Lorsque vous créez un hub Network Connectivity Center (NCC), vous pouvez choisir l'une des topologies prédéfinies suivantes. La topologie maillée est celle par défaut.
- Topologie maillée
- Topologie en étoile
- Topologie d'inspection hybride (aperçu)
Une fois que vous avez créé un hub avec une topologie prédéfinie, vous ne pouvez plus la modifier.
Groupes de spokes
Selon la topologie, un hub est compatible avec un ou plusieurs groupes de spokes. Les types de spokes pouvant appartenir à chaque groupe dépendent également de la topologie du hub. Les caractéristiques suivantes s'appliquent à toutes les topologies :
- Chaque groupe de spokes est un domaine de routage doté de sa propre table de routage. La table de routage du groupe de spokes est mise à jour automatiquement lorsque des spokes sont ajoutés ou supprimés du groupe.
- Chaque spoke ajouté à un hub ne peut appartenir qu'à un seul groupe de spokes.
- NCC accepte automatiquement les spokes ajoutés à partir du même projet que le hub.
- NCC propose des options d'acceptation automatique et d'examen des propositions de spokes lors de l'ajout de spokes VPC qui se trouvent dans des projets différents de celui du hub. Pour en savoir plus, consultez la section Spokes VPC dans un projet différent d'un hub.
Pour savoir comment configurer des topologies et des groupes de spokes, consultez la section Configurer un hub.
Topologie maillée
Avec la topologie maillée, tous les spokes du hub appartiennent à un seul groupe de spokes.
Si vous créez un hub sans spécifier explicitement de topologie, la topologie par défaut est maillée. Lorsque vous ajoutez au moins deux réseaux VPC de charge de travail au hub en tant que spokes VPC, chaque spoke VPC exporte ses routes de sous-réseau en fonction des filtres d'inclusion et d'exclusion d'exportation configurés. Pour en savoir plus sur l'échange de routes de sous-réseau entre les spokes VPC, consultez la section Présentation des spokes VPC.
La topologie maillée est également compatible avec la connectivité réseau à grande échelle entre les spokes VPC et les spokes hybrides. Les administrateurs de spokes ou les administrateurs réseau d'un réseau VPC de routage contenant des spokes hybrides doivent configurer l'annonce des routes de sous-réseau reçues des spokes VPC. Pour en savoir plus, consultez Établir une connectivité entre les spokes hybrides et les spokes VPC spokes.
Le schéma suivant montre un hub qui utilise la topologie maillée et comporte trois spokes VPC.
Types de spokes acceptés
La topologie maillée est compatible avec les spokes VPC, spokes VPC de producteur, et les spokes hybrides dans son groupe de spokes unique.
La gcloud network-connectivity hubs groups list --hub
commande
ne renvoie que le groupe de spokes par défaut unique lorsque vous utilisez la topologie maillée.
Topologie en étoile
La topologie en étoile comporte deux groupes de spokes qui fournissent une segmentation du réseau à l'aide de tables de routage distinctes pour chaque groupe de spokes. Les règles de table de routage suivantes s'appliquent à chaque groupe de spokes :
- Le groupe de spokes central autorise les routes dans sa table de routage qui permettent aux ressources des spokes du groupe central de communiquer avec les ressources des spokes du groupe central ou du groupe périphérique.
- Le groupe de spokes périphérique n'autorise que les routes dans sa table de routage qui permettent aux ressources des spokes du groupe périphérique de communiquer avec les ressources des spokes du groupe central. NCC interdit les routes dans la table de routage du groupe de spokes périphériques qui fourniraient une connectivité entre différents spokes du groupe périphérique.
Sous réserve des règles de la table de routage du groupe de spokes, les administrateurs de spokes ou les administrateurs réseau peuvent effectuer les opérations suivantes :
Utiliser des filtres d'inclusion d'exportation et d'exclusion d'exportation pour contrôler les plages de sous-réseau qu'un spoke VPC exporte vers la table de routage du groupe de spokes auquel il appartient.
Contrôler les plages de sous-réseau des spokes VPC exportées sur les sessions BGP des routeurs cloud dans les spokes hybrides. Pour en savoir plus, consultez Établir une connectivité entre les spokes hybrides et les spokes VPC spokes.
Le schéma suivant illustre la connectivité de la topologie en étoile entre quatre spokes VPC. Les spokes VPC center-vpc-a et center-vpc-b sont membres du groupe de spokes central, et les spokes VPC edge-vpc-c et edge-vpc-d sont membres du groupe de spokes périphérique.
Types de spokes acceptés
La topologie en étoile est compatible avec les spokes VPC, les spokes VPC de producteur et les spokes hybrides. Le tableau suivant présente les groupes de spokes compatibles en fonction du type de spoke :
| Spoke | Peut appartenir au groupe de spokes central | Peut appartenir au groupe de spokes périphérique |
|---|---|---|
| Spoke VPC | ||
| Spoke VPC de producteur | ||
| Spoke hybride avec transfert de données de site à site désactivé | ||
| Spoke hybride avec transfert de données de site à site activé |
La gcloud network-connectivity hubs groups list --hub
commande
renvoie les groupes central et périphérique lorsque vous utilisez la topologie en étoile.
Compatibilité des spokes hybrides avec la topologie en étoile
Un hub configuré pour utiliser la topologie en étoile applique les limites suivantes à ses spokes hybrides :
- Les spokes hybrides pour lesquels le transfert de données de site à site est activé doivent appartenir au groupe de spokes central.
- Les spokes hybrides pour lesquels le transfert de données de site à site n'est pas activé peuvent appartenir au groupe de spokes central ou au groupe de spokes périphérique.
Pour en savoir plus sur la configuration de la topologie maillée ou en étoile pour vos spokes VPC, consultez la section Configurer un hub.
Topologie d'inspection hybride
La topologie d'inspection hybride comporte les quatre groupes de spokes suivants, qui fournissent des fonctionnalités de segmentation du réseau et d'inspection des paquets :
- Le groupe de spokes prod est conçu pour les charges de travail de production.
- Le groupe de spokes non-prod est conçu pour les charges de travail hors production.
- Le groupe de spokes services est conçu pour les services essentiels aux charges de travail de production et hors production.
- Le groupe de spokes gateways est compatible avec les spokes de passerelle NCC qui servent de points de contrôle de sécurité.
Les règles suivantes s'appliquent à la table de routage de chaque groupe de spokes :
Le groupe de spokes prod autorise les routes dans sa table de routage qui permettent aux ressources des spokes du groupe prod de communiquer avec les ressources des spokes du groupe prod, du groupe services ou du groupe gateways. NCC interdit les routes dans la table de routage du groupe de spokes prod qui fourniraient une connectivité aux spokes du groupe non-prod.
Le groupe de spokes non-prod autorise les routes dans sa table de routage qui permettent aux ressources des spokes du groupe non-prod de communiquer avec les ressources des spokes du groupe non-prod, du groupe services ou du groupe gateways. NCC interdit les routes dans la table de routage du groupe de spokes non-prod qui fourniraient une connectivité aux spokes du groupe prod.
Le groupe de spokes services autorise les routes dans sa table de routage qui permettent aux ressources des spokes du groupe services de communiquer avec les ressources des spokes de n'importe quel groupe de spokes.
Le groupe de spokes gateways autorise les routes dans sa table de routage qui permettent à chaque spoke de passerelle NCC de communiquer avec les ressources des spokes de n'importe quel groupe de spokes.
Sous réserve des règles de la table de routage du groupe de spokes, les administrateurs de spokes ou les administrateurs réseau peuvent effectuer les opérations suivantes :
Utiliser des filtres d'inclusion et d'exclusion d'exportation pour contrôler les plages de sous-réseau qu'un spoke VPC exporte vers la table de routage du groupe de spokes auquel il appartient.
Créer des annonces de routage personnalisées sur les sessions BGP des routeurs cloud qui gèrent les connexions hybrides dans les spokes de passerelle NCC. Ces annonces de routage personnalisées peuvent inclure des plages de sous-réseau de spokes VPC. Pour en savoir plus, consultez Ajouter des connexions hybrides à une passerelle NCC.
Contrôler les plages de sous-réseau des spokes VPC exportées sur les sessions BGP des routeurs cloud dans les spokes hybrides. Pour en savoir plus, consultez Établir une connectivité entre les spokes hybrides et les spokes VPC spokes.
Disponibilité de Security Service Edge
L'inspection des paquets Security Service Edge (SSE) n'est disponible que pour le trafic acheminé entre un spoke de passerelle NCC du groupe de spokes gateways et un spoke du groupe prod, du groupe non-prod ou du groupe services.
Le tableau suivant indique si le routage est autorisé et si l'inspection des paquets SSE est disponible pour le trafic acheminé entre les spokes de différents groupes de spokes.
| Spoke de ressource de destination | ||||
|---|---|---|---|---|
| Spoke de ressource source | dans le groupe prod | dans le groupe non-prod | dans le groupe services | dans le groupe gateways |
| dans le groupe prod | routage inspection SSE |
routage inspection SSE |
routage inspection SSE |
routage inspection SSE |
| dans le groupe non-prod | routage inspection SSE |
routage inspection SSE |
routage inspection SSE |
routage inspection SSE |
| dans le groupe services | routage inspection SSE |
routage inspection SSE |
routage inspection SSE |
routage inspection SSE |
| dans le groupe gateways | routage inspection SSE |
routage inspection SSE |
routage inspection SSE |
routage inspection SSE |
Types de spokes acceptés
La topologie d'inspection hybride est compatible avec les spokes VPC, les spokes VPC de producteur, les spokes hybrides et les spokes de passerelle NCC. Le tableau suivant présente les groupes de spokes compatibles en fonction du type de spoke.
| Spoke | Peut appartenir au groupe de spokes prod | Peut appartenir au groupe de spokes non-prod | Peut appartenir au groupe de spokes services | Peut appartenir au groupe de spokes gateways |
|---|---|---|---|---|
| Spoke VPC | ||||
| Spoke VPC de producteur | ||||
| Spoke hybride avec transfert de données de site à site désactivé | ||||
| Spoke hybride avec transfert de données de site à site activé | ||||
| Spoke de passerelle NCC |
La gcloud network-connectivity hubs groups list --hub
commande
renvoie les groupes prod, non-prod, services et gateways lorsque vous utilisez la topologie d'inspection hybride.
Étape suivante
- Pour en savoir plus sur NCC, consultez la section Présentation de NCC.
- Pour trouver des solutions aux problèmes courants, consultez la section Résoudre les problèmes liés à NCC.
- Pour obtenir des détails sur les commandes de l'API et
gcloud, consultez la section API et documentation de référence. - Apprenez à créer des hubs et des spokes en consultant la section Utiliser des hubs et des spokes.