Quando crei un hub Network Connectivity Center, puoi scegliere una delle seguenti topologie preimpostate. La topologia mesh è quella predefinita.
- Topologia mesh
- Topologia a stella
- Topologia di ispezione ibrida (anteprima): supportata solo con NCC Gateway
Dopo aver creato un hub con una topologia preimpostata, non puoi modificare la topologia.
Gruppi di spoke
A seconda della topologia, un hub supporta uno o più gruppi di spoke. I tipi di raggi che possono essere presenti in ogni gruppo di raggi dipendono anche dalla topologia dell'hub. Per tutte le topologie, si applicano le seguenti caratteristiche:
- Ogni gruppo spoke è un dominio di routing con una propria tabella di routing. La tabella di route del gruppo di spoke viene aggiornata automaticamente man mano che gli spoke vengono aggiunti o rimossi dal gruppo di spoke.
- Ogni spoke aggiunto a un hub può appartenere a un solo gruppo di spoke.
- Network Connectivity Center accetta automaticamente gli spoke aggiunti dallo stesso progetto dell'hub.
- Network Connectivity Center offre opzioni di accettazione automatica e revisione delle proposte di spoke quando aggiungi spoke VPC che si trovano in progetti diversi dall'hub. Per saperne di più, consulta la sezione Spoke VPC in un progetto diverso da un hub.
Per i passaggi per configurare le topologie e i gruppi spoke, vedi Configurare un hub.
Topologia mesh
Con la topologia mesh, tutti gli spoke dell'hub appartengono a un unico gruppo di spoke.
Se crei un hub senza specificare esplicitamente una topologia, la topologia dell'hub viene impostata per impostazione predefinita su mesh. Quando aggiungi due o più reti VPC del carico di lavoro all'hub come spoke VPC, ogni spoke VPC esporta le route delle subnet in base ai filtri di inclusione ed esclusione dell'esportazione configurati. Per ulteriori informazioni sullo scambio di route delle subnet tra gli spoke VPC, consulta la panoramica degli spoke VPC.
La topologia mesh supporta anche la connettività di rete su larga scala tra gli spoke VPC e gli spoke ibridi. Gli amministratori degli spoke o gli amministratori di rete per una rete VPC di routing che contiene spoke ibridi devono configurare la pubblicità delle route delle subnet ricevute dagli spoke VPC. Per ulteriori informazioni, consulta Stabilire la connettività tra gli spoke ibridi e gli spoke VPC.
Il seguente diagramma mostra un hub che utilizza la topologia mesh e ha tre VPC spoke.
Tipi di raggi supportati
La topologia mesh supporta spoke VPC, spoke VPC producer e spoke ibridi nel suo singolo gruppo di spoke.
Il comando gcloud network-connectivity hubs groups list --hub restituisce solo il singolo gruppo spoke predefinito quando si utilizza la topologia mesh.
Topologia a stella
La topologia a stella ha due gruppi spoke che forniscono la segmentazione della rete utilizzando tabelle di routing separate per ogni gruppo spoke. Le seguenti regole della tabella di routing si applicano a ogni gruppo spoke:
- Il gruppo di spoke centrale consente le route nella sua tabella di route che consentono alle risorse negli spoke del gruppo centrale di comunicare con le risorse negli spoke del gruppo centrale o del gruppo perimetrale.
- Il gruppo di spoke edge consente solo le route nella sua tabella di route che consentono alle risorse negli spoke del gruppo edge di comunicare con le risorse negli spoke del gruppo centrale. Network Connectivity Center vieta le route nella tabella di route del gruppo di spoke edge che fornirebbero connettività tra diversi spoke nel gruppo edge.
In base alle regole della tabella di routing del gruppo spoke, gli amministratori spoke o gli amministratori di rete possono eseguire le seguenti operazioni.
Utilizza i filtri di inclusione per l'esportazione e i filtri di esclusione per l'esportazione per controllare quali intervalli di subnet vengono esportati da uno spoke VPC nella tabella di routing del gruppo di spoke a cui appartiene lo spoke VPC.
Controlla quali intervalli di subnet spoke VPC vengono esportati nelle sessioni BGP dei router Cloud negli spoke ibridi. Per ulteriori informazioni, vedi Stabilire la connettività tra gli spoke ibridi e gli spoke VPC.
Il seguente diagramma mostra la connettività della topologia a stella tra quattro spoke VPC. Gli spoke VPC center-vpc-a e center-vpc-b sono membri
del gruppo di spoke centrali, mentre gli spoke VPC edge-vpc-c e edge-vpc-d
sono membri del gruppo di spoke edge.
Tipi di raggi supportati
La topologia a stella supporta gli spoke VPC, gli spoke VPC producer e gli spoke ibridi. La tabella seguente mostra i gruppi spoke supportati in base al tipo di spoke:
| Spoke | Può far parte del gruppo spoke centrale | Può trovarsi nel gruppo spoke perimetrale |
|---|---|---|
| Spoke VPC | ||
| Spoke VPC del producer | ||
| Hub ibrido con trasferimento dati site-to-site disattivato | ||
| Spoke ibrido con trasferimento di dati site-to-site abilitato |
Il comando gcloud network-connectivity hubs groups list --hub restituisce i gruppi centro e periferia quando si utilizza la topologia a stella.
Compatibilità degli spoke ibridi con la topologia a stella
Un hub configurato per utilizzare la topologia a stella impone le seguenti limitazioni ai suoi spoke ibridi:
- Gli spoke ibridi con trasferimento di dati site-to-site abilitato devono trovarsi nel gruppo di spoke centrale.
- Gli spoke ibridi senza il trasferimento di dati da sito a sito abilitato possono trovarsi nel gruppo di spoke centrale o nel gruppo di spoke periferico.
Per informazioni dettagliate su come configurare la topologia mesh o a stella per i VPC spoke, consulta Configurare un hub.
Topologia di ispezione ibrida
La topologia di ispezione ibrida è supportata solo con il gateway NCC. Questa topologia ha i seguenti quattro gruppi spoke che forniscono funzionalità di segmentazione della rete e ispezione dei pacchetti:
- Il gruppo di spoke prod è progettato per i workload di produzione.
- Il gruppo spoke non-prod è progettato per i workload non di produzione.
- Il gruppo di spoke servizi è progettato per i servizi essenziali per i carichi di lavoro di produzione e non di produzione.
- Il gruppo di spoke gateway supporta gli spoke gateway NCC che fungono da checkpoint di sicurezza.
Alla tabella di routing per ogni gruppo spoke si applicano le seguenti regole:
Il gruppo di spoke di produzione consente le route nella tabella di route che consentono alle risorse negli spoke del gruppo di produzione di comunicare con le risorse negli spoke del gruppo di produzione, del gruppo di servizi o del gruppo di gateway. Network Connectivity Center vieta le route nella tabella di route del gruppo di spoke di produzione che fornirebbero connettività agli spoke nel gruppo non di produzione.
Il gruppo di spoke non di produzione consente le route nella sua tabella di route che consentono alle risorse negli spoke del gruppo non di produzione di comunicare con le risorse negli spoke del gruppo non di produzione, del gruppo di servizi o del gruppo di gateway. Network Connectivity Center vieta le route nella tabella di route del gruppo di spoke non di produzione che fornirebbero connettività agli spoke nel gruppo di produzione.
Il gruppo di spoke dei servizi consente le route nella tabella di route che consentono alle risorse negli spoke del gruppo di servizi di comunicare con le risorse negli spoke di qualsiasi gruppo di spoke.
Il gruppo di spoke dei gateway consente le route nella tabella di route che consentono a ogni spoke del gateway NCC di comunicare con le risorse negli spoke del gruppo di produzione, del gruppo non di produzione o del gruppo di servizi. Network Connectivity Center non consente agli spoke gateway NCC di comunicare tra loro.
In base alle regole della tabella di routing del gruppo spoke, gli amministratori spoke o gli amministratori di rete possono:
Utilizza i filtri di inclusione ed esclusione per l'esportazione per controllare quali intervalli di subnet vengono esportati da un VPC spoke nella tabella di routing del gruppo di spoke a cui appartiene il VPC spoke.
Crea annunci di route personalizzati nelle sessioni BGP dei router Cloud che gestiscono le connessioni ibride negli spoke del gateway NCC. Queste pubblicità di route personalizzate possono includere intervalli di subnet spoke VPC. Per saperne di più, vedi Aggiungere connessioni ibride a NCC Gateway.
Controlla quali intervalli di subnet spoke VPC vengono esportati nelle sessioni BGP dei router Cloud negli spoke ibridi. Per ulteriori informazioni, vedi Stabilire la connettività tra gli spoke ibridi e gli spoke VPC.
Disponibilità di Security Service Edge
L'ispezione dei pacchetti Security Service Edge (SSE) è disponibile solo per il traffico instradato tra uno spoke del gateway NCC nel gruppo di spoke dei gateway e uno spoke nel gruppo prod, nel gruppo non-prod o nel gruppo servizi.
La seguente tabella riepiloga se il routing è consentito e se l'ispezione dei pacchetti SSE è disponibile per il traffico instradato tra gli spoke in gruppi di spoke diversi.
| Spoke della risorsa di destinazione | ||||
|---|---|---|---|---|
| Spoke della risorsa di origine | nel gruppo prod | nel gruppo non-prod | nel gruppo servizi | nel gruppo gateway |
| nel gruppo prod | routing Ispezione SSE |
routing ispezione SSE |
routing Ispezione SSE |
routing ispezione SSE |
| nel gruppo non-prod | routing ispezione SSE |
routing Ispezione SSE |
routing Ispezione SSE |
routing ispezione SSE |
| nel gruppo servizi | routing Ispezione SSE |
routing Ispezione SSE |
routing Ispezione SSE |
routing ispezione SSE |
| nel gruppo gateway | routing ispezione SSE |
routing ispezione SSE |
routing ispezione SSE |
routing ispezione SSE |
Tipi di raggi supportati
La topologia di ispezione ibrida supporta spoke VPC, spoke VPC producer, spoke ibridi e spoke gateway NCC. La seguente tabella mostra i gruppi di spoke supportati in base al tipo di spoke.
| Spoke | Può far parte del gruppo spoke di produzione | Può essere nel gruppo spoke non di produzione | Può far parte del gruppo spoke dei servizi | Può far parte del gruppo spoke dei gateway |
|---|---|---|---|---|
| Spoke VPC | ||||
| Spoke VPC del producer | ||||
| Hub ibrido con trasferimento dati site-to-site disattivato | ||||
| Spoke ibrido con trasferimento di dati site-to-site abilitato | ||||
| Spoke gateway NCC |
Il comando gcloud network-connectivity hubs groups list --hub
restituisce i gruppi di produzione, non di produzione, servizi e gateway quando si utilizza la topologia di ispezione ibrida.
Passaggi successivi
- Per scoprire di più su Network Connectivity Center, consulta la panoramica di Network Connectivity Center.
- Per trovare soluzioni ai problemi comuni, consulta Risolvere i problemi relativi a Network Connectivity Center.
- Per informazioni dettagliate sull'API e sui comandi
gcloud, consulta API e riferimenti. - Per creare hub e spoke, consulta Utilizzo di hub e spoke.