Hub 管理概览

本页面简要介绍了 Network Connectivity Center hub 管理员角色 (roles/networkconnectivity.hubAdmin)。具有 hub 管理员角色的 Identity and Access Management (IAM) 主账号可以执行以下操作:

如果自定义角色至少可提供 Network Connectivity Center hub 管理员角色的相同权限,则也可以使用自定义角色。

VPC spoke 如何加入 hub

如果 VPC 网络和 Network Connectivity Center hub 位于同一项目中,则为 VPC 网络创建 VPC spoke 会立即建立与该 hub 的连接,而无需执行任何其他步骤。

如果 VPC 网络和 Network Connectivity Center hub 位于不同的项目中,则创建 VPC spoke 的过程如下:

  1. Hub 管理员建立 IAM 政策绑定,可让其他项目中的 spoke 管理员创建 VPC spoke 提案。注意:Hub 管理员随时可以更改 IAM 政策绑定。例如,hub 管理员可以稍后撤消访问权限,以防止 spoke 管理员创建其他 spoke 提案。如果未为轮辐启用自动接受,则为 true。
  2. 在创建集线器期间,集线器管理员可以在默认网状拓扑和星形拓扑之间选择连接拓扑。
  3. Spoke 管理员提出 VPC spoke。如果 spoke 提案适用于配置为使用星形拓扑结构的集线器,spoke 管理员会将 spoke 分配给中心边缘群组。对于网状拓扑,所有 spoke 都属于单个默认群组。
  4. Hub 管理员审核每个 spoke 提案,然后接受或拒绝提案。下面介绍了 hub 连接在接受或拒绝提案后的工作原理:
    • 只有在 hub 管理员接受 spoke 提案后,spoke 才会变为活跃状态。Network Connectivity Center 仅提供与活跃 spoke 的网络连接。
    • Hub 管理员可以拒绝之前接受的 VPC spoke,使 spoke 处于非活跃状态。当之前的活跃 VPC spoke 变为非活跃状态时,Network Connectivity Center 不会提供与该 spoke 的网络连接。

自动接受项目

hub 管理员可以为 hub 中的 spoke 群组启用自动接受功能。启用此功能后,自动接受项目列表中的 spoke 会在 hub 和群组中自动被接受,而无需进行审核,并且它们会在 spoke 提案后立即处于活跃状态。

Hub 路由表

Hub 路由表会显示从 VPC spoke 导入的子网路由。创建新的 VPC spoke 后,VPC 网络中的所有本地子网路由都会导出到 hub,除非 spoke 管理员在 Google Cloud CLI 中使用 exclude-export-ranges 标志或在 API 中使用 excludeExportRanges 字段。如需了解详情,请参阅子网路由唯一性

创建新的 VPC spoke 时,会发生以下情况:

  • spoke 只能属于一个群组。
  • 每个组都有对应的路由表。
  • 辐条与该路由表相关联
  • 轮辐子网会传播到一个或多个路由表。

由于网状拓扑连接中只有一个默认群组,因此子网路由会传播到单个 hub 路由表。连接到支持星形拓扑的集线器的 spoke 属于两个不同群组之一,即中心边缘。因此,系统会生成两个 hub 路由表,每个轮辐组对应一个。中心群组中的 spoke 的子网路由会传播到中心路由表和边缘路由表。边缘组中的轮辐的子网路由会传播到中心路由表。

如需详细了解连接拓扑,请参阅预设拓扑

如果出现以下任一情况,Google Cloud 会自动更新每个 VPC spoke 的 VPC 网络路由表和 Network Connectivity Center hub 路由表:

如需了解详情,请参阅 VPC 文档中的显示子网路由的路由表路由

后续步骤