本頁面提供 Network Connectivity Center 中樞管理員角色 (roles/networkconnectivity.hubAdmin) 的總覽。具備中樞管理員角色的身分與存取權管理 (IAM) 主體可以執行下列操作:
- 建立中樞,並為與中樞位於同一專案的虛擬私有雲 (VPC) 網路建立虛擬私有雲 (VPC) 輪輻。
- 授予輪輻管理員存取權,讓他們可以為不同專案中的虛擬私有雲網路建立虛擬私有雲輪輻提案。
- 查看、接受及拒絕 VPC 子網提案,或為子網群組設定自動接受。
- 查看中樞路徑資料表。
如果自訂角色至少包含 Network Connectivity Center 中樞管理員角色的權限,也可以使用。
虛擬私有雲輪輻如何加入中樞
如果虛擬私有雲網路和 Network Connectivity Center 中樞位於同一個專案中,為虛擬私有雲網路建立虛擬私有雲輪輻後,系統會立即建立與中樞的連線,不需要執行任何額外步驟。
如果虛擬私有雲網路和網路連線中心中樞位於不同專案,建立虛擬私有雲輪輻的程序如下:
- 中樞管理員會建立 IAM 政策繫結,允許其他專案的輪輻管理員建立虛擬私有雲輪輻提案。注意:中樞管理員隨時可以變更 IAM 政策繫結。舉例來說,中樞管理員稍後可能會撤銷存取權,導致輪輻管理員無法建立其他輪輻提案。如果未啟用輪輻的自動接受功能,就會發生這種情況。
- 建立中樞時,中樞管理員會選擇預設網格拓撲和星型拓撲之間的連線拓撲。
- 輪輻管理員提議虛擬私有雲輪輻。如果輪輻提案適用於已設為使用星狀拓撲的中心,輪輻管理員會將輪輻指派給中心或邊緣群組。如果是網格拓撲,所有輪輻都屬於單一預設群組。
- 中心管理員會審查每個分支提案,然後接受或拒絕提案。以下說明接受或拒絕提案後,中樞連線的運作方式:
- 只有在中心管理員接受輪輻提案後,輪輻才會啟用。Network Connectivity Center 只會為有效輪輻提供網路連線。
- 中樞管理員可以拒絕先前接受的虛擬私有雲輪輻,使輪輻處於非使用中狀態。如果先前處於啟用狀態的虛擬私有雲輪輻變成停用狀態,Network Connectivity Center 就不會為該輪輻提供網路連線。
輪輻更新提案的運作方式
如果虛擬私有雲或生產者虛擬私有雲的輻射網路位於與中樞不同的專案中,中樞管理員必須接受或拒絕更新提案,除非已啟用輻射網路的自動接受功能。這些 Spoke 更新項目可能包括變更 IPv4 子網路範圍 (預覽版)。
如要進一步瞭解如何更新 Spoke,請參閱更新 Spoke。
自動接受專案
中心管理員可以為中心內的子群組啟用自動接受功能。 啟用後,系統會在 VPC 輪輻建立或更新提案後,立即新增或更新自動接受專案清單中的 VPC 輪輻。系統會略過中心管理員的手動審查和核准程序。
中樞路由表
中樞路由表會顯示從 VPC 輪輻匯入的子網路路由。建立新的 VPC 節點時,VPC 網路中的所有本機子網路路徑都會匯出至中樞,除非節點管理員在 Google Cloud CLI 中使用 exclude-export-ranges 旗標,或在 API 中使用 excludeExportRanges 欄位。詳情請參閱子網路路徑唯一性。
建立新的虛擬私有雲輪輻時,會發生下列情況:
- 一個 Spoke 只能屬於一個群組。
- 每個群組都有對應的路由表。
- 輪輻會與該路由表建立關聯。
- 輪輻子網路會傳播至一或多個路由表。
由於網狀拓撲連線中只有一個預設群組,子網路路徑會傳播至單一中心路徑表。連線至支援星狀拓撲的中樞的輪輻,會屬於兩個不同群組之一,分別是「中心」和「邊緣」。因此,系統會產生兩個中樞路徑表,分別與每個輪輻群組建立關聯。中央群組中的輪輻會將子網路路徑傳播至中央和邊緣路由表。邊緣群組中的輪輻會將子網路路由傳播至中央路由表。
如要進一步瞭解連線拓撲,請參閱「預設連線拓撲」。
Google Cloud 在發生下列任一情況時,自動更新每個 VPC 輪輻的 VPC 網路路徑表,以及 Network Connectivity Center 中樞路徑表:
- 您執行子網路生命週期活動,例如新增或刪除子網路。
- 在中樞新增或移除虛擬私有雲輪輻。
詳情請參閱虛擬私有雲說明文件中的顯示子網路路徑的路徑表和路徑。
後續步驟
- 如要建立中樞和輪輻,請參閱「與中樞和輪輻搭配使用」。
- 如要查看解決方案已整合 Network Connectivity Center 的合作夥伴清單,請參閱「Network Connectivity Center 合作夥伴」。
- 如要尋找 Router 設備問題的解決方案,請參閱「疑難排解」。
- 如要瞭解 API 和
gcloud指令的詳細資料,請參閱「API 和參考資料」。