Ao criar um hub do Network Connectivity Center, você pode escolher uma das seguintes topologias predefinidas. A topologia de malha é a padrão.
- Topologia de malha
- Topologia de estrela
- Topologia de inspeção híbrida (prévia): compatível apenas com o gateway do NCC
Depois de criar um hub com uma topologia predefinida, não é possível mudar a topologia.
Grupos de spoke
Dependendo da topologia, um hub pode ter um ou mais grupos de spoke. Os tipos de spokes que podem estar em cada grupo também dependem da topologia do hub. Para todas as topologias, as seguintes características se aplicam:
- Cada grupo de spoke é um domínio de roteamento com uma tabela de rotas própria. A tabela de rotas do grupo de spokes é atualizada automaticamente à medida que os spokes são adicionados ou removidos.
- Cada spoke adicionado a um hub só pode pertencer a um grupo de spokes.
- O Network Connectivity Center aceita automaticamente os spokes adicionados do mesmo projeto que o hub.
- O Network Connectivity Center oferece opções de aceitação automática e revisão de proposta de spoke ao adicionar spokes de VPC que estão em projetos diferentes do hub. Para mais informações, consulte spokes VPC em um projeto diferente de um hub.
Para saber como configurar topologias e grupos de spoke, consulte Configurar um hub.
Topologia de malha
Com a topologia de malha, todos os spokes no hub pertencem a um único grupo de spokes.
Se você criar um hub sem especificar explicitamente uma topologia, a topologia do hub será definida como malha por padrão. Quando você adiciona duas ou mais redes VPC de carga de trabalho ao hub como spokes VPC, cada spoke exporta as rotas de sub-rede de acordo com os filtros de inclusão e exclusão de exportação configurados. Para mais informações sobre a troca de rotas de sub-rede entre spokes VPC, consulte Visão geral dos spokes VPC.
A topologia de malha também oferece suporte à conectividade de rede em alta escala entre spokes de VPC e híbridos. Os administradores de spoke ou de rede de uma rede VPC de roteamento que contém spokes híbridos precisam configurar a divulgação de rotas de sub-rede recebidas dos spokes da VPC. Para mais informações, consulte Como estabelecer conectividade entre spokes híbridos e spokes de VPC.
O diagrama a seguir mostra um hub que usa a topologia de malha e tem três spokes VPC.
Tipos de spoke compatíveis
A topologia de malha aceita spokes de VPC, spokes de VPC de produtor e spokes híbridos no único grupo de spokes.
O comando gcloud network-connectivity hubs groups list --hub retorna apenas o grupo de spoke padrão único ao usar a topologia de malha.
Topologia de estrela
A topologia em estrela tem dois grupos de spoke que fornecem segmentação de rede usando tabelas de rotas separadas para cada grupo. As seguintes regras de tabela de rotas se aplicam a cada grupo de spoke:
- O grupo de spokes central permite rotas na tabela de rotas que permitem que recursos em spokes do grupo central se comuniquem com recursos em spokes do grupo central ou de borda.
- O grupo de spokes de borda permite apenas rotas na tabela de rotas que permitem que recursos em spokes do grupo de borda se comuniquem com recursos em spokes do grupo central. O Network Connectivity Center proíbe rotas na tabela de rotas do grupo de spokes de borda que fornecem conectividade entre diferentes spokes no grupo de borda.
Sujeitos às regras da tabela de rotas do grupo spoke, os administradores spoke ou de rede podem fazer o seguinte:
Use filtros de inclusão de exportação e exclusão de exportação para controlar quais intervalos de sub-rede um spoke de VPC exporta para a tabela de rotas do grupo a que ele pertence.
Controle quais intervalos de sub-rede de spoke da VPC são exportados nas sessões BGP dos Cloud Routers em spokes híbridos. Para mais informações, consulte Como estabelecer conectividade entre spokes híbridos e spokes de VPC.
O diagrama a seguir mostra a conectividade da topologia em estrela entre quatro raios de VPC. Os spokes VPC center-vpc-a e center-vpc-b são membros do grupo de spokes centrais, e os spokes VPC edge-vpc-c e edge-vpc-d são membros do grupo de spokes de borda.
Tipos de spoke compatíveis
A topologia em estrela é compatível com spokes de VPC, spokes de VPC de produtor e spokes híbridos. A tabela a seguir mostra os grupos de hubs compatíveis de acordo com o tipo de hub:
| Spoke | Pode estar no grupo de raio central | Pode estar no grupo de spoke de borda |
|---|---|---|
| Spoke VPC | ||
| Spoke de VPC do produtor | ||
| Hub híbrido com transferência de dados site a site desativada | ||
| Spoke híbrido com transferência de dados site a site ativada |
O comando gcloud network-connectivity hubs groups list --hub retorna os grupos center e edge ao usar a topologia em estrela.
Compatibilidade do spoke híbrido com a topologia em estrela
Um hub configurado para usar a topologia em estrela impõe as seguintes limitações aos spokes híbridos:
- Os spokes híbridos com transferência de dados site a site ativada precisam estar no grupo de spokes centrais.
- Os spokes híbridos sem a transferência de dados site a site ativada podem estar no grupo de spokes centrais ou de borda.
Para informações detalhadas sobre como configurar a topologia de malha ou em estrela para seus spokes VPC, consulte Configurar um hub.
Topologia de inspeção híbrida
A topologia de inspeção híbrida só é compatível com o gateway do NCC. Essa topologia tem os quatro grupos de spoke a seguir, que oferecem recursos de segmentação de rede e inspeção de pacotes:
- O grupo de falas prod foi criado para cargas de trabalho de produção.
- O grupo de spokes non-prod foi projetado para cargas de trabalho que não são de produção.
- O grupo de serviços foi criado para serviços essenciais para cargas de trabalho de produção e não relacionadas à produção.
- O grupo de spokes gateways é compatível com spokes do gateway do NCC que servem como pontos de verificação de segurança.
As regras a seguir se aplicam à tabela de rotas de cada grupo de spoke:
O grupo de spoke de produção permite rotas na tabela de rotas que permitem que recursos nos spokes do grupo de produção se comuniquem com recursos nos spokes do grupo de produção, do grupo de serviços ou do grupo de gateway. O Network Connectivity Center proíbe rotas na tabela de rotas do grupo de spokes de produção que forneceria conectividade a spokes no grupo de não produção.
O grupo de spoke de não produção permite rotas na tabela de rotas que permitem que os recursos nos spokes do grupo de não produção se comuniquem com recursos nos spokes do grupo de não produção, do grupo de serviços ou do grupo de gateway. O Network Connectivity Center proíbe rotas na tabela de rotas do grupo de spokes de não produção que forneceria conectividade a spokes no grupo de produção.
O grupo de spokes de serviços permite rotas na tabela de rotas que permitem que os recursos nos spokes do grupo de serviços se comuniquem com os recursos nos spokes de qualquer grupo de spokes.
O grupo de spokes de gateways permite rotas na tabela de rotas que permitem que cada spoke de gateway do NCC se comunique com recursos em spokes do grupo de produção, do grupo de não produção ou do grupo de serviços. O Network Connectivity Center não permite que os spokes do gateway do NCC se comuniquem entre si.
Sujeitos às regras da tabela de rotas do grupo de spokes, os administradores de spoke ou de rede podem fazer o seguinte:
Use filtros de inclusão e exclusão de exportação para controlar quais intervalos de sub-rede um spoke de VPC exporta para a tabela de rotas do grupo a que ele pertence.
Crie divulgações de rota personalizadas nas sessões do BGP dos Cloud Routers que gerenciam conexões híbridas nos hubs do gateway do NCC. Essas divulgações de rota personalizadas podem incluir intervalos de sub-rede de spoke de VPC. Para mais informações, consulte Adicionar conexões híbridas ao gateway do NCC.
Controle quais intervalos de sub-rede de spoke da VPC são exportados nas sessões BGP dos Cloud Routers em spokes híbridos. Para mais informações, consulte Como estabelecer conectividade entre spokes híbridos e spokes de VPC.
Disponibilidade do Security Service Edge
A inspeção de pacotes do Security Service Edge (SSE) está disponível apenas para o tráfego roteado entre um spoke do gateway do NCC no grupo de spokes de gateways e um spoke no grupo de produção, no grupo de não produção ou no grupo de serviços.
A tabela a seguir resume se o roteamento é permitido e se a inspeção de pacotes SSE está disponível para o tráfego roteado entre spokes em diferentes grupos de spokes.
| Spoke do recurso de destino | ||||
|---|---|---|---|---|
| Spoke do recurso de origem | no grupo prod | no grupo não prod | no grupo serviços | no grupo gateways |
| no grupo prod | roteamento Inspeção de SSE |
roteamento inspeção de SSE |
roteamento Inspeção de SSE |
roteamento inspeção de SSE |
| no grupo não prod | roteamento inspeção de SSE |
roteamento Inspeção de SSE |
roteamento Inspeção de SSE |
roteamento inspeção de SSE |
| no grupo serviços | roteamento Inspeção de SSE |
roteamento Inspeção de SSE |
roteamento Inspeção de SSE |
roteamento inspeção de SSE |
| no grupo gateways | roteamento inspeção de SSE |
roteamento inspeção de SSE |
roteamento inspeção de SSE |
roteamento inspeção de SSE |
Tipos de spoke compatíveis
A topologia de inspeção híbrida aceita spokes de VPC, spokes de VPC do produtor, spokes híbridos e spokes do gateway do NCC. A tabela a seguir mostra os grupos de spoke compatíveis de acordo com o tipo de spoke.
| Spoke | Pode estar no grupo de spoke de produção | Pode estar no grupo de spoke não produtivo | Pode estar no grupo de serviços do hub | Pode estar no grupo de spokes de gateways |
|---|---|---|---|---|
| Spoke VPC | ||||
| Spoke de VPC do produtor | ||||
| Hub híbrido com transferência de dados site a site desativada | ||||
| Spoke híbrido com transferência de dados site a site ativada | ||||
| Spoke do gateway do NCC |
O comando gcloud network-connectivity hubs groups list --hub retorna os grupos de produção, não produção, serviços e gateway ao usar a topologia de inspeção híbrida.
A seguir
- Para saber mais sobre o Network Connectivity Center, consulte Visão geral do Network Connectivity Center.
- Para encontrar soluções para problemas comuns, consulte Resolver problemas do Network Connectivity Center.
- Para ver detalhes sobre os comandos da API e do
gcloud, consulte APIs e referência. - Para criar hubs e spokes, consulte Como trabalhar com hubs e spokes.