中樞管理總覽

本頁面提供 Network Connectivity Center (NCC) 中樞管理員角色 (roles/networkconnectivity.hubAdmin) 的總覽。具備中樞管理員角色的 Identity and Access Management (IAM) 主體可以執行下列操作：

• 建立中樞，並為與中樞位於同一專案的虛擬私有雲 (VPC) 網路建立虛擬私有雲 (VPC) 輪輻。
• 授予輪輻管理員存取權，讓他們為不同專案中的虛擬私有雲網路建立虛擬私有雲輪輻提案。
• 查看、接受及拒絕 VPC 子網提案，或為子網群組設定自動接受。
• 查看中樞路徑資料表。

如果自訂角色至少包含 NCC 中心管理員角色的權限，也可以使用。

虛擬私有雲輪輻如何加入中樞

如果虛擬私有雲網路和 NCC 中樞位於同一專案，為虛擬私有雲網路建立虛擬私有雲輪輻後，系統會立即建立與中樞的連線，不需執行任何額外步驟。

如果虛擬私有雲網路和 NCC 中樞位於不同專案，建立虛擬私有雲網路輪輻的程序如下：

1. 中樞管理員會建立 IAM 政策繫結，允許其他專案的輪輻管理員建立虛擬私有雲輪輻提案。注意：中樞管理員隨時可以變更 IAM 政策繫結。舉例來說，中樞管理員稍後可能會撤銷存取權，導致輪輻管理員無法建立其他輪輻提案。如果未啟用輪輻的自動接受功能，就會發生這種情況。
2. 建立中樞時，中樞管理員會選擇預設網格拓撲和星型拓撲之間的連線拓撲。
3. 輪輻管理員提議虛擬私有雲輪輻。如果輪輻提案適用於已設為使用星狀拓撲的中心，輪輻管理員會將輪輻指派給「中心」或「邊緣」群組。如果是網格拓撲，所有輪輻都屬於單一預設群組。
4. 中心管理員會審查每個分支提案，然後接受或拒絕提案。以下說明接受或拒絕提案後，中樞連線的運作方式：
   • 只有在中心管理員接受輪輻提案後，輪輻才會啟用。NCC 只會為有效輪輻提供網路連線。
   • 中樞管理員可以拒絕先前接受的虛擬私有雲輪輻，使輪輻處於非使用中狀態。如果先前已啟用的虛擬私有雲輪輻變成無效，NCC 就不會為該輪輻提供網路連線。

輪輻更新提案的運作方式

如果虛擬私有雲或生產者虛擬私有雲的 spoke 位於與中樞不同的專案中，中樞管理員必須接受或拒絕更新提案，除非已啟用 spoke 的自動接受功能。這些輪輻更新可能包括變更 IPv4 子網路範圍 (預覽版)。

如要進一步瞭解如何更新 Spoke，請參閱更新 Spoke。

自動接受專案

中樞管理員可以為中樞中的輻射群組啟用自動接受功能。 啟用後，系統會在收到虛擬私有雲輪輻建立或更新提案後，立即新增或更新位於自動接受專案清單中的虛擬私有雲輪輻。系統會略過中心管理員的手動審查和核准程序。

中樞路由表

中樞路由表會顯示從 VPC 輪輻匯入的子網路路由。建立新的 VPC 輪輻時，系統會將 VPC 網路中的所有本機子網路路徑匯出至中樞，除非輪輻管理員在 Google Cloud CLI 中使用 exclude-export-ranges 旗標，或在 API 中使用 excludeExportRanges 欄位。詳情請參閱子網路路徑的唯一性。

建立新的虛擬私有雲輪輻時，會發生下列情況：

• 一個 Spoke 只能屬於一個群組。
• 每個群組都有對應的路由表。
• Spoke 會與該路由表建立關聯。
• 輪輻子網路會傳播至一或多個路由表。

由於網狀拓撲連線中只有一個預設群組，子網路路徑會傳播至單一中心路徑表。連線至支援星狀拓撲的中樞的輪輻，會屬於兩個不同群組之一，分別是「中心」和「邊緣」。因此，系統會產生兩個中樞路由表，分別與每個輪輻群組建立關聯。中心群組的輪輻會將子網路路由傳播至中心和邊緣路由表。邊緣群組的輪輻會將子網路路由傳播至中央路由表。

如要進一步瞭解連線拓撲，請參閱「預設連線拓撲」。

發生下列任一情況時，Google Cloud 會自動更新每個 VPC 輪輻的 VPC 網路路徑表和 NCC 中樞路徑表：

• 您執行子網路生命週期活動，例如新增或刪除子網路。
• 在中樞新增或移除虛擬私有雲輪輻。

詳情請參閱虛擬私有雲說明文件中的「顯示子網路路徑的路徑表」和「路徑」。

後續步驟

• 如要建立中樞和輪輻，請參閱「與中樞和輪輻搭配使用」。
• 如要查看解決方案已與 NCC 整合的合作夥伴清單，請參閱 NCC 合作夥伴。
• 如要尋找 Router 設備問題的解決方案，請參閱「疑難排解」。
• 如要瞭解 API 和 gcloud 指令的詳細資料，請參閱「API 和參考資料」。注意：如要使用 Terraform 解決方案簡化 NCC 中樞和各種輪輻的設定，請參閱 NCC 的 Terraform 範例。