建立 Network Connectivity Center 中樞時,您可以選擇下列其中一個預設拓樸。網格拓撲為預設值。
- 網格拓撲
- 星型拓撲
- 混合式檢查拓撲
使用預設拓樸建立中樞後,就無法變更拓樸。
輪輻群組
視拓撲而定,中樞可支援一或多個輪輻群組。每個輻條群組可包含的輻條類型也取決於樞紐拓樸。下列特徵適用於所有拓樸:
- 每個輻條群組都是一個路由網域,各自擁有路由表。當輪輻加入或移出輪輻群組時,輪輻群組的路由表會自動更新。
- 每個加入中心的輻條只能屬於一個輻條群組。
- Network Connectivity Center 會自動接受從與中樞相同專案新增的輻條。
- 在從中樞新增位於不同專案中的虛擬私有雲輪輻時,Network Connectivity Center 會提供自動接受和輪輻提案審查選項。詳情請參閱「從中樞建立其他專案中的 VPC 輻射線」。
如要瞭解如何設定拓樸和輻輳群組,請參閱「設定中樞」。
網格拓撲
在網格拓撲中,中心點上的所有輪輻都屬於單一輪輻群組。
如果您在建立中樞時未明確指定拓撲,中樞拓撲預設為網格。當您將兩個以上的工作負載 VPC 網路新增至中樞做為虛擬私有雲輪輻時,每個虛擬私有雲輪輻都會根據設定的匯出包含和匯出排除篩選條件,匯出其子網路路由。如要進一步瞭解虛擬私有雲輪輻之間的子網路路由交換,請參閱虛擬私有雲輪輻總覽。
網格拓撲也支援虛擬私有雲輪輻和混合型輪輻之間的大規模網路連線。含有混合式輪輻的路由虛擬私有雲網路的輪輻管理員或網路管理員,必須設定從虛擬私有雲輪輻收到的子網路路由廣告。詳情請參閱「在混合式輻射狀節點與虛擬私有雲輻射狀節點之間建立連線」。
下圖顯示使用網格拓樸的樞紐,以及三個 VPC 輻條。
支援的輻條類型
網狀拓撲支援單一輪輻群組中的虛擬私有雲輪輻、供應商虛擬私有雲輪輻和混合輪輻。
使用網狀拓撲時,gcloud network-connectivity hubs groups list --hub 指令只會傳回單一預設輻條群組。
星型拓撲
星狀拓樸有兩個輻條群組,可為每個輻條群組使用個別的路徑表提供網路區隔。以下路線表規則適用於每個輻射群組:
- 中心輪輻群組會在路由表中允許路由,讓中心群組輪輻中的資源與中心群組或邊緣群組輪輻中的資源進行通訊。
- 邊緣輪輻群組只允許路由表中的路由,讓邊緣群組輪輻中的資源與中心群組輪輻中的資源進行通訊。Network Connectivity Center 會禁止邊緣輪輻群組路由表中的路由,以免在邊緣群組中提供不同輪輻之間的連線。
依據輻射群組路由表規則,輻射群組管理員或網路管理員可以執行下列操作。
控制混合輪輻中 Cloud Router 的 BGP 工作階段要匯出的 VPC 輪輻子網路範圍。詳情請參閱「在混合式輻射狀節點和虛擬私有雲輻射狀節點之間建立連線」。
下圖顯示四個虛擬私有雲輪輻之間的星型拓撲連線。center-vpc-a 和 center-vpc-b 虛擬私有雲輪輻是中心輪輻群組的成員,而 edge-vpc-c 和 edge-vpc-d 虛擬私有雲輪輻是邊緣輪輻群組的成員。
支援的輻條類型
星狀拓撲支援虛擬私有雲輪輻、供應商虛擬私有雲輪輻和混合式輪輻。下表列出根據輻條類型支援的輻條群組:
| Spoke | 可屬於中心輻條群組 | 可位於邊緣輻條群組 |
|---|---|---|
| 虛擬私有雲輪輻 | ||
| 供應商虛擬私有雲輪輻 | ||
| 混合式 Spoke,且站對站資料移轉功能已停用 | ||
| 已啟用站對站資料移轉功能的混合式輪輻 |
使用星狀拓撲時,gcloud network-connectivity hubs groups list --hub 指令會傳回中心和邊緣群組。
混合式輻條與星狀拓撲相容
中樞如果已設定為使用星狀拓撲,則會對其混合式輻條強制執行下列限制:
- 已啟用站對站資料移轉的混合式輪輻必須位於中心輪輻群組中。
- 未啟用站對站資料轉移功能的混合式輻條可位於中心輻條群組或邊緣輻條群組。
如要進一步瞭解如何為虛擬私人雲端輻射狀結構設定網狀或星狀拓樸,請參閱「設定中樞」。
混合式檢查拓撲
混合式檢查拓撲包含下列四個輪輻群組,可提供網路區隔和封包檢查功能:
- prod 輻條群組專為正式環境工作負載而設計。
- 非正式環境輻條群組專為非正式環境工作負載而設計。
- 「服務」輻條群組專為實際工作環境和非實際工作環境工作負載所需的服務而設計。
- 閘道輪輻群組支援 NCC 閘道輪輻,可做為安全檢查點。
每個輻輳群組的路由表格適用下列規則:
實際工作群組輪輻群組會在路由表中允許路由,讓實際工作群組輪輻中的資源與實際工作群組、服務群組或閘道群組輪輻中的資源進行通訊。Network Connectivity Center 會禁止在正式版輪輻群組路由表中,提供與非正式版群組輪輻的連線。
非正式版輪輻群組會在路由表中允許路由,讓非正式版輪輻中的資源與非正式版群組、服務群組或閘道群組的輪輻中的資源通訊。Network Connectivity Center 會禁止非正式版輪輻群組路由表中的路由,以免提供與正式版群組輪輻的連線。
服務輪輻群組會在路由表中允許路由,讓服務群組輪輻中的資源與任何輪輻群組輪輻中的資源通訊。
閘道輪輻群組會在路由表中允許路由,讓每個 NCC 閘道輪輻與產品群組、非生產群組或服務群組的輪輻中的資源通訊。Network Connectivity Center 不會讓 NCC 閘道輪輻彼此通訊。
依據輻射狀態群組路由表規則,輻射狀態管理員或網路管理員可以執行下列操作:
使用匯出包含和匯出排除篩選器,控制 VPC 輪輻匯出至 VPC 輪輻所屬輪輻群組的路由表的子網路範圍。
在 Cloud Router 的 BGP 工作階段中建立自訂路徑通告,以便管理 NCC 閘道輻射點中的混合連線。這些自訂路徑廣告可包含 VPC 輻射狀子網路範圍。詳情請參閱「在 NCC Gateway 中新增混合式連線」。
控制混合輪輻中 Cloud Router 的 BGP 工作階段要匯出的 VPC 輪輻子網路範圍。詳情請參閱「在混合式輻射狀節點和虛擬私有雲輻射狀節點之間建立連線」。
安全性服務邊緣適用範圍
安全服務邊緣 (SSE) 封包檢查功能僅適用於在閘道節點群組中的 NCC Gateway 節點與 prod 群組、非 prod 群組或服務群組中的節點之間轉送的流量。
下表列出在不同輪輻群組中,輪輻之間流量是否允許轉送,以及是否可使用 SSE 封包檢查。
| 目的地資源輪輻 | ||||
|---|---|---|---|---|
| 來源資源輪輻 | 在「prod」群組中 | 在「non-prod」群組中 | 在「services」群組中 | 在「閘道」群組中 |
| 在「prod」群組中 | 路由 SSE 檢查 |
路由 SSE 檢查 |
路由 SSE 檢查 |
路由 SSE 檢查 |
| 在「non-prod」群組中 | 路由 SSE 檢查 |
路由 SSE 檢查 |
路由 SSE 檢查 |
路由 SSE 檢查 |
| 在「services」群組中 | 路由 SSE 檢查 |
路由 SSE 檢查 |
路由 SSE 檢查 |
路由 SSE 檢查 |
| 在「閘道」群組中 | 路由 SSE 檢查 |
路由 SSE 檢查 |
路由 SSE 檢查 |
路由 SSE 檢查 |
支援的輻條類型
混合式檢查拓撲支援虛擬私有雲輪輻、供應商虛擬私有雲輪輻、混合式輪輻和 NCC 閘道輪輻。下表列出根據輻條類型支援的輻條群組。
| Spoke | 可屬於正式版輪輻群組 | 可屬於非生產輪輻群組 | 可屬於服務輪輻群組 | 可屬於閘道輪輻群組 |
|---|---|---|---|---|
| 虛擬私有雲輪輻 | ||||
| 供應商虛擬私有雲輪輻 | ||||
| 混合式 Spoke,且站對站資料移轉功能已停用 | ||||
| 已啟用站對站資料移轉功能的混合式輪輻 | ||||
| NCC 閘道輪輻 |
使用混合檢查拓撲時,gcloud network-connectivity hubs groups list --hub 指令會傳回正式版、非正式版、服務和閘道群組。
後續步驟
- 如要瞭解 Network Connectivity Center,請參閱 Network Connectivity Center 總覽。
- 如需常見問題的解決方案,請參閱「排解 Network Connectivity Center 相關問題」。
- 如要進一步瞭解 API 和
gcloud指令,請參閱「API 與參考資料」。 - 如要建立中樞和輪輻,請參閱「使用中樞和輪輻」。