VPC spoke
Network Connectivity Center 支持 VPC 间的网络连接,并且支持 VPC spoke。VPC 网络 spoke 通过启用更简单的集中式连接管理模型来降低管理 VPC 网络对等互连中使用的各个配对对等互连连接的运维复杂性。VPC spoke 会导出和导入来自其他 spoke VPC 的所有 IPv4 子网路由。这样可以确保位于所有这些 VPC 网络中的所有工作负载之间的完全 IPv4 连接。VPC 间网络流量保留在 Google Cloud 网络中,不会通过互联网传输,这有助于确保隐私和安全。
VPC spoke 可以位于同一项目和组织中,也可以与 Network Connectivity Center hub 位于不同的项目和组织中。
VPC spoke 一次可以连接到一个 hub。
如需了解如何创建 VPC spoke,请参阅创建 VPC spoke。
与 VPC 网络对等互连对比
VPC spoke 旨在满足大中型企业工作负载对位于许多不同 VPC 网络的 IPv4 子网范围中的路由连接的要求。
VPC 网络既可以是 Network Connectivity Center VPC spoke,也可以使用 VPC 网络对等互连连接到其他 VPC 网络。但是,spoke VPC 网络使用 VPC 网络对等互连导入的子网路由不会与连接到 Network Connectivity Center hub 的其他 VPC spoke 共享。因此,您无法使用 Network Connectivity Center hub 的其他 VPC spoke 以传递方式访问由专用服务访问通道提供支持的代管式服务。
| 功能 | VPC 网络对等互连 | VPC Spoke |
|---|---|---|
| VPC 网络 |
最多 25 个(需要降低其他 VPC 配额) |
每个 hub 最多 250 个活跃 VPC spoke |
| 虚拟机实例 |
Network Connectivity Center 最多支持的实例数可达每个 VPC 网络的最大上限(无需单独的对等互连组配额)。 |
|
| 子网范围(子网路由) | ||
| 静态和动态路由 |
不支持静态和动态路由交换。 |
|
| 导出过滤条件 |
不支持特定过滤条件;请参阅 VPC 网络对等互连文档中的路由交换选项。 |
每个 VPC spoke 最多支持 16 个 CIDR 范围。 |
| IP 寻址 |
内部 IP 地址,包括专用 IP 地址和以非公开方式使用的公共 IPv4 地址。请参阅有效 IPv4 范围。 |
仅限专用 IPv4 内部地址,不包括以非公开方式使用的公共 IPv4 地址。请参阅有效 IPv4 范围。 |
| IP 地址系列 |
IPv4 和 IPv6/IPv4 双栈地址 |
仅限 IPv4 地址 |
| 性能和吞吐量(与其他 VPC 连接机制相比) |
低延迟、最高吞吐量(等效虚拟机) |
低延迟、最高吞吐量(等效虚拟机) |
VPC spoke 位于与 hub 不同的项目
通过使用 Network Connectivity Center,您可以将 VPC 网络(表示 spoke)连接到其他项目中的单个 hub,包括其他组织中的项目。这样您就可以跨多个项目和组织大规模连接您的 VPC 网络。
您可以是以下类型的用户之一:
- 在一个项目中拥有 Hub 的 Hub 管理员
- 希望将其他 VPC 网络中的 VPC 网络作为 spoke 添加到 hub 的 VPC 网络 spoke 管理员或网络管理员
Hub 管理员可以使用 Identity and Access Management (IAM) 权限控制谁可以在与其 Hub 关联的其他项目中创建 VPC Spoke。VPC 网络 spoke 管理员在与 hub 不同的项目中创建 spoke。这些 spoke 在创建后处于非活跃状态。Hub 管理员必须审核这些 Spoke,并接受或拒绝该 Spoke。 如果 hub 管理员接受 spoke,它将变为活跃状态。
Network Connectivity Center 始终会自动接受在该 Hub 所在项目中创建的 Spoke。
如需详细了解如何管理 VPC spoke 与 Hub 位于不同项目中的 Hub,请参阅 Hub 管理概览。如需详细了解 Spoke 管理员,请参阅 Spoke 管理概览。
使用导出过滤条件的 VPC 连接
Network Connectivity Center 可让您将所有 spoke VPC 网络的连接限制为仅仅是 spoke VPC 中的子网的一部分。您可以使用 Google Cloud CLI 中的 exclude-export-ranges 标志或 API 中的 excludeExportRanges 字段阻止通告 IP 地址范围。与指定范围匹配的任何子网都会从导出到 Hub 中排除。如果您的子网需要在 VPC 网络中处于不公开状态,或者可能与 hub 路由表中的其他子网重叠,则此过滤非常有用。
限制
本部分介绍 VPC Spoke 的一般限制以及它们连接到其他项目中的 Hub 时的限制。
VPC Spoke 的限制
- Network Connectivity Center hub 不支持 VPC spoke 与 VPN、Cloud Interconnect 和路由器设备 spoke 位于同一 hub。
- VPC 网络可以通过 Network Connectivity Center hub 或 VPC 网络对等互连以专有方式相互连接。您不能在连接到同一 Network Connectivity Center hub 的两个 VPC spoke 之间使用 VPC 网络对等互连。但是,连接到 Network Connectivity Center 的 VPC spoke 可以通过 VPC 网络对等互连与不属于 Network Connectivity Center 的其他 VPC 对等互连。
- 使用 Network Connectivity Center 连接在一起的 VPC 以及任意组合的 VPC 对等互连 VPC 都不具有传递性。
- 不支持 IPv4 静态和动态路由在 VPC spoke 之间交换。
- 指向其他 VPC Spoke 中内部直通式网络负载均衡器虚拟 IP 地址的路由不受支持。
- 重叠的子网必须由导出过滤条件进行遮盖。
- 每个 spoke 最多可以指定 16 个
exclude export range过滤条件。 - 不支持在创建 VPC spoke 后更新
export range filters。 - 对于与 hub 位于不同项目中的 spoke,在添加新的 VPC Service Controls 边界后,您无法添加违反边界的新 spoke,但现有 spoke 会继续正常运行。
删除 VPC spoke 后的冷却期要求
本部分列出了删除 VPC spoke 和为同一 VPC 创建新 spoke 之间所需的冷却期。如果不允许足够的冷却期,则新配置可能不会生效。
- 删除 spoke 后,您必须等待至少 10 分钟的冷却期,然后才能为连接到同一 hub 的同一 VPC 网络创建新 spoke。
- 对于连接到其他 Hub 的同一 VPC 网络的新 spoke,您必须等待至少 24 小时的冷却期。
- 同一 VPC 网络的 spoke 创建可能无法正确应用其过滤条件。解决方法是删除 spoke,等待较长时间,然后重新创建 spoke。
配额和限制
以下配额和限制适用:
- 每个项目的 VPC spoke 数量:(建议)1000
- 每个 Hub 的活跃 VPC Spoke 数量:250
- 每个 Hub 的 VPC Spoke 总数:1000
- 每个路由表的子网路由数量:1000
- 每个 VPC Spoke 的导出过滤条件数量:16
结算
Spoke 小时数
Spoke 小时数计入 Spoke 资源所在的项目,并遵循标准的 Spoke 小时数价格。Spoke 小时数仅在 Spoke 处于 ACTIVE 状态时才会收费。
出站流量
出站流量计入流量来源的 spoke 资源的项目。无论流量是否跨项目边界,价格都是相同的。
服务等级协议
如需了解 Network Connectivity Center 服务等级协议,请参阅 Network Connectivity Center 服务等级协议 (SLA)。
价格
如需了解价格,请参阅 Network Connectivity Center 价格。
后续步骤
- 如要创建 Hub 和 Spoke,请参阅使用 Hub 和 Spoke。
- 如需查看其解决方案已与 Network Connectivity Center 集成的合作伙伴列表,请参阅 Network Connectivity Center 合作伙伴。
- 如需查找常见问题的解决方案,请参阅问题排查。
- 如需获取有关 API 和
gcloud命令的详细信息,请参阅 API 和参考。