Spoke 管理概览

本页面从 Virtual Private Cloud (VPC) spoke 管理员的角度进行了简要介绍。

如果 Network Connectivity Center hub 和 VPC spoke 位于同一项目中，则 VPC spoke 管理员必须同时具有该项目的以下 Identity and Access Management (IAM) 绑定：

• Compute Network Admin 角色 (roles/compute.networkAdmin)。

• Network Connectivity Center Spoke Admin 角色 (roles/networkconnectivity.spokeAdmin)。

如果 Network Connectivity Center hub 和 VPC spoke 位于不同的项目中，则 IAM 政策必须具有以下绑定。

• VPC spoke 管理员必须同时具有包含 VPC 网络 (spoke) 的项目的以下 IAM 绑定：

  • Compute Network Admin 角色 (roles/compute.networkAdmin)。
  • Network Connectivity Center spoke 管理员角色 (roles/networkconnectivity.spokeAdmin)。

• VPC spoke 管理员还必须同时具有 Network Connectivity Center hub 或包含 Network Connectivity Center hub 的项目的以下 IAM 绑定：

  • Network Connectivity Center Group User 角色 (roles/networkconnectivity.groupUser)。
  • Network Connectivity Center Hub & Spoke Viewer 角色 (roles/networkconnectivity.hubViewer)。

您也可以使用自定义角色，只要自定义角色可提供与前面列出的预定义角色相同的权限即可。

当 VPC 网络和 Network Connectivity Center hub 位于不同的项目中时，VPC spoke 管理员必须创建 spoke 提案，以请求 VPC 网络加入该 hub。Hub 管理员审核提案。如果 hub 管理员接受提案，则 VPC 网络会连接到该 hub。Hub 管理员也可以拒绝 spoke 提案。Spoke 管理员随时可以检查 VPC spoke 提案的状态。

您可以针对现有 VPC spoke 提议更新，以更改导出到 hub 路由表的 IPv4 子网范围集。

如需了解详情，请参阅以下部分。

• 在其他项目中建议 VPC Spoke
• 检查 VPC Spoke 的状态
• 查看 VPC 路由表
• VPC Spoke 概览
• 更改导出的子网 IPv4 地址范围（预览版）

子网路由唯一性

与 VPC 网络对等互连类似， Google Cloud 会禁止连接到 Network Connectivity Center hub 的 VPC spoke 之间的子网 IP 地址范围冲突。如果满足以下任一条件，一个子网 IP 地址范围会与其他子网 IP 地址范围冲突：

• 一个 VPC 网络中的子网 IP 地址范围与另一个 VPC 网络中的子网 IP 地址范围完全匹配。
• 一个 VPC 网络中的子网 IP 地址范围在另一个 VPC 网络中的子网 IP 地址范围内。
• 一个 VPC 网络中的子网 IP 地址范围包含另一个 VPC 网络中的子网 IP 地址范围。

VPC spoke 无法将有冲突的子网 IP 地址范围导出到同一 Network Connectivity Center hub。您可以在 Google Cloud CLI 中使用 exclude-export-ranges 标志或在 API 中使用 excludeExportRanges 字段来防止 VPC spoke 与 Network Connectivity Center hub 之间共享子网 IP 地址范围。例如，假设您有两个要连接到同一 Network Connectivity Center hub 的 VPC 网络：

• 第一个 VPC 网络具有一个其主要内部 IPv4 地址范围为 100.64.0.0/16 的子网，因此生成 100.64.0.0/16 的子网路由。
• 第二个 VPC 网络具有一个次要内部 IPv4 地址范围为 100.64.0.0/24 的子网，因此生成 100.64.0.0/24 的子网路由。

这两个子网路由存在冲突的子网 IP 地址范围，因为 100.64.0.0/24 在 100.64.0.0/16 的范围内。除非解决冲突，否则您无法将两个网络作为 VPC spoke 连接到同一个 Network Connectivity Center hub。您可以使用以下策略之一来解决冲突：

• 在将第一个 VPC 网络连接到 hub 时排除 100.64.0.0/16 IP 地址范围，或者在将第二个 VPC 网络连接到 hub 时排除 100.64.0.0/24 IP 地址范围。
• 在连接每个 VPC 网络时，排除 100.64.0.0/16 或整个 RFC 6598 空间 100.64.0.0/10。

与 VPC 网络对等互连子网路由的交互

对等互连子网路由是指使用 VPC 网络对等互连连接的 VPC 网络之间交换的路由。即使对等互连子网路由从未在连接到 Network Connectivity Center hub 的 VPC Spoke 之间交换，您仍需要考虑对等互连子网路由。从每个 VPC spoke 的角度来看，所有本地子网路由、导入的对等互连子网路由和导入的 Network Connectivity Center 子网路由都不能发生冲突。

为了说明这一概念，假设有以下配置：

• VPC 网络 net-a 是连接到 Network Connectivity Center hub 的 VPC spoke。
• VPC 网络 net-b 是连接到同一个 Network Connectivity Center hub 的 VPC spoke。
• VPC 网络 net-b 和 net-c 使用 VPC 网络对等互连相互连接。

假设 net-c 中存在 100.64.0.0/24 的本地子网 IP 地址范围。这会在 net-c 中创建一个本地子网路由，并在 net-b 中创建一个对等互连子网路由。即使 100.64.0.0/24 IP 地址范围的对等互连子网路由未导出到 Network Connectivity Center hub，其存在于 net-b 中也会使 net-b 无法导入目的地与 100.64.0.0/24 完全匹配、在 100.64.0.0/24 范围内或包含 100.64.0.0/24 的 Network Connectivity Center 路由。因此，100.64.0.0/24、100.64.0.0/25 或 100.64.0.0/16 的本地子网路由不能存在于 net-a 中，除非您将 net-a 配置为不导出有冲突的范围。

显示子网路由的路由表

Google Cloud 会在两个路由表中显示从 VPC spoke 导入的 Network Connectivity Center 子网路由：

• Network Connectivity Center hub 路由表。
• 每个 VPC (spoke) 网络的 VPC 网络路由表。

如果满足以下任一条件，Google Cloud 会自动更新每个 VPC spoke 的 VPC 网络路由表和 Network Connectivity Center hub 路由表：

• 执行子网路由生命周期活动（例如添加或删除子网）时。
• 在 hub 中添加或移除 VPC spoke 时。

在 VPC 网络路由表中，从其他 VPC spoke 导入的每个路由都会显示为其下一个跃点是 Network Connectivity Center hub 的 Network Connectivity Center 子网路由。这些 Network Connectivity Center 子网路由的名称以 ncc-subnet-route- 前缀开头。如需了解导入的 Network Connectivity Center 子网路由的实际下一个跃点，您可以查看 Network Connectivity Center hub 路由表，也可以查看将子网路由导出到 Network Connectivity Center hub 的 VPC spoke 的 VPC 网络路由表。

如需详细了解 VPC 路由，请参阅 VPC 文档中的路由。

后续步骤

• 如要创建 hub 和 spoke，请参阅使用 hub 和 spoke。
• 如需在与 Hub 不同的项目中创建 Spoke，请参阅在其他项目中建议 VPC Spoke。
• 如需查看其解决方案已与 Network Connectivity Center 集成的合作伙伴列表，请参阅 Network Connectivity Center 合作伙伴。
• 如需查找常见问题的解决方案，请参阅问题排查。
• 如需获取有关 API 和 gcloud 命令的详细信息，请参阅 API 和参考。