Diese Seite bietet einen Überblick über die Rolle "Network Connectivity Center-Hub-Administrator" (roles/networkconnectivity.hubAdmin ).
Ein IAM-Hauptkonto (Identity and Access Management) mit der Rolle Hub-Administrator kann folgendes tun:
- Erstellen Sie einen Hub und erstellen Sie VPC-Spokes (Virtual Private Cloud) für VPC-Netzwerke, die sich im selben Projekt wie der Hub befinden.
- Spoke-Administratoren Zugriff gewähren, damit sie VPC-Spoke-Angebote für VPC-Netzwerke in anderen Projekten erstellen können.
- VPC-Spoke-Vorschläge prüfen, annehmen und ablehnen oder automatisches Annehmen für Spoke-Gruppen einrichten.
- Hub-Routingtabellen ansehen
Benutzerdefinierte Rollen können auch verwendet werden, wenn sie mindestens die gleichen Berechtigungen der Rolle „Network Connectivity Center-Hub-Administrator“ haben.
So treten VPC-Spokes einem Hub bei
Wenn sich ein VPC-Netzwerk und ein Network Connectivity Center-Hub im selben Projekt befinden, wird durch das Erstellen eines VPC-Spokes für das VPC-Netzwerk sofort eine Verbindung zum Hub hergestellt, ohne dass zusätzliche Schritte erforderlich sind.
Wenn sich ein VPC-Netzwerk und ein Network Connectivity Center-Hub in verschiedenen Projekten befinden, ist dies der Prozess zum Erstellen eines VPC-Spokes:
- Ein Hub-Administrator legt IAM-Richtlinienbindungen fest, mit denen Spoke-Administratoren in anderen Projekten VPC-Spoke-Angebote erstellen können. Hinweis: Hub-Administratoren können IAM-Richtlinienbindungen jederzeit ändern. Ein Hub-Administrator kann den Zugriff beispielsweise später widerrufen und so verhindern, dass ein Spoke-Administrator weitere Spoke-Vorschläge erstellt. Dies gilt, wenn automatische Annahme für Spokes nicht aktiviert ist.
- Bei der Hub-Erstellung wählt der Hub-Administrator die Verbindungstopologie zwischen der standardmäßigen Mesh-Topologie und der Sterntopologie aus.
- Ein Spoke-Administrator schlägt einen VPC-Spoke vor. Wenn das Spoke-Angebot für einen Hub gilt, der zur Verwendung der Star-Topologie konfiguriert wurde, weist der Spoke-Administrator den Spoke entweder der Center- oder der Edge-Gruppe zu. Bei der Mesh-Topologie gehören alle Spokes zur Standardgruppe.
- Ein Hub-Administrator prüft jeden Spoke-Vorschlag und nimmt ihn dann an oder lehnt ihn ab. Im Folgenden wird beschrieben, wie die Hub-Verbindung funktioniert, nachdem Sie einen Vorschlag angenommen oder abgelehnt haben:
- Ein Spoke wird erst aktiv, nachdem ein Hub-Administrator den Spoke-Vorschlag akzeptiert hat. Das Network Connectivity Center bietet nur Netzwerkverbindungen zu aktiven Spokes.
- Ein Hub-Administrator kann einen zuvor akzeptierten VPC-Spoke ablehnen. Dadurch wird der Spoke inaktiv. Wenn ein zuvor aktiver VPC-Spoke inaktiv wird, stellt das Network Connectivity Center keine Netzwerkverbindung zum Spoke bereit.
So funktionieren Vorschläge für Spoke-Updates
Wenn sich ein VPC- oder Producer-VPC-Spoke in einem anderen Projekt als dem Hub befindet, muss ein Hub-Administrator Aktualisierungsvorschläge annehmen oder ablehnen, sofern die automatische Annahme für Spokes nicht aktiviert ist. Diese Spoke-Updates können Änderungen an den ein- oder auszuschließenden IPv4-Subnetzbereichen sein (Vorschau).
Weitere Informationen zum Aktualisieren von Spokes finden Sie unter Spoke aktualisieren.
Projekte automatisch akzeptieren
Ein Hub-Administrator kann die automatische Annahme für Spoke-Gruppen in einem Hub aktivieren. Wenn diese Option aktiviert ist, werden VPC-Spokes, die sich in der Liste der automatisch akzeptierten Projekte befinden, sofort nach dem Vorschlag zum Erstellen oder Aktualisieren des VPC-Spoke hinzugefügt oder aktualisiert. Die manuelle Überprüfung und Genehmigung durch einen Hub-Administrator wird übersprungen.
Die Hub-Routingtabelle
In der Hub-Routingtabelle werden Subnetzrouten angezeigt, die aus den VPC-Spokes importiert wurden. Wenn ein neuer VPC-Spoke erstellt wird, werden alle lokalen Subnetzrouten aus dem VPC-Netzwerk in den Hub exportiert, es sei denn, der Spoke-Administrator verwendet das Flag exclude-export-ranges in der Google Cloud CLI oder das Feld excludeExportRanges in der API. Weitere Informationen finden Sie unter Eindeutigkeit von Subnetzrouten.
Wenn Sie einen neuen VPC-Spoke erstellen, geschieht Folgendes:
- Ein Spoke gehört zu genau einer Gruppe.
- Jede Gruppe hat eine entsprechende Routingtabelle.
- Spokes sind mit dieser Routingtabelle verknüpft.
- Spoke-Subnetze werden an eine oder mehrere Routentabellen weitergegeben.
Da es in einer Mesh-Topologie-Verbindung nur eine Standardgruppe gibt, werden die Subnetzrouten an eine einzelne Hub-Routingtabelle weitergegeben. Spokes, die mit einem Hub verbunden sind, der die Star-Topologie unterstützt, gehören zu einer von zwei verschiedenen Gruppen, entweder der center- oder edge-Gruppe. Daher werden zwei Hub-Routingtabellen generiert und jede einer Spoke-Gruppe zugeordnet. Die Subnetzrouten von Spokes in der Center-Gruppe werden an die Center- und Edge-Routingtabellen weitergegeben. Die Subnetzrouten von Spokes in der Edge-Gruppe werden an die Center-Routingtabelle weitergegeben.
Ausführliche Informationen zu Verbindungstopologien finden Sie unter Voreingestellte Verbindungstopologien.
Google Cloud aktualisiert die VPC-Netzwerk-Routingtabelle jedes VPC-Spokes und die Network Connectivity Center-Hub-Routingtabelle automatisch, wenn eines der folgenden Ereignisse eintritt:
- Sie führen eine Aktivität für den Subnetzlebenszyklus aus, z. B. das Hinzufügen oder Löschen eines Subnetzes.
- Sie fügen dem Hub VPC-Spokes hinzu oder entfernen sie daraus.
Weitere Informationen finden Sie in der VPC-Dokumentation unter Routingtabellen mit Subnetzrouten und Routen.
Nächste Schritte
- Informationen zum Erstellen von Hubs und Spokes finden Sie unter Mit Hubs und Spokes arbeiten.
- Eine Liste der Partner, deren Lösungen in das Network Connectivity Center eingebunden sind, finden Sie unter Network Connectivity Center-Partner.
- Lösungen für Probleme mit der Router-Appliance erhalten Sie unter Fehlerbehebung.
- Ausführliche Informationen zur API und zu
gcloud-Befehlen finden Sie unter APIs und Referenz.