Lorsque vous créez un hub Network Connectivity Center, vous pouvez choisir l'une des topologies prédéfinies suivantes. La topologie maillée est utilisée par défaut.
- Topologie maillée
- Topologie en étoile
- Topologie d'inspection hybride
Une fois que vous avez créé un hub avec une topologie prédéfinie, vous ne pouvez plus la modifier.
Groupes de spokes
En fonction de la topologie, un hub prend en charge un ou plusieurs groupes de spokes. Les types de spokes pouvant être inclus dans chaque groupe de spokes dépendent également de la topologie du hub. Les caractéristiques suivantes s'appliquent à toutes les topologies:
- Chaque groupe de branches est un domaine de routage avec sa propre table de routage. La table de routage du groupe de spokes est automatiquement mise à jour lorsque des spokes sont ajoutés ou supprimés du groupe.
- Chaque spoke ajouté à un hub ne peut appartenir qu'à un seul groupe de spokes.
- Network Connectivity Center accepte automatiquement les spokes ajoutés à partir du même projet que le hub.
- Network Connectivity Center propose des options d'acceptation automatique et d'examen des propositions de spokes lorsque vous ajoutez des spokes VPC qui se trouvent dans des projets différents du hub. Pour en savoir plus, consultez la section Spokes VPC dans un projet différent d'un hub.
Pour savoir comment configurer des topologies et des groupes de spokes, consultez Configurer un hub.
Topologie maillée
Avec la topologie de maillage, tous les spokes du hub appartiennent à un seul groupe de spokes.
Si vous créez un hub sans spécifier explicitement de topologie, la topologie du hub est définie par défaut sur "Mesh". Lorsque vous ajoutez au moins deux réseaux VPC de charge de travail au hub en tant que spokes VPC, chaque spoke VPC exporte ses routes de sous-réseau en fonction des filtres d'inclusion et d'exclusion d'exportation configurés. Pour en savoir plus sur l'échange de routes de sous-réseau entre les spokes VPC, consultez la section Présentation des spokes VPC.
La topologie en maillage est également compatible avec la connectivité réseau à grande échelle entre les spokes VPC et les spokes hybrides. Les administrateurs de spoke ou les administrateurs réseau d'un réseau VPC de routage contenant des spokes hybrides doivent configurer l'annonce des routes de sous-réseau reçues des spokes VPC. Pour en savoir plus, consultez la section Établir une connectivité entre les spokes hybrides et les spokes VPC.
Le schéma suivant montre un hub qui utilise la topologie de maillage et comporte trois spokes VPC.
Types de spokes acceptés
La topologie en réseau maillé est compatible avec les spokes VPC, les spokes VPC de producteur et les spokes hybrides dans son groupe de spokes unique.
La commande gcloud network-connectivity hubs groups list --hub ne renvoie que le seul groupe de spokes par défaut lorsque vous utilisez une topologie de réseau maillé.
Topologie en étoile
La topologie en étoile comporte deux groupes de spokes qui fournissent une segmentation réseau à l'aide de tables de routage distinctes pour chaque groupe de spokes. Les règles de table de routage suivantes s'appliquent à chaque groupe de branches:
- Le groupe de spokes central autorise des routes dans sa table de routage qui permettent aux ressources des spokes du groupe central de communiquer avec les ressources des spokes du groupe central ou du groupe périphérique.
- Le groupe de spokes périphériques n'autorise que les routes de sa table de routage qui permettent aux ressources des spokes du groupe périphérique de communiquer avec les ressources des spokes du groupe central. Network Connectivity Center interdit les routes de la table de routage du groupe de spokes périphériques qui fourniraient une connectivité entre les différents spokes du groupe de spokes périphériques.
Sous réserve des règles de la table de routage du groupe de spokes, les administrateurs de spokes ou les administrateurs réseau peuvent effectuer les opérations suivantes :
Utilisez les filtres d'inclusion d'exportation et d'exclusion d'exportation pour contrôler les plages de sous-réseaux qu'un spoke VPC exporte vers la table de routage du groupe de spokes auquel il appartient.
Contrôlez les plages de sous-réseaux de spoke VPC qui sont exportées sur les sessions BGP des routeurs Cloud dans les spokes hybrides. Pour en savoir plus, consultez Établir une connectivité entre les spokes hybrides et les spokes VPC.
Le schéma suivant illustre la connectivité de la topologie en étoile entre quatre rayons de VPC. Les spokes VPC center-vpc-a et center-vpc-b sont membres du groupe de spokes centraux, et les spokes VPC edge-vpc-c et edge-vpc-d sont membres du groupe de spokes périphériques.
Types de spokes acceptés
La topologie en étoile est compatible avec les spokes VPC, les spokes VPC de producteur et les spokes hybrides. Le tableau suivant présente les groupes de rayons compatibles en fonction du type de rayon:
| Spoke | Peuvent appartenir au groupe de spokes du centre | Peut faire partie du groupe de spokes de bord |
|---|---|---|
| Spoke VPC | ||
| Spoke VPC de producteur | ||
| Spoke hybride avec transfert de données de site à site désactivé | ||
| Spoke hybride avec transfert de données de site à site activé |
La commande gcloud network-connectivity hubs groups list --hub renvoie les groupes center (centre) et edge (périphérique) lorsque vous utilisez une topologie en étoile.
Compatibilité des spokes hybrides avec la topologie en étoile
Un hub configuré pour utiliser la topologie en étoile applique les limites suivantes à ses spokes hybrides:
- Les spokes hybrides pour lesquels le transfert de données de site à site est activé doivent appartenir au groupe de spokes central.
- Les spokes hybrides sans transfert de données de site à site activé peuvent appartenir au groupe de spokes central ou au groupe de spokes de périphérie.
Pour en savoir plus sur la configuration de la topologie maillée ou en étoile pour vos spokes VPC, consultez la section Configurer un hub.
Topologie d'inspection hybride
La topologie d'inspection hybride comporte quatre groupes de spokes qui fournissent des fonctionnalités de segmentation de réseau et d'inspection de paquets:
- Le groupe de rayons prod est conçu pour les charges de travail de production.
- Le groupe de rayons non-prod est conçu pour les charges de travail hors production.
- Le groupe de rayons services est conçu pour les services essentiels aux charges de travail en production et hors production.
- Le groupe de spokes gateways est compatible avec les spokes de passerelle NCC qui servent de points de contrôle de sécurité.
Les règles suivantes s'appliquent à la table de routage de chaque groupe de spokes:
Le groupe de rayons de production autorise des routes dans sa table de routage qui permettent aux ressources des rayons du groupe de production de communiquer avec les ressources des rayons du groupe de production, du groupe de services ou du groupe de passerelles. Network Connectivity Center interdit les routes de la table de routage du groupe de spokes de production qui fourniraient une connectivité aux spokes du groupe non de production.
Le groupe de spokes non-prod permet des routes dans sa table de routage qui permettent aux ressources des spokes du groupe non-prod de communiquer avec les ressources des spokes du groupe non-prod, du groupe de services ou du groupe de passerelles. Network Connectivity Center interdit les routes de la table de routage du groupe de spokes non prod qui fourniraient une connectivité aux spokes du groupe de production.
Le groupe de spokes de services autorise des routes dans sa table de routage qui permettent aux ressources des spokes du groupe de services de communiquer avec les ressources des spokes de n'importe quel groupe de spokes.
Le groupe de spokes de passerelles autorise des routes dans sa table de routage qui permettent à chaque spoke de passerelle NCC de communiquer avec les ressources des spokes du groupe de production, du groupe de non-production ou du groupe de services. Network Connectivity Center ne permet pas aux spokes de passerelle NCC de communiquer entre eux.
Sous réserve des règles de la table de routage du groupe de spokes, les administrateurs de spokes ou les administrateurs réseau peuvent effectuer les opérations suivantes:
Utilisez les filtres d'inclusion et d'exclusion d'exportation pour contrôler les plages de sous-réseaux qu'un spoke VPC exporte vers la table de routage du groupe de spokes auquel il appartient.
Créez des annonces de routage personnalisées sur les sessions BGP des routeurs cloud qui gèrent les connexions hybrides dans les branches du NCC Gateway. Ces annonces de routage personnalisées peuvent inclure des plages de sous-réseaux de spoke VPC. Pour en savoir plus, consultez Ajouter des connexions hybrides à la passerelle NCC.
Contrôlez les plages de sous-réseaux de spoke VPC qui sont exportées sur les sessions BGP des routeurs Cloud dans les spokes hybrides. Pour en savoir plus, consultez Établir une connectivité entre les spokes hybrides et les spokes VPC.
Disponibilité de Security Service Edge
L'inspection des paquets SSE (Security Service Edge) n'est disponible que pour le trafic acheminé entre un rayon NCC Gateway du groupe de rayons de passerelles et un rayon du groupe de production, du groupe de non-production ou du groupe de services.
Le tableau suivant indique si le routage est autorisé et si l'inspection des paquets SSE est disponible pour le trafic acheminé entre les spokes de différents groupes de spokes.
| Spoke de ressources de destination | ||||
|---|---|---|---|---|
| Spoke de la ressource source | dans le groupe prod | dans le groupe non-prod | dans le groupe services | dans le groupe passerelles |
| dans le groupe prod | routage Inspection SSE |
routage Inspection SSE |
routage Inspection SSE |
routage Inspection SSE |
| dans le groupe non-prod | routage Inspection SSE |
routage Inspection SSE |
routage Inspection SSE |
routage Inspection SSE |
| dans le groupe services | routage Inspection SSE |
routage Inspection SSE |
routage Inspection SSE |
routage Inspection SSE |
| dans le groupe passerelles | routage Inspection SSE |
routage Inspection SSE |
routage Inspection SSE |
routage Inspection SSE |
Types de spokes acceptés
La topologie d'inspection hybride est compatible avec les spokes VPC, les spokes VPC de producteur, les spokes hybrides et les spokes de la passerelle NCC. Le tableau suivant présente les groupes de rayons compatibles en fonction du type de rayon.
| Spoke | Peut appartenir au groupe de spokes de production | Peut appartenir au groupe de spokes non productifs | Peut appartenir au groupe de rayons de services | Peuvent faire partie du groupe de spokes de passerelles |
|---|---|---|---|---|
| Spoke VPC | ||||
| Spoke VPC de producteur | ||||
| Spoke hybride avec transfert de données de site à site désactivé | ||||
| Spoke hybride avec transfert de données de site à site activé | ||||
| Spoke de passerelle NCC |
La commande gcloud network-connectivity hubs groups list --hub renvoie les groupes de production, de non-production, de services et de passerelles lorsque vous utilisez une topologie d'inspection hybride.
Étapes suivantes
- Pour en savoir plus sur Network Connectivity Center, consultez la section Présentation de Network Connectivity Center.
- Pour trouver des solutions aux problèmes courants, consultez la page Résoudre les problèmes liés à Network Connectivity Center.
- Pour obtenir des détails sur les commandes de l'API et
gcloud, consultez la section API et documentation de référence. - Apprenez à créer des hubs et des spokes en consultant la section Utiliser des hubs et des spokes.