Ringkasan administrasi Spoke

Halaman ini memberikan ringkasan dari perspektif administrator spoke Virtual Private Cloud (VPC).

Jika hub Network Connectivity Center (NCC) dan spoke VPC berada dalam project yang sama, administrator spoke VPC harus memiliki kedua binding Identity and Access Management (IAM) berikut di project tersebut:

• Peran Compute Network Admin (roles/compute.networkAdmin).

• Peran NCC Spoke Admin (roles/networkconnectivity.spokeAdmin).

Jika hub NCC dan spoke VPC berada di project yang berbeda, kebijakan IAM harus memiliki binding berikut.

• Administrator spoke VPC harus memiliki kedua binding IAM berikut di project yang berisi jaringan VPC (spoke):

  • Peran Compute Network Admin (roles/compute.networkAdmin).
  • Peran administrator spoke NCC (roles/networkconnectivity.spokeAdmin).

• Administrator spoke VPC juga harus memiliki kedua binding IAM berikut di hub NCC atau di project yang berisi hub NCC:

  • Peran Pengguna NCC Group (roles/networkconnectivity.groupUser). Anda harus memiliki peran Pengguna Grup untuk menambahkan spoke ke grup dalam topologi bintang.
  • Peran NCC Hub & Spoke Viewer (roles/networkconnectivity.hubViewer).

Anda juga dapat menggunakan peran khusus selama peran khusus tersebut menyertakan izin yang sama dengan peran standar yang tercantum sebelumnya.

Jika jaringan VPC dan hub NCC berada di project yang berbeda, administrator spoke VPC harus membuat proposal spoke untuk meminta jaringan VPC bergabung dengan hub. Administrator hub meninjau proposal. Jika administrator hub menerima proposal, jaringan VPC akan terhubung ke hub. Administrator hub juga dapat menolak proposal spoke. Administrator spoke dapat memeriksa status proposal spoke VPC kapan saja.

Anda dapat mengusulkan pembaruan pada spoke VPC yang ada untuk mengubah kumpulan rentang subnet yang diekspor ke tabel rute hub.

Untuk informasi selengkapnya, lihat bagian berikut.

• Mengusulkan spoke VPC dalam project berbeda
• Periksa status spoke VPC
• Melihat tabel rute VPC
• Ringkasan spoke VPC
• Mengubah rentang alamat subnet yang diekspor (Pratinjau)

Keunikan rute subnet

Mirip dengan Peering Jaringan VPC, Google Cloud melarang konflik rentang alamat IP subnet di antara spoke VPC yang terhubung ke hub NCC. Rentang alamat IP subnet berkonflik dengan rentang alamat IP subnet lain jika salah satu hal berikut benar:

• Rentang alamat IP subnet di satu jaringan VPC sama persis dengan rentang alamat IP subnet di jaringan VPC lain.
• Rentang alamat IP subnet di satu jaringan VPC sesuai dengan rentang alamat IP subnet di jaringan VPC lain.
• Rentang alamat IP subnet di satu jaringan VPC berisi rentang alamat IP subnet di jaringan VPC lain.

Spoke VPC tidak dapat mengekspor rentang alamat IP subnet yang bertentangan ke hub NCC yang sama. Anda dapat menggunakan flag exclude-export-ranges di Google Cloud CLI atau kolom excludeExportRanges di API untuk mencegah rentang alamat IP subnet dibagikan dari spoke VPC ke hub NCC. Misalnya, Anda memiliki dua jaringan VPC yang ingin dihubungkan ke hub NCC yang sama:

• Jaringan VPC pertama memiliki subnet yang rentang alamat IPv4 internal utamanya adalah 100.64.0.0/16, sehingga menghasilkan rute subnet untuk 100.64.0.0/16.
• Jaringan VPC kedua memiliki subnet dengan rentang alamat IPv4 internal sekunder 100.64.0.0/24, sehingga menghasilkan rute subnet untuk 100.64.0.0/24.

Kedua rute subnet memiliki rentang alamat IP subnet yang bertentangan karena 100.64.0.0/24 cocok dengan 100.64.0.0/16. Anda tidak dapat menghubungkan kedua jaringan sebagai spoke VPC ke hub NCC yang sama kecuali jika Anda menyelesaikan konflik tersebut. Anda dapat menggunakan salah satu strategi berikut untuk menyelesaikan konflik:

• Kecualikan rentang alamat IP 100.64.0.0/16 saat Anda melampirkan jaringan VPC pertama ke hub, atau kecualikan rentang alamat IP 100.64.0.0/24 saat Anda melampirkan jaringan VPC kedua ke hub.
• Kecualikan 100.64.0.0/16 atau seluruh ruang RFC 6598, 100.64.0.0/10, saat Anda melampirkan setiap jaringan VPC.

Interaksi dengan rute subnet Peering Jaringan VPC

Rute subnet peering adalah rute yang dipertukarkan antara jaringan VPC yang terhubung menggunakan Peering Jaringan VPC. Meskipun rute subnet peering tidak pernah dipertukarkan di antara spoke VPC yang terhubung ke hub NCC, Anda tetap perlu mempertimbangkan rute subnet peering. Dari perspektif setiap spoke VPC, semua rute subnet lokal, rute subnet peering yang diimpor, dan rute subnet NCC yang diimpor tidak boleh berkonflik.

Untuk mengilustrasikan konsep ini, pertimbangkan konfigurasi berikut:

• Jaringan VPC net-a adalah spoke VPC yang terhubung ke hub NCC.
• Jaringan VPC net-b adalah spoke VPC yang terhubung ke hub NCC yang sama.
• Jaringan VPC net-b dan net-c terhubung satu sama lain menggunakan Peering Jaringan VPC.

Misalkan rentang alamat IP subnet lokal untuk 100.64.0.0/24 ada di net-c. Tindakan ini akan membuat rute subnet lokal di net-c dan rute subnet peering di net-b. Meskipun rute subnet peering untuk rentang alamat IP 100.64.0.0/24 tidak diekspor ke hub NCC, keberadaannya di net-b mencegah net-b mengimpor rute NCC yang tujuannya sama persis dengan 100.64.0.0/24, sesuai dengan 100.64.0.0/24, atau berisi 100.64.0.0/24. Oleh karena itu, tidak ada rute subnet lokal untuk 100.64.0.0/24, 100.64.0.0/25, atau 100.64.0.0/16 yang dapat ada di net-a kecuali Anda mengonfigurasi net-a agar tidak mengekspor rentang yang bertentangan.

Tabel rute yang menampilkan rute subnet

Google Cloud menampilkan rute subnet NCC yang diimpor dari spoke VPC dalam dua tabel rute:

• Tabel rute hub NCC.
• Tabel rute jaringan VPC untuk setiap jaringan VPC (spoke).

Google Cloud secara otomatis memperbarui tabel rute jaringan VPC dari setiap spoke VPC dan tabel rute hub NCC saat salah satu kondisi berikut terpenuhi:

• Saat Anda melakukan aktivitas siklus proses rute subnet, seperti menambahkan atau menghapus subnet.
• Saat spoke VPC ditambahkan ke atau dihapus dari hub.

Di tabel rute jaringan VPC, setiap rute yang diimpor dari spoke VPC lain muncul sebagai rute subnet NCC yang next hop-nya adalah hub NCC. Rute subnet NCC ini memiliki nama yang dimulai dengan awalan ncc-subnet-route-. Untuk melihat next hop sebenarnya untuk rute subnet NCC yang diimpor, Anda dapat melihat tabel rute hub NCC atau melihat tabel rute jaringan VPC dari spoke VPC yang mengekspor rute subnet ke hub NCC.

Untuk mengetahui informasi selengkapnya tentang rute VPC, lihat Rute dalam dokumentasi VPC.

Langkah berikutnya

• Untuk membuat hub dan spoke, lihat Bekerja dengan hub dan spoke.
• Untuk membuat spoke di project yang berbeda dengan hub, lihat Mengusulkan spoke VPC di project yang berbeda.
• Untuk melihat daftar partner yang solusinya terintegrasi dengan NCC, lihat Partner NCC.
• Untuk menemukan solusi atas masalah umum, lihat Pemecahan masalah.
• Untuk mendapatkan detail tentang API dan perintah gcloud, lihat API dan referensi.