Tuttavia, le subnet delle route importate dalla rete VPC dello spoke Il peering di rete VPC non è condiviso con altri spoke VPC collegate all'hub di Network Connectivity Center. Di conseguenza, che dispongono dell'accesso privato ai servizi non sono raggiungibili in modo transitivo per impostazione predefinita utilizzando altri spoke VPC di un Hub Network Connectivity Center.
| Funzionalità | Peering di rete VPC | spoke VPC |
|---|---|---|
| Reti VPC |
Fino a 25 (è necessario ridurre altre quote VPC). |
Fino a 250 spoke VPC attivi per hub. |
| Istanze VM |
Network Connectivity Center supporta fino al limite massimo per rete VPC (non sono necessarie quote separate per i gruppi di peering). |
|
| Intervalli di subnet (route subnet) |
Route per tabella di route delle subnet. |
|
| Route statiche e dinamiche |
500 route dinamiche per hub. Lo scambio di route statiche non è supportato. |
|
| Esporta filtri |
Filtri specifici non supportati. vedi Opzioni di scambio route nella documentazione sul peering di rete VPC. |
Fino a 16 intervalli CIDR supportati per spoke VPC. |
| Indirizzi IP |
Indirizzi IP interni, inclusi indirizzi IP privati e privati utilizzati indirizzi IPv4 pubblici. Consulta Intervalli IPv4 validi. |
Indirizzi IPv4 interni, inclusi indirizzi IP privati e esclusi gli indirizzi IPv4 pubblici utilizzati privatamente. Consulta Intervalli IPv4 validi. |
| Famiglie di indirizzi IP |
Indirizzi a doppio stack IPv4 e IPv6/IPv4 |
Solo indirizzi IPv4. |
| Prestazioni e velocità effettiva (rispetto ad altri VPC meccanismi di connettività) |
Latenza minima, velocità effettiva massima (equivalente VM-VM). |
Latenza minima, velocità effettiva massima (equivalente VM-VM). |
spoke VPC in un progetto diverso da un hub
Utilizzando Network Connectivity Center, puoi collegare le reti VPC, rappresentati come spoke VPC, in un unico hub in un di un altro progetto, anche se di un'altra organizzazione. Ciò ti consente di connettere le tue reti VPC tra più di progetti e organizzazioni su larga scala.
Gli utenti possono rientrare in uno dei seguenti tipi:
- Un amministratore dell'hub proprietario di un hub in un progetto
- Un amministratore dello spoke di rete VPC o un amministratore di rete che vuole di aggiungere la propria rete VPC in un progetto diverso come spoke l'hub
L'amministratore dell'hub controlla chi può creare uno spoke VPC in un a un progetto associato al rispettivo hub utilizzando Identity and Access Management (IAM). autorizzazioni aggiuntive. Amministratore dello spoke di rete VPC crea uno spoke in un progetto diverso dall'hub. Questi spoke non sono attivi al momento della creazione. La l'amministratore dell'hub deve esaminarli e può accettare o rifiutare lo spoke. Se l'amministratore dell'hub accetta lo spoke, diventa attivo.
Network Connectivity Center accetta sempre automaticamente gli spoke creati nello stesso progetto come hub.
Per informazioni dettagliate su come gestire gli hub con VPC in un progetto diverso da quello dell'hub, vedi Panoramica dell'amministrazione dell'hub. Per dettagli informazioni per gli amministratori dello spoke, consulta Panoramica dell'amministrazione dello spoke.
Connettività VPC con filtri di esportazione
Network Connectivity Center consente di limitare la connettività di tutti gli spoke reti VPC solo a un sottoinsieme di subnet nello spoke in un VPC. Puoi limitare la connettività specificando intervalli di indirizzi IP dell'annuncio e stabilendo un elenco di intervalli CIDR che possono essere pubblicizzato dalla rete VPC. Puoi anche limitare la connettività specificando un elenco di intervalli CIDR consentiti, bloccando così tutti ma gli intervalli consentiti.
Escludi intervalli di esportazione
Puoi impedire che un intervallo di indirizzi IP venga pubblicizzato da
utilizzando il flag --exclude-export-ranges in Google Cloud CLI
excludeExportRanges nell'API. Qualsiasi subnet che corrisponda
nell'intervallo specificato vengono escluse dall'esportazione nell'hub. Questo filtro
è utile quando hai subnet che devono essere private all'interno
rete VPC o sovrapporsi ad altre subnet nella
tabella di route hub.
Includi intervalli di esportazione
Puoi creare un elenco di intervalli CIDR per i quali è consentito annunciare
da uno spoke VPC utilizzando include-export-ranges
o il campo includeExportRanges nell'API. Una connettività più precisa
viene impostata quando utilizzi questo indirizzo insieme all'indirizzo IP di esclusione del filtro di esportazione
intervallo. Questo filtro determina se un particolare intervallo di subnet può essere
pubblicizzato dalla rete VPC.
Considerazioni
Quando utilizzi i filtri di esclusione e inclusione degli intervalli di esportazione, considera quanto segue:
Gli intervalli di inclusione devono essere esclusivi, il che significa che gli intervalli di inclusione non devono sovrapporsi. Ad esempio, supponiamo che ci siano tre Intervalli di indirizzi IP:
Range 1:10.100.64.0/18Range 2:10.100.250.0/21Range 3:10.100.100.0/22Range 1erange 2sono intervalli di inclusione validi perché non sono che si sovrappongono. Tuttavia,range 3è inferiore arange 1e ciò può causare sovrapposizioni, quindirange 3non è valido.Poiché Network Connectivity Center dispone già di filtri di esclusione di esportazione disponibili in il criterio di configurazione di rete, sia i filtri di inclusione che i filtri di esclusione dell'esportazione degli intervalli CIDR validi della configurazione di rete. Quando sono entrambi inclusi e vengono utilizzati filtri di esclusione ed esportazione, gli intervalli di indirizzi IP di inclusione devono essere un sovrainsieme degli intervalli di indirizzi IP di esclusione.
Per impostazione predefinita, tutti i criteri di connettività VPC includi l'intervallo CIDR di
0.0.0.0/0, ciò significa che se non specifichi il filtro di inclusione durante la creazione dello spoke VPC; Network Connectivity Center imposta l'intervallo di inclusione predefinito su tutti i valori privati validi Indirizzi IPv4 come definiti in Intervalli IPv4 validi.Per perfezionare un intervallo di inclusione, puoi aggiungere più intervalli di esclusione. Ad esempio: se specifichi
10.1.0.0/16come intervallo di inclusione e10.1.100.0/24e10.1.200.0/24come intervalli di esclusione, la connettività è perfezionata con la combinazione dei filtri di inclusione ed esclusione. Questi includono l'intervallo include tutti i valori da10.1.0.0/24a10.1.99.0/24,10.1.101.0/24a10.1.199.0/24e Da10.1.201.0/24a10.1.255.0/24.Gli intervalli di subnet esistenti continuano a funzionare come previsto. Si sovrappone a Includi ed escludi gli intervalli quando crei nuovi intervalli di subnet, generano un errore.
Esempi di nuovi intervalli di subnet non validi
Gli esempi seguenti mostrano intervalli di subnet non validi:
Sovrapposizione con intervallo di esclusione: supponiamo che ci siano i seguenti indirizzi IP di indirizzi IP esterni.
Includi intervallo:
10.0.0.0/8Exclude range 4:10.1.1.0/24Subnet range 4:10.1.0.0/16In questo caso, l'intervallo di inclusione contiene
subnet range 4. Tuttavia, si tratta di un sovrainsieme diexclude range 4. Di conseguenza,subnet range 4non è valido.Sovrapposizione con intervallo di inclusione: supponiamo che ci siano i seguenti indirizzi IP intervalli di tempo.
Includi intervallo:
10.1.1.0/24Subnet range 5:10.1.0.0/16Subnet range 5si sovrappone all'intervallo di inclusione, pertanto non è valido.
Se inserisci un intervallo di subnet non valido durante il processo di creazione della subnet,
ricevi un errore Invalid IPCiderRange, simile al seguente:
Invalid IPCidrRange: CIDR_RANGE conflicts with existing subnetwork SUBNET_RANGE in region REGION
Topologie preimpostate
Network Connectivity Center consente di specificare la configurazione di connettività desiderata per tutti spoke VPC. Puoi scegliere una delle due preimpostazioni seguenti topologies:
- Topologia mesh
- Topologia a stella
Quando crei un hub utilizzando
Comando gcloud network-connectivity hubs create,
scegli la topologia mesh o a stella preimpostata. Se la topologia non è specificata,
il valore predefinito è mesh. Una volta impostata durante la creazione dell'hub, non puoi modificare la topologia
di un dato hub.
Per modificare le impostazioni di topologia di uno spoke, puoi eliminarlo e creare un nuovo spoke con un nuovo hub che utilizza una topologia diversa.
Topologia mesh
La topologia mesh offre connettività di rete ad alta scalabilità
spoke VPC.
Questa topologia consente a tutti gli spoke di connettersi e comunicare con
tra loro. Subnet all'interno di questo VPC
sono completamente raggiungibili, a meno che non specifichi
exclude export filters.
Per impostazione predefinita, quando due o più VPC del carico di lavoro
le reti sono configurate per unirsi a un hub di Network Connectivity Center come spoke,
Network Connectivity Center crea automaticamente un mesh completo di connettività tra
ciascuno spoke.
Tutti gli spoke all'interno della topologia mesh appartengono a un unico gruppo predefinito. A rete è supportata sui tipi di spoke VPC e ibridi.
Il seguente diagramma mostra la connettività della topologia mesh nel Network Connectivity Center.
Topologia a stella
La topologia a stella è supportata solo con gli spoke VPC. Quando utilizzi topologia a stella per la connettività, gli spoke perimetrali e le subnet associate raggiungere solo gli spoke center designati, mentre gli spoke center possono raggiungere da tutti gli altri spoke. Ciò contribuisce a garantire la segmentazione e la separazione della connettività tra a reti VPC perimetrali.
Poiché gli spoke VPC possono essere collegati a un hub di un progetto diverso, Gli spoke VPC possono provenire da diversi domini amministrativi. Questi spoke che si trovano in un progetto diverso dall'hub potrebbero non devono comunicare con ogni altro spoke dell'hub di Network Connectivity Center.
Puoi scegliere la topologia a stella per il seguente caso d'uso:
- Carichi di lavoro in esecuzione su reti VPC diverse che non richiedono connettività reciproca, ma richiedono l'accesso solo le reti VPC tramite i servizi condivisi centrali rete VPC.
Il seguente diagramma mostra la connettività di topologia a stella nel Network Connectivity Center.
center-vpc-a e center-vpc-b sono associati al gruppo centrale e
edge-vpc-c e edge-vpc-d sono associati al gruppo perimetrale. In questo caso,
l'utilizzo della topologia a stella consente a edge-vpc-c e edge-vpc-d di
connesso a center-vpc-a e center-vpc-b e per propagare le relative subnet
al gruppo centrale, ma non essere connessi tra loro (nessuna connettività diretta
tra edge-vpc-c e edge-vpc-d). Nel frattempo center-vpc-a
e center-vpc-b sono collegati tra loro e sia a edge-vpc-c che
edge-vpc-d, consentendo così la piena raggiungibilità dal gruppo centrale
dai VPC ai VPC del gruppo perimetrale.
Gruppi di spoke
Un gruppo di spoke è un sottoinsieme di spoke collegati a un hub. Per configurare Network Connectivity Center utilizzando la topologia a stella, è necessario separa tutti gli spoke VPC in due diversi gruppi, chiamati anche domini di routing:
- Un gruppo centro di spoke, che comunicano con ogni altro spoke connesso all'hub
- Un gruppo perimetrale di spoke, che comunicano solo con spoke che appartengono a il gruppo centrale
Uno spoke VPC può appartenere a un solo gruppo alla volta. I gruppi vengono creati automaticamente quando crei un hub.
Un amministratore dell'hub può aggiornare un gruppo spoke utilizzando
Comando gcloud network-connectivity hubs groups update. L'amministratore dell'hub può aggiungere un elenco di ID progetto
numeri di progetto per attivare l'accettazione automatica per gli spoke. Se l'accettazione automatica è
viene attivato, lo spoke del progetto con accettazione automatica viene automaticamente connesso
l'hub senza la necessità di una revisione delle singole proposte di spoke.
Puoi elencare i gruppi center e edge come risorse nidificate per un
un hub specifico utilizzando
Comando gcloud network-connectivity hubs groups list --hub.
Per gli hub creati con una topologia mesh, l'output restituisce il gruppo predefinito.
Per gli hub creati con una topologia a stella, l'output restituisce center e edge.
gruppi.
Per informazioni dettagliate su come configurare la topologia mesh o a stella per degli spoke VPC, consulta Configurare un hub.
Limitazioni
Questa sezione descrive le limitazioni degli spoke VPC in generale e quando sono collegati a un hub di un altro progetto.
Limitazioni degli spoke VPC
- Le reti VPC possono connettersi tra loro in modo esclusivo tramite l'hub di Network Connectivity Center o tramite peering di rete VPC. Non puoi utilizzare il peering di rete VPC tra due spoke VPC collegate allo stesso hub di Network Connectivity Center. Tuttavia, puoi avere uno spoke VPC connesso a Network Connectivity Center in peering tramite peering di rete VPC con un VPC separato che non fa parte di Network Connectivity Center.
- VPC connessi tramite Network Connectivity Center e il peering di rete VPC in qualsiasi combinazione non sono transitiva.
- Lo scambio di route statiche IPv4 tra gli spoke VPC non è supportato.
- Route che puntano a indirizzi IP virtuali del bilanciatore del carico di rete passthrough interno in e altri spoke VPC non sono supportati.
- Le subnet sovrapposte devono essere mascherate dai filtri di esclusione dell'esportazione.
- Aggiornamento di
export range filtersdopo la creazione dello spoke VPC non supportati. - Per uno spoke in un progetto diverso dall'hub, quando un nuovo Controlli di servizio VPC viene aggiunto il perimetro, non puoi aggiungere nuovi spoke violano il perimetro, ma gli spoke esistenti continuano a funzionare.
- La connettività con topologia a stella non supporta spoke ibridi o dinamici scambio di percorsi.
Requisiti del periodo di attesa dopo l'eliminazione di uno spoke VPC
Questa sezione elenca il periodo di attesa richiesto tra l'eliminazione di un VPC e la creazione di un nuovo spoke per lo stesso VPC. Se l'adeguatezza Il periodo di attesa non è consentito, la nuova configurazione potrebbe non essere effettiva.
- Dopo aver eliminato uno spoke, devi attendere un periodo di attesa di almeno 10 minuti prima di creare un nuovo spoke per la stessa rete VPC collegato allo stesso hub.
- Per un nuovo spoke per la stessa rete VPC collegato a un altro hub, devi attendere almeno il periodo di attesa 24 ore su 24.
- È possibile che la creazione dello spoke per lo stesso VPC i filtri potrebbero non essere applicati correttamente. Per risolvere il problema, eliminare lo spoke, attendere un periodo di tempo più lungo e poi ricreare lo spoke.
Quote e limiti
Per informazioni dettagliate sulle quote, consulta Quote e limiti.
Fatturazione
Ore di spoke
Le ore spoke vengono addebitate al progetto in cui si trova la risorsa spoke e
segue i prezzi standard per le ore di parlato. Le ore spoke vengono addebitate solo quando
lo spoke è nello stato ACTIVE.
Traffico in uscita
Il traffico in uscita viene addebitato al progetto della risorsa spoke da cui ha origine il traffico. Il prezzo è lo stesso indipendentemente dal fatto che il traffico oltre i confini del progetto.
Accordo sul livello del servizio
Per informazioni sull'accordo sul livello del servizio di Network Connectivity Center, vedi Accordo sul livello del servizio (SLA) di Network Connectivity Center.
Prezzi
Per informazioni sui prezzi, vedi Prezzi di Network Connectivity Center.
Passaggi successivi
- Per creare hub e spoke, consulta Utilizzare hub e spoke.
- Per visualizzare un elenco di partner le cui soluzioni sono integrate con Network Connectivity Center consulta i partner di Network Connectivity Center.
- Per trovare soluzioni ai problemi comuni, consulta Risoluzione dei problemi.
- Per informazioni dettagliate sull'API e sui comandi
gcloud, consulta API e riferimenti.