Network Connectivity Center ハブを作成するときに、次のいずれかのプリセット トポロジを選択できます。デフォルトはメッシュ トポロジです。
- メッシュ トポロジ
- スタートポロジ
- ハイブリッド検査トポロジ
プリセット トポロジでハブを作成した後は、トポロジを変更できません。
スポーク グループ
トポロジに応じて、ハブは 1 つ以上のスポーク グループをサポートします。各スポーク グループに含めることができるスポークのタイプも、ハブトポロジによって異なります。すべてのトポロジに次の特性が適用されます。
- 各スポーク グループは、独自のルートテーブルを持つルーティング ドメインです。スポーク グループのルートテーブルは、スポーク グループにスポークが追加または削除されると自動的に更新されます。
- ハブに追加された各スポークは、1 つのスポーク グループにのみ所属できます。
- Network Connectivity Center は、ハブと同じプロジェクトから追加されたスポークを自動的に承認します。
- Network Connectivity Center には、ハブとは異なるプロジェクトにある VPC スポークを追加する際に、自動承認とスポーク提案の審査という 2 つのオプションがあります。詳細については、ハブと異なるプロジェクトの VPC スポークをご覧ください。
トポロジとスポーク グループを構成する手順については、ハブを構成するをご覧ください。
メッシュ トポロジ
メッシュ トポロジでは、ハブ上のすべてのスポークが 1 つのスポーク グループに属します。
ハブの作成時にトポロジを明示的に指定しない場合、ハブ トポロジはデフォルトでメッシュになります。2 つ以上のワークロード VPC ネットワークを VPC スポークとしてハブに追加すると、各 VPC スポークは、構成されたエクスポートの包含フィルタとエクスポートの除外フィルタに従ってサブネット ルートをエクスポートします。VPC スポーク間のサブネット ルート交換の詳細については、VPC スポークの概要をご覧ください。
メッシュ トポロジは、VPC スポークとハイブリッド スポーク間の大規模なネットワーク接続もサポートします。ハイブリッド スポークを含むルーティング VPC ネットワークのスポーク管理者またはネットワーク管理者は、VPC スポークから受信したサブネット ルートのアドバタイズを構成する必要があります。詳細については、ハイブリッド スポークと VPC スポーク間の接続の確立をご覧ください。
次の図で示すのは、メッシュ トポロジを使用し、3 つの VPC スポークを持つハブです。
サポートされているスポークタイプ
メッシュ トポロジは、単一のスポーク グループで VPC スポーク、プロデューサー VPC スポーク、ハイブリッド スポークをサポートします。
gcloud network-connectivity hubs groups list --hub コマンドは、メッシュ トポロジを使用する場合にのみ、単一のデフォルト スポーク グループを返します。
スタートポロジ
スタートポロジには、スポーク グループごとに個別のルートテーブルを使用してネットワーク セグメンテーションを提供する 2 つのスポーク グループがあります。次のルートテーブル ルールは、各スポーク グループに適用されます。
- センター スポーク グループのルートテーブルでは、センター グループのスポーク内のリソースがセンター グループまたはエッジグループのスポーク内のリソースと通信できるようにするルートが許可されています。
- エッジスポーク グループでは、エッジグループのスポーク内のリソースがセンター グループのスポーク内のリソースと通信できるようにするルートのみがルートテーブルで許可されます。Network Connectivity Center は、エッジグループ内の異なるスポーク間の接続を提供するエッジスポーク グループのルートテーブル内のルートを禁止します。
スポーク管理者またはネットワーク管理者は、スポーク グループのルートテーブル ルールに沿って次の操作を行うことができます。
エクスポートに含めるフィルタとエクスポートから除外するフィルタを使用して、VPC スポークが属するスポーク グループのルートテーブルにエクスポートするサブネット範囲を管理する。
ハイブリッド スポークの Cloud Router の BGP セッションでエクスポートされる VPC スポークのサブネット範囲を管理する。詳細については、ハイブリッド スポークと VPC スポーク間の接続の確立をご覧ください。
次の図で示すのは、4 つの VPC スポーク間のスタートポロジ接続です。center-vpc-a と center-vpc-b の VPC スポークはセンター スポーク グループのメンバーであり、edge-vpc-c と edge-vpc-d の VPC スポークはエッジ スポーク グループのメンバーです。
サポートされているスポークタイプ
スタートポロジは、VPC スポーク、プロデューサー VPC スポーク、ハイブリッド スポークをサポートしています。次の表で示すのは、スポークタイプに応じてサポートされているスポーク グループです。
| スポーク | センター スポーク グループに配置できる | エッジ スポーク グループに配置できる |
|---|---|---|
| 1 個の VPC スポーク | ||
| プロデューサー VPC スポーク | ||
| サイト間データ転送が無効になっているハイブリッド スポーク | ||
| サイト間データ転送が有効になっているハイブリッド スポーク |
gcloud network-connectivity hubs groups list --hub コマンドを実行すると、スタートポロジを使用する場合にセンター グループとエッジグループが返されます。
ハイブリッド スポークとスタートポロジの互換性
スタートポロジを使用するように構成されたハブは、ハイブリッド スポークに次の制限を適用します。
- サイト間データ転送が有効になっているハイブリッド スポークは、センター スポーク グループに配置する必要があります。
- サイト間転送が有効になっていないハイブリッド スポークは、センター スポーク グループまたはエッジ スポーク グループのいずれかに配置できます。
VPC スポークのメッシュ トポロジまたはスタートポロジを構成する方法の詳細については、ハブを構成するをご覧ください。
ハイブリッド検査トポロジ
ハイブリッド検査トポロジには、ネットワーク セグメンテーションとパケット検査機能を提供する次の 4 つのスポーク グループがあります。
- prod スポーク グループは、本番環境のワークロード向けに設計されています。
- 非本番環境スポーク グループは、非本番環境のワークロード用に設計されています。
- サービス スポーク グループは、本番環境と非本番環境の両方のワークロードに不可欠なサービス用に設計されています。
- ゲートウェイ スポーク グループは、セキュリティ チェックポイントとして機能する NCC Gateway スポークをサポートします。
各スポーク グループのルートテーブルには、次のルールが適用されます。
prod スポーク グループでは、prod グループのスポーク内のリソースが prod グループ、サービス グループ、またはゲートウェイ グループのスポーク内のリソースと通信できるようにするルートがルートテーブルで許可されます。Network Connectivity Center は、非本番環境グループのスポークへの接続を提供する本番環境スポーク グループのルートテーブル内のルートを禁止します。
非本番環境スポーク グループでは、非本番環境グループのスポーク内のリソースが、非本番環境グループ、サービス グループ、またはゲートウェイ グループのスポーク内のリソースと通信できるようにするルートがルートテーブルで許可されます。Network Connectivity Center は、本番環境グループのスポークへの接続を提供する非本番環境スポーク グループのルートテーブル内のルートを禁止します。
サービス スポーク グループでは、サービス グループのスポーク内のリソースが任意のスポーク グループのスポーク内のリソースと通信できるようにするルートがルートテーブルで許可されます。
ゲートウェイ スポーク グループでは、各 NCC Gateway スポークが本番環境グループ、非本番環境グループ、サービス グループのスポーク内のリソースと通信できるようにするルートがルートテーブルで許可されます。Network Connectivity Center では、NCC Gateway スポーク間の通信はできません。
スポーク管理者またはネットワーク管理者は、スポーク グループのルートテーブル ルールに沿って次の操作を行うことができます。
エクスポートに含めるフィルタとエクスポートから除外するフィルタを使用して、VPC スポークが属するスポーク グループのルートテーブルにエクスポートするサブネット範囲を管理する。
NCC Gateway スポークでハイブリッド接続を管理する Cloud Router の BGP セッションで、カスタム ルート アドバタイズを作成する。これらのカスタムルート アドバタイズには、VPC スポーク サブネット範囲を含めることができます。詳細については、NCC Gateway にハイブリッド接続を追加するをご覧ください。
ハイブリッド スポークの Cloud Router の BGP セッションでエクスポートされる VPC スポークのサブネット範囲を管理する。詳細については、ハイブリッド スポークと VPC スポーク間の接続の確立をご覧ください。
Security Service Edge の可用性
Security Service Edge(SSE)パケット検査は、ゲートウェイ スポーク グループの NCC Gateway スポークと、本番環境グループ、非本番環境グループ、サービス グループのスポーク間でルーティングされるトラフィックでのみ使用できます。
次の表は、異なるスポーク グループのスポーク間でルーティングされるトラフィックについて、ルーティングが許可されるかどうか、SSE パケット検査を使用できるかどうかをまとめたものです。
| 送信先リソース スポーク | ||||
|---|---|---|---|---|
| 送信元リソース スポーク | prod グループ内 | 非本番環境グループ内 | サービス グループ内 | ゲートウェイ グループ内 |
| prod グループ内 | ルーティング SSE 検査 |
ルーティング SSE 検査 |
ルーティング SSE 検査 |
ルーティング SSE 検査 |
| 非本番環境グループ内 | ルーティング SSE 検査 |
ルーティング SSE 検査 |
ルーティング SSE 検査 |
ルーティング SSE 検査 |
| サービス グループ内 | ルーティング SSE 検査 |
ルーティング SSE 検査 |
ルーティング SSE 検査 |
ルーティング SSE 検査 |
| ゲートウェイ グループ内 | ルーティング SSE 検査 |
ルーティング SSE 検査 |
ルーティング SSE 検査 |
ルーティング SSE 検査 |
サポートされているスポークタイプ
ハイブリッド検査トポロジは、VPC スポーク、プロデューサー VPC スポーク、ハイブリッド スポーク、NCC Gateway スポークをサポートしています。次の表に示すのは、スポークタイプに応じてサポートされているスポーク グループです。
| スポーク | 本番環境スポーク グループに配置できる | 非本番環境スポーク グループに配置できる | サービス スポーク グループに配置できる | ゲートウェイ スポーク グループに配置できる |
|---|---|---|---|---|
| 1 個の VPC スポーク | ||||
| プロデューサー VPC スポーク | ||||
| サイト間データ転送が無効になっているハイブリッド スポーク | ||||
| サイト間データ転送が有効になっているハイブリッド スポーク | ||||
| NCC Gateway スポーク |
ハイブリッド検査トポロジを使用する場合、gcloud network-connectivity hubs groups list --hub コマンドを実行すると、本番環境、非本番環境、サービス、ゲートウェイ グループが返されます。
次のステップ
- Network Connectivity Center の詳細については、Network Connectivity Center の概要をご覧ください。
- 一般的な問題の解決策については、Network Connectivity Center のトラブルシューティングをご覧ください。
- API と
gcloudコマンドの詳細については、API とリファレンスをご覧ください。 - ハブとスポークの作成については、ハブとスポークの操作をご覧ください。