预设连接拓扑

创建 Network Connectivity Center hub 时,您可以选择以下预设拓扑之一。网状拓扑是默认拓扑。

  • 网状拓扑
  • 星形拓扑
  • 混合检查拓扑

创建具有预设拓扑的 hub 后,您将无法更改该拓扑。

Spoke 群组

一个 hub 支持一个或多个 spoke 组,具体取决于拓扑。每个 spoke 组中可以包含的 spoke 类型也取决于 hub 拓扑。对于所有拓扑,以下特征均适用:

  • 每个 spoke 组都是一个路由网域,具有自己的路由表。当向 spoke 组添加或从中移除 spoke 时,spoe 组的路由表会自动更新。
  • 添加到 hub 的每个 spoke 只能属于一个 spoke 组。
  • Network Connectivity Center 会自动接受从 hub 所在项目中添加的 spoke。
  • 在添加与 hub 位于不同项目中的 VPC spoke 时,Network Connectivity Center 提供自动接受和 spoke 提案审核选项。如需了解详情,请参阅与 hub 位于不同项目中的 VPC spoke

如需了解配置拓扑和 spoke 组的步骤,请参阅配置 hub

网状拓扑

使用网状拓扑时,hub 上的所有 spoke 都属于一个 spoke 组。

如果您创建 hub 时未明确指定拓扑,则 hub 拓扑默认为网状拓扑。当您将两个或更多工作负载 VPC 网络作为 VPC spoke 添加到 hub 时,每个 VPC spoke 都会根据配置的导出包含过滤器和导出排除过滤器来导出其子网路由。如需详细了解 VPC spoke 之间的子网路由交换,请参阅 VPC spoke 概览

网状拓扑还支持在 VPC spoke 和混合 spoke 之间建立大规模网络连接。包含混合 spoke 的路由 VPC 网络的 spoke 管理员或网络管理员必须配置从 VPC spoke 接收的子网路由通告。如需了解详情,请参阅在混合 spoke 与 VPC spoke 之间建立连接

下图显示了一个使用网状拓扑且具有三个 VPC spoke 的 hub。

Network Connectivity Center 网状拓扑连接。
Network Connectivity Center 网状拓扑连接(点击可放大)。

支持的 spoke 类型

网状拓扑支持其单个 spoke 组中的 VPC spoke提供方 VPC spoke混合 spoke

使用网状拓扑时,gcloud network-connectivity hubs groups list --hub 命令仅会返回单个默认 spoke 组。

星形拓扑

星形拓扑包含两个 spoke 组,可使用单独的路由表为每个 spoke 组提供网络分段。以下路由表规则适用于每个 spoke 组:

  • 中心 spoke 组允许其路由表中的路由,以便中心组的 spoke 中的资源与中心组或边缘组的 spoke 中的资源进行通信。
  • 边缘 spoke 组仅允许其路由表中的路由,以便边缘组的 spoke 中的资源与中心组的 spoke 中的资源进行通信。Network Connectivity Center 禁止边缘 spoke 组路由表中的路由,这些路由会在边缘组中的不同 spoke 之间提供连接。

根据 spoke 组路由表规则,spoke 管理员或网络管理员可以执行以下操作。

下图展示了四个 VPC spoke 之间的星形拓扑连接。center-vpc-acenter-vpc-b VPC spoke 属于中心 spoke 组,edge-vpc-cedge-vpc-d VPC spoke 属于边缘 spoke 组。

Network Connectivity Center 星形拓扑连接。
Network Connectivity Center 星形拓扑连接(点击可放大)。

支持的 spoke 类型

星形拓扑支持 VPC spoke、提供方 VPC spoke 和混合 spoke。下表展示了根据 spoke 类型支持的 spoke 组:

Spoke 可以位于中心 spoke 组中 可以位于边缘 spoke 组中
VPC spoke
提供方 VPC spoke
停用了站点到站点数据传输的混合 spoke
启用了站点到站点数据传输的混合 spoke

使用星形拓扑时,gcloud network-connectivity hubs groups list --hub 命令会返回中心组和边缘组

混合 spoke 与星形拓扑的兼容性

如果 hub 配置为使用星形拓扑,则会对其混合 spoke 施加以下限制:

  • 启用了站点到站点数据传输的混合 spoke 必须位于中心 spoke 组中。
  • 未启用站点到站点数据传输的混合 spoke 可位于中心 spoke 组或边缘 spoke 组中。

如需详细了解如何为 VPC spoke 配置网状拓扑或星形拓扑,请参阅配置 hub

混合检查拓扑

混合检查拓扑包含以下四个 spoke 组,可提供网络分段和数据包检查功能:

  • 生产 spoke 组专为生产工作负载而设计。
  • 非生产 spoke 组专为非生产工作负载而设计。
  • 服务 spoke 组专为对生产工作负载和非生产工作负载都至关重要的服务而设计。
  • 网关 spoke 组支持作为安全检查点的 NCC 网关 spoke。

以下规则适用于每个 spoke 组的路由表:

  • 生产 spoke 组允许其路由表中的路由,以便生产组的 spoke 中的资源与生产组、服务组或网关组的 spoke 中的资源进行通信。Network Connectivity Center 禁止生产 spoke 组路由表中的路由,这些路由会提供与非生产组中的 spoke 的连接。

  • 非生产 spoke 组允许其路由表中的路由,以便非生产组的 spoke 中的资源与非生产组、服务组或网关组的 spoke 中的资源进行通信。Network Connectivity Center 禁止非生产 spoke 组路由表中的路由,这些路由会提供与生产组中的 spoke 的连接。

  • 服务 spoke 组允许其路由表中的路由,以便服务组的 spoke 中的资源与任何 spoke 组的 spoke 中的资源进行通信。

  • 网关 spoke 组允许其路由表中的路由,以便每个 NCC 网关 spoke 与生产组、非生产组或服务组的 spoke 中的资源进行通信。Network Connectivity Center 不允许 NCC 网关 spoke 相互通信。

根据 spoke 组路由表规则,spoke 管理员或网络管理员可以执行以下操作:

安全服务边缘可用性

安全服务边缘 (SSE) 数据包检查仅适用于在网关 spoke 组中的 NCC 网关 spoke 与生产组、非生产组或服务组中的 spoke 之间路由的流量。

下表总结了是否允许路由,以及 SSE 数据包检查是否适用于在不同 spoke 组的 spoke 之间路由的流量。

目标资源 spoke
来源资源 spoke 生产组中 非生产组中 服务组中 网关组中
生产组中 路由
SSE 检查		 路由
SSE 检查		 路由
SSE 检查		 路由
SSE 检查
非生产组中 路由
SSE 检查		 路由
SSE 检查		 路由
SSE 检查		 路由
SSE 检查
服务组中 路由
SSE 检查		 路由
SSE 检查		 路由
SSE 检查		 路由
SSE 检查
网关组中 路由
SSE 检查		 路由
SSE 检查		 路由
SSE 检查		 路由
SSE 检查

支持的 spoke 类型

混合检查拓扑支持 VPC spoke、提供方 VPC spoke、混合 spoke 和 NCC 网关 spoke。下表展示了根据 spoke 类型支持的 spoke 组。

Spoke 可以位于生产 spoke 组中 可以位于非生产 spoke 组中 可以位于服务 spoke 组中 可以位于网关 spoke 组中
VPC spoke
提供方 VPC spoke
停用了站点到站点数据传输的混合 spoke
启用了站点到站点数据传输的混合 spoke
NCC 网关 spoke

使用混合检查拓扑时,gcloud network-connectivity hubs groups list --hub 命令会返回生产、非生产、服务和网关组。

后续步骤