Esta página descreve como criar um hub do Network Connectivity Center usando a topologia de inspeção híbrida para que você possa adicionar spokes de gateway do NCC e spokes de VPC ao hub.
Para uma introdução ao gateway do NCC, consulte a Visão geral do gateway do NCC.
Antes de começar
Antes de começar, leia as seções a seguir.
Crie ou selecione um projeto.
Para facilitar a configuração do Network Connectivity Center, identifique um projeto válido.
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Install the Google Cloud CLI.
-
Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.
-
Para inicializar a gcloud CLI, execute o seguinte comando:
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Install the Google Cloud CLI.
-
Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.
-
Para inicializar a gcloud CLI, execute o seguinte comando:
gcloud init Se você estiver usando a Google Cloud CLI, defina o ID do projeto usando o comando
gcloud config set.gcloud config set project PROJECT_ID
Substitua
PROJECT_IDpelo ID exclusivo do seu projeto.As instruções da CLI gcloud nesta página presumem que você tenha definido o ID do projeto.
Para confirmar se você definiu o ID do projeto corretamente, use o comando
gcloud config list.gcloud config list --format='text(core.project)'
No console Google Cloud , acesse a página Network Connectivity Center.
Clique em Ativar.
PROJECT_ID: o ID do projeto que contém o novo hubHUB_NAME: o nome do novo hubDESCRIPTION: texto opcional que descreve o hubKEY: a chave no par de chave-valor do texto do rótulo opcionalVALUE: o valor no par de chave-valor do texto do rótulo opcional- Um administrador de spoke VPC propõe um spoke VPC em um projeto diferente
- Um administrador de hub analisa os spokes de VPC propostos
SPOKE_NAME: o nome do spoke que você está criando, comovpc-spoke1.HUB_NAME: o hub do spokeDESCRIPTION: uma descrição opcional do spokeVPC_NETWORK_URI: a rede VPC que esse spoke apontaGROUP_NAME: o grupo a que o spoke pertenceSPOKE_NAME: o nome do spoke que você está criando, comovpc-spoke1.HUB_NAME: o hub do spokeDESCRIPTION: uma descrição opcional do spokeVPC_NETWORK_URI: a rede VPC que esse spoke apontaGROUP_NAME: o grupo a que o spoke pertence
Ativar a API Network Connectivity
Antes de executar qualquer tarefa usando o gateway do NCC, é necessário ativar a API Network Connectivity.
Console
Para ativar a API Network Connectivity, faça o seguinte:
Como alternativa, é possível ativar a API usando a biblioteca de APIs do console doGoogle Cloud , conforme descrito em Como ativar APIs.
Conseguir acesso
Para trabalhar com o Network Connectivity Center e o gateway do NCC, você precisa das permissões descritas em Papéis e permissões.
Identificar recursos
Ao referenciar recursos usando a CLI gcloud ou a API, use as convenções descritas na tabela a seguir.
| Convenção | Compatível com | Observações | Exemplo |
|---|---|---|---|
| URI completo | Todos os recursos | Use um destes métodos para fazer referência a instâncias do dispositivo roteador. |
"https://www.googleapis.com/compute/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME"
|
| Nome do recurso relativo | Todos os recursos |
"projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME"
|
|
| Nome | Recursos regionais e globais | Use esse método para hubs, spokes, túneis VPN e anexos da VLAN. |
"HUB_NAME"
|
Criar um hub do Network Connectivity Center
Para criar um hub do Network Connectivity Center com a topologia de inspeção híbrida predefinida, siga estas etapas:
gcloud
Use o comando gcloud network-connectivity hubs create e especifique a topologia predefinida de inspeção híbrida.
gcloud beta network-connectivity hubs create HUB_NAME \
--preset-topology=hybrid-inspection
Substitua HUB_NAME por um nome para o novo hub.
API
Use o
método projects.locations.global.hubs.create.
POST https://networkconnectivity.googleapis.com/v1beta/projects/PROJECT_ID/locations/global/hubs
{
"name":"HUB_NAME",
"description":"DESCRIPTION",
"labels": {
"KEY": "VALUE"
},
"presetTopology": "HYBRID_INSPECTION"
}
Substitua:
Conectar redes VPC ao hub
O processo para conectar redes VPC a um hub varia dependendo se a rede e o hub estão no mesmo projeto.
Conectar redes VPC e hubs de projetos diferentes
Para conectar redes VPC de projetos diferentes, siga estas etapas:
Conectar redes VPC e hub no mesmo projeto
Se as redes VPC e o hub estiverem no mesmo projeto, siga as etapas desta seção.
gcloud
Use o comando gcloud network-connectivity spokes linked-vpc-network create:
gcloud network-connectivity spokes linked-vpc-network create SPOKE_NAME \
--hub=HUB_NAME \
--description=DESCRIPTION \
--vpc-network=VPC_NETWORK_URI \
--global \
--group=GROUP_NAME
Substitua:
Como o hub usa a topologia de inspeção híbrida, os nomes de grupo válidos para spokes de VPC são prod, non-prod e services.
Para mais opções disponíveis ao adicionar um spoke de VPC, incluindo detalhes sobre filtros de exportação, consulte Criar um spoke de VPC.
API
Use o
método projects.locations.spokes.create.
POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/global/spokes/SPOKE_NAME
{
"hub":"HUB_NAME",
"description": "DESCRIPTION",
"linkedVpcNetwork": {
"uri": "VPC_NETWORK_URI",
"include_export_ranges": "[INCLUDE_RANGES]",
"exclude_export_ranges": "[EXCLUDE_IPV4_RANGES]",
"group": "GROUP_NAME"
},
}
Substitua:
Como o hub usa a topologia de inspeção híbrida, os nomes de grupo válidos para spokes de VPC são prod, non-prod e services.
Para mais opções disponíveis ao adicionar um spoke VPC, incluindo detalhes sobre filtros de exportação, consulte Criar um spoke VPC.