建立供應商虛擬私有雲輪輻

本頁說明如何在 Network Connectivity Center 中樞上建立生產者虛擬私有雲 (VPC) 輪輻。

如要瞭解供應商虛擬私有雲輪輻,請參閱這篇文章

事前準備

建立供應商虛擬私有雲輪輻前的注意事項:

建立供應商虛擬私有雲輪輻

如要將服務供應商虛擬私有雲網路與特定專案中的其他網路連線,請將供應商虛擬私有雲網路連線至供應商虛擬私有雲輪輻,並將供應商虛擬私有雲輪輻連線至中樞。

如要使用 Google Cloud CLI 或 API,將生產者 VPC 輪輻連線至已設定星狀拓撲的中心,您必須使用與中心上現有消費者 VPC 輪輻相同的群組名稱。如果您使用 Google Cloud 控制台,系統會自動將供應商虛擬私有雲輪輻新增至同一個群組。

如要指派排除匯出範圍加入匯出範圍,請在建立子雲時使用適當的選項。

如要建立生產者 VPC 支點,請按照下列步驟操作。

控制台

  1. 前往 Google Cloud 控制台的「Network Connectivity Center」(網路連線中心) 頁面。

    前往 Network Connectivity Center

  2. 在專案選單中,選取要建立 Spoke 的專案。

  3. 按一下「Spokes」分頁標籤。

  4. 按一下「新增輪輻」

  5. 在「選取中樞」部分,按照以下方式選取中樞位置:

    • 如要將新 Spoke 連接至同一專案中的 Hub,請選取「In project」PROJECT_NAME,然後從清單中選取 Hub 名稱。
    • 如要將新輻射網路附加至其他專案的中心,請選取「In another project」。輸入要附加新分支的專案 ID中樞名稱

    如果選擇其他專案中的中樞,只有在中樞管理員審查並接受您提議的輻輪後,輻輪才會啟用。如要進一步瞭解如何建立連結至不同專案中中樞的輪輻,請參閱「虛擬私有雲輪輻總覽」。如果您在與中樞相同的專案中建立供應商虛擬私有雲輪輻,系統仍會考量自動接受清單。根據預設,自動接受清單已包含相同專案,因此系統會自動接受並啟用生產端虛擬私有雲輪輻。

  6. 輸入「Spoke 名稱」,並視需要輸入「說明」

  7. 選取「供應商虛擬私有雲網路」做為「輪輻類型」

  8. 輸入中樞上現有的用戶虛擬私有雲輪輻名稱,該輪輻會透過虛擬私有雲網路對等互連連線,使用供應商虛擬私有雲網路的服務。 Google Cloud會透過對等互連連線識別供應商網路。

  9. 您可以視需要新增 VPC 輪輻篩選器,輸入要排除或納入匯出的 IP 位址範圍,自訂輪輻向中樞宣傳路由的方式。輪輻建立完成後,您可以變更這項篩選器。

  10. 按一下 [完成]

  11. 如要新增更多輪輻,請按一下「新增輪輻」,然後再次開始程序,從輸入輪輻名稱開始。

  12. 新增完輻條後,請按一下「建立」。「Network Connectivity Center」頁面會更新,顯示您建立的輪輻詳細資料。

gcloud

如要建立生產者虛擬私有雲輪輻,請使用 gcloud network-connectivity spokes linked-producer-vpc-network create 指令

--peering 標記必須設為 servicenetworking-googleapis-com

gcloud network-connectivity spokes linked-producer-vpc-network create SPOKE_NAME \
    --hub=HUB \
    --description=DESCRIPTION \
    --network=CONSUMER_VPC_URI \
    --peering=servicenetworking-googleapis-com \
    --include-export-ranges=[INCLUDE_EXPORT_RANGES] \
    --exclude-export-ranges=[EXCLUDE_EXPORT_RANGES] \
    --global \
    --group=GROUP_NAME

更改下列內容:

  • SPOKE_NAME:您要建立的 Spoke 名稱,例如 producer-vpc-spoke1
  • HUB:輪輻的中樞
  • DESCRIPTION:描述輪輻的選填文字

  • CONSUMER_VPC_URI:透過虛擬私有雲網路對等互連連線,使用供應商網路服務的虛擬私有雲網路

    Google Cloud 透過對等互連連線識別生產端 VPC 網路。您輸入的消費者網路也必須是中樞中的輪輻。您可以輸入完整或相對 URI。 以下範例顯示相對 URI:projects/PROJECT_ID/global/networks/NETWORK_NAME

  • INCLUDE_EXPORT_RANGES:以半形逗號分隔的關鍵字、CIDR 清單,或關鍵字和 CIDR 的組合,用於定義可匯出至中樞的子網路 IP 位址範圍。

    • ALL_PRIVATE_IPV4_RANGES 關鍵字會將所有使用私人 IPv4 位址的子網路範圍新增至匯出範圍的包含清單。

    • ALL_IPV4_RANGES 關鍵字會將所有有效 IPv4 範圍 (包括私人使用的公開 IPv4 位址範圍) 新增至匯出範圍清單。您可以使用 --exclude-export-ranges 旗標縮小清單範圍。

    • ALL_IPV6_RANGES 關鍵字會將所有 IPv6 子網路範圍新增至匯出範圍清單。

    • 匯出範圍清單最多可包含 16 個不重複且不重疊的 CIDR。清單中的 CIDR 不得與清單中的其他 CIDR 相符或包含其他 CIDR。VPC 輪輻網路中,與匯出範圍清單中 CIDR 重疊的每個現有和未來子網路範圍,都必須符合下列其中一項條件:

      • 與匯出範圍清單中的 CIDR 完全相符。

      • 符合「納入的匯出 IP 範圍」清單中的 CIDR。在這種情況下,子網路範圍的子網路遮罩長度大於加入的匯出範圍清單中的 CIDR。舉例來說,如果 VPC 輪輻網路的子網路範圍為 10.1.2.0/24,則 10.1.0.0/16 是匯出範圍清單中有效的 CIDR,但 10.1.2.0/25 不是。

    • 如果省略 INCLUDE_EXPORT_RANGES 清單,Network Connectivity Center 會將匯出範圍清單視為 [ALL_PRIVATE_IPV4_RANGES]

  • EXCLUDE_EXPORT_RANGES:以半形逗號分隔的 CIDR 清單,定義永不匯出至中樞的子網路 IP 位址範圍。

    • 排除範圍清單最多可支援 16 個不重複且不重疊的 CIDR。清單中的 CIDR 不得與清單中的其他 CIDR 相符或包含其他 CIDR。

    • 排除範圍清單中指定的每個 CIDR 都必須擴展至 IP 位址,且這些 IP 位址完全包含在匯出範圍清單中。

    • 如果省略 EXCLUDE_EXPORT_RANGES 清單,Network Connectivity Center 的運作方式會等同於排除匯出範圍清單為空白 ([])。

  • GROUP_NAME:這個 Spoke 所屬的群組,例如 centeredge。如果輻射群組使用星型拓撲,則必須填寫這個欄位。如果使用星狀拓撲,您必須將供應商虛擬私有雲輪輻放在與現有用戶虛擬私有雲輪輻相同的群組中。如要進一步瞭解 Spoke 群組,請參閱「Spoke 群組」。

API

如要建立供應商虛擬私有雲輪輻,請使用 networkconnectivity.spokes.create 方法

peering_name 欄位必須設為 servicenetworking-googleapis-com

  POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/global/spokes/SPOKE_NAME
  {
    "hub":"HUB_NAME",
    "linkedProducerVpcNetwork": {
       "network": "CONSUMER_VPC_URI",
       "peering_name": "servicenetworking-googleapis-com",
       "include_export_ranges": "[INCLUDE_EXPORT_RANGES]",
       "exclude_export_ranges": "[EXCLUDE_EXPORT_RANGES]",
       "group": "GROUP_NAME"
    },
  }

替換下列值:

  • PROJECT_ID:包含新 Spoke 的專案 ID
  • HUB_NAME:要將 Spoke 連接至的 Hub 名稱
  • SPOKE_NAME:您要建立的 Spoke 名稱

  • CONSUMER_VPC_URI:透過虛擬私有雲網路對等互連連線,從生產者取用服務的虛擬私有雲網路

    Google Cloud 透過對等互連連線識別生產端 VPC 網路。您輸入的消費者網路也必須是中樞中的輪輻。您可以輸入完整或相對 URI。以下範例顯示相對 URI:projects/PROJECT_ID/global/networks/NETWORK_NAME

  • INCLUDE_EXPORT_RANGES:以半形逗號分隔的關鍵字、CIDR 清單,或關鍵字和 CIDR 的組合,用於定義可匯出至中樞的子網路 IP 位址範圍。

    • ALL_PRIVATE_IPV4_RANGES 關鍵字會將所有使用私人 IPv4 位址的子網路範圍新增至匯出範圍的包含清單。

    • ALL_IPV4_RANGES 關鍵字會將所有有效 IPv4 範圍 (包括私人使用的公開 IPv4 位址範圍) 新增至匯出範圍清單。您可以使用 exclude_export_ranges 旗標縮小清單範圍。

    • ALL_IPV6_RANGES 關鍵字會將所有 IPv6 子網路範圍新增至匯出範圍清單。

    • 匯出範圍清單最多可包含 16 個不重複且不重疊的 CIDR。清單中的 CIDR 不得與清單中的其他 CIDR 相符或包含其他 CIDR。VPC 輪輻網路中,與匯出範圍清單中 CIDR 重疊的每個現有和未來子網路範圍,都必須符合下列其中一項條件:

      • 與匯出範圍清單中的 CIDR 完全相符。

      • 符合「納入的匯出 IP 範圍」清單中的 CIDR。在這種情況下,子網路範圍的子網路遮罩長度大於加入的匯出範圍清單中的 CIDR。舉例來說,如果 VPC 輪輻網路的子網路範圍為 10.1.2.0/24,則 10.1.0.0/16 是匯出範圍清單中有效的 CIDR,但 10.1.2.0/25 不是。

    • 如果省略 INCLUDE_EXPORT_RANGES 清單,Network Connectivity Center 會將匯出範圍清單視為 [ALL_PRIVATE_IPV4_RANGES]

  • EXCLUDE_EXPORT_RANGES:以半形逗號分隔的 CIDR 清單,定義永不匯出至中樞的子網路 IP 位址範圍。

    • 排除範圍清單最多可支援 16 個不重複且不重疊的 CIDR。清單中的 CIDR 不得與清單中的其他 CIDR 相符或包含其他 CIDR。

    • 排除範圍清單中指定的每個 CIDR 都必須擴展至 IP 位址,且這些 IP 位址完全包含在匯出範圍清單中。

    • 如果省略 EXCLUDE_EXPORT_RANGES 清單,Network Connectivity Center 的運作方式會等同於排除匯出範圍清單為空白 ([])。

  • GROUP_NAME:這個 Spoke 所屬的群組

    支援的值為網格拓撲中樞的 default,以及星狀拓撲中樞的 centeredge。如果使用星狀拓撲,就必須填寫這個欄位。如果您使用星狀拓撲,必須將供應商虛擬私有雲輪輻與現有的用戶虛擬私有雲輪輻放在同一個群組。如要進一步瞭解 Spoke 群組,請參閱「Spoke 群組」。

後續步驟