Network Connectivity Center (NCC) è un framework di orchestrazione che semplifica la connettività di rete tra le risorse spoke connesse a una risorsa di gestione centrale chiamata hub. NCC supporta i seguenti tipi di spoke:
- Spoke Virtual Private Cloud (VPC)
- Spoke VPC del producer
- Spoke gateway NCC
- Spoke ibridi, composti da:
- Tunnel VPN ad alta disponibilità affidabilità
- Collegamenti VLAN Cloud Interconnect
- VM dell'appliance router
Con la connettività hub e spoke, puoi:
- Connettere più reti VPC tra loro. Le reti VPC possono trovarsi in progetti diversi nella stessa Google Cloud organizzazione o in organizzazioni diverse.
- Connettere più reti VPC a reti on-premise o di altri provider di servizi cloud. Queste reti esterne possono essere raggiungibili tramite qualsiasi tipo di spoke ibrido. Questo approccio è noto come connettività dal sito al cloud.
- Utilizzare le VM dell'appliance router per gestire la connettività tra le reti VPC.
- Utilizzare una rete Google Cloud VPC come rete WAN (Wide Area Network) aziendale per connettere reti esterne Google Cloud. Puoi stabilire la connettività tra i siti esterni utilizzando qualsiasi tipo di spoke ibrido. Questo approccio è noto come connettività site-to-site.
Come funziona
Quando un hub utilizza spoke VPC, puoi configurare la connettività tra queste reti VPC connesse all'hub scambiando le route delle subnet tra tutte o alcune delle reti VPC.
Quando un hub utilizza sia spoke VPC sia spoke ibridi, è supportata la connettività any-to-any tra tutti questi spoke.
Quando un hub utilizza spoke ibridi che si trovano in una singola rete VPC, puoi anche configurare il trasferimento di dati site-to-site in modo che le route dinamiche i cui hop successivi sono uno spoke ibrido, ad esempio un collegamento VLAN Cloud Interconnect, vengano pubblicizzate a una rete on-premise dalle sessioni BGP degli altri spoke ibridi in quella rete VPC.
Per una descrizione dettagliata di hub e spoke, consulta le sezioni seguenti.
Hub
Un hub NCC è una risorsa globale a cui si collegano gli spoke. Un singolo hub può contenere spoke di più regioni. Tuttavia, se uno degli spoke di un hub utilizza la funzionalità di trasferimento di dati site-to-site, le risorse associate a questi spoke devono trovarsi tutte nella stessa rete VPC. Gli spoke che non utilizzano il trasferimento di dati site-to-site possono essere associati a qualsiasi rete VPC nel tuo progetto.
Spoke
Uno spoke rappresenta una o più risorse di rete connesse a un hub. Google Cloud
Quando crei uno spoke, devi associarlo ad almeno una risorsa di connettività supportata, chiamata anche risorsa di supporto.
Uno spoke può utilizzare una delle seguenti Google Cloud risorse come risorsa di supporto.
Spoke VPC
Gli spoke VPC consentono di connettere due o più reti VPC a un hub in modo che possano scambiare le route delle subnet. Gli spoke VPC collegati a un singolo hub possono fare riferimento a reti VPC nello stesso progetto o in un progetto diverso (incluso un progetto in un'organizzazione diversa).
Gli spoke VPC esportano le route delle subnet nell'hub e importano le route delle subnet e le route dinamiche dall'hub.
Per informazioni dettagliate sugli spoke VPC, consulta la panoramica degli spoke VPC.
Gli spoke VPC forniscono connettività tra gli intervalli di subnet IPv4 e IPv6 di più reti VPC. Puoi configurare ogni spoke VPC per esportare gli intervalli di subnet come segue:
- Solo intervalli di subnet IPv4
- Intervalli di subnet IPv4 e IPv6
- Solo intervalli di subnet IPv6
Considera uno spoke la cui rete VPC ha un mix di tipi di stack di subnet. Se configuri lo spoke in modo che esporti solo gli intervalli di subnet IPv6, vengono scambiati gli intervalli di subnet IPv6 delle subnet a doppio stack e solo IPv6, ma non gli intervalli di subnet IPv4 delle subnet solo IPv4 e a doppio stack.
Spoke VPC del producer
Se hai uno spoke VPC esistente che utilizza un servizio da una rete producer in un altro progetto tramite il peering di rete VPC, puoi rendere il servizio raggiungibile dagli altri spoke nel tuo hub NCC creando uno spoke VPC del producer.
Per informazioni dettagliate sugli spoke VPC del producer, consulta Spoke VPC del producer.
Spoke gateway
Il gateway NCC è un tipo di spoke regionale collegato all'hub NCC. Consente la sicurezza per il traffico di rete Cross-Cloud Network. Il gateway NCC consente l'ispezione Security Service Edge (SSE) di terze parti.
Per informazioni dettagliate sugli spoke gateway NCC, consulta la panoramica del gateway NCC.
Spoke ibridi
Uno spoke ibrido rappresenta una o più risorse di connettività di rete connesse a un hub. Un tipo di spoke ibrido può essere una delle seguenti risorse a cui è associato uno spoke:
- VM dell'appliance router
- Tunnel VPN ad alta disponibilità affidabilità
- Collegamenti VLAN Cloud Interconnect
Un singolo spoke ibrido può essere associato a più risorse dello stesso tipo. Ad esempio, uno spoke ibrido può fare riferimento a due o più tunnel VPN ad alta disponibilità, ma lo stesso spoke ibrido non può fare riferimento anche a VM dell'appliance router o a collegamenti VLAN Cloud Interconnect. Uno spoke ibrido deve trovarsi nello stesso progetto dell'hub NCC.
Il trasferimento di dati site-to-site tramite spoke ibridi richiede che gli spoke si trovino nella stessa rete VPC. Per saperne di più, consulta la panoramica del trasferimento di dati site-to-site.
Spoke dell'appliance router
Uno spoke associato a un'istanza VM dell'appliance router supporta i seguenti casi d'uso:
- Connettività IPv4 dal sito al cloud: stabilisci la connettività tra un sito esterno e le risorse della rete VPC.
- Trasferimento di dati IPv4 site-to-site: utilizza la rete di Google come parte di una rete WAN (Wide Area Network) che include i tuoi siti esterni per spostare i dati tra tutti i siti.
- Connettività IPv4 tra reti VPC: utilizza un'appliance virtuale di rete di terze parti per stabilire la connettività tra le reti VPC.
Tutti gli spoke site-to-site connessi allo stesso hub devono avere tutte le risorse di supporto nella stessa rete VPC.
Spoke del tunnel VPN ad alta disponibilità affidabilità
Uno spoke associato ai tunnel Cloud VPN (VPN ad alta disponibilità affidabilità) supporta i seguenti casi d'uso:
- Connettività IPv4 dal sito al cloud: stabilisci la connettività tra un sito esterno e le risorse della rete VPC.
- Trasferimento di dati IPv4 site-to-site: utilizza la rete di Google come parte di una rete WAN (Wide Area Network) che include i tuoi siti esterni per spostare i dati tra tutti i siti.
Tutte le appliance collegate da un singolo spoke e tutti i tunnel Cloud VPN e i collegamenti VLAN devono trovarsi nella stessa rete VPC.
Spoke del collegamento VLAN Cloud Interconnect
Uno spoke associato ai collegamenti VLAN Cloud Interconnect supporta i seguenti casi d'uso:
- Connettività IPv4 dal sito al cloud: tutte le appliance collegate da un singolo spoke devono trovarsi nella stessa rete VPC.
- Trasferimento di dati IPv4 site-to-site: tutti i tunnel Cloud VPN, i collegamenti VLAN o entrambi devono trovarsi nella stessa rete VPC.
Scambio di route con la connettività VPC
Gli spoke VPC NCC supportano lo scambio dei seguenti intervalli di subnet:
Le route dinamiche IPv4, ovvero le route apprese dagli spoke ibridi tramite BGP, possono essere scambiate anche con gli spoke VPC o altri spoke ibridi.
Importazione delle subnet dell'hub per gli spoke ibridi
Puoi ottenere l'annuncio automatico degli intervalli di subnet IP degli spoke VPC alle reti on-premise e di altri provider di servizi cloud tramite BGP abilitando l'importazione delle subnet dell'hub per gli spoke ibridi. Quando è abilitata, tutte le nuove subnet VPC create o eliminate e presenti nella tabella delle route dell'hub vengono importate automaticamente dagli spoke ibridi e pubblicizzate tramite BGP ai relativi peer remoti.
Per pubblicizzare automaticamente gli intervalli di indirizzi IP delle subnet degli spoke VPC agli spoke ibridi, utilizza il flag --include-import-ranges con il campo ALL_IPV4_RANGES durante la creazione dello spoke. Per impostazione predefinita, il campo --include-import-ranges è vuoto, il che significa che nessuna subnet dell'hub viene importata negli spoke ibridi nuovi o esistenti finché non viene specificato ALL_IPV4_RANGES. Gli spoke ibridi possono anche inviare intervalli di indirizzi IP pubblici utilizzati privatamente
all'hub NCC (anteprima).
Filtri spoke
NCC consente di limitare la connettività tra gli spoke utilizzando i filtri spoke.
Per informazioni dettagliate sui filtri spoke, consulta la panoramica dei filtri spoke.
Per informazioni dettagliate su come creare spoke ibridi, consulta Utilizzare gli spoke.
Esempi di casi d'uso
Le sezioni seguenti descrivono i principali casi d'uso di NCC.
Connettere reti VPC diverse con NCC
Quando colleghi due o più spoke VPC a un hub, NCC fornisce la connettività tramite le route delle subnet tra tutte le reti VPC rappresentate dagli spoke. L'utilizzo di un hub semplifica la gestione della connettività delle subnet mesh su larga scala. Consulta le quote per scoprire quante reti VPC possono essere connesse a un hub.
Il seguente diagramma mostra due spoke VPC.
Connettività on-premise per gli spoke VPC
Gli spoke VPC possono connettersi a reti on-premise utilizzando spoke ibridi che si trovano in altre reti VPC (di routing). Ogni hub NCC supporta più spoke VPC e collegamenti VLAN Cloud Interconnect, tunnel VPN ad alta disponibilità o VM dell'appliance router aggiunti come spoke ibridi.
Connettere le reti utilizzando le VM dell'appliance router
NCC può utilizzare le VM dell'appliance router nei seguenti due scenari di connettività IPv4:
- Connessione di una rete VPC a una rete on-premise o di un altro provider di servizi cloud utilizzando route dinamiche
- Connessione di due reti VPC tra loro utilizzando route dinamiche
Con questa opzione, il router Cloud gestisce le sessioni BGP per le VM dell'appliance router.
Connettere una rete esterna a Google Cloud
Il seguente diagramma utilizza uno spoke ibrido con una VM dell'appliance router per connettere due reti VPC a una rete esterna. La VM del router Cloud ha un'interfaccia di rete (NIC) in ogni rete VPC.
Per saperne di più su questo caso d'uso, consulta Topologie dal sito al cloud che utilizzano un'appliance di terze parti.
Gestire la connettività tra le reti VPC
Il seguente diagramma utilizza uno spoke ibrido con una VM dell'appliance router che esegue software specializzato per firewall o ispezione dei pacchetti per connettere due reti VPC.
Per saperne di più, consulta Topologia da VPC a VPC che utilizza un'appliance di terze parti.
Eseguire il trasferimento di dati sulla rete di Google (site-to-site)
Il trasferimento di dati fornisce la connettività IPv4 tra le reti esterne utilizzando una Google Cloud rete VPC e spoke ibridi. Puoi trasferire dati tra più reti on-premise o ad altre reti cloud.
Quando crei uno spoke ibrido, puoi abilitare l'opzione di trasferimento di dati per quello spoke. Quando il trasferimento di dati è abilitato per gli spoke ibridi connessi allo stesso hub, le route dinamiche apprese da ogni VM dell'appliance router, tunnel Cloud VPN o collegamento VLAN Cloud Interconnect vengono ripubblicizzate alle altre VM, ai tunnel o ai collegamenti VLAN associati a qualsiasi spoke ibrido connesso allo stesso hub. Il trasferimento di dati richiede che tutti gli spoke ibridi facciano riferimento a VM dell'appliance router, tunnel Cloud VPN o collegamenti VLAN Cloud Interconnect in una singola rete VPC.
Ad esempio, supponiamo di avere data center a New York, Sydney e Tokyo. Dopo aver utilizzato le risorse supportate per connettere la rete VPC a ciascuno di questi siti, puoi creare uno spoke per rappresentare ogni rete. Al termine della configurazione, NCC fornirà la connettività mesh completa tra tutti e tre i siti.
Come mostrato nel seguente diagramma, puoi creare spoke che si basano su risorse di connettività come Cloud VPN, Cloud Interconnect e appliance router.
Il diagramma non mostra Cross-Cloud Interconnect, ma puoi utilizzare anche i collegamenti VLAN Cross-Cloud Interconnect.
Per saperne di più su questo caso d'uso, consulta la panoramica del trasferimento di dati site-to-site.
Considerazioni su NCC
Prima di configurare NCC, consulta le sezioni seguenti.
Indirizzamento IP
Il supporto della versione IP dipende dal tipo di spoke:
Spoke VPC: NCC supporta le seguenti versioni IP:
IPv4 e IPv6 per lo scambio di intervalli di subnet.
Puoi configurare gli spoke VPC in modo che scambino solo intervalli di subnet IPv4, solo intervalli di subnet IPv6 o entrambi.
Solo indirizzi IPv4 per lo scambio di route dinamiche.
Spoke ibridi: NCC supporta solo IPv4. Ad esempio:
Se per uno spoke è abilitato il trasferimento di dati site-to-site, le risorse associate agli spoke supportano solo il traffico IPv4. Questa affermazione si applica a tutti i tipi di spoke ibridi: appliance router, collegamento VLAN e spoke VPN.
Gli spoke dell'appliance router dal sito al cloud supportano solo il traffico IPv4.
Quando crei una VM dell'appliance router, l'indirizzo IPv4 interno principale della VM deve essere un indirizzo RFC 1918.
Routing
Le route installate dagli spoke ibridi NCC vengono trattate come route dinamiche.
Per informazioni su come vengono gestite le route dinamiche rispetto ad altri tipi di route, consulta Applicabilità e ordine nella documentazione VPC.
| Risorsa | Casi d'uso applicabili |
|---|---|
| Assegnazione delle priorità | Tutte le risorse degli spoke ibridi utilizzano i router Cloud. Per informazioni dettagliate su come i router Cloud elaborano le route apprese per creare route dinamiche in una rete VPC o in un hub NCC, consulta Route apprese nella documentazione del router Cloud. |
| ASN | Tutti i router di peering non Google associati a un singolo spoke devono utilizzare lo stesso ASN quando pubblicizzano i prefissi al router Cloud. Questo è importante perché, se due peer pubblicizzano lo stesso prefisso con ASN o percorsi AS diversi, per quel prefisso viene ripubblicizzato solo l'ASN e il percorso AS di un peer. Spoke diversi devono avere ASN diversi. Ciò significa che, se due sessioni BGP appartengono a spoke diversi, devono avere ASN diversi. Inoltre, se utilizzi la funzionalità di trasferimento di dati, devi assegnare gli ASN come descritto in Requisiti ASN per il trasferimento di dati site-to-site. |
| Sessioni BGP | Le community BGP non sono supportate. |
Modifiche all'annuncio di route quando si utilizza il trasferimento di dati site-to-site
Quando aggiungi un collegamento VLAN Cloud Interconnect o un tunnel Cloud VPN a uno spoke ibrido, NCC aggiorna la sessione BGP corrispondente per il collegamento VLAN o il tunnel Cloud VPN in modo che ripubblicizzi i prefissi appresi dalle sessioni BGP degli altri collegamenti VLAN Cloud Interconnect o tunnel Cloud VPN connessi a uno degli spoke ibridi dell'hub per cui è abilitata l'opzione di trasferimento di dati site-to-site.
Supporto per altri prodotti
Le sezioni seguenti descrivono come NCC funziona con altri prodotti e funzionalità di networking.
Spoke VPC e peering di rete VPC
Gli spoke VPC NCC supportano lo scambio di:
- Intervalli di subnet IPv4 validi
- Intervalli di subnet IPv6
- Route dinamiche IPv4
Gli spoke VPC non supportano lo scambio di:
- Route delle subnet di peering
- Route locali con indirizzi IPv4 pubblici utilizzati privatamente
- Route delle subnet locali con indirizzi IPv6
Gli spoke VPC non scambiano route statiche; tuttavia, gli spoke VPC possono importare le route dinamiche IPv4 NCC dagli spoke ibridi che si trovano nello stesso hub NCC.
Per saperne di più sugli spoke VPC NCC, consulta la panoramica degli spoke VPC.
Per informazioni dettagliate su come vengono scambiate le route utilizzando il peering di rete VPC, consulta le opzioni di scambio delle route nella documentazione del peering di rete VPC.
Anche se gli spoke VPC NCC non supportano lo scambio di route statiche, una rete VPC spoke può comunque importare le route statiche e le route da un'altra rete VPC utilizzando il peering di rete VPC.
Inoltre, uno spoke VPC può comunque importare route dinamiche da un'altra rete VPC utilizzando il peering di rete VPC. Se l'altra rete VPC ha route dinamiche con hop successivi collegamenti VLAN Cloud Interconnect o tunnel Cloud VPN che si connettono a una rete on-premise, puoi connettere la rete VPC spoke alla rete on-premise utilizzando gli annunci di route personalizzate del router Cloud e le opzioni di scambio delle route del peering di rete VPC come descritto nell'esempio di rete di transito della documentazione del peering di rete VPC.
VPC condiviso
Le reti VPC condiviso possono essere aggiunte come spoke VPC a un hub NCC. L'hub può trovarsi in qualsiasi progetto. Questi spoke VPC possono connettersi all'hub dallo stesso progetto o come spoke VPC in un progetto diverso da un hub.
Ti consigliamo di assegnare il ruolo networkconnectivity.googleapis.com/spokeAdmin agli amministratori dei progetti di servizio. Per informazioni dettagliate su questo ruolo e su altri
ruoli NCC, consulta
Ruoli e autorizzazioni.
Reti precedenti
Le risorse spoke non possono far parte di una rete precedente.
Tunnel VPN
I tunnel VPN classica non sono supportati.
Trasferimento di dati
Se utilizzi il trasferimento di dati, consulta la sezione Considerazioni nella panoramica del trasferimento di dati site-to-site.
Accordo sul livello del servizio
Per informazioni sull'accordo sul livello del servizio NCC, consulta Accordo sul livello del servizio (SLA) di Network Connectivity Center.
Prezzi
Per informazioni sui prezzi, consulta Prezzi di NCC.
Passaggi successivi
- Per scoprire come gestire hub e spoke, consulta Utilizzare hub e spoke.
- Per scoprire come utilizzare gli spoke Cloud VPN, consulta Connettere due siti utilizzando gli spoke Cloud VPN.
- Per ottenere un elenco dei partner le cui soluzioni sono integrate con NCC, consulta Partner NCC.
- Per visualizzare le quote e i limiti di NCC, consulta Quote e limiti.