Connettere due siti utilizzando gli spoke della VPN

Questo tutorial descrive come utilizzare un hub Network Connectivity Center e spoke Cloud VPN per configurare il trasferimento di dati tra due filiali.

Per saperne di più sulla creazione di hub e spoke, vedi Utilizzare hub e spoke.

Prima di iniziare

Prima di iniziare, esamina le sezioni seguenti.

Crea o seleziona un progetto

Per semplificare la configurazione di Network Connectivity Center, inizia identificando un progetto valido.

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

To initialize the gcloud CLI, run the following command:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

To initialize the gcloud CLI, run the following command:

gcloud init

1. Se utilizzi Google Cloud CLI, imposta l'ID progetto utilizzando il comando gcloud config set.

   gcloud config set project PROJECT_ID

   Sostituisci PROJECT_ID con l'ID progetto univoco.

   Le istruzioni di gcloud CLI in questa pagina presuppongono che tu abbia impostato l'ID progetto.

2. Per verificare di aver impostato correttamente l'ID progetto, utilizza il comando gcloud config list.

   gcloud config list --format='text(core.project)'

Convenzioni per l'identificazione delle risorse

Quando fai riferimento alle risorse utilizzando gcloud CLI o l'API, utilizza le convenzioni descritte nella tabella seguente.

Convegno	Supporto soltanto per	Note	Esempio
URI completo	Tutte le risorse	Utilizza uno di questi metodi per fare riferimento alle istanze dell'appliance router.	"https://www.googleapis.com/compute/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME"
Nome risorsa relativo	Tutte le risorse		"projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME"
Nome	Risorse regionali e globali	Utilizza questo metodo per hub, spoke, tunnel VPN e collegamenti VLAN.	"HUB_NAME"

Topologia di esempio

Il seguente diagramma descrive le risorse di esempio utilizzate in questo tutorial.






Configurare la connettività del trasferimento dati

Per configurare la connettività del trasferimento dei dati:

1. Crea Google Cloud risorse come una rete Virtual Private Cloud (VPC), gateway e tunnel VPN ad alta disponibilità e router Cloud.
2. Crea un hub.
3. Definisci un raggio per la prima e la seconda filiale. Ogni spoke deve utilizzare un tunnel VPN come risorsa sottostante.
4. Verifica la configurazione.

Crea Google Cloud risorse

Questo tutorial presuppone che tu abbia già creato le seguenti Google Cloud risorse:

• Una rete VPC con la modalità di routing dinamico impostata su global
• Nella regione più vicina a Office1, una subnet, un gateway VPN ad alta disponibilità, un router Cloud e un tunnel che collega l'interfaccia del gateway a Office1
• Nella regione più vicina a Office2, una subnet, un gateway VPN ad alta disponibilità, un router Cloud e un tunnel che collega l'interfaccia del gateway a Office2

Se devi creare queste risorse, consulta i seguenti documenti:

• Per creare una rete VPC, consulta Creazione di reti. Poiché questa configurazione utilizza spoke in regioni diverse, imposta la modalità di routing dinamico della rete su global.
• Per creare subnet, vedi Aggiunta di subnet.
• Per creare gateway VPN ad alta disponibilità, tunnel e un router Cloud, consulta Creazione di un gateway VPN ad alta disponibilità connesso a un gateway VPN peer.

Dopo aver identificato le risorse Google Cloud esistenti o averne create di nuove, continua con la sezione successiva.

Crea l'hub

Per prima cosa, crea un hub. In un secondo momento, colleghi gli spoke a questo hub.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o dei seguenti ruoli IAM.

Autorizzazioni

• networkconnectivity.hubs.create
• Se lavori nella console Google Cloud :
  • networkconnectivity.hubs.get
  • networkconnectivity.hubs.list
  • networkconnectivity.spokes.list
  • compute.projects.get

Ruoli

• Amministratore hub e spoke (roles/networkconnectivity.hubAdmin)

• Se lavori nella console Google Cloud : Compute Network Viewer (roles/compute.networkViewer)

Console

1. Nella console Google Cloud , vai alla pagina Network Connectivity Center.

   Vai a Network Connectivity Center

2. Nel menu a discesa del progetto, seleziona un progetto. Nel diagramma di esempio, il progetto è my-project.

3. Inserisci un nome hub, in questo caso my-hub.

4. Inserisci una Descrizione facoltativa.

5. Verifica l'ID progetto. Se l'ID progetto non è corretto, seleziona un progetto diverso utilizzando il menu a discesa nella parte superiore dello schermo.

6. Fai clic su Continua.

7. Per aggiungere lo spoke Office1 all'hub, continua con Crea lo spoke per Office 1.

gcloud

Per creare un hub, utilizza il comando gcloud network-connectivity hubs create.

  gcloud network-connectivity hubs create HUB_NAME \
     --description="DESCRIPTION" \
     --labels="KEY"="VALUE"

Sostituisci i seguenti valori:

• HUB_NAME: il nome del nuovo hub, in questo caso, my-hub
• DESCRIPTION: testo facoltativo che descrive l'hub
• KEY: la chiave nella coppia chiave-valore per il testo dell'etichetta facoltativa
• VALUE: il valore nella coppia chiave-valore per il testo dell'etichetta facoltativa

Per aggiungere lo spoke Office1 all'hub, continua con Crea lo spoke per Office 1.

API

Per creare un hub, utilizza il metodo networkconnectivity.hubs.create.

  POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/global/hubs
  {
    "name":"HUB_NAME",
    "description":"DESCRIPTION",
    "labels": {
      "KEY": "VALUE"
    }
  }

Sostituisci i seguenti valori:

• PROJECT_ID: l'ID progetto del progetto che contiene il nuovo hub, ad esempio my-project
• HUB_NAME: il nome del nuovo hub, ad esempio my-hub
• DESCRIPTION: testo facoltativo che descrive l'hub
• KEY: la chiave nella coppia chiave-valore per il testo dell'etichetta facoltativa
• VALUE: il valore nella coppia chiave-valore per il testo dell'etichetta facoltativa

Per aggiungere lo spoke Office1 all'hub, continua con Crea lo spoke per Office 1.

Crea lo spoke per Office 1

Crea uno spoke per Office1. Utilizza due tunnel VPN ad alta disponibilità come risorse sottostanti dello spoke. Ogni tunnel deve avere origine da un gateway VPN ad alta disponibilità nella regione più vicina all'ufficio. Nel diagramma di esempio, questi tunnel sono rappresentati come vpn-tunnel1-office1 e vpn-tunnel2-office1.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o dei seguenti ruoli IAM.

Autorizzazioni

• networkconnectivity.spokes.create
• compute.routers.get
• compute.vpnTunnels.get
• Se lavori nella console Google Cloud , devi disporre dell'autorizzazione per visualizzare determinate risorse di rete. Per maggiori dettagli, vedi Ruoli e autorizzazioni.

Ruoli

• Il valore sarà uno dei seguenti:
  • Spoke Admin (roles/networkconnectivity.spokeAdmin)
  • Amministratore hub e spoke (roles/networkconnectivity.hubAdmin)
• Un ruolo, ad esempio Visualizzatore rete Compute (roles/compute.networkViewer)), che ti concede l'autorizzazione a leggere le risorse router Cloud e il tipo di risorsa dello spoke (in questo caso, i tunnel VPN)
• Se lavori nella console Google Cloud , Compute Network Viewer (roles/compute.networkViewer)

Console

I passaggi seguenti continuano da Creare l'hub. Spiegano come creare uno spoke subito dopo aver specificato il nome e la descrizione dell'hub.

1. Nel modulo Nuovo spoke, imposta il campo Tipo di spoke su Tunnel VPN.
2. Inserisci un nome per Spoke, in questo caso, office-1-spoke.
3. (Facoltativo) Inserisci una Descrizione dello spoke.
4. Seleziona la regione per lo spoke. Nel diagramma di esempio, lo spoke si trova in us-west1.
5. In Trasferimento dati site-to-site, seleziona On (Attivato).
6. Seleziona la rete VPC appropriata. Nel diagramma di esempio, lo spoke si trova in network-a.
7. Seleziona un tunnel VPN. Se necessario, fai clic su Aggiungi tunnel per aggiungere un altro campo Tunnel VPN. Nel diagramma di esempio vengono utilizzati due tunnel: vpn-tunnel1-office1 e vpn-tunnel2-office1. Al termine dell'aggiunta dei tunnel, fai clic su Fine.
8. Fai clic su Crea.

La pagina Network Connectivity Center viene aggiornata per mostrare i dettagli degli spoke che hai creato. Per aggiungere lo spoke Office2 all'hub, continua con Crea lo spoke per Office 2.

gcloud

Per creare lo spoke, utilizza il comando gcloud network-connectivity spokes linked-vpn-tunnels create.

  gcloud network-connectivity spokes linked-vpn-tunnels create SPOKE_NAME \
    --hub=HUB_NAME \
    --description="DESCRIPTION" \
    --vpn-tunnels=TUNNEL_NAME,TUNNEL_NAME_2 \
    --region=REGION \
    --labels="KEY"="VALUE" \
    --site-to-site-data-transfer

Sostituisci i seguenti valori:

• SPOKE_NAME: il nome dello spoke, in questo caso office-1-spoke
• HUB_NAME: il nome dell'hub a cui stai collegando lo spoke, in questo caso my-hub
• DESCRIPTION: testo facoltativo che descrive lo spoke
• TUNNEL_NAME: il nome del primo tunnel VPN ad alta disponibilità, in questo caso vpn-tunnel1-office1
• TUNNEL_NAME_2: il nome del tunnel ridondante, in questo caso vpn-tunnel2-office1; quando includi un secondo tunnel, non utilizzare uno spazio tra la virgola e il nome del secondo tunnel
• REGION: la regione Google Cloud in cui si trova lo spoke, in questo caso us-west1
• KEY: la chiave nella coppia chiave-valore per il testo dell'etichetta facoltativa
• VALUE: il valore nella coppia chiave-valore per il testo dell'etichetta facoltativa

Per aggiungere lo spoke Office2 all'hub, continua con Crea lo spoke per Office 2.

API

Per creare lo spoke, utilizza il metodo networkconnectivity.spokes.create.

  POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/spokes/SPOKE_NAME
  {
    "hub": "HUB_NAME",
    "labels": {"KEY": "VALUE"},
    "linkedVpnTunnels": {
      "uris: [
        "TUNNEL_NAME",
        "TUNNEL_NAME_2"
      ],
      "siteToSiteDataTransfer": true
    }
  }

Sostituisci i seguenti valori:

• PROJECT_ID: l'ID progetto del tuo progetto
• REGION: la regione Google Cloud in cui vuoi trovare lo spoke, in questo caso us-west1
• SPOKE_NAME: il nome dello spoke
• HUB_NAME: il nome dell'hub a cui stai collegando lo spoke
• KEY: la chiave nella coppia chiave-valore per il testo dell'etichetta facoltativa
• VALUE: il valore nella coppia chiave-valore per il testo dell'etichetta facoltativa
• TUNNEL_NAME: il nome del primo tunnel VPN ad alta disponibilità, in questo caso vpn-tunnel1-office1
• TUNNEL_NAME_2: il nome del tunnel ridondante, in questo caso vpn-tunnel2-office1; quando includi un secondo tunnel, non utilizzare uno spazio tra la virgola e il nome del secondo tunnel

Crea lo spoke per Office 2

Crea uno spoke per Office2. Utilizza due tunnel VPN ad alta disponibilità come risorse sottostanti dello spoke. Ogni tunnel deve avere origine da un gateway VPN ad alta disponibilità nella regione più vicina all'ufficio. Nel diagramma di esempio, questi tunnel sono rappresentati come vpn-tunnel1-office2 e vpn-tunnel2-office2.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o dei seguenti ruoli IAM.

Autorizzazioni

• networkconnectivity.spokes.create
• compute.routers.get
• compute.vpnTunnels.get
• Se lavori nella console Google Cloud , devi disporre dell'autorizzazione per visualizzare determinate risorse di rete. Per maggiori dettagli, vedi Ruoli e autorizzazioni.

Ruoli

• Il valore sarà uno dei seguenti:
  • Spoke Admin (roles/networkconnectivity.spokeAdmin)
  • Amministratore hub e spoke (roles/networkconnectivity.hubAdmin)
• Un ruolo, ad esempio Visualizzatore rete Compute (roles/compute.networkViewer)), che ti concede l'autorizzazione a leggere le risorse router Cloud e il tipo di risorsa dello spoke (in questo caso, i tunnel VPN)
• Se lavori nella console Google Cloud , Compute Network Viewer (roles/compute.networkViewer)

Console

Per creare il secondo spoke:

1. Vai alla pagina Network Connectivity Center.

   Vai a Network Connectivity Center

2. Nel menu a discesa del progetto, seleziona un progetto. Nel diagramma di esempio, il progetto è my-project.

3. Fai clic sulla scheda Raggi.

4. Fai clic su Aggiungi raggi per aprire la pagina Aggiungi raggi.

5. Nel modulo Nuovo spoke, imposta il campo Tipo di spoke su Tunnel VPN.

6. Inserisci un nome per Spoke, in questo caso, office-2-spoke.

7. (Facoltativo) Inserisci una Descrizione dello spoke.

8. Seleziona la regione per lo spoke. Nel diagramma di esempio, lo spoke si trova in us-east1.

9. In Trasferimento dati site-to-site, seleziona On (Attivato).

10. Verifica che il campo Rete VPC sia impostato sulla stessa rete dell'ultimo spoke creato. Nel diagramma di esempio, questa è network-a.

11. Seleziona un tunnel VPN. Se necessario, fai clic su Aggiungi tunnel per aggiungere un altro campo Tunnel VPN. Nel diagramma di esempio vengono utilizzati due tunnel: vpn-tunnel1-office2 e vpn-tunnel2-office2. Al termine dell'aggiunta dei tunnel, fai clic su Fine.

12. Fai clic su Crea.

gcloud

Per creare lo spoke, utilizza il comando gcloud network-connectivity spokes linked-vpn-tunnels create.

  gcloud network-connectivity spokes linked-vpn-tunnels create SPOKE_NAME \
    --hub=HUB_NAME \
    --description="DESCRIPTION" \
    --vpn-tunnels=TUNNEL_NAME,TUNNEL_NAME_2 \
    --region=REGION \
    --labels="KEY"="VALUE" \
    --site-to-site-data-transfer

Sostituisci i seguenti valori:

• SPOKE_NAME: il nome dello spoke, in questo caso office-2-spoke
• HUB_NAME: il nome dell'hub a cui stai collegando lo spoke, in questo caso my-hub
• DESCRIPTION: testo facoltativo che descrive lo spoke
• TUNNEL_NAME: il nome del primo tunnel VPN ad alta disponibilità, in questo caso vpn-tunnel1-office2
• TUNNEL_NAME_2: il nome del tunnel ridondante, in questo caso vpn-tunnel2-office2; quando includi un secondo tunnel, non utilizzare uno spazio tra la virgola e il nome del secondo tunnel
• REGION: la regione Google Cloud in cui si trova lo spoke, in questo caso inus-east1
• KEY: la chiave nella coppia chiave-valore per il testo dell'etichetta facoltativa

• VALUE: il valore nella coppia chiave-valore per il testo dell'etichetta facoltativa

  Per aggiungere lo spoke Office2 all'hub, continua con Crea lo spoke per Office 2.

API

Per creare lo spoke, utilizza il metodo networkconnectivity.spokes.create.

  POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/spokes/SPOKE_NAME
  {
    "hub": "HUB_NAME",
    "labels": {"KEY": "VALUE"},
    "linkedVpnTunnels": {
      "uris": [
        "TUNNEL_NAME",
        "TUNNEL_NAME_2"
      ],
      "siteToSiteDataTransfer": true
    }
  }

Sostituisci i seguenti valori:

• PROJECT_ID: l'ID progetto del tuo progetto
• REGION: la regione Google Cloud in cui vuoi trovare lo spoke, in questo caso us-east1
• SPOKE_NAME: il nome dello spoke
• HUB_NAME: il nome dell'hub a cui stai collegando lo spoke
• KEY: la chiave nella coppia chiave-valore per il testo dell'etichetta facoltativa
• VALUE: il valore nella coppia chiave-valore per il testo dell'etichetta facoltativa
• TUNNEL_NAME: il nome del primo tunnel VPN ad alta disponibilità, in questo caso vpn-tunnel1-office2
• TUNNEL_NAME_2: il nome del tunnel ridondante, in questo caso vpn-tunnel2-office2; quando includi un secondo tunnel, non utilizzare uno spazio tra la virgola e il nome del secondo tunnel

Verificare la configurazione

Dopo aver configurato l'hub e i relativi spoke, dovresti essere in grado di trasferire il traffico dall'istanza di macchina virtuale (VM) di un ufficio all'istanza VM dell'altro ufficio. Per farlo, ogni VM deve avere accesso al tunnel VPN nella sua regione.

Esegui la pulizia della configurazione

Segui i passaggi descritti nelle sezioni seguenti per ripulire la configurazione di esempio. Per evitare addebiti continui, elimina le risorse che hai creato.

Elimina il progetto

Se vuoi eliminare il progetto che hai creato, segui questi passaggi. In alternativa, puoi mantenere il progetto ed eliminare le singole risorse, come descritto nelle sezioni seguenti.

1. In the Google Cloud console, go to the Manage resources page.

   Go to Manage resources

2. In the project list, select the project that you want to delete, and then click Delete.
3. In the dialog, type the project ID, and then click Shut down to delete the project.

Elimina entrambi gli spoke

Prima di eliminare un hub, devi eliminare tutti gli spoke.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o dei seguenti ruoli IAM.

Autorizzazioni

• networkconnectivity.spokes.delete
• Inoltre, se lavori nella console Google Cloud :
  • networkconnectivity.hubs.get
  • networkconnectivity.hubs.list
  • networkconnectivity.spokes.list
  • compute.projects.get

Ruoli

• Uno dei seguenti:
  • Amministratore hub (roles/networkconnectivity.spokeAdmin
  • Amministratore hub e spoke (roles/networkconnectivity.hubAdmin)

• Inoltre, se lavori nella console Google Cloud :

  • Compute Network Viewer (roles/compute.networkViewer)

Console

1. Vai alla pagina Network Connectivity Center.

   Vai a Network Connectivity Center

2. Nel menu a discesa del progetto, seleziona un progetto. Nel diagramma di esempio, il progetto è my-project.

3. Fai clic sulla scheda Raggi.

4. Visualizza l'elenco dei nomi degli spoke per il progetto.

5. Seleziona le caselle di controllo dei raggi che vuoi eliminare, in questo caso office-1-spoke e office-2-spoke.

6. Fai clic su deleteElimina raggi.

7. Nella finestra di dialogo di conferma, fai clic su Elimina.

gcloud

Per eliminare gli spoke, utilizza il comando gcloud network-connectivity spokes delete. Utilizza il comando due volte, una volta per eliminare office-1-spoke e di nuovo per eliminare office-2-spoke.

  gcloud network-connectivity spokes delete SPOKE_NAME \
    --region=REGION

Sostituisci i seguenti valori:

• SPOKE_NAME: il nome dello spoke da eliminare, in questo caso office-1-spoke e office-2-spoke
• REGION: la Google Cloud regione in cui si trova lo spoke

API

Per eliminare i raggi, utilizza il metodo networkconnectivity.spokes.delete. Usa questo metodo due volte, una per eliminare office-1-spoke e una per eliminare office-2-spoke.

  DELETE https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/spokes/SPOKE_NAME

Sostituisci i seguenti valori:

• PROJECT_ID: l'ID progetto del progetto che contiene lo spoke. Nel diagramma di esempio, il progetto è my-project
• REGION: la Google Cloud regione in cui si trova lo spoke
• SPOKE_NAME: il nome dello spoke da eliminare, in questo caso office-1-spoke e office-2-spoke

Elimina l'hub

Dopo aver eliminato gli spoke, puoi eliminare l'hub.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o dei seguenti ruoli IAM.

Autorizzazioni

• networkconnectivity.hubs.delete
• Inoltre, se lavori nella console Google Cloud :
  • networkconnectivity.hubs.get
  • networkconnectivity.hubs.list
  • networkconnectivity.spokes.list
  • compute.projects.get

Ruoli

• Amministratore hub e spoke (roles/networkconnectivity.hubAdmin)

• Inoltre, se lavori nella console Google Cloud , Compute Network Viewer (roles/compute.networkViewer)

Console

1. Nella console Google Cloud , vai alla pagina Network Connectivity Center.

   Vai a Network Connectivity Center

2. Nel menu a discesa del progetto, seleziona un progetto. Nel diagramma di esempio, il progetto è my-project.

3. Fai clic su deleteElimina hub.

4. Nella finestra di dialogo di conferma, fai clic su Elimina per eliminare l'hub.

gcloud

Per eliminare l'hub, utilizza il comando gcloud network-connectivity hubs delete.

  gcloud network-connectivity hubs delete HUB_NAME /
    --project=PROJECT_ID

Sostituisci i seguenti valori:

• HUB_NAME: il nome dell'hub da eliminare, in questo caso, my-hub.
• PROJECT_ID: l'ID progetto del progetto che contiene l'hub; nel diagramma di esempio, il progetto è my-project

API

Per eliminare l'hub, utilizza il metodo networkconnectivity.hubs.delete.

  DELETE https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/global/hubs/HUB_NAME

Sostituisci i seguenti valori:

• PROJECT_ID: l'ID progetto del progetto che contiene l'hub; nel diagramma di esempio, il progetto è my-project
• HUB_NAME: il nome dell'hub da eliminare

Elimina la rete VPC e la subnet

Elimina la rete e la subnet che hai configurato per questo tutorial.

Passaggi successivi

• Per visualizzare una topologia di esempio, vedi Topologia di esempio per il trasferimento di dati site-to-site.
• Per scoprire di più su come Network Connectivity Center consente la connettività full mesh, consulta Scambio di route con trasferimento di dati da sito a sito.
• Per scoprire di più sui requisiti di alta disponibilità, consulta Requisiti di alta disponibilità per le risorse spoke.
• Per creare hub e spoke, vedi Utilizzo di hub e spoke.
• Per trovare soluzioni ai problemi di Network Connectivity Center, consulta la sezione Risoluzione dei problemi.