Connetti due siti utilizzando spoke VPN

Questo tutorial descrive come utilizzare un hub di Network Connectivity Center e gli spoke di Cloud VPN per configurare il trasferimento di dati tra due filiali.

Per saperne di più sulla creazione di hub e spoke, consulta Utilizzare hub e spoke.

Prima di iniziare

Prima di iniziare, rivedi le sezioni seguenti.

Crea o seleziona un progetto

Per semplificare la configurazione di Network Connectivity Center, inizia identificando un progetto valido.

Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.

Vai al selettore progetti

Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

Installa Google Cloud CLI.

Per initialize gcloud CLI, esegui questo comando:

gcloud init

Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.

Vai al selettore progetti

Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

Installa Google Cloud CLI.

Per initialize gcloud CLI, esegui questo comando:

gcloud init

Se utilizzi Google Cloud CLI, imposta l'ID progetto utilizzando il comando gcloud config set.
```
gcloud config set project PROJECT_ID
```
Sostituisci PROJECT_ID con l'ID progetto univoco.

Le istruzioni dell'interfaccia a riga della gcloud CLI in questa pagina presuppongono che tu abbia impostato l'ID progetto.

Per verificare di aver impostato correttamente l'ID progetto, utilizza il comando gcloud config list.
```
gcloud config list --format='text(core.project)'
```

Convenzioni per l'identificazione delle risorse

Quando fai riferimento alle risorse utilizzando gcloud CLI o l'API, utilizza le convenzioni nella seguente tabella.

Convegno	Supportata per	Note	Esempio
URI completo	Tutte le risorse	Devi utilizzare uno di questi metodi per fare riferimento alle istanze dell'appliance router.	"https://www.googleapis.com/compute/projects/`PROJECT_ID`/zones/`ZONE`/instances/`INSTANCE_NAME`"
Nome risorsa relativo	Tutte le risorse		"projects/`PROJECT_ID`/zones/`ZONE`/instances/`INSTANCE_NAME`"
Nome	Risorse a livello di regione e globale	Questo metodo può essere utilizzato per hub, spoke, tunnel VPN e collegamenti VLAN.	"`HUB_NAME`"

Topologia di esempio

Il seguente diagramma descrive le risorse di esempio utilizzate in questo tutorial.

Tutorial su Topology for Network Connectivity Center. — Tutorial sulla topologia per Network Connectivity Center (fai clic per ingrandire)

Configurazione della connettività per il trasferimento di dati

Per configurare la connettività per il trasferimento di dati, procedi nel seguente modo:

Crea risorse Google Cloud come una rete Virtual Private Cloud (VPC), gateway e tunnel VPN ad alta disponibilità e router Cloud.
Crea un hub.
Definisci uno spoke per la prima e la seconda filiale. Ogni spoke deve utilizzare un tunnel VPN come risorsa sottostante.
Verifica la configurazione.

Creare risorse Google Cloud

Questo tutorial presuppone che tu abbia già creato le seguenti risorse Google Cloud:

Una rete VPC con la modalità di routing dinamico impostata su global
Nella regione più vicina a Office1, una subnet, un gateway VPN ad alta disponibilità, un router Cloud e un tunnel che connette l'interfaccia gateway a Office1
Nella regione più vicina a Office2, una subnet, un gateway VPN ad alta disponibilità, un router Cloud e un tunnel che connette l'interfaccia gateway a Office2

Se devi creare queste risorse, consulta i seguenti documenti:

Per creare una rete VPC, consulta la sezione Creazione di reti. Poiché questa configurazione utilizza spoke in regioni diverse, imposta la modalità di routing dinamico della rete su global.
Per creare le subnet, consulta Aggiunta di subnet.
Per creare gateway VPN ad alta disponibilità, tunnel e un router Cloud, consulta Creazione di un gateway VPN ad alta disponibilità in un gateway VPN peer.

Dopo aver identificato le risorse Google Cloud esistenti o crearne di nuove, vai alla sezione successiva.

Crea l'hub

Per prima cosa, crea un hub. In seguito, collegherai gli spoke a questo hub.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o dei seguenti ruoli IAM.

Autorizzazioni

networkconnectivity.hubs.create
Se utilizzi la console Google Cloud:
- networkconnectivity.hubs.get
- networkconnectivity.hubs.list
- networkconnectivity.spokes.list
- compute.projects.get

Ruoli

Amministratore hub e spoke (roles/networkconnectivity.hubAdmin)
Se stai utilizzando la console Google Cloud: Visualizzatore rete Compute (roles/compute.networkViewer))

Console

Nella console Google Cloud, vai alla pagina Network Connectivity Center.

Vai al Network Connectivity Center
Nel menu a discesa del progetto, seleziona un progetto: nel diagramma di esempio, il progetto è my-project.
Inserisci un Nome hub, in questo caso my-hub.
Inserisci una descrizione facoltativa.
Verifica l'ID progetto. Se l'ID progetto non è corretto, seleziona un altro progetto utilizzando il menu a discesa nella parte superiore dello schermo.
Fai clic su Continua.
Per aggiungere lo spoke Office1 all'hub, passa alla sezione Creare lo spoke per Office 1.

gcloud

Per creare un hub, utilizza il comando gcloud network-connectivity hubs create.

  gcloud network-connectivity hubs create HUB_NAME \
     --description="DESCRIPTION" \
     --labels="KEY"="VALUE"

Sostituisci i seguenti valori:

HUB_NAME: il nome del nuovo hub, in questo caso my-hub
DESCRIPTION: testo facoltativo che descrive l'hub
KEY: la chiave nella coppia chiave-valore per il testo dell'etichetta facoltativa
VALUE: il valore nella coppia chiave-valore per il testo dell'etichetta facoltativa

Per aggiungere lo spoke Office1 all'hub, passa alla sezione Creare lo spoke per Office 1.

API

Per creare un hub, utilizza il metodo networkconnectivity.hubs.create.

  POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/global/hubs
  {
    "name":"HUB_NAME",
    "description":"DESCRIPTION",
    "labels": {
      "KEY": "VALUE"
    }
  }

Sostituisci i seguenti valori:

PROJECT_ID: l'ID del progetto che contiene il nuovo hub, ad esempio my-project
HUB_NAME: il nome del nuovo hub, ad esempio my-hub
DESCRIPTION: testo facoltativo che descrive l'hub
KEY: la chiave nella coppia chiave-valore per il testo dell'etichetta facoltativa
VALUE: il valore nella coppia chiave-valore per il testo dell'etichetta facoltativa

Per aggiungere lo spoke Office1 all'hub, passa alla sezione Creare lo spoke per Office 1.

Crea lo spoke per Office 1

Crea uno spoke per Office1. Usa due tunnel VPN ad alta disponibilità come risorse sottostanti dello spoke. Ogni tunnel deve provenire da un gateway VPN ad alta disponibilità nella regione più vicina all'ufficio. Nel Diagramma di esempio, questi tunnel sono rappresentati come vpn-tunnel1-office1 e vpn-tunnel2-office1.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o dei seguenti ruoli IAM.

Autorizzazioni

networkconnectivity.spokes.create
compute.routers.get
compute.vpnTunnels.get
Se utilizzi la console Google Cloud, devi disporre dell'autorizzazione per visualizzare determinate risorse di rete. Per maggiori dettagli, consulta Ruoli e autorizzazioni.

Ruoli

Il valore sarà uno dei seguenti:
- Spoke Admin (roles/networkconnectivity.spokeAdmin)
- Amministratore hub e spoke (roles/networkconnectivity.hubAdmin)
Un ruolo, come Visualizzatore rete Compute (roles/compute.networkViewer), che ti concede l'autorizzazione per leggere le risorse del router Cloud e il tipo di risorsa dello spoke (in questo caso, i tunnel VPN)
Se stai utilizzando la console Google Cloud, visualizzatore di rete Compute (roles/compute.networkViewer)

Console

I passaggi seguenti continuano da Creare l'hub. Spiegano come creare uno spoke subito dopo aver specificato il nome e la descrizione dell'hub.

Nel modulo Nuovo spoke, imposta il campo Tipo di spoke su Tunnel VPN.
Inserisci un Nome spoke, in questo caso office-1-spoke.
Facoltativamente, inserisci una descrizione dello spoke.
Seleziona la Regione per lo spoke: nel diagramma di esempio, lo spoke si trova in us-west1.
In Trasferimento di dati da sito a sito, seleziona On.
Seleziona la rete VPC appropriata. Nel diagramma di esempio, lo spoke si trova in network-a.
Seleziona un tunnel VPN. Se necessario, fai clic su Aggiungi tunnel per aggiungere un altro campo Tunnel VPN. Nel diagramma di esempio vengono utilizzati due tunnel: vpn-tunnel1-office1 e vpn-tunnel2-office1. Quando hai completato l'aggiunta dei tunnel, fai clic su Fine.
Fai clic su Crea.

La pagina Network Connectivity Center si aggiorna per mostrare i dettagli sugli spoke creati. Per aggiungere lo spoke Office2 all'hub, vai a Creare lo spoke per Office 2.

gcloud

Per creare lo spoke, utilizza il comando gcloud network-connectivity spokes linked-vpn-tunnels create.

  gcloud network-connectivity spokes linked-vpn-tunnels create SPOKE_NAME \
    --hub=HUB_NAME \
    --description="DESCRIPTION" \
    --vpn-tunnels=TUNNEL_NAME,TUNNEL_NAME_2 \
    --region=REGION \
    --labels="KEY"="VALUE" \
    --site-to-site-data-transfer

Sostituisci i seguenti valori:

SPOKE_NAME: il nome dello spoke, in questo caso office-1-spoke
HUB_NAME: il nome dell'hub a cui stai collegando lo spoke, in questo caso my-hub
DESCRIPTION: testo facoltativo che descrive lo spoke
TUNNEL_NAME: il nome del primo tunnel VPN ad alta disponibilità, in questo caso vpn-tunnel1-office1
TUNNEL_NAME_2: il nome del tunnel ridondante, in questo caso vpn-tunnel2-office1. Quando includi un secondo tunnel, non utilizzare uno spazio tra la virgola e il nome del secondo tunnel.
REGION: la regione Google Cloud in cui si trova lo spoke, in questo caso us-west1
KEY: la chiave nella coppia chiave-valore per il testo dell'etichetta facoltativa
VALUE: il valore nella coppia chiave-valore per il testo dell'etichetta facoltativa

Per aggiungere lo spoke Office2 all'hub, passa alla sezione Creare lo spoke per Office 2.

API

Per creare lo spoke, utilizza il metodo networkconnectivity.spokes.create.

  POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/spokes/SPOKE_NAME
  {
    "hub": "HUB_NAME",
    "labels": {"KEY": "VALUE"},
    "linkedVpnTunnels": {
      "uris: [
        "TUNNEL_NAME",
        "TUNNEL_NAME_2"
      ],
      "siteToSiteDataTransfer": true
    }
  }

Sostituisci i seguenti valori:

PROJECT_ID: l'ID del progetto
REGION: la regione Google Cloud in cui vuoi localizzare lo spoke, in questo caso us-west1
SPOKE_NAME: il nome dello spoke
HUB_NAME: il nome dell'hub a cui è collegato lo spoke
KEY: la chiave nella coppia chiave-valore per il testo dell'etichetta facoltativa
VALUE: il valore nella coppia chiave-valore per il testo dell'etichetta facoltativa
TUNNEL_NAME: il nome del primo tunnel VPN ad alta disponibilità, in questo caso vpn-tunnel1-office1
TUNNEL_NAME_2: il nome del tunnel ridondante, in questo caso vpn-tunnel2-office1. Quando includi un secondo tunnel, non utilizzare uno spazio tra la virgola e il nome del secondo tunnel.

Crea lo spoke per Office 2

Crea uno spoke per Office2. Usa due tunnel VPN ad alta disponibilità come risorse sottostanti dello spoke. Ogni tunnel deve provenire da un gateway VPN ad alta disponibilità nella regione più vicina all'ufficio. Nel Diagramma di esempio, questi tunnel sono rappresentati come vpn-tunnel1-office2 e vpn-tunnel2-office2.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o dei seguenti ruoli IAM.

Autorizzazioni

networkconnectivity.spokes.create
compute.routers.get
compute.vpnTunnels.get
Se utilizzi la console Google Cloud, devi disporre dell'autorizzazione per visualizzare determinate risorse di rete. Per maggiori dettagli, consulta Ruoli e autorizzazioni.

Ruoli

Il valore sarà uno dei seguenti:
- Spoke Admin (roles/networkconnectivity.spokeAdmin)
- Amministratore hub e spoke (roles/networkconnectivity.hubAdmin)
Un ruolo, come Visualizzatore rete Compute (roles/compute.networkViewer), che ti concede l'autorizzazione per leggere le risorse del router Cloud e il tipo di risorsa dello spoke (in questo caso, i tunnel VPN)
Se stai utilizzando la console Google Cloud, visualizzatore di rete Compute (roles/compute.networkViewer)

Console

Per creare il secondo spoke:

Vai alla pagina di Network Connectivity Center.

Vai al Network Connectivity Center
Nel menu a discesa del progetto, seleziona un progetto: nel diagramma di esempio, il progetto è my-project.
Fai clic sulla scheda Spoke.
Fai clic su Aggiungi spoke per aprire la pagina Aggiungi spoke.
Nel modulo Nuovo spoke, imposta il campo Tipo di spoke su Tunnel VPN.
Inserisci un Nome spoke, in questo caso office-2-spoke.
Facoltativamente, inserisci una descrizione dello spoke.
Seleziona la Regione per lo spoke: nel diagramma di esempio, lo spoke si trova in us-east1.
In Trasferimento di dati da sito a sito, seleziona On.
Verifica che il campo Rete VPC sia impostato sulla stessa rete dell'ultimo spoke che hai creato; nel diagramma di esempio, è network-a.
Seleziona un tunnel VPN. Se necessario, fai clic su Aggiungi tunnel per aggiungere un altro campo Tunnel VPN. Nel diagramma di esempio vengono utilizzati due tunnel: vpn-tunnel1-office2 e vpn-tunnel2-office2. Quando hai completato l'aggiunta dei tunnel, fai clic su Fine.
Fai clic su Crea.

gcloud

Per creare lo spoke, utilizza il comando gcloud network-connectivity spokes linked-vpn-tunnels create.

  gcloud network-connectivity spokes linked-vpn-tunnels create SPOKE_NAME \
    --hub=HUB_NAME \
    --description="DESCRIPTION" \
    --vpn-tunnels=TUNNEL_NAME,TUNNEL_NAME_2 \
    --region=REGION \
    --labels="KEY"="VALUE" \
    --site-to-site-data-transfer

Sostituisci i seguenti valori:

SPOKE_NAME: il nome dello spoke, in questo caso office-2-spoke
HUB_NAME: il nome dell'hub a cui stai collegando lo spoke, in questo caso my-hub
DESCRIPTION: testo facoltativo che descrive lo spoke
TUNNEL_NAME: il nome del primo tunnel VPN ad alta disponibilità, in questo caso vpn-tunnel1-office2
TUNNEL_NAME_2: il nome del tunnel ridondante, in questo caso vpn-tunnel2-office2. Quando includi un secondo tunnel, non utilizzare uno spazio tra la virgola e il nome del secondo tunnel.
REGION: la regione Google Cloud in cui si trova lo spoke, in questo caso us-east1
KEY: la chiave nella coppia chiave-valore per il testo dell'etichetta facoltativa
VALUE: il valore nella coppia chiave-valore per il testo dell'etichetta facoltativa

Per aggiungere lo spoke Office2 all'hub, passa alla sezione Creare lo spoke per Office 2.

API

Per creare lo spoke, utilizza il metodo networkconnectivity.spokes.create.

  POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/spokes/SPOKE_NAME
  {
    "hub": "HUB_NAME",
    "labels": {"KEY": "VALUE"},
    "linkedVpnTunnels": {
      "uris": [
        "TUNNEL_NAME",
        "TUNNEL_NAME_2"
      ],
      "siteToSiteDataTransfer": true
    }
  }

Sostituisci i seguenti valori:

PROJECT_ID: l'ID del progetto
REGION: la regione Google Cloud in cui vuoi localizzare lo spoke, in questo caso us-east1
SPOKE_NAME: il nome dello spoke
HUB_NAME: il nome dell'hub a cui è collegato lo spoke
KEY: la chiave nella coppia chiave-valore per il testo dell'etichetta facoltativa
VALUE: il valore nella coppia chiave-valore per il testo dell'etichetta facoltativa
TUNNEL_NAME: il nome del primo tunnel VPN ad alta disponibilità, in questo caso vpn-tunnel1-office2
TUNNEL_NAME_2: il nome del tunnel ridondante. In questo caso, vpn-tunnel2-office2. Quando includi un secondo tunnel, non utilizzare uno spazio tra la virgola e il nome del secondo tunnel.

Verificare la configurazione

Dopo aver configurato l'hub e i relativi spoke, dovresti essere in grado di passare il traffico dall'istanza della macchina virtuale (VM) di un ufficio all'istanza VM dell'altro ufficio. Per farlo, ogni VM deve avere accesso al tunnel VPN nella rispettiva area geografica.

Esegui la pulizia della configurazione

Segui i passaggi nelle sezioni seguenti per pulire la configurazione di esempio. Per evitare di continuare a fatturare, elimina le risorse che hai creato.

Elimina il progetto

Se vuoi eliminare il progetto che hai creato, segui questi passaggi. In alternativa, puoi conservare il progetto ed eliminare le singole risorse, come descritto nelle sezioni seguenti.

Attenzione: l'eliminazione di un progetto ha i seguenti effetti:

L'intero contenuto del progetto viene eliminato. Se hai utilizzato un progetto esistente per le attività in questo documento, quando lo elimini elimini anche qualsiasi altro lavoro svolto nel progetto.
Gli ID progetto personalizzati non sono più disponibili. Quando hai creato questo progetto, potresti aver creato un ID progetto personalizzato che vuoi utilizzare in futuro. Per conservare gli URL che utilizzano l'ID progetto, ad esempio un URL appspot.com, elimina le risorse selezionate all'interno del progetto anziché eliminare l'intero progetto.

Se intendi esplorare più architetture, tutorial o guide rapide, puoi riutilizzare i progetti ed evitare così di superare i limiti di quota.

Nella console Google Cloud, vai alla pagina Gestisci risorse.
Vai a Gestisci risorse
Nell'elenco dei progetti, seleziona il progetto che vuoi eliminare, quindi fai clic su Elimina.
Nella finestra di dialogo, digita l'ID del progetto e fai clic su Chiudi per eliminare il progetto.

Elimina entrambi gli spoke

Prima di eliminare un hub devi eliminare tutti gli spoke.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o dei seguenti ruoli IAM.

Autorizzazioni

networkconnectivity.spokes.delete
Inoltre, se utilizzi la console Google Cloud:
- networkconnectivity.hubs.get
- networkconnectivity.hubs.list
- networkconnectivity.spokes.list
- compute.projects.get

Ruoli

Il valore sarà uno dei seguenti:
- Amministratore spoke (roles/networkconnectivity.spokeAdmin
- Amministratore hub e spoke (roles/networkconnectivity.hubAdmin)
Inoltre, se utilizzi la console Google Cloud:
- Visualizzatore rete Compute (roles/compute.networkViewer)

Console

Vai alla pagina Network Connectivity Center.

Vai al Network Connectivity Center
Nel menu a discesa del progetto, seleziona un progetto: nel diagramma di esempio, il progetto è my-project.
Fai clic sulla scheda Spoke.
Visualizza l'elenco dei nomi degli spoke per il progetto.
Seleziona le caselle di controllo per gli spoke che vuoi eliminare, in questo caso office-1-spoke e office-2-spoke.
Fai clic su Elimina spoke.
Nella finestra di dialogo di conferma, fai clic su Elimina.

gcloud

Per eliminare gli spoke, utilizza il comando gcloud network-connectivity spokes delete. Usa il comando due volte, una volta per eliminare office-1-spoke e di nuovo per eliminare office-2-spoke.

  gcloud network-connectivity spokes delete SPOKE_NAME \
    --region=REGION

Sostituisci i seguenti valori:

SPOKE_NAME: il nome dello spoke da eliminare, in questo caso, office-1-spoke e office-2-spoke
REGION: la regione Google Cloud in cui si trova lo spoke

API

Per eliminare gli spoke, utilizza il metodo networkconnectivity.spokes.delete. Utilizza questo metodo due volte, una per eliminare office-1-spoke e un'altra per eliminare office-2-spoke.

  DELETE https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/spokes/SPOKE_NAME

Sostituisci i seguenti valori:

PROJECT_ID: l'ID del progetto che contiene lo spoke e, nel diagramma di esempio, il progetto è my-project
REGION: la regione Google Cloud in cui si trova lo spoke
SPOKE_NAME: il nome dello spoke da eliminare, in questo caso, office-1-spoke e office-2-spoke

Elimina l'hub

Dopo aver eliminato gli spoke, puoi eliminare l'hub.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o dei seguenti ruoli IAM.

Autorizzazioni

networkconnectivity.hubs.delete
Inoltre, se utilizzi la console Google Cloud:
- networkconnectivity.hubs.get
- networkconnectivity.hubs.list
- networkconnectivity.spokes.list
- compute.projects.get

Ruoli

Amministratore hub e spoke (roles/networkconnectivity.hubAdmin)
Inoltre, se stai utilizzando la console Google Cloud, visualizzatore di rete Compute (roles/compute.networkViewer))

Console

Nella console Google Cloud, vai alla pagina Network Connectivity Center.

Vai al Network Connectivity Center
Nel menu a discesa del progetto, seleziona un progetto: nel diagramma di esempio, il progetto è my-project.
Fai clic su Elimina hub.
Nella finestra di dialogo di conferma, fai clic su Elimina per eliminare l'hub.

gcloud

Per eliminare l'hub, utilizza il comando gcloud network-connectivity hubs delete.

  gcloud network-connectivity hubs delete HUB_NAME /
    --project=PROJECT_ID

Sostituisci i seguenti valori:

HUB_NAME: il nome dell'hub da eliminare, in questo caso, my-hub.
PROJECT_ID: l'ID del progetto che contiene l'hub; nel diagramma di esempio, il progetto è my-project

API

Per eliminare l'hub, utilizza il metodo networkconnectivity.hubs.delete.

  DELETE https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/global/hubs/HUB_NAME

Sostituisci i seguenti valori:

PROJECT_ID: l'ID del progetto che contiene l'hub; nel diagramma di esempio, il progetto è my-project
HUB_NAME: il nome dell'hub da eliminare

Elimina la rete e la subnet VPC

Elimina la rete e la subnet VPC che hai configurato per questo tutorial.

Passaggi successivi

Per visualizzare una topologia di esempio, consulta Topologia di esempio per trasferimento di dati site-to-site.
Per scoprire di più su come Network Connectivity Center consente la connettività mesh completa, consulta Scambio di route con trasferimento di dati site-to-site.
Per informazioni sui requisiti di alta disponibilità, consulta Requisiti di alta disponibilità per le risorse spoke.
Per creare hub e spoke, consulta Utilizzare hub e spoke.
Per trovare soluzioni ai problemi relativi a Network Connectivity Center, consulta la sezione Risoluzione dei problemi.