Hub 管理概览

本页面简要介绍了 Network Connectivity Center hub 管理员角色 (roles/networkconnectivity.hubAdmin)。具有 hub 管理员角色的 Identity and Access Management (IAM) 主账号可以执行以下操作:

如果自定义角色至少可提供 Network Connectivity Center hub 管理员角色的相同权限,则也可以使用自定义角色。

VPC spoke 如何加入 hub

如果 VPC 网络和 Network Connectivity Center hub 位于同一项目中,则为 VPC 网络创建 VPC spoke 会立即建立与该 hub 的连接,而无需执行任何其他步骤。

如果 VPC 网络和 Network Connectivity Center hub 位于不同的项目中,则创建 VPC spoke 的过程如下:

  1. Hub 管理员建立 IAM 政策绑定,可让其他项目中的 spoke 管理员创建 VPC spoke 提案。注意:Hub 管理员随时可以更改 IAM 政策绑定。例如,hub 管理员可以稍后撤消访问权限,以防止 spoke 管理员创建其他 spoke 提案。 如果没有为 spoke 启用自动接受,便是这种情况。
  2. 在创建 hub 期间,hub 管理员选择默认的网状拓扑或星形拓扑作为连接拓扑。
  3. Spoke 管理员提出 VPC spoke。 如果 spoke 提案针对配置为使用星形拓扑的 hub,则 spoke 管理员将 spoke 分配到中心或边缘群组。对于网状拓扑,所有 spoke 都属于一个默认群组。
  4. Hub 管理员审核每个 spoke 提案,然后接受或拒绝提案。下面介绍了 hub 连接在接受或拒绝提案后的工作原理:
    • 只有在 hub 管理员接受 spoke 提案后,spoke 才会变为活跃状态。Network Connectivity Center 仅提供与活跃 spoke 的网络连接。
    • Hub 管理员可以拒绝之前接受的 VPC spoke,使 spoke 处于非活跃状态。当之前的活跃 VPC spoke 变为非活跃状态时,Network Connectivity Center 不会提供与该 spoke 的网络连接。

spoke 更新提案的运作方式

如果 VPC 或提供方 VPC spoke 位于与 hub 不同的项目中,除非已为 spoke 启用自动接受,否则 hub 管理员必须接受或拒绝更新提案。这些 spoke 更新可以更改为包含或排除 IPv4 子网范围(预览版)。

如需详细了解如何更新 spoke,请参阅更新 spoke

自动接受项目

hub 管理员可以为 hub 中的 spoke 群组启用自动接受功能。启用该功能后,位于自动接受项目列表中的 VPC spoke 会在 VPC spoke 创建或更新提案后立即添加或更新。跳过由 Hub 管理员进行的人工审核和批准。

Hub 路由表

hub 路由表显示从 VPC spoke 导入的子网路由。创建新的 VPC spoke 后,VPC 网络中的所有本地子网路由都会导出到 hub,除非 spoke 管理员在 Google Cloud CLI 中使用 exclude-export-ranges 标志或在 API 中使用 excludeExportRanges 字段。如需了解详情,请参阅子网路由唯一性

创建新的 VPC spoke 时,会发生以下情况:

  • 一个 spoke 只属于一个群组。
  • 每个群组都有一个对应的路由表。
  • spoke 与该路由表相关联。
  • spoke 子网传播到一个或多个路由表。

由于网状拓扑连接中只有一个默认群组,因此子网路由会传播到单个 hub 路由表。连接到支持星形拓扑的 hub 的 spoke 属于两个不同群组之一,即中心群组和边缘群组。因此,系统会生成两个 hub 路由表,每个路由表与一个 spoke 群组相关联。中心群组中的 spoke 将其子网路由传播到中心路由表和边缘路由表。边缘群组中的 spoke 将其子网路由传播到中心路由表。

如需详细了解连接拓扑,请参阅预设连接拓扑

如果出现以下任一情况,Google Cloud 会自动更新每个 VPC spoke 的 VPC 网络路由表和 Network Connectivity Center hub 路由表:

如需了解详情,请参阅 VPC 文档中的显示子网路由的路由表路由

后续步骤