Scambio di route con spoke VPC

Questa pagina fornisce una panoramica dello scambio di route tra gli spoke ibridi e gli spoke Virtual Private Cloud (VPC) in Network Connectivity Center (NCC).

Lo scambio di route con gli spoke VPC consente di connettere gli spoke VPC e gli spoke ibridi, come i collegamenti VLAN Cloud Interconnect, i tunnel VPN ad alta disponibilità e le VM appliance router nello stesso hub, il che consente una connettività di rete da qualsiasi a qualsiasi altamente scalabile tra tutti gli spoke collegati a un singolo hub. L'utilizzo di spoke VPC e spoke ibridi sullo stesso hub consente di connettere più reti on-premise e reti VPC.Google Cloud

Lo scambio di route con gli spoke VPC supporta solo l'indirizzamento IPv4.

Reti VPC del workload

Una rete VPC del workload è una rete VPC che un amministratore dello spoke aggiunge a un hub come spoke VPC. Una rete VPC del workload può essere una rete VPC autonoma oppure una rete VPC condiviso. Una rete VPC del carico di lavoro può trovarsi nello stesso progetto dell'hub NCC o in un progetto diverso della stessa organizzazione o di un'altra.

Reti VPC di routing

Una rete VPC di routing è una rete VPC che contiene almeno un spoke ibrido con collegamenti VLAN Cloud Interconnect, tunnel VPN ad alta disponibilità o VM appliance router.

Una rete VPC di routing può anche essere connessa come spoke VPC sullo stesso hub degli spoke ibridi.

Affinché la propagazione della connessione Private Service Connect funzioni con gli spoke ibridi, anche la rete VPC di routing deve essere aggiunta come spoke VPC.

Ogni rete VPC di routing, nonché i collegamenti VLAN Cloud Interconnect, i tunnel VPN ad alta disponibilità o le VM appliance router che utilizzano la rete VPC di routing, devono trovarsi nello stesso progetto dell'hub NCC.

Stabilire la connettività tra gli spoke ibridi e gli spoke VPC

Puoi stabilire la connettività tra gli spoke ibridi e gli spoke VPC aggiungendo reti VPC del workload a un hub NCC come spoke VPC, quindi aggiungi collegamenti VLAN Cloud Interconnect, tunnel VPN ad alta disponibilità o VM appliance router allo stesso hub degli spoke ibridi. I collegamenti VLAN Cloud Interconnect, i tunnel VPN ad alta disponibilità o le VM appliance router in ogni spoke ibrido sono associati anche a una o più reti VPC di routing, ma le reti VPC di routing stesse non devono essere aggiunte all'hub NCC come spoke VPC.

Per stabilire la connettività tra gli spoke ibridi e gli spoke VPC:

1. Gli amministratori di rete per le reti VPC di routing devono prima esaminare la selezione del percorso del router cloud e la modalità di routing dinamico:

   • Gli spoke ibridi NCC supportano solo la modalità di selezione del percorso migliore legacy del router Cloud. Per informazioni dettagliate sulla selezione del percorso del router Cloud, vedi Modalità di selezione del miglior percorso nella documentazione del router Cloud.

   • Gli spoke ibridi NCC supportano le modalità di routing dinamico globale e regionale. La modalità di routing dinamico di una rete VPC di routing determina in quali regioni vengono programmate le route dinamiche NCC negli spoke VPC:

     • Se la modalità di routing dinamico è regionale, le route dinamiche NCC dei relativi spoke ibridi vengono programmate solo nella stessa regione di ogni spoke ibrido.

     • Se la modalità di routing dinamico è globale, le route dinamiche NCC dei relativi spoke ibridi vengono programmate in tutte le regioni.

     Lo spoke VPC utilizza la modalità di routing dinamico solo quando gli spoke ibridi si trovano nello stesso hub.

2. Gli amministratori dell'hub svolgono le seguenti operazioni:

   • Crea un nuovo hub NCC.

   • Concedi l'accesso all'hub NCC in modo che gli amministratori degli spoke possano proporre spoke VPC che si trovano in progetti diversi da quello dell'hub.

3. Gli amministratori degli spoke creano spoke VPC e spoke ibridi:

   • Crea una proposta di spoke VPC per collegare una rete VPC del workload all'hub.

   • Crea uno spoke dell'appliance router

   • Crea uno spoke di collegamento VLAN Cloud Interconnect

   • Crea uno spoke VPN

4. Un amministratore hub deve esaminare gli spoke VPC proposti che si trovano in progetti diversi da quello dell'hub.

5. Gli amministratori degli spoke o gli amministratori di rete per le reti VPC di routing devono configurare la pubblicità delle route delle subnet negli spoke VPC. Puoi utilizzare una delle seguenti tecniche:

   • Un amministratore spoke per lo spoke ibrido può impostare il campo includeImportRanges su ["ALL_IPV4_RANGES"] nella risorsa spoke ibrido utilizzando l'API. Per saperne di più, consulta i tipi LinkedRouterApplianceInstances, LinkedInterconnectAttachments e LinkedVpnTunnels.

   • Un amministratore spoke per lo spoke ibrido può aggiornarlo utilizzando Google Cloud CLI con il flag --include-import-ranges=[ALL_IPV4_RANGES]. Per ulteriori informazioni, consulta i flag network-connectivity spokes linked-router-appliances update, network-connectivity spokes linked-interconnect-attachments update e network-connectivity spokes linked-vpn-tunnels update.

   • Un amministratore di rete per la rete VPC di routing può annunciare intervalli di indirizzi personalizzati sui router Cloud per gli spoke ibridi. Gli intervalli personalizzati possono essere un elenco di tutti gli intervalli di indirizzi IPv4 delle subnet degli spoke VPC sull'hub oppure puoi utilizzare CIDR più grandi che contengono gli intervalli di indirizzi IPv4 delle subnet degli spoke VPC.

Tabelle di route

La tabella delle route dell'hub NCC elenca tutte le route dinamiche apprese dalle reti on-premise e le route delle subnet raggiungibili dalle reti spoke collegate tramite l'hub NCC. Le tabelle di routing hub sono risorse di sola lettura, completamente gestite da NCC. Per informazioni dettagliate su come visualizzare la tabella di routing dell'hub, vedi Visualizzare la tabella di routing dell'hub e le route.

La tabella delle rotte dell'hub viene aggiornata con le voci di rotta appropriate quando si verificano i seguenti eventi:

• Creazione o eliminazione dello spoke VPC
• Creazione o eliminazione di subnet negli spoke VPC collegati
• Creazione o eliminazione di spoke ibridi
• Pubblicazione o ritiro delle route BGP dagli spoke ibridi collegati

Ogni VPC spoke ha anche una tabella di routing della rete VPC. Ogni tabella di route di rete VPC elenca tutte le route programmate nella rete VPC. Per i passaggi per visualizzare la tabella di route VPC, consulta Visualizzare la tabella di route VPC.

Esempi di casi d'uso

Gli esempi seguenti mostrano un hub NCC che contiene sia spoke ibridi che spoke VPC.

Route dinamiche NCC sovrapposte

L'hub NCC seguente ha uno spoke VPC e due spoke ibridi. Entrambi gli spoke ibridi si connettono a una rete on-premise che annuncia sia 192.168.0.0/16 che 192.168.44.10/24. Questo esempio mostra come i programmi NCC si sovrappongono alle route dinamiche in un VPC spoke. Per semplicità, questo esempio considera gli spoke ibridi che si trovano nella stessa regione. L'esempio successivo, Come funzionano insieme la modalità di routing dinamico globale e MED, mostra gli spoke ibridi in due regioni.

Nel diagramma precedente, una rete on-premise utilizza gli intervalli di indirizzi IP 192.168.0.0/16 e 192.168.44.10/24. La rete on-premise si connette a due reti VPC di routing utilizzando due coppie di collegamenti VLAN nella regione us-west1 di ogni rete VPC di routing:

• Lo spoke ibrido a-west contiene i router Cloud e i collegamenti VLAN che ricevono 192.168.0.0/16. Questo spoke ibrido invia le route dinamiche 192.168.0.0/16 all'hub.

• Lo spoke ibrido b-west contiene i router Cloud e i collegamenti VLAN che ricevono 192.168.44.10/24. Questo spoke ibrido invia le route dinamiche 192.168.44.10/24 all'hub.

Lo spoke VPC importa quattro route dinamiche NCC dall'hub:

• Due route dinamiche NCC per 192.168.0.0/16, entrambe con hop successivi nello spoke ibrido a-west.

• Due route dinamiche NCC per 192.168.44.10/24, entrambe con hop successivi nello spoke ibrido b-west.

Le VM e altre risorse nella regione us-west1 del VPC spoke utilizzano le route dinamiche NCC nel seguente modo:

• I pacchetti le cui destinazioni rientrano in 192.168.44.10/24 vengono inviati ai collegamenti VLAN nello spoke ibrido b-west.

• I pacchetti le cui destinazioni rientrano in 192.168.0.0/16, ma non in 192.168.44.10/24, vengono inviati ai collegamenti VLAN nello spoke ibrido a-west.

Come funzionano insieme la modalità di routing dinamico globale e MED

L'hub NCC seguente ha uno spoke VPC e due spoke ibridi. I due spoke ibridi si trovano in una singola rete VPC di routing. L'intervallo di indirizzi IP on-premise è 192.168.44.10/24. Questo esempio mostra come il valore del discriminatore multi-exit (MED), la modalità di routing dinamico e l'algoritmo di selezione del percorso migliore del router Cloud controllano la creazione di route dinamiche sia nella rete VPC di routing sia nei VPC spoke.

Nel diagramma precedente, una rete on-premise utilizza l'intervallo di indirizzi IP 192.168.44.10/24. Quattro collegamenti VLAN, due in us-west1 e due in us-east1, collegano la rete on-premise a una rete VPC di routing, routing-vpc-network. Le sessioni BGP per i due collegamenti VLAN in ogni regione sono gestite dai router Cloud nella stessa regione.

La rete VPC di routing è configurata come segue:

• La modalità di routing dinamico è globale.
• La modalità di selezione del percorso migliore è legacy.
• I due collegamenti VLAN in us-west1 vengono aggiunti come spoke ibrido (west-hybrid-spoke) nell'hub NCC.
• I due collegamenti VLAN in us-east1 vengono aggiunti come spoke ibrido (east-hybrid-spoke) nell'hub NCC.

I router on-premise pubblicizzano l'intervallo di indirizzi IP 192.168.44.10/24:

• Utilizzo di MED 10 per le sessioni BGP per i collegamenti VLAN west-a e east-a.
• Utilizzo di MED 20 per le sessioni BGP per i collegamenti VLAN west-b e east-b.

Nella rete VPC di routing, il piano di controllo delle route dinamiche e il piano di controllo VPC del router Cloud di ogni regione funzionano insieme per creare le seguenti route dinamiche locali per 192.168.44.10/24 in ogni regione:

• Nella regione us-west1, due route dinamiche locali hanno hop successivi nella regione e un hop successivo nella regione us-east1:

  • La route dinamica con priorità 10 utilizza l'hop successivo del collegamento VLAN west-a.
  • La route dinamica con priorità 20 utilizza l'hop successivo del collegamento VLAN west-b.
  • La route dinamica con priorità 275 utilizza l'hop successivo del collegamento VLAN east-a. L'hop successivo east-a ha la priorità più alta (10) nella regione us-east1 e il costo interregionale tra us-west1 e us-east1 è 265.

• Nella regione us-central1, entrambe le route dinamiche locali hanno hop successivi in regioni diverse:

  • La route dinamica con priorità 243 utilizza l'hop successivo del collegamento VLAN east-a. L'hop successivo east-a ha la priorità più alta (10) nella regione us-east1 e il costo interregionale tra us-central1 e us-east1 è 233.
  • La route dinamica con priorità 248 utilizza l'hop successivo del collegamento VLAN west-a. L'hop successivo west-a ha la priorità più alta (10) nella regione us-west e il costo interregionale tra us-central1 e us-west1 è 238.

• Nella regione us-east1, due route dinamiche locali hanno hop successivi nella regione e un hop successivo nella regione us-west1:

  • La route dinamica con priorità 10 utilizza l'hop successivo del collegamento VLAN east-a.
  • La route dinamica con priorità 20 utilizza l'hop successivo del collegamento VLAN east-b.
  • La route dinamica con priorità 275 utilizza l'hop successivo del collegamento VLAN west-a. L'hop successivo west-a ha la priorità più alta (10) nella regione us-west1 e il costo interregionale tra us-east1 e us-west1 è 265.

Una rete VPC del workload, workload-vpc-network, viene aggiunta allo stesso hub NCC come spoke VPC. NCC crea route dinamiche NCC per 192.168.44.10/24 in ogni regione della rete VPC del workload in modo che corrispondano alle route dinamiche locali create in ogni regione della rete VPC di routing. La modalità di routing dinamico e la modalità di selezione del percorso migliore della rete VPC del workload non sono pertinenti perché la rete VPC del workload non contiene le risorse router Cloud che gestiscono le sessioni BGP per i collegamenti VLAN.

Per controllare il percorso dalla rete VPC del workload alla rete on-premise, modifica i valori MED pubblicizzati dalla rete on-premise per il prefisso 192.168.44.10/24. Per informazioni dettagliate su come le route dinamiche NCC interagiscono con le route di subnet e altri tipi di route dinamiche, vedi Ordine di routing.

Passaggi successivi

• Per creare hub e spoke, vedi Utilizzo di hub e spoke.
• Per visualizzare un elenco dei partner le cui soluzioni sono integrate con NCC, consulta Partner NCC.
• Per trovare soluzioni ai problemi comuni, consulta la sezione Risolvere i problemi relativi a NCC.
• Per ottenere dettagli sui comandi API e Google Cloud CLI, consulta API e riferimenti.