Quando crei un hub di Network Connectivity Center, puoi scegliere una delle seguenti topologie predefinite. La topologia mesh è predefinita.
- Topologia mesh
- Topologia a stella
- Topologia di ispezione ibrida
Una volta creato un hub con una topologia preimpostata, non puoi modificarla.
Gruppi di spoke
A seconda della topologia, un hub supporta uno o più gruppi di spoke. I tipi di spoke che possono essere presenti in ogni gruppo di spoke dipendono anche dalla topologia dell'hub. Per tutte le topologie si applicano le seguenti caratteristiche:
- Ogni gruppo di spoke è un dominio di routing con la propria tabella di routing. La tabella di route del gruppo di spoke viene aggiornata automaticamente man mano che gli spoke vengono aggiunti o rimossi dal gruppo.
- Ogni spoke aggiunto a un hub può appartenere a un solo gruppo di spoke.
- Network Connectivity Center accetta automaticamente gli spoke aggiunti dallo stesso progetto dell'hub.
- Network Connectivity Center offre sia l'accettazione automatica sia opzioni di revisione delle proposte di spoke quando aggiungi spoke VPC in progetti diversi dall'hub. Per ulteriori informazioni, consulta Spoke VPC in un progetto diverso da un hub.
Per la procedura di configurazione delle topologie e dei gruppi di spoke, vedi Configurare un hub.
Topologia mesh
Con la topologia mesh, tutti gli spoke sull'hub appartengono a un unico gruppo di spoke.
Se crei un hub senza specificare esplicitamente una topologia, la topologia dell'hub è predefinita come mesh. Quando aggiungi due o più reti VPC per i carichi di lavoro all'hub come spoke VPC, ogni spoke VPC esporta le route delle subnet in base ai filtri di esportazione inclusi ed esclusi configurati. Per ulteriori informazioni sullo scambio di route delle subnet tra gli spoke VPC, consulta Panoramica degli spoke VPC.
La topologia mesh supporta anche la connettività di rete su larga scala tra spoke VPC e spoke ibridi. Gli amministratori di spoke o di rete per una rete VPC di routing contenente spoke ibridi devono configurare la pubblicità delle route delle subnet ricevute dagli spoke VPC. Per ulteriori informazioni, consulta Stabilire la connettività tra spoke ibride e spoke VPC.
Il seguente diagramma mostra un hub che utilizza la topologia mesh e ha tre spoke VPC.
Tipi di rami supportati
La topologia a maglia supporta spoke VPC, spoke VPC producer e spoke ibride nel suo singolo gruppo di spoke.
Il gcloud network-connectivity hubs groups list --hub
comando
restituisce solo il singolo gruppo di spoke predefinito quando si utilizza la topologia mesh.
Topologia a stella
La topologia a stella ha due gruppi di spoke che forniscono la segmentazione della rete utilizzando tabelle di routing distinte per ogni gruppo di spoke. A ogni gruppo di spoke si applicano le seguenti regole della tabella di routing:
- Il gruppo di spoke centrale consente route nella tabella di route che consentono alle risorse negli spoke del gruppo centrale di comunicare con le risorse negli spoke del gruppo centrale o del gruppo perimetrale.
- Il gruppo di spoke perimetrali consente nella tabella di route solo route che consentono alle risorse negli spoke del gruppo perimetrale di comunicare con le risorse negli spoke del gruppo centrale. Network Connectivity Center vieta le route nella tabella di route del gruppo di spoke perimetrali che fornirebbero connettività tra diversi spoke nel gruppo perimetrale.
In base alle regole della tabella dei percorsi del gruppo di spoke, gli amministratori di spoke o della rete possono eseguire le seguenti operazioni.
Utilizza export include e export exclude filters per controllare quali intervalli di subnet vengono esportati da uno spoke VPC nella tabella route del gruppo di spoke a cui appartiene lo spoke VPC.
Controlla quali intervalli di subnet dello spoke VPC vengono esportati nelle sessioni BGP dei router Cloud negli spoke ibride. Per ulteriori informazioni, consulta Stabilire la connettività tra spoke ibride e spoke VPC.
Il seguente diagramma mostra la connettività con topologia a stella tra quattro spoke VPC. Gli spoke VPC center-vpc-a e center-vpc-b fanno parte del gruppo di spoke centrali, mentre gli spoke VPC edge-vpc-c e edge-vpc-d fanno parte del gruppo di spoke perimetrali.
Tipi di rami supportati
La topologia a stella supporta spoke VPC, spoke VPC producer e spoke ibridi. La tabella seguente mostra i gruppi di spoke supportati in base al tipo di spoke:
| Spoke | Può trovarsi nel gruppo di spoke centrale | Può essere nel gruppo di spoke di bordo |
|---|---|---|
| Spoke VPC | ||
| Spoke VPC del producer | ||
| Spoke ibrido con trasferimento di dati site-to-site disattivato | ||
| Spoke ibrido con trasferimento di dati site-to-site abilitato |
Il gcloud network-connectivity hubs groups list --hub
comando
restituisce i gruppi center e edge quando si utilizza la topologia a stella.
Compatibilità degli spoke ibride con la topologia a stella
Un hub configurato per utilizzare la topologia a stella applica le seguenti limitazioni ai relativi spoke ibridi:
- Gli spoke ibride con trasferimento di dati site-to-site abilitato devono essere nel gruppo di spoke centrale.
- Gli spoke ibridi senza trasferimento di dati da sito a sito abilitato possono trovarsi nel gruppo di spoke centrale o nel gruppo di spoke perimetrale.
Per informazioni dettagliate su come configurare la topologia mesh o a stella per i tuoi spoke VPC, consulta Configurare un hub.
Topologia di ispezione ibrida
La topologia di ispezione ibrida ha i seguenti quattro gruppi di spoke che forniscono funzionalità di segmentazione della rete e ispezione dei pacchetti:
- Il gruppo di spoke prod è progettato per i workload di produzione.
- Il gruppo di spoke non-prod è progettato per i workload non di produzione.
- Il gruppo di spoke services è progettato per i servizi essenziali per i carichi di lavoro sia di produzione che non di produzione.
- Il gruppo di spoke gateway supporta gli spoke gateway NCC che fungono da checkpoint di sicurezza.
Alla tabella dei percorsi per ogni gruppo di spoke si applicano le regole seguenti:
Il gruppo di spoke di produzione consente route nella tabella di route che consentono alle risorse nei spoke del gruppo di produzione di comunicare con le risorse negli spoke del gruppo di produzione, del gruppo di servizi o del gruppo di gateway. Network Connectivity Center vieta le route nella tabella di route del gruppo di spoke di produzione che fornirebbero connettività agli spoke del gruppo non di produzione.
Il gruppo di spoke non di produzione consente route nella tabella di route che consentono alle risorse nei spoke del gruppo non di produzione di comunicare con le risorse negli spoke del gruppo non di produzione, del gruppo di servizi o del gruppo di gateway. Network Connectivity Center vieta le route nella tabella di route del gruppo di spoke non di produzione che fornirebbero connettività agli spoke nel gruppo di produzione.
Il gruppo di spoke di servizi consente nella tabella di route percorsi che consentono alle risorse nei spoke del gruppo di servizi di comunicare con le risorse negli spoke di qualsiasi gruppo di spoke.
Il gruppo di spoke dei gateway consente route nella tabella di route che consentono a ogni spoke del gateway NCC di comunicare con le risorse negli spoke del gruppo di produzione, del gruppo non di produzione o del gruppo di servizi. Network Connectivity Center non consente agli spoke gateway NCC di comunicare tra loro.
In base alle regole della tabella dei percorsi del gruppo di spoke, gli amministratori di spoke o della rete possono:
Utilizza i filtri di esportazione include ed escludi per controllare quali intervalli di subnet vengono esportati da uno spoke VPC nella tabella di routing del gruppo di spoke a cui appartiene lo spoke VPC.
Crea annunci di route personalizzati nelle sessioni BGP dei router Cloud che gestiscono le connessioni ibride negli spoke del gateway NCC. Questi annunci di route personalizzati possono includere intervalli di subnet spoke VPC. Per ulteriori informazioni, vedi Aggiungere connessioni ibride a NCC Gateway.
Controlla quali intervalli di subnet dello spoke VPC vengono esportati nelle sessioni BGP dei router Cloud negli spoke ibride. Per ulteriori informazioni, consulta Stabilire la connettività tra spoke ibride e spoke VPC.
Disponibilità di Security Service Edge
L'ispezione dei pacchetti del servizio di sicurezza perimetrale (SSE) è disponibile solo per il traffico indirizzato tra uno spoke NCC Gateway nel gruppo di spoke dei gateway e uno spoke nel gruppo di produzione, nel gruppo non di produzione o nel gruppo di servizi.
La seguente tabella riassume se il routing è consentito e se è disponibile l'ispezione dei pacchetti SSE per il traffico instradato tra gli spoke in gruppi di spoke diversi.
| Spoke della risorsa di destinazione | ||||
|---|---|---|---|---|
| Spoke della risorsa di origine | nel gruppo prod | nel gruppo non-prod | nel gruppo services | nel gruppo gateway |
| nel gruppo prod | routing Ispezione SSE |
routing Ispezione SSE |
routing Ispezione SSE |
routing Ispezione SSE |
| nel gruppo non-prod | routing Ispezione SSE |
routing Ispezione SSE |
routing Ispezione SSE |
routing Ispezione SSE |
| nel gruppo services | routing Ispezione SSE |
routing Ispezione SSE |
routing Ispezione SSE |
routing Ispezione SSE |
| nel gruppo gateway | routing Ispezione SSE |
routing Ispezione SSE |
routing Ispezione SSE |
routing Ispezione SSE |
Tipi di rami supportati
La topologia di ispezione ibrida supporta spoke VPC, spoke VPC producer, spoke ibride e spoke gateway NCC. La seguente tabella mostra i gruppi di spoke supportati in base al tipo di spoke.
| Spoke | Può essere nel gruppo di spoke di produzione | Può essere nel gruppo di spoke non di produzione | Può essere nel gruppo di spoke dei servizi | Può essere nel gruppo di spoke dei gateway |
|---|---|---|---|---|
| Spoke VPC | ||||
| Spoke VPC del producer | ||||
| Spoke ibrido con trasferimento di dati site-to-site disattivato | ||||
| Spoke ibrido con trasferimento di dati site-to-site abilitato | ||||
| Spoke gateway NCC |
Il comando gcloud network-connectivity hubs groups list --hub restituisce i gruppi di produzione, non di produzione, di servizi e di gateway quando si utilizza la topologia di ispezione ibrida.
Passaggi successivi
- Per scoprire di più su Network Connectivity Center, consulta la panoramica di Network Connectivity Center.
- Per trovare soluzioni ai problemi comuni, consulta Risolvere i problemi di Network Connectivity Center.
- Per informazioni dettagliate sui comandi API e
gcloud, consulta API e riferimenti. - Per creare hub e spoke, consulta Utilizzare hub e spoke.