Lorsque vous créez un hub Network Connectivity Center, vous pouvez choisir l'une des topologies prédéfinies suivantes. La topologie maillée est celle par défaut.
- Topologie maillée
- Topologie en étoile
- Topologie d'inspection hybride (aperçu) : uniquement compatible avec NCC Gateway
Une fois que vous avez créé un hub avec une topologie prédéfinie, vous ne pouvez plus la modifier.
Groupes de spokes
Selon la topologie, un hub accepte un ou plusieurs groupes de spokes. Les types de spokes pouvant figurer dans chaque groupe de spokes dépendent également de la topologie du hub. Les caractéristiques suivantes s'appliquent à toutes les topologies :
- Chaque groupe de rayons est un domaine de routage avec sa propre table de routage. La table de routage du groupe de spokes est mise à jour automatiquement lorsque des spokes sont ajoutés ou supprimés du groupe.
- Chaque spoke ajouté à un hub ne peut appartenir qu'à un seul groupe de spokes.
- Network Connectivity Center accepte automatiquement les spokes ajoutés à partir du même projet que le hub.
- Network Connectivity Center propose des options d'acceptation automatique et d'examen des propositions de spokes lorsque vous ajoutez des spokes VPC qui se trouvent dans des projets différents de celui du hub. Pour en savoir plus, consultez Spokes VPC dans un projet différent d'un hub.
Pour savoir comment configurer des topologies et des groupes de spokes, consultez Configurer un hub.
Topologie maillée
Avec la topologie en maillage, tous les spokes du hub appartiennent à un seul groupe de spokes.
Si vous créez un hub sans spécifier explicitement de topologie, la topologie du hub est définie par défaut sur "Mesh". Lorsque vous ajoutez au moins deux réseaux VPC de charge de travail au hub en tant que spokes VPC, chaque spoke VPC exporte ses routes de sous-réseau en fonction des filtres d'inclusion et d'exclusion d'exportation configurés. Pour en savoir plus sur l'échange de routes de sous-réseau entre les spokes VPC, consultez la présentation des spokes VPC.
La topologie en maillage est également compatible avec la connectivité réseau à grande échelle entre les spokes VPC et les spokes hybrides. Les administrateurs de spoke ou les administrateurs réseau d'un réseau VPC de routage contenant des spokes hybrides doivent configurer l'annonce des routes de sous-réseau reçues des spokes VPC. Pour en savoir plus, consultez Établir la connectivité entre les spokes hybrides et les spokes VPC.
Le schéma suivant illustre un hub qui utilise la topologie en maillage et comporte trois spokes VPC.
Types de spokes acceptés
La topologie maillée accepte les spokes VPC, les spokes VPC de producteur et les spokes hybrides dans son groupe de spokes unique.
La commande gcloud network-connectivity hubs groups list --hub ne renvoie que le groupe de spokes par défaut unique lorsque vous utilisez la topologie de maillage.
Topologie en étoile
La topologie en étoile comporte deux groupes de spokes qui assurent la segmentation du réseau à l'aide de tables de routage distinctes pour chaque groupe de spokes. Les règles suivantes concernant les tables de routage s'appliquent à chaque groupe de spokes :
- Le groupe de spokes central autorise les routes de sa table de routage qui permettent aux ressources des spokes du groupe central de communiquer avec les ressources des spokes du groupe central ou du groupe périphérique.
- Le groupe de spokes périphériques n'autorise que les routes de sa table de routage qui permettent aux ressources des spokes du groupe périphérique de communiquer avec les ressources des spokes du groupe central. Le centre de connectivité réseau interdit les routes dans la table de routage du groupe de spokes périphériques qui fourniraient une connectivité entre différents spokes du groupe périphérique.
Sous réserve des règles de la table de routage du groupe spoke, les administrateurs de spoke ou les administrateurs réseau peuvent effectuer les opérations suivantes.
Utilisez les filtres d'inclusion et d'exclusion d'exportation pour contrôler les plages de sous-réseaux qu'un spoke VPC exporte vers la table de routage du groupe de spokes auquel il appartient.
Contrôlez les plages de sous-réseaux de spokes VPC exportées sur les sessions BGP des routeurs Cloud dans les spokes hybrides. Pour en savoir plus, consultez Établir la connectivité entre les spokes hybrides et les spokes VPC.
Le schéma suivant illustre la connectivité de la topologie en étoile entre quatre rayons VPC. Les spokes VPC center-vpc-a et center-vpc-b sont membres du groupe de spokes centraux, et les spokes VPC edge-vpc-c et edge-vpc-d sont membres du groupe de spokes périphériques.
Types de spokes acceptés
La topologie en étoile est compatible avec les spokes VPC, les spokes VPC de producteur et les spokes hybrides. Le tableau suivant présente les groupes de spokes compatibles en fonction du type de spoke :
| Spoke | Peut appartenir au groupe de spokes centraux | Peut appartenir au groupe de spokes périphériques |
|---|---|---|
| Spoke VPC | ||
| Spoke VPC de producteur | ||
| Spoke hybride avec transfert de données de site à site désactivé | ||
| Spoke hybride avec transfert de données de site à site activé |
La commande gcloud network-connectivity hubs groups list --hub renvoie les groupes center et edge lorsque vous utilisez la topologie en étoile.
Compatibilité des spokes hybrides avec la topologie en étoile
Un hub configuré pour utiliser la topologie en étoile applique les limites suivantes à ses spokes hybrides :
- Les spokes hybrides pour lesquels le transfert de données de site à site est activé doivent se trouver dans le groupe de spokes centraux.
- Les spokes hybrides pour lesquels le transfert de données de site à site n'est pas activé peuvent appartenir au groupe de spokes centraux ou au groupe de spokes périphériques.
Pour en savoir plus sur la configuration de la topologie maillée ou en étoile pour vos spokes VPC, consultez la section Configurer un hub.
Topologie d'inspection hybride
La topologie d'inspection hybride n'est compatible qu'avec la passerelle NCC. Cette topologie comporte les quatre groupes de rayons suivants qui offrent des capacités de segmentation du réseau et d'inspection des paquets :
- Le groupe de spokes prod est conçu pour les charges de travail de production.
- Le groupe de spokes non-prod est conçu pour les charges de travail hors production.
- Le groupe de rayons services est conçu pour les services essentiels aux charges de travail de production et hors production.
- Le groupe de spokes gateways est compatible avec les spokes de passerelle NCC qui servent de points de contrôle de sécurité.
Les règles suivantes s'appliquent à la table de routage de chaque groupe de rayons :
Le groupe spoke de production autorise les routes dans sa table de routage qui permettent aux ressources des spokes du groupe de production de communiquer avec les ressources des spokes du groupe de production, du groupe de services ou du groupe de passerelle. Le centre de connectivité réseau interdit les routes dans la table de routage du groupe de spokes de production qui fourniraient une connectivité aux spokes du groupe hors production.
Le groupe de spokes non destiné à la production autorise les routes dans sa table de routage qui permettent aux ressources des spokes du groupe non destiné à la production de communiquer avec les ressources des spokes du groupe non destiné à la production, du groupe de services ou du groupe de passerelles. Le centre de connectivité réseau interdit les routes dans la table de routage du groupe de spokes non destinés à la production qui fourniraient une connectivité aux spokes du groupe de production.
Le groupe de spokes de services autorise les routes dans sa table de routage qui permettent aux ressources des spokes du groupe de services de communiquer avec les ressources des spokes de n'importe quel groupe de spokes.
Le groupe de spokes de passerelles autorise les routes dans sa table de routage qui permettent à chaque spoke de passerelle NCC de communiquer avec les ressources des spokes du groupe de production, du groupe hors production ou du groupe de services. Network Connectivity Center ne permet pas aux spokes de passerelle NCC de communiquer entre eux.
Sous réserve des règles de la table de routage du groupe spoke, les administrateurs de spoke ou les administrateurs réseau peuvent effectuer les opérations suivantes :
Utilisez les filtres d'inclusion et d'exclusion d'exportation pour contrôler les plages de sous-réseaux qu'un spoke VPC exporte vers la table de routage du groupe de spokes auquel il appartient.
Créez des annonces de routage personnalisées sur les sessions BGP des routeurs cloud qui gèrent les connexions hybrides dans les spokes de passerelle NCC. Ces annonces de routage personnalisées peuvent inclure des plages de sous-réseaux de spokes VPC. Pour en savoir plus, consultez Ajouter des connexions hybrides à la passerelle NCC.
Contrôlez les plages de sous-réseaux de spokes VPC exportées sur les sessions BGP des routeurs Cloud dans les spokes hybrides. Pour en savoir plus, consultez Établir la connectivité entre les spokes hybrides et les spokes VPC.
Disponibilité de Security Service Edge
L'inspection des paquets SSE (Security Service Edge) n'est disponible que pour le trafic acheminé entre un spoke de passerelle NCC dans le groupe de spokes de passerelles et un spoke dans le groupe de production, le groupe hors production ou le groupe de services.
Le tableau suivant récapitule si le routage est autorisé et si l'inspection des paquets SSE est disponible pour le trafic acheminé entre des spokes de groupes de spokes différents.
| Spoke de ressources de destination | ||||
|---|---|---|---|---|
| Spoke de ressources sources | dans le groupe prod | dans le groupe non-prod | dans le groupe services | dans le groupe gateways |
| dans le groupe prod | routing SSE inspection |
routing SSE inspection |
routing SSE inspection |
routing SSE inspection |
| dans le groupe non-prod | routing SSE inspection |
routing SSE inspection |
routing SSE inspection |
routing SSE inspection |
| dans le groupe services | routing SSE inspection |
routing SSE inspection |
routing SSE inspection |
routing SSE inspection |
| dans le groupe gateways | routing SSE inspection |
routing SSE inspection |
routing SSE inspection |
routing SSE inspection |
Types de spokes acceptés
La topologie d'inspection hybride est compatible avec les spokes VPC, les spokes VPC de producteur, les spokes hybrides et les spokes de passerelle NCC. Le tableau suivant indique les groupes de rayons compatibles en fonction du type de rayon.
| Spoke | Peut appartenir au groupe de spokes de production | Peut se trouver dans le groupe de spokes non destinés à la production | Peut appartenir au groupe de rayons de services | Peut appartenir au groupe de spokes de passerelles |
|---|---|---|---|---|
| Spoke VPC | ||||
| Spoke VPC de producteur | ||||
| Spoke hybride avec transfert de données de site à site désactivé | ||||
| Spoke hybride avec transfert de données de site à site activé | ||||
| Spoke de passerelle NCC |
La commande gcloud network-connectivity hubs groups list --hub renvoie les groupes de production, hors production, de services et de passerelle lorsque vous utilisez une topologie d'inspection hybride.
Étapes suivantes
- Pour en savoir plus sur Network Connectivity Center, consultez la section Présentation de Network Connectivity Center.
- Pour trouver des solutions aux problèmes courants, consultez la page Résoudre les problèmes liés à Network Connectivity Center.
- Pour obtenir des détails sur les commandes de l'API et
gcloud, consultez la section API et documentation de référence. - Apprenez à créer des hubs et des spokes en consultant la section Utiliser des hubs et des spokes.