輪輻管理總覽

本頁面從虛擬私有雲 (VPC) 輪輻管理員的角度，提供相關總覽。

如果網路連線中心中樞和虛擬私有雲輪輻位於同一個專案，虛擬私有雲輪輻管理員必須在該專案中，同時具備下列身分與存取權管理 (IAM) 繫結：

• Compute 網路管理員角色 (roles/compute.networkAdmin)。

• Network Connectivity Center Spoke 管理員角色 (roles/networkconnectivity.spokeAdmin)。

如果網路連線中心中樞和虛擬私有雲輪輻位於不同專案，IAM 政策必須具有下列繫結。

• 虛擬私有雲輪輻管理員必須在包含虛擬私有雲網路 (輪輻) 的專案中，同時擁有下列 IAM 繫結：

  • Compute 網路管理員角色 (roles/compute.networkAdmin)。
  • Network Connectivity Center 輪輻管理員角色 (roles/networkconnectivity.spokeAdmin)。

• 虛擬私有雲輪輻管理員也必須在 Network Connectivity Center 中樞或包含 Network Connectivity Center 中樞的專案中，擁有下列兩個 IAM 繫結：

  • Network Connectivity Center 群組使用者角色 (roles/networkconnectivity.groupUser)。
  • Network Connectivity Center Hub 與 Spoke 檢視者角色 (roles/networkconnectivity.hubViewer)。

您也可以使用自訂角色，只要自訂角色包含的權限與先前列出的預先定義角色相同即可。

如果虛擬私有雲網路和 Network Connectivity Center 中樞位於不同專案，虛擬私有雲輪輻管理員必須建立輪輻提案，要求虛擬私有雲網路加入中樞。中心管理員會審查提案。中樞管理員接受提案後，虛擬私有雲網路就會連上中樞。中心管理員也可以拒絕分支提案。輪輻管理員隨時可以查看虛擬私有雲輪輻提案的狀態。

您可以提議更新現有虛擬私有雲輪輻，變更匯出至中樞路徑資料表的子網路範圍組合。

詳情請參閱以下各節。

• 在其他專案中提議虛擬私有雲輪輻
• 檢查 VPC 支點的狀態
• 查看 VPC 路由表
• 虛擬私有雲子網總覽
• 變更匯出的子網路位址範圍 (預覽)

子網路路徑的唯一性

與虛擬私有雲網路對等互連類似， Google Cloud 會禁止連線至 Network Connectivity Center 中樞的虛擬私有雲輪輻之間發生子網路 IP 位址範圍衝突。如果符合下列任一條件，子網路 IP 位址範圍就會與另一個子網路 IP 位址範圍衝突：

• 一個 VPC 網路中的子網路 IP 位址範圍完全符合另一個 VPC 網路中的子網路 IP 位址範圍。
• 一個虛擬私有雲網路中的子網路 IP 位址範圍符合另一個虛擬私有雲網路中的子網路 IP 位址範圍。
• 一個虛擬私有雲網路中的子網路 IP 位址範圍包含另一個虛擬私有雲網路中的子網路 IP 位址範圍。

虛擬私有雲輪輻無法將衝突的子網路 IP 位址範圍匯出至同一個 Network Connectivity Center 中樞。您可以在 Google Cloud CLI 中使用 exclude-export-ranges 標記，或在 API 中使用 excludeExportRanges 欄位，防止子網路 IP 位址範圍從 VPC 輪輻共用至 Network Connectivity Center 中樞。舉例來說，假設您有兩個虛擬私有雲網路，想要連線至同一個 Network Connectivity Center 中樞：

• 第一個虛擬私有雲網路的子網路主要內部 IPv4 位址範圍為 100.64.0.0/16，因此子網路路由為 100.64.0.0/16。
• 第二個虛擬私有雲網路的子網路具有 100.64.0.0/24 的次要內部 IPv4 位址範圍，因此會產生 100.64.0.0/24 的子網路路徑。

這兩個子網路路徑的子網路 IP 位址範圍有衝突，因為 100.64.0.0/24 屬於 100.64.0.0/16。除非解決衝突，否則您無法將兩個網路都做為虛擬私有雲輪輻，連線至同一個 Network Connectivity Center 中樞。您可以採用下列其中一項策略來解決衝突：

• 將第一個虛擬私有雲網路連結至中繼站時，請排除 100.64.0.0/16 IP 位址範圍；將第二個虛擬私有雲網路連結至中繼站時，請排除 100.64.0.0/24 IP 位址範圍。
• 附加每個 VPC 網路時，請排除 100.64.0.0/16 或整個 RFC 6598 空間 (100.64.0.0/10)。

與虛擬私有雲網路對等互連子網路路徑的互動方式

對等互連子網路路徑是指透過虛擬私有雲網路對等互連方式連線的虛擬私有雲網路之間交換的路徑。即使連線至 Network Connectivity Center 中樞的 VPC 輪輻之間，永遠不會交換對等互連子網路路徑，您仍需將對等互連子網路路徑納入考量。從每個 VPC 輪輻的角度來看，所有本機子網路路徑、匯入的對等互連子網路路徑和匯入的 Network Connectivity Center 子網路路徑不得衝突。

為說明這項概念，請參考下列設定：

• 虛擬私有雲網路 net-a 是連結至 Network Connectivity Center 中樞的虛擬私有雲輪輻。
• 虛擬私有雲網路 net-b 是連線至同一個 Network Connectivity Center 中樞的虛擬私有雲輪輻。
• VPC 網路 net-b 和 net-c 透過 VPC 網路對等互連相互連線。

假設 100.64.0.0/24 的本機子網路 IP 位址範圍存在於 net-c。這會在 net-c 和 net-b 中建立對等互連子網路路徑。即使 100.64.0.0/24 IP 位址範圍的對等互連子網路路徑未匯出至 Network Connectivity Center 中樞，但由於 net-b 中存在該路徑，net-b 就無法匯入目的地完全符合 100.64.0.0/24、符合 100.64.0.0/24 範圍，或包含 100.64.0.0/24 的 Network Connectivity Center 路徑。因此，除非您設定 net-a 不匯出衝突範圍，否則 net-a 中不得有 100.64.0.0/24、100.64.0.0/25 或 100.64.0.0/16 的本機子網路路徑。

顯示子網路路徑的路由表

Google Cloud 顯示從虛擬私有雲輪輻匯入 Network Connectivity Center 的子網路路徑，並列於兩個路由表中：

• Network Connectivity Center 中樞路由表。
• 每個 VPC (輪輻) 網路的 VPC 網路路徑表。

當符合下列任一條件時，Google Cloud 會自動更新每個虛擬私有雲輪輻的虛擬私有雲網路路徑表，以及 Network Connectivity Center 中樞路徑表：

• 執行子網路路徑生命週期活動時，例如新增或刪除子網路。
• 在中心新增或移除虛擬私有雲輪輻時。

在虛擬私有雲網路路徑表中，從其他虛擬私有雲輪輻匯入的每個路徑，都會顯示為「Network Connectivity Center 子網路路徑」，其下一個躍點為 Network Connectivity Center 中樞。這些網路連線能力中心子網路路徑的名稱會以前置字串「ncc-subnet-route-」開頭。如要查看匯入的 Network Connectivity Center 子網路路徑的實際下一個躍點，您可以查看 Network Connectivity Center 中樞路徑表，也可以查看將子網路路徑匯出至 Network Connectivity Center 中樞的虛擬私有雲輪輻的虛擬私有雲網路路徑表。

如要進一步瞭解 VPC 路徑，請參閱 VPC 說明文件中的「路徑」。

後續步驟

• 如要建立中樞和輪輻，請參閱「與中樞和輪輻搭配使用」。
• 如要在與中樞不同的專案中建立輪輻，請參閱「在不同專案中提議虛擬私有雲輪輻」。
• 如要查看解決方案已整合 Network Connectivity Center 的合作夥伴清單，請參閱「Network Connectivity Center 合作夥伴」。
• 如要尋找常見問題的解決方案，請參閱疑難排解。
• 如要瞭解 API 和 gcloud 指令的詳細資料，請參閱「API 和參考資料」。