סקירה כללית על ניהול המרכז

בדף הזה מופיעה סקירה כללית על תפקיד האדמין של מרכז הרשתות (NCC) (roles/networkconnectivity.hubAdmin). חשבון משתמש בניהול זהויות והרשאות גישה (IAM) עם תפקיד האדמין של מרכז הרשתות יכול לבצע את הפעולות הבאות:

אפשר גם להשתמש בתפקידים בהתאמה אישית, אם הם כוללים לפחות את אותן הרשאות של תפקיד האדמין של מרכז NCC.

איך רשתות spoke ב-VPC מצטרפות לרשת hub

אם רשת VPC ומרכז NCC נמצאים באותו פרויקט, יצירת רשת מסוג Spoke עבור רשת ה-VPC יוצרת באופן מיידי קישוריות למרכז ללא צורך בפעולות נוספות.

אם רשת VPC ומרכז NCC ממוקמים בפרויקטים שונים, התהליך ליצירת רשת VPC מסוג Spoke הוא כזה:

  1. אדמין של מרכז יוצר קשרי IAM Policy Bindings שמאפשרים לאדמינים של רשתות מסוג Spoke בפרויקטים אחרים ליצור הצעות לרשתות מסוג Spoke ב-VPC. הערה: אדמינים של מרכזים יכולים לשנות את הקישורים של מדיניות IAM בכל שלב. לדוגמה, אדמין של מרכז יכול לבטל את הגישה בשלב מאוחר יותר, וכך למנוע מאדמין של שלוחה ליצור הצעות נוספות לשלוחות. זה נכון אם האפשרות אישור אוטומטי של רכזות לא מופעלת.
  2. במהלך יצירת ה-Hub, האדמין של ה-Hub בוחר את טופולוגיית הקישוריות בין טופולוגיית הרשת לבין טופולוגיית הכוכב.
  3. אדמין של רשת spoke מציע רשת spoke של VPC. אם ההצעה ליצירת רשת מסוג Spoke היא עבור רשת Hub שמתוכננת להשתמש בטופולוגיית כוכב, האדמין של רשת ה-Spoke מקצה את רשת ה-Spoke לקבוצת המרכז או לקבוצת הקצה. בטופולוגיית רשת, כל ה-spokes שייכים לקבוצת ברירת המחדל היחידה.
  4. אדמין במרכז השליטה בודק כל הצעה להוספת ערוץ, ואז מאשר או דוחה אותה. ההסבר הבא מתאר איך הקישוריות של ה-hub פועלת אחרי אישור או דחייה של הצעה:
    • הסניף הופך לפעיל רק אחרי שאדמין במרכז מאשר את ההצעה להוספת הסניף. ‫NCC מספק קישוריות לרשת רק לרשתות מסוג spoke פעילות.
    • אדמין של רכזת יכול לדחות חיבור של רשת VPC מסוג spoke שאושר בעבר, וכך להפוך את ה-spoke ללא פעיל. כש-VPC spoke שהיה פעיל בעבר הופך ללא פעיל, NCC לא מספק קישוריות לרשת ל-spoke.

איך פועלות הצעות לעדכון של רכזות

אם יש רשת VPC או רשת VPC של ספק בפרויקט ששונה מהרכזת, אדמין של הרכזת צריך לאשר או לדחות הצעות לעדכון, אלא אם מופעל אישור אוטומטי של רשתות מסוג spoke. העדכונים האלה ב-spoke יכולים להיות שינויים בטווחים של רשתות משנה IPv4 שכלולות או לא כלולות (תצוגה מקדימה).

מידע נוסף על עדכון של רשתות משנה זמין במאמר בנושא עדכון של רשת משנה.

אישור אוטומטי של פרויקטים

אדמינים של מרכזים יכולים להפעיל אישור אוטומטי לקבוצות מסוג spoke במרכז. כשההגדרה הזו מופעלת, רשתות spoke של VPC שנמצאות ברשימת הפרויקטים עם אישור אוטומטי מתווספות או מתעדכנות מיד אחרי ההצעה ליצירה או לעדכון של רשת spoke של VPC. הבדיקה הידנית והאישור של אדמין במרכז מושבתים.

טבלת הניתוב של הרכזת

בטבלת הנתיבים של ה-hub מוצגים נתיבי תת-רשת שיובאו מה-spokes של ה-VPC. כשיוצרים רשת משנה חדשה מסוג spoke של VPC, כל המסלולים של רשתות המשנה המקומיות מרשת ה-VPC מיוצאים לרשת ה-hub אלא אם האדמין של ה-spoke משתמש בדגל exclude-export-ranges ב-Google Cloud CLI או בשדה excludeExportRanges ב-API. מידע נוסף זמין במאמר בנושא ייחודיות של נתיבי רשתות משנה.

כשיוצרים רשת מסוג Spoke ב-VPC, קורה הדברים הבאים:

  • כל רכזת שייכת לקבוצה אחת בלבד.
  • לכל קבוצה יש טבלת ניתוב תואמת.
  • ה-Spokes משויכים לטבלת הניתוב הזו.
  • רשתות משנה של חישורים מופצות לטבלאות ניתוב אחת או יותר.

מכיוון שיש רק קבוצת ברירת מחדל אחת בקישוריות של טופולוגיית רשת, מסלולי רשת המשנה מועברים לטבלת מסלולים של רכזת אחת. רכיבי Spokes שמחוברים לרכזת שתומכת בטופולוגיית כוכב שייכים לאחת משתי קבוצות שונות: מרכז וקצה. לכן, נוצרות שתי טבלאות ניתוב של מרכזים, אחת שמשויכת לכל קבוצת רשתות היקפיות. המסלולים של רשתות המשנה של הרכזות בקבוצה המרכזית מופצים לטבלאות המסלולים המרכזיות והקצהיות. המסלולים של רשתות המשנה של ה-Spokes בקבוצת ה-Edge מופצים לטבלת המסלולים המרכזית.

מידע מפורט על טופולוגיות של קישוריות זמין במאמר בנושא טופולוגיות מוגדרות מראש של קישוריות.

Google Cloud מעדכן באופן אוטומטי את טבלת המסלולים של רשת ה-VPC של כל רשת VPC מסוג spoke ואת טבלת המסלולים של רכזת ה-NCC, כשמתרחש אחד מהמקרים הבאים:

מידע נוסף זמין במאמרי עזרה בנושא טבלאות ניתוב שמציגות מסלולי רשת משנה ומסלולים במסמכי התיעוד של VPC.

המאמרים הבאים