סקירה כללית על ניהול של מרכזי מידע

בדף הזה מופיעה סקירה כללית מנקודת המבט של אדמין של ענף (spoke) בענן וירטואלי פרטי (VPC).

אם רכזת Network Connectivity Center ‏ (NCC) ורשת ה-VPC נמצאות באותו פרויקט, לאדמינים של רשת ה-VPC צריכים להיות שני הקישורים הבאים לניהול הזהויות והרשאות הגישה (IAM) באותו פרויקט:

אם מרכז ה-NCC והרשת המחוברת ב-VPC נמצאים בפרויקטים שונים, במדיניות IAM צריכות להיות ההרשאות הבאות.

אפשר גם להשתמש בתפקידים בהתאמה אישית, כל עוד הם כוללים את אותן הרשאות כמו התפקידים המוגדרים מראש שצוינו קודם.

כשממוקמים רשת VPC ומרכז NCC בפרויקטים שונים, אדמין של רשת מסוג spoke צריך ליצור הצעה ל-spoke כדי לבקש מרשת VPC להצטרף למרכז. אדמין של מרכז הבקרה בודק את ההצעה. אם האדמין של ה-hub יאשר את ההצעה, רשת ה-VPC תחובר ל-hub. אדמין של מרכז יכול גם לדחות הצעות להוספת שלוחות. אדמינים של רשתות spoke יכולים לבדוק את הסטטוס של הצעת VPC spoke בכל שלב.

אתם יכולים להציע עדכונים לרשת מסוג spoke קיימת ב-VPC כדי לשנות את קבוצת טווחי רשתות המשנה שמיוצאים לטבלאות הניתוב של רשת ה-hub.

מידע נוסף מופיע בסעיפים הבאים.

ייחודיות של נתיבי תת-רשת

בדומה לקישור בין רשתות VPC שכנות (peering), Google Cloud הוא מונע התנגשויות בין טווחי כתובות ה-IP של רשתות משנה (subnet) ברשתות VPC מסוג spoke שמחוברות לרכזת NCC. טווח כתובות IP של רשת משנה מתנגש עם טווח כתובות IP של רשת משנה אחרת אם אחד מהתנאים הבאים מתקיים:

  • טווח כתובות ה-IP של רשת משנה אחת ברשת VPC זהה בדיוק לטווח כתובות ה-IP של רשת משנה אחרת ברשת VPC אחרת.
  • טווח כתובות ה-IP של רשת משנה אחת ברשת VPC נכלל בטווח כתובות ה-IP של רשת משנה אחרת ברשת VPC אחרת.
  • טווח כתובות ה-IP של תת-רשת אחת ברשת VPC מכיל טווח כתובות IP של תת-רשת אחרת ברשת VPC אחרת.

אי אפשר לייצא רשתות VPC מסוג Spokes עם טווחי כתובות IP של תת-רשתות שמתנגשים זו בזו לאותו מרכז NCC. כדי למנוע שיתוף של טווח כתובות IP של רשת משנה מ-VPC מסוג Spoke אל רכזת NCC, אפשר להשתמש בדגל exclude-export-ranges ב-Google Cloud CLI או בשדה excludeExportRanges ב-API. לדוגמה, נניח שיש לכם שתי רשתות VPC שאתם רוצים לחבר לאותו מרכז NCC:

  • ברשת ה-VPC הראשונה יש רשת משנה עם טווח כתובות IPv4 פנימיות ראשיות של 100.64.0.0/16, וכתוצאה מכך יש נתיב של רשת משנה ל-100.64.0.0/16.
  • ברשת ה-VPC השנייה יש רשת משנה עם טווח משני של כתובות IPv4 פנימיות: ‎100.64.0.0/24. כתוצאה מכך, יש נתיב לרשת המשנה ‎100.64.0.0/24.

לשני נתיבי תת-הרשת יש טווחי כתובות IP של תת-רשתות שמתנגשים כי 100.64.0.0/24 נכלל ב-100.64.0.0/16. אי אפשר לחבר את שתי הרשתות כרשתות מסוג Spoke של VPC לאותו רכזת NCC, אלא אם פותרים את הסתירה. כדי לפתור את הבעיה, אפשר להשתמש באחת מהאסטרטגיות הבאות:

  • אפשר להחריג את טווח כתובות ה-IP‏ 100.64.0.0/16 כשמצרפים את רשת ה-VPC הראשונה ל-hub, או להחריג את טווח כתובות ה-IP‏ 100.64.0.0/24 כשמצרפים את רשת ה-VPC השנייה ל-hub.
  • כשמצרפים כל רשת VPC, צריך להחריג את 100.64.0.0/16 או את כל המרחב של RFC 6598, ‏ 100.64.0.0/10.

אינטראקציה עם נתיבי תת-רשת של קישור בין רשתות VPC שכנות (peering)

מסלולי משנה של רשתות שכנות (peering) הם מסלולים שמועברים בין רשתות VPC שמקושרות באמצעות קישור בין רשתות שכנות (peering) של VPC. למרות שנתיבי תת-רשתות של peering אף פעם לא מוחלפים בין רשתות VPC מסוג spoke שמחוברות לרכזת NCC, עדיין צריך לקחת בחשבון את נתיבי תת-הרשתות של peering. מנקודת המבט של כל רשת spoke של VPC, לא יכול להיות קונפליקט בין כל המסלולים של רשתות המשנה המקומיות, המסלולים של רשתות המשנה המיובאות של ה-peering, והמסלולים של רשתות המשנה המיובאות של NCC.

כדי להמחיש את הרעיון הזה, נסתכל על ההגדרה הבאה:

  • רשת ה-VPC‏ net-a היא רשת VPC מסוג Spoke שמחוברת למרכז NCC.
  • רשת ה-VPC‏ net-b היא רשת VPC מסוג spoke שמחוברת לאותו מרכז NCC.
  • רשתות ה-VPC‏ net-b ו-net-c מקושרות זו לזו באמצעות קישור בין רשתות שכנות (peering).

נניח שקיים טווח כתובות IP מקומיות ברשת משנה 100.64.0.0/24 ב-net-c. הפעולה הזו יוצרת מסלול מקומי של רשת משנה ב-net-c ומסלול של רשת משנה ב-net-b. למרות שנתיב רשת המשנה של ה-Peering לטווח כתובות ה-IP‏ 100.64.0.0/24 לא מיוצא ל-NCC hub, העובדה שהוא קיים ב-net-b מונעת מ-net-b לייבא נתיב NCC שהיעד שלו תואם בדיוק ל-100.64.0.0/24, נכלל ב-100.64.0.0/24 או מכיל את 100.64.0.0/24. לכן, לא יכולים להיות נתיבים של רשתות משנה מקומיות עבור 100.64.0.0/24,‏ 100.64.0.0/25 או 100.64.0.0/16 ב-net-a אלא אם מגדירים את net-a כך שלא ייצא טווח שגורם להתנגשות.

טבלאות ניתוב שמציגות נתיבי תת-רשת

‫Google Cloud shows NCC subnet routes imported from VPC spokes in two route tables:

Google Cloud מעדכן באופן אוטומטי את טבלת המסלולים של רשת ה-VPC של כל רשת משנית ב-VPC ואת טבלת המסלולים של רכזת ה-NCC, כשמתקיים אחד מהתנאים הבאים:

בטבלאות של מסלולי רשת VPC, כל מסלול שיובא מ-VPC אחר מסוג spoke מופיע כמסלול של רשת משנה של NCC, והקפיצה הבאה שלו היא מרכז ה-NCC. השמות של מסלולי רשתות המשנה של NCC מתחילים בקידומת ncc-subnet-route-. כדי לראות את הניתוב בפועל לקפיצה הבאה של נתיב רשת משנה של NCC שיובא, אפשר לראות את טבלת הניתוב של מרכז ה-NCC או לראות את טבלת הניתוב של רשת ה-VPC של רשת ה-VPC מסוג spoke שמייצאת את נתיב רשת המשנה למרכז ה-NCC.

מידע נוסף על מסלולי VPC זמין במאמר מסלולים במאמרי העזרה בנושא VPC.

המאמרים הבאים