Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica degli spoke VPC

Questa pagina fornisce una panoramica del supporto degli spoke VPC (Virtual Private Cloud) nel Network Connectivity Center.

spoke VPC

Network Connectivity Center fornisce connettività di rete tra VPC su larga scala con supporto per spoke VPC. Gli spoke VPC riducono la complessità operativa della gestione delle singole connessioni in peering a coppie utilizzate nel peering di rete VPC mediante l'uso di un modello di gestione della connettività centralizzato più semplice. Gli spoke VPC esportano e importano tutte le route delle subnet IPv4 da altri VPC spoke. Ciò garantisce la piena connettività IPv4 tra tutti i carichi di lavoro che risiedono in tutte queste reti VPC. Il traffico di rete tra VPC rimane all'interno della rete Google Cloud e non viaggia attraverso internet, il che contribuisce a garantire privacy e sicurezza.

Gli spoke VPC possono trovarsi nello stesso progetto e nella stessa organizzazione o in un progetto e un'organizzazione diversi dall'hub di Network Connectivity Center.

Gli spoke VPC possono essere connessi a un hub alla volta.

Per informazioni su come creare uno spoke VPC, consulta Creare uno spoke VPC.

Confronto con il peering di rete VPC

Gli spoke VPC sono progettati per supportare i requisiti di carico di lavoro aziendale di medie e grandi dimensioni per la connettività instradata tra intervalli di subnet IPv4 situati in molte reti VPC distinte.

Una rete VPC può essere sia uno spoke VPC di Network Connectivity Center sia essere connessa ad altre reti VPC utilizzando il peering di rete VPC. Tuttavia, le route della subnet che la rete VPC dello spoke importa tramite il peering di rete VPC non sono condivise con altri spoke VPC connessi all'hub di Network Connectivity Center. Di conseguenza, i servizi gestiti che sono basati sull'accesso privato ai servizi non sono raggiungibili in modo transitivo utilizzando altri spoke VPC di un hub di Network Connectivity Center.

Selezione delle	Peering di rete VPC	spoke VPC
Reti VPC	Fino a 25 (è necessario ridurre altre quote VPC)	Fino a 250 spoke VPC attivi per hub
Istanze VM	Istanze per gruppo di peering	Network Connectivity Center supporta fino al limite massimo per rete VPC (non sono necessarie quote separate per i gruppi di peering).
Intervalli di subnet (route subnet)	Intervalli di subnet per gruppo di peering	Route per tabella di route delle subnet
Route statiche e dinamiche	Route statiche per gruppo di peering Route dinamiche per regione per gruppo di peering	Lo scambio di route statiche e dinamiche non è supportato.
Esporta filtri	I filtri specifici non sono supportati; consulta Opzioni di scambio di route nella documentazione sul peering di rete VPC.	Fino a 16 intervalli CIDR supportati per spoke VPC.
Indirizzi IP	Indirizzi IP interni, inclusi indirizzi IP privati e indirizzi IPv4 pubblici utilizzati privatamente. Vedi Intervalli IPv4 validi.	Solo indirizzi interni IPv4 privati, esclusi gli indirizzi IPv4 pubblici utilizzati privatamente. Vedi Intervalli IPv4 validi.
Famiglie di indirizzi IP	Indirizzi a doppio stack IPv4 e IPv6/IPv4	Solo indirizzi IPv4
Prestazioni e velocità effettiva (rispetto ad altri meccanismi di connettività VPC)	Latenza minima, velocità effettiva massima (equivalente VM-VM)	Latenza minima, velocità effettiva massima (equivalente VM-VM)

spoke VPC in un progetto diverso da un hub

Utilizzando Network Connectivity Center, puoi collegare le reti VPC, rappresentate come spoke, a un singolo hub in un progetto diverso, incluso un progetto in un'altra organizzazione. Ciò consente di connettere insieme le reti VPC in più progetti e organizzazioni su larga scala.

Gli utenti possono rientrare in uno dei seguenti tipi:

Un amministratore dell'hub proprietario di un hub in un progetto
Un amministratore dello spoke di rete VPC o un amministratore di rete che vuole aggiungere la rete VPC

L'amministratore dell'hub controlla chi può creare uno spoke VPC in un progetto diverso associato al proprio hub utilizzando le autorizzazioni di Identity and Access Management (IAM). L'amministratore dello spoke di rete VPC crea uno spoke in un progetto diverso dall'hub. Questi spoke sono inattivi al momento della creazione. L'amministratore dell'hub deve esaminarli e può accettare o rifiutare lo spoke. Se l'amministratore dell'hub accetta lo spoke, diventa attivo.

Network Connectivity Center accetta sempre automaticamente gli spoke creati nello stesso progetto dell'hub.

Per informazioni dettagliate su come gestire gli hub che hanno spoke VPC in un progetto diverso dall'hub, consulta la panoramica dell'amministrazione di Hub. Per informazioni dettagliate per gli amministratori dello spoke, consulta Panoramica dell'amministrazione dello spoke.

Connettività VPC con filtri di esportazione

Network Connectivity Center consente di limitare la connettività di tutte le reti VPC spoke a solo un sottoinsieme di subnet nel VPC spoke. Puoi impedire che un intervallo di indirizzi IP venga pubblicizzato utilizzando il flag exclude-export-ranges in Google Cloud CLI o il campo excludeExportRanges nell'API. Tutte le subnet che corrispondono all'intervallo specificato vengono escluse dall'esportazione nell'hub. Questo filtro è utile quando hai subnet che devono essere private all'interno della rete VPC o potrebbero sovrapporsi ad altre subnet nella tabella delle route hub.

Topologie preimpostate

Network Connectivity Center consente di specificare la configurazione di connettività desiderata per tutti gli spoke VPC. Puoi scegliere una delle seguenti due topologie preimpostate:

Topologia mesh
Topologia a stella

Quando crei un hub utilizzando il comando gcloud network-connectivity hubs create, scegli la topologia a stella o mesh preimpostata. Se la topologia non è specificata, il valore predefinito è mesh. Dopo averla impostata durante la creazione dell'hub, non puoi modificare la topologia di un determinato hub.

Per modificare le impostazioni di topologia di uno spoke, puoi eliminare lo spoke e crearne uno nuovo con un nuovo hub che utilizza una topologia diversa.

Topologia mesh

La topologia mesh fornisce connettività di rete ad alta scalabilità tra spoke VPC. Questa topologia consente a tutti gli spoke di connettersi e comunicare tra loro. Le subnet all'interno di questi spoke VPC sono completamente raggiungibili a meno che non specifichi exclude export filters. Per impostazione predefinita, quando due o più reti VPC sono configurate per unire un hub di Network Connectivity Center come spoke, Network Connectivity Center crea automaticamente un mesh completo di connettività tra ogni spoke.

Tutti gli spoke all'interno della topologia mesh appartengono a un unico gruppo predefinito. La topologia mesh è supportata sui tipi di spoke VPC e ibridi.

Il seguente diagramma mostra la connettività della topologia mesh nel Network Connectivity Center.

Connettività con la topologia mesh di Network Connectivity Center. — Connettività con topologia mesh di Network Connectivity Center (fai clic per ingrandire).

Topologia a stella

La topologia a stella è supportata solo con gli spoke VPC. Quando utilizzi la topologia a stella per la connettività, gli spoke edge e le subnet associate raggiungono solo gli spoke center designati, mentre gli spoke center possono raggiungere tutti gli altri spoke. Ciò contribuisce a garantire la segmentazione e la separazione della connettività tra le reti VPC perimetrali.

Poiché gli spoke VPC possono essere collegati a un hub di un progetto diverso, gli spoke VPC possono provenire da domini amministrativi diversi. Questi spoke che si trovano in un progetto diverso dall'hub potrebbero non dover comunicare con tutti gli altri spoke dell'hub di Network Connectivity Center.

Puoi scegliere la topologia a stella per il seguente caso d'uso:

Carichi di lavoro in esecuzione su reti VPC diverse che non richiedono connettività tra loro ma richiedono l'accesso a reti on-premise tramite la rete VPC dei servizi condivisi centrali.

Il seguente diagramma mostra la connettività di topologia a stella nel Network Connectivity Center. center-vpc-a e center-vpc-b sono associati al gruppo centrale, mentre edge-vpc-c e edge-vpc-d sono associati al gruppo perimetrale. In questo caso, l'utilizzo della topologia a stella consente a edge-vpc-c e edge-vpc-d di connettersi a center-vpc-a e center-vpc-b e di propagare le subnet al gruppo centrale, ma non di collegarle tra loro (nessuna raggiungibilità diretta tra edge-vpc-c e edge-vpc-d). Nel frattempo, center-vpc-a e center-vpc-b sono connessi tra loro e sia a edge-vpc-c che a edge-vpc-d, consentendo la completa raggiungibilità dai VPC del gruppo centrale ai VPC del gruppo perimetrale.

Connettività con topologia a stella di Network Connectivity Center. — Connettività con topologia a stella di Network Connectivity Center (fai clic per ingrandire)

Gruppi di spoke

Un gruppo di spoke è un sottoinsieme di spoke collegati a un hub. Per configurare Network Connectivity Center utilizzando la topologia a stella, devi separare tutti gli spoke VPC in due diversi gruppi, denominati anche domini di routing:

Un gruppo centro di spoke, che comunicano con ogni altro spoke connesso all'hub
Un gruppo perimetrale di spoke, che comunicano solo con spoke che appartengono al gruppo centrale

Uno spoke VPC può appartenere a un solo gruppo alla volta. I gruppi vengono creati automaticamente quando crei un hub.

Un amministratore dell'hub può aggiornare un gruppo spoke utilizzando il comando gcloud network-connectivity hubs groups update. L'amministratore dell'hub può aggiungere un elenco di ID progetto o numeri di progetto per attivare l'accettazione automatica per gli spoke. Quando l'accettazione automatica è attivata, lo spoke del progetto di accettazione automatica viene collegato automaticamente all'hub senza la necessità di esaminare una singola proposta dello spoke.

Puoi elencare i gruppi center e edge come risorse nidificate per un hub specifico utilizzando il comando gcloud network-connectivity hubs groups list --hub. Per gli hub creati con una topologia mesh, l'output restituisce il gruppo predefinito. Per gli hub creati con una topologia a stella, l'output restituisce i gruppi center e edge.

Per informazioni dettagliate su come configurare la topologia mesh o a stella per gli spoke VPC, consulta Configurare un hub.

Limitazioni

Questa sezione descrive le limitazioni degli spoke VPC in generale e quando sono collegati a un hub in un progetto diverso.

Limitazioni degli spoke VPC

Network Connectivity Center non supporta VPC con tipi di spoke misti come VPC, VPN, Cloud Interconnect e appliance router sullo stesso hub.
Le reti VPC possono connettersi tra loro in modo esclusivo tramite l'hub di Network Connectivity Center o il peering di rete VPC. Non puoi usare il peering di rete VPC tra due spoke VPC connessi allo stesso hub di Network Connectivity Center. Tuttavia, puoi avere uno spoke VPC connesso a Network Connectivity Center connesso in peering tramite peering di rete VPC con un VPC separato che non fa parte di Network Connectivity Center.
I VPC connessi tramite Network Connectivity Center e il peering di rete VPC in qualsiasi combinazione non sono transitivi.
Lo scambio di route statiche e dinamiche IPv4 tra gli spoke VPC non è supportato.
Le route che puntano a indirizzi IP virtuali del bilanciatore del carico di rete passthrough interno in altri spoke VPC non sono supportate.
Le subnet sovrapposte devono essere mascherate dai filtri di esportazione.
È possibile specificare al massimo 16 filtri exclude export ranges per spoke.
L'aggiornamento di exclude export ranges dopo la creazione dello spoke VPC non è supportato.
Per uno spoke in un progetto diverso dell'hub, quando viene aggiunto un nuovo perimetro dei Controlli di servizio VPC, non puoi aggiungere nuovi spoke che violano il perimetro, ma quelli esistenti continuano a funzionare.
La connettività con topologia a stella supporta solo gli spoke VPC.

Requisiti del periodo di attesa dopo l'eliminazione di uno spoke VPC

Questa sezione elenca il periodo di attesa richiesto tra l'eliminazione di una spoke VPC e la creazione di un nuovo spoke per lo stesso VPC. Se il periodo di attesa adeguato non è consentito, la nuova configurazione potrebbe non essere applicata.

Dopo aver eliminato uno spoke, devi attendere un periodo di attesa di almeno 10 minuti prima di creare un nuovo spoke per la stessa rete VPC collegata allo stesso hub.
Per un nuovo spoke per la stessa rete VPC collegata a un hub diverso, devi attendere un periodo di attesa di almeno 24 ore.
È possibile che i filtri non siano applicati correttamente alla creazione dello spoke per la stessa rete VPC. La soluzione consiste nell'eliminare lo spoke, attendere un periodo di tempo più lungo e quindi ricrearlo.

Quote e limiti

Per quote e limiti dettagliati che si applicano a Network Connectivity Center, consulta Quote e limiti.

Fatturazione

Ore di spoke

Le ore spoke vengono addebitate al progetto in cui si trova la risorsa spoke e seguono i prezzi standard per le ore spoke. Le ore spoke vengono addebitate solo quando lo spoke è nello stato ACTIVE.

Traffico in uscita

Il traffico in uscita viene addebitato al progetto della risorsa spoke da cui ha origine il traffico. Il prezzo è lo stesso a prescindere dal fatto che il traffico superi i confini del progetto.

Accordo sul livello del servizio

Per informazioni sull'accordo sul livello del servizio di Network Connectivity Center, vedi Accordo sul livello del servizio (SLA) di Network Connectivity Center.

Prezzi

Per informazioni sui prezzi, vedi Prezzi di Network Connectivity Center.

Passaggi successivi

Per creare hub e spoke, vedi Utilizzare hub e spoke.
Per visualizzare un elenco di partner le cui soluzioni sono integrate con Network Connectivity Center, consulta Partner di Network Connectivity Center.
Per trovare soluzioni ai problemi comuni, consulta la sezione Risoluzione dei problemi.
Per informazioni dettagliate sull'API e sui comandi gcloud, consulta API e riferimenti.