Questa pagina fornisce una panoramica del ruolo Amministratore hub Network Connectivity Center
(roles/networkconnectivity.hubAdmin).
Un'entità IAM (Identity and Access Management) con il ruolo Amministratore hub può
svolgere le seguenti operazioni:
- Crea un hub e crea spoke Virtual Private Cloud (VPC) per le reti VPC che si trovano nello stesso progetto dell'hub.
- Concedi l'accesso agli amministratori degli spoke in modo che possano creare proposte di spoke VPC per le reti VPC situate in progetti diversi.
- Rivedi, accetta e rifiuta le proposte di VPC spoke o configura l'accettazione automatica per i gruppi di spoke.
- Visualizza le tabelle route dell'hub.
Possono essere utilizzati anche ruoli personalizzati se includono almeno le stesse autorizzazioni del ruolo di amministratore hub Network Connectivity Center.
Come gli spoke VPC si uniscono a un hub
Se una rete VPC e un hub Network Connectivity Center si trovano nello stesso progetto, la creazione di uno spoke VPC per la rete VPC stabilisce immediatamente la connettività all'hub senza passaggi aggiuntivi.
Se una rete VPC e un hub Network Connectivity Center si trovano in progetti diversi, la procedura per creare uno spoke VPC è la seguente:
- Un amministratore hub stabilisce associazioni di criteri IAM che consentono agli amministratori spoke di altri progetti di creare proposte di spoke VPC. Nota: gli amministratori dell'hub possono modificare i binding delle norme IAM in qualsiasi momento. Ad esempio, un amministratore hub potrebbe revocare l'accesso in un secondo momento, impedendo a un amministratore spoke di creare altre proposte spoke. Ciò vale quando l'accettazione automatica per gli speaker non è abilitata.
- Durante la creazione dell'hub, l'amministratore dell'hub sceglie la topologia di connettività tra la topologia mesh predefinita e la topologia a stella.
- Un amministratore spoke propone uno spoke VPC. Se la proposta di spoke riguarda un hub configurato per utilizzare la topologia a stella, l'amministratore dello spoke assegna lo spoke al gruppo centro o edge. Per la topologia mesh, tutti gli spoke appartengono al singolo gruppo predefinito.
- Un amministratore dell'hub esamina ogni proposta di spoke e poi l'accetta o la rifiuta. Di seguito viene descritto come funziona la connettività hub dopo
l'accettazione o il rifiuto di una proposta:
- Un spoke diventa attivo solo dopo che un amministratore hub accetta la proposta di spoke. Network Connectivity Center fornisce connettività di rete solo agli spoke attivi.
- Un amministratore hub può rifiutare uno spoke VPC accettato in precedenza, rendendolo inattivo. Quando uno spoke VPC precedentemente attivo diventa inattivo, Network Connectivity Center non fornisce connettività di rete allo spoke.
Come funzionano le proposte di aggiornamento degli spoke
Quando un VPC o uno spoke VPC del producer esiste in un progetto diverso dall'hub, un amministratore dell'hub deve accettare o rifiutare le proposte di aggiornamento, a meno che non sia attivata l'accettazione automatica per gli spoke. Questi aggiornamenti degli spoke possono essere modifiche agli intervalli di subnet IPv4 inclusi o esclusi (anteprima).
Per ulteriori informazioni sull'aggiornamento degli spoke, vedi Aggiornare uno spoke.
Accetta automaticamente i progetti
Un amministratore hub può abilitare l'accettazione automatica per i gruppi spoke in un hub. Se abilitati, gli spoke VPC che si trovano nell'elenco di progetti con accettazione automatica vengono aggiunti o aggiornati immediatamente dopo la proposta di creazione o aggiornamento dello spoke VPC. La revisione manuale e l'approvazione da parte di un amministratore dell'hub vengono ignorate.
Tabella di route dell'hub
La tabella di route hub mostra le route subnet importate dagli spoke VPC. Quando viene creato un nuovo spoke VPC, tutte le route di subnet locali della rete VPC vengono esportate nell'hub a meno che l'amministratore dello spoke non utilizzi il flag exclude-export-ranges in Google Cloud CLI o il campo excludeExportRanges nell'API. Per saperne di più, consulta Unicità della route
della subnet.
Quando crei un nuovo spoke VPC, si verifica quanto segue:
- Un raggio appartiene a un solo gruppo.
- Ogni gruppo ha una tabella di routing corrispondente.
- Gli spoke sono associati a quella tabella di routing.
- Le subnet spoke vengono propagate a una o più tabelle di routing.
Poiché esiste un solo gruppo predefinito in una connettività di topologia mesh, le route di subnet vengono propagate a una singola tabella di route dell'hub. Gli spoke collegati a un hub che supporta la topologia a stella appartengono a uno dei due gruppi diversi, ovvero centro e periferia. Vengono quindi generate due tabelle di routing dell'hub, una associata a ciascun gruppo di spoke. Le route delle subnet degli spoke nel gruppo centrale vengono propagate alle tabelle di route centrali e perimetrali. Le route di subnet degli spoke nel gruppo perimetrale vengono propagate alla tabella di route centrale.
Per informazioni dettagliate sulle topologie di connettività, vedi Topologie di connettività preimpostate.
Google Cloud aggiorna automaticamente la tabella di routing della rete VPC di ogni spoke VPC e la tabella di routing dell'hub Network Connectivity Center quando si verifica uno dei seguenti eventi:
- Esegui un'attività del ciclo di vita della subnet, ad esempio l'aggiunta o l'eliminazione di una subnet.
- Aggiungi o rimuovi spoke VPC dall'hub.
Per saperne di più, consulta Tabelle di routing che mostrano le route delle subnet e Route nella documentazione VPC.
Passaggi successivi
- Per creare hub e spoke, vedi Utilizzo di hub e spoke.
- Per visualizzare un elenco dei partner le cui soluzioni sono integrate con Network Connectivity Center, consulta Partner di Network Connectivity Center.
- Per trovare soluzioni ai problemi relativi all'appliance router, vedi Risoluzione dei problemi.
- Per informazioni dettagliate sui comandi API e
gcloud, consulta API e riferimenti. Nota: per una soluzione Terraform che semplifica la configurazione degli hub Network Connectivity Center e di vari tipi di spoke, consulta gli esempi di Terraform per Network Connectivity Center.