Panoramica dell'amministrazione dell'hub

Questa pagina fornisce una panoramica del ruolo di amministratore hub Network Connectivity Center (roles/networkconnectivity.hubAdmin). Un'entità IAM (Identity and Access Management) con il ruolo di amministratore hub può svolgere le seguenti operazioni:

• Crea un hub e crea spoke Virtual Private Cloud (VPC) per le reti VPC che si trovano nello stesso progetto dell'hub.
• Concedi l'accesso agli amministratori degli spoke in modo che possano creare proposte di spoke VPC per le reti VPC situate in progetti diversi.
• Rivedi, accetta e rifiuta le proposte di VPC spoke o configura l'accettazione automatica per i gruppi di spoke.
• Visualizza le tabelle di routing dell'hub.

Possono essere utilizzati anche ruoli personalizzati se includono almeno le stesse autorizzazioni del ruolo di amministratore hub Network Connectivity Center.

Come gli spoke VPC si uniscono a un hub

Se una rete VPC e un hub Network Connectivity Center si trovano nello stesso progetto, la creazione di uno spoke VPC per la rete VPC stabilisce immediatamente la connettività all'hub senza ulteriori passaggi.

Se una rete VPC e un hub Network Connectivity Center si trovano in progetti diversi, la procedura per creare uno spoke VPC è la seguente:

1. Un amministratore hub stabilisce associazioni di criteri IAM che consentono agli amministratori spoke in altri progetti di creare proposte di spoke VPC. Nota: gli amministratori dell'hub possono modificare i binding delle norme IAM in qualsiasi momento. Ad esempio, un amministratore hub potrebbe revocare l'accesso in un secondo momento, impedendo a un amministratore spoke di creare altre proposte di spoke. Ciò vale quando l'accettazione automatica per gli speaker non è abilitata.
2. Durante la creazione dell'hub, l'amministratore dell'hub sceglie la topologia di connettività tra la topologia mesh predefinita e la topologia a stella.
3. Un amministratore spoke propone uno spoke VPC. Se la proposta di spoke riguarda un hub configurato per utilizzare la topologia a stella, l'amministratore dello spoke assegna lo spoke al gruppo centro o edge. Per la topologia mesh, tutti gli spoke appartengono al singolo gruppo predefinito.
4. Un amministratore dell'hub esamina ogni proposta di spoke e poi l'accetta o la rifiuta. Di seguito viene descritto come funziona la connettività hub dopo l'accettazione o il rifiuto di una proposta:
   • Un spoke diventa attivo solo dopo che un amministratore dell'hub accetta la proposta di spoke. Network Connectivity Center fornisce connettività di rete solo agli spoke attivi.
   • Un amministratore hub può rifiutare uno spoke VPC accettato in precedenza, rendendolo inattivo. Quando uno spoke VPC precedentemente attivo diventa inattivo, Network Connectivity Center non fornisce connettività di rete allo spoke.

Come funzionano le proposte di aggiornamento degli hub

Quando un VPC o uno spoke VPC del producer esiste in un progetto diverso dall'hub, un amministratore dell'hub deve accettare o rifiutare le proposte di aggiornamento, a meno che non sia attivata l'accettazione automatica per gli spoke. Questi aggiornamenti degli spoke possono essere modifiche agli intervalli di subnet IPv4 da includere o escludere (anteprima).

Per ulteriori informazioni sull'aggiornamento degli spoke, vedi Aggiornare uno spoke.

Accetta automaticamente i progetti

Un amministratore hub può attivare l'accettazione automatica per i gruppi spoke in un hub. Se abilitati, gli spoke VPC che si trovano nell'elenco di progetti con accettazione automatica vengono aggiunti o aggiornati immediatamente dopo la proposta di creazione o aggiornamento dello spoke VPC. La revisione manuale e l'approvazione da parte di un amministratore dell'hub vengono ignorate.

Tabella di routing dell'hub

La tabella di route hub mostra le route subnet importate dagli spoke VPC. Quando viene creato un nuovo spoke VPC, tutte le route di subnet locali della rete VPC vengono esportate nell'hub a meno che l'amministratore dello spoke non utilizzi il flag exclude-export-ranges in Google Cloud CLI o il campo excludeExportRanges nell'API. Per maggiori informazioni, consulta la sezione Unicità della route di subnet.

Quando crei un nuovo spoke VPC, si verifica quanto segue:

• Un spoke appartiene a un solo gruppo.
• Ogni gruppo ha una tabella di routing corrispondente.
• Gli spoke sono associati a quella tabella di routing.
• Le subnet spoke vengono propagate a una o più tabelle di routing.

Poiché esiste un solo gruppo predefinito in una connettività di topologia mesh, le route di subnet vengono propagate a una singola tabella di route hub. Gli spoke collegati a un hub che supporta la topologia a stella appartengono a uno di due gruppi diversi, ovvero center ed edge. Vengono quindi generate due tabelle di route hub, una associata a ciascun gruppo spoke. Le route delle subnet degli spoke nel gruppo centrale vengono propagate alle tabelle di route centrali e perimetrali. Gli spoke nel gruppo perimetrale hanno le route della subnet propagate alla tabella di route centrale.

Per informazioni dettagliate sulle topologie di connettività, vedi Topologie di connettività preimpostate.

Google Cloud aggiorna automaticamente la tabella di routing della rete VPC di ogni spoke VPC e la tabella di routing dell'hub Network Connectivity Center quando si verifica uno dei seguenti eventi:

• Esegui un'attività del ciclo di vita della subnet, ad esempio l'aggiunta o l'eliminazione di una subnet.
• Aggiungi o rimuovi spoke VPC dall'hub.

Per ulteriori informazioni, consulta Tabelle di routing che mostrano le route subnet e Route nella documentazione VPC.

Passaggi successivi

• Per creare hub e spoke, vedi Utilizzo di hub e spoke.
• Per visualizzare un elenco dei partner le cui soluzioni sono integrate con Network Connectivity Center, consulta Partner di Network Connectivity Center.
• Per trovare soluzioni ai problemi relativi all'appliance router, consulta la sezione Risoluzione dei problemi.
• Per informazioni dettagliate sull'API e sui comandi gcloud, consulta API e riferimenti.