Wenn Sie einen Network Connectivity Center-Hub erstellen, können Sie eine der folgenden vordefinierten Topologien auswählen. Die Mesh-Topologie ist die Standardeinstellung.
- Mesh-Netzwerktopologie
- Sterntopologie
- Hybride Prüftopologie
Nachdem Sie einen Hub mit einer voreingestellten Topologie erstellt haben, können Sie die Topologie nicht mehr ändern.
Spoke-Gruppen
Je nach Topologie unterstützt ein Hub eine oder mehrere Spoke-Gruppen. Die Arten von Spokes, die in jeder Spoke-Gruppe enthalten sein können, hängen auch von der Hub-Topologie ab. Für alle Topologien gelten die folgenden Merkmale:
- Jede Spoke-Gruppe ist eine Routingdomain mit einer eigenen Routentabelle. Die Routentabelle der Spoke-Gruppe wird automatisch aktualisiert, wenn der Spoke-Gruppe Spokes hinzugefügt oder daraus entfernt werden.
- Jeder Spoke, der einem Hub hinzugefügt wird, kann nur zu einer Spoke-Gruppe gehören.
- Network Connectivity Center akzeptiert automatisch Spokes, die aus demselben Projekt wie der Hub hinzugefügt werden.
- Network Connectivity Center bietet sowohl automatische Annahme als auch Optionen zur Überprüfung von Spoke-Vorschlägen, wenn Sie VPC-Spokes hinzufügen, die sich in anderen Projekten als der Hub befinden. Weitere Informationen finden Sie unter VPC-Spokes in einem anderen Projekt als einem Hub.
Eine Anleitung zum Konfigurieren von Topologien und Spoke-Gruppen finden Sie unter Hub konfigurieren.
Mesh-Netzwerktopologie
Bei einer Mesh-Topologie gehören alle Spokes am Hub zu einer einzigen Spoke-Gruppe.
Wenn Sie einen Hub erstellen, ohne explizit eine Topologie anzugeben, wird standardmäßig die Mesh-Topologie verwendet. Wenn Sie dem Hub zwei oder mehr VPC-Netzwerke für Arbeitslasten als VPC-Spokes hinzufügen, exportiert jeder VPC-Spoke seine Subnetzrouten gemäß den konfigurierten Filtern für den Export einschließen und Export ausschließen. Weitere Informationen zum Austausch von Subnetz-Routen zwischen VPC-Spokes finden Sie unter VPC-Spokes.
Die Mesh-Topologie unterstützt auch eine skalierbare Netzwerkkonnektivität zwischen VPC-Spokes und Hybrid-Spokes. Spoke-Administratoren oder Netzwerkadministratoren für ein routingfähiges VPC-Netzwerk mit Hybrid-Spokes müssen die Ankündigung von Subnetzrouten konfigurieren, die von VPC-Spokes empfangen werden. Weitere Informationen finden Sie unter Verbindung zwischen Hybrid-Spokes und VPC-Spokes herstellen.
Das folgende Diagramm zeigt einen Hub mit drei VPC-Spokes, der die Mesh-Topologie verwendet.
Unterstützte Spoke-Typen
Die Mesh-Topologie unterstützt VPC-Spokes, Ersteller-VPC-Spokes und Hybrid-Spokes in einer einzelnen Spoke-Gruppe.
Der Befehl gcloud network-connectivity hubs groups list --hub gibt nur die einzelne Standard-Speichengruppe zurück, wenn eine Mesh-Topologie verwendet wird.
Sterntopologie
Die Sterntopologie hat zwei Spoke-Gruppen, die die Netzwerksegmentierung mithilfe separater Routingtabellen für jede Spoke-Gruppe ermöglichen. Für jede Spoke-Gruppe gelten die folgenden Regeln für die Routentabelle:
- Die Center-Spoke-Gruppe erlaubt Routen in ihrer Routentabelle, über die Ressourcen in Spokes der Center-Gruppe mit Ressourcen in Spokes der Center- oder Edge-Gruppe kommunizieren können.
- Die Edge-Spoke-Gruppe erlaubt in ihrer Routentabelle nur Routen, über die Ressourcen in Spokes der Edge-Gruppe mit Ressourcen in Spokes der Center-Gruppe kommunizieren können. Das Network Connectivity Center verbietet Routen in der Routentabelle der Edge-Spoke-Gruppe, die eine Verbindung zwischen verschiedenen Spokes in der Edge-Gruppe herstellen würden.
Vorbehaltlich der Regeln für die Spoke-Gruppen-Routentabelle können Spoke-Administratoren oder Netzwerkadministratoren Folgendes tun:
Mit den Export-Einschluss- und Export-Ausschlussfiltern können Sie steuern, welche Subnetzbereiche ein VPC-Spoke in die Routentabelle der Spoke-Gruppe exportiert, zu der der VPC-Spoke gehört.
Legen Sie fest, welche VPC-Spoke-Subnetzbereiche in den BGP-Sitzungen von Cloud Routern in Hybrid-Spokes exportiert werden. Weitere Informationen finden Sie unter Verbindung zwischen Hybrid-Spokes und VPC-Spokes herstellen.
Das folgende Diagramm zeigt die Sterntopologie zwischen vier VPC-Speichen. Die VPC-Spokes center-vpc-a und center-vpc-b sind Mitglieder der Center-Spoke-Gruppe und die VPC-Spokes edge-vpc-c und edge-vpc-d sind Mitglieder der Edge-Spoke-Gruppe.
Unterstützte Spoke-Typen
Die Sterntopologie unterstützt VPC-Spokes, Ersteller-VPC-Spokes und Hybrid-Spokes. In der folgenden Tabelle sind die Speichengruppen aufgeführt, die je nach Speichentyp unterstützt werden:
| Spoke | Kann sich in der Zentralsprechergruppe befinden | Kann sich in der Edge-Spoke-Gruppe befinden |
|---|---|---|
| VPC-Spoke | ||
| Ersteller-VPC-Spoke | ||
| Hybrid-Spoke mit deaktivierter Site-to-Site-Datenübertragung | ||
| Hybrid-Spoke mit aktivierter Site-to-Site-Datenübertragung |
Der Befehl gcloud network-connectivity hubs groups list --hub gibt bei Verwendung einer Sterntopologie die Gruppen center und edge zurück.
Kompatibilität von Hybrid-Spokes mit Sterntopologie
Für einen Hub, der für die Verwendung der Sterntopologie konfiguriert ist, gelten die folgenden Einschränkungen für seine Hybrid-Spokes:
- Hybrid-Spokes mit aktivierter Site-to-Site-Datenübertragung müssen sich in der zentralen Spoke-Gruppe befinden.
- Hybrid-Speichen, für die die Site-to-Site-Datenübertragung nicht aktiviert ist, können entweder zur Gruppe der zentralen Speichen oder zur Gruppe der Edge-Speichen gehören.
Ausführliche Informationen zum Konfigurieren der Mesh- oder Sterntopologie für Ihre VPC-Spokes finden Sie unter Hub konfigurieren.
Hybride Prüftopologie
Die hybride Prüftopologie umfasst die folgenden vier Spoke-Gruppen, die Netzwerksegmentierung und Paketprüfung ermöglichen:
- Die Spoke-Gruppe prod ist für Produktionsarbeitslasten vorgesehen.
- Die Spoke-Gruppe non-prod ist für Nicht-Produktionsarbeitslasten vorgesehen.
- Die Spoke-Gruppe services ist für Dienste vorgesehen, die sowohl für Produktions- als auch für andere Arbeitslasten unerlässlich sind.
- Die Spoke-Gruppe gateways unterstützt NCC-Gateway-Spokes, die als Sicherheitscheckpoints dienen.
Für die Routentabelle jeder Spoke-Gruppe gelten die folgenden Regeln:
Die Prod-Spoke-Gruppe erlaubt Routen in ihrer Routentabelle, über die Ressourcen in Spokes der Prod-Gruppe mit Ressourcen in Spokes der Prod-Gruppe, der Services-Gruppe oder der Gateway-Gruppe kommunizieren können. Das Network Connectivity Center verbietet Routen in der Routentabelle der Prod-Spoke-Gruppe, die eine Verbindung zu Spokes in der Non-Prod-Gruppe herstellen würden.
Die Non-Prod-Spoke-Gruppe erlaubt in ihrer Routentabelle Routen, über die Ressourcen in Spokes der Non-Prod-Gruppe mit Ressourcen in Spokes der Non-Prod-Gruppe, der Services-Gruppe oder der Gateway-Gruppe kommunizieren können. Das Network Connectivity Center verbietet Routen in der Routingtabelle der Non-Prod-Spoke-Gruppe, die eine Verbindung zu Spokes in der Prod-Gruppe herstellen würden.
Die Spoke-Gruppe „Dienste“ erlaubt in ihrer Routentabelle Routen, über die Ressourcen in Spokes der Dienstegruppe mit Ressourcen in Spokes beliebiger anderer Spoke-Gruppen kommunizieren können.
Die Gateway-Spoke-Gruppe erlaubt Routen in ihrer Routentabelle, mit denen jeder NCC-Gateway-Spoke mit Ressourcen in Spokes der Prod-Gruppe, der Non-Prod-Gruppe oder der Services-Gruppe kommunizieren kann. Im Network Connectivity Center können NCC-Gateway-Spokes nicht miteinander kommunizieren.
Vorbehaltlich der Regeln für die Spoke-Gruppen-Routentabelle können Spoke-Administratoren oder Netzwerkadministratoren Folgendes tun:
Mit Export-Einschluss- und Export-Ausschlussfiltern können Sie steuern, welche Subnetzbereiche ein VPC-Spoke in die Routentabelle der Spoke-Gruppe exportiert, zu der der VPC-Spoke gehört.
Erstellen Sie benutzerdefinierte Route Advertisements in den BGP-Sitzungen von Cloud Routern, die hybride Verbindungen in NCC-Gateway-Speichen verwalten. Diese benutzerdefinierten Routen-Anzeigen können VPC-Spoke-Subnetzbereiche enthalten. Weitere Informationen finden Sie unter Hybridverbindungen zum NCC-Gateway hinzufügen.
Legen Sie fest, welche VPC-Spoke-Subnetzbereiche in den BGP-Sitzungen von Cloud Routern in Hybrid-Spokes exportiert werden. Weitere Informationen finden Sie unter Verbindung zwischen Hybrid-Spokes und VPC-Spokes herstellen.
Verfügbarkeit von Security Service Edge
Die Paketprüfung von Security Service Edge (SSE) ist nur für Traffic verfügbar, der zwischen einem NCC-Gateway-Speichen in der Gateway-Speichengruppe und einem Spoke in der Prod-Gruppe, der Non-Prod-Gruppe oder der Services-Gruppe weitergeleitet wird.
In der folgenden Tabelle wird zusammengefasst, ob das Routing für Traffic, der zwischen Spokes in verschiedenen Spoke-Gruppen weitergeleitet wird, zulässig ist und ob die SSE-Paketprüfung verfügbar ist.
| Zielressourcen-Spoke | ||||
|---|---|---|---|---|
| Quellressourcen-Spoke | in der Gruppe prod | in der Gruppe non-prod | in der Gruppe services | in der Gruppe gateways |
| in der Gruppe prod | Routing SSE-Prüfung |
Routing SSE-Prüfung |
Routing SSE-Prüfung |
Routing SSE-Prüfung |
| in der Gruppe non-prod | Routing SSE-Prüfung |
Routing SSE-Prüfung |
Routing SSE-Prüfung |
Routing SSE-Prüfung |
| in der Gruppe Dienste | Routing SSE-Prüfung |
Routing SSE-Prüfung |
Routing SSE-Prüfung |
Routing SSE-Prüfung |
| in der Gruppe gateways | Routing SSE-Prüfung |
Routing SSE-Prüfung |
Routing SSE-Prüfung |
Routing SSE-Prüfung |
Unterstützte Spoke-Typen
Die hybride Prüftopologie unterstützt VPC-Spokes, Ersteller-VPC-Spokes, Hybrid-Spokes und NCC-Gateway-Spokes. In der folgenden Tabelle sind die Speichengruppen aufgeführt, die je nach Speichentyp unterstützt werden.
| Spoke | Kann in der Prod-Spoke-Gruppe sein | Kann sich in der Gruppe „Non-Prod-Spoke“ befinden | Kann in der Gruppe „Dienste“ sein | Kann sich in der Spoke-Gruppe des Gateways befinden |
|---|---|---|---|---|
| VPC-Spoke | ||||
| Ersteller-VPC-Spoke | ||||
| Hybrid-Spoke mit deaktivierter Site-to-Site-Datenübertragung | ||||
| Hybrid-Spoke mit aktivierter Site-to-Site-Datenübertragung | ||||
| NCC-Gateway-Spoke |
Der Befehl gcloud network-connectivity hubs groups list --hub gibt die Gruppen „prod“, „non-prod“, „services“ und „gateway“ zurück, wenn eine hybride Inspektionstopologie verwendet wird.
Nächste Schritte
- Weitere Informationen zum Network Connectivity Center finden Sie unter Network Connectivity Center – Übersicht.
- Lösungen für häufige Probleme finden Sie unter Fehlerbehebung beim Network Connectivity Center.
- Ausführliche Informationen zur API und zu
gcloud-Befehlen finden Sie unter APIs und Referenz. - Informationen zum Erstellen von Hubs und Spokes finden Sie unter Mit Hubs und Spokes arbeiten.