NCC einrichten und Hub erstellen

Auf dieser Seite wird beschrieben, wie Sie einen Network Connectivity Center-Hub (NCC-Hub) mit der hybriden Prüftopologie erstellen, damit Sie dem Hub NCC-Gateway-Spokes und VPC-Spokes hinzufügen können.

Eine Einführung in das NCC-Gateway finden Sie in der Übersicht zum NCC-Gateway.

Hinweis

Lesen Sie zuerst die folgenden Abschnitte, bevor Sie beginnen.

Projekt erstellen oder auswählen

Geben Sie ein gültiges Projekt an, um die Konfiguration des NCC zu vereinfachen.

  1. Melden Sie sich in Ihrem Google Cloud -Konto an. Wenn Sie mit Google Cloudnoch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Installieren Sie die Google Cloud CLI.

  5. Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

  6. Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  8. Verify that billing is enabled for your Google Cloud project.

  9. Installieren Sie die Google Cloud CLI.

  10. Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

  11. Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren: 

    gcloud init

  12. Wenn Sie die Google Cloud CLI verwenden, legen Sie Ihre Projekt-ID mit dem Befehl gcloud config set fest.

    gcloud config set project PROJECT_ID

    Ersetzen Sie PROJECT_ID durch Ihre eindeutige Projekt-ID.

    Die Anleitung für die gcloud-Befehlszeile auf dieser Seite setzt voraus, dass Sie Ihre Projekt-ID festgelegt haben.

  13. Prüfen Sie mit dem Befehl gcloud config list, ob die Projekt-ID korrekt festgelegt ist.

    gcloud config list --format='text(core.project)'

Network Connectivity API aktivieren

Bevor Sie Aufgaben mit NCC Gateway ausführen können, müssen Sie die Network Connectivity API aktivieren.

Console

So aktivieren Sie die Network Connectivity API:

  1. Rufen Sie in der Google Cloud Console die Seite Network Connectivity Center auf.

    Zum Network Connectivity Center

  2. Klicken Sie auf Aktivieren.

Alternativ können Sie die API mithilfe der Google Cloud Console API-Bibliothek aktivieren, wie unter APIs aktivieren beschrieben.

Zugriff erhalten

Wenn Sie mit NCC und NCC Gateway arbeiten möchten, benötigen Sie die unter Rollen und Berechtigungen beschriebenen Berechtigungen.

Ressourcen identifizieren

Verwenden Sie die Konventionen, die in der folgenden Tabelle beschrieben werden, wenn Sie mit der gcloud CLI oder der API auf Ressourcen verweisen.

Kongress Unterstützt für Hinweise Beispiel
Vollständiger URI Alle Ressourcen Verwenden Sie eine dieser Methoden, um auf Router-Appliance-Instanzen zu verweisen. 
"https://www.googleapis.com/compute/projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME"
Relativer Ressourcenname Alle Ressourcen 
"projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME"
Name Regionale und globale Ressourcen Verwenden Sie diese Methode für Hubs, Spokes, VPN-Tunnel und VLAN-Anhänge. 
 "HUB_NAME"

NCC-Hub erstellen

So erstellen Sie einen NCC-Hub mit der voreingestellten hybrid inspection topology (Topologie für hybride Prüfungen):

gcloud

Verwenden Sie den Befehl gcloud network-connectivity hubs create und geben Sie die voreingestellte hybride Prüftopologie an.

gcloud beta network-connectivity hubs create HUB_NAME \
    --preset-topology=hybrid-inspection

Ersetzen Sie HUB_NAME durch einen Namen für den neuen Hub.

API

Verwenden Sie die Methode projects.locations.global.hubs.create:

POST https://networkconnectivity.googleapis.com/v1beta/projects/PROJECT_ID/locations/global/hubs
{
  "name":"HUB_NAME",
  "description":"DESCRIPTION",
  "labels": {
    "KEY": "VALUE"
  },
  "presetTopology": "HYBRID_INSPECTION"
}

Ersetzen Sie Folgendes:

  • PROJECT_ID: Projekt-ID des Projekts, das den neuen Hub enthält
  • HUB_NAME: Name des neuen Hubs
  • DESCRIPTION: Optionaler Text zur Beschreibung des Hubs
  • KEY: Schlüssel im Schlüssel/Wert-Paar für den optionalen Labeltext
  • VALUE: Wert im Schlüssel/Wert-Paar für den optionalen Labeltext

VPC-Netzwerke mit dem Hub verbinden

Der Prozess zum Verbinden von VPC-Netzwerken mit einem Hub hängt davon ab, ob sich das Netzwerk und der Hub im selben Projekt befinden.

VPC-Netzwerke und Hub aus verschiedenen Projekten verbinden

So verbinden Sie VPC-Netzwerke aus verschiedenen Projekten:

VPC-Netzwerke und Hub im selben Projekt verbinden

Wenn sich die VPC-Netzwerke und der Hub im selben Projekt befinden, können Sie die Schritte in diesem Abschnitt ausführen.

gcloud

Führen Sie folgenden gcloud network-connectivity spokes linked-vpc-network create-Befehl aus:

gcloud network-connectivity spokes linked-vpc-network create SPOKE_NAME \
    --hub=HUB_NAME \
    --description=DESCRIPTION \
    --vpc-network=VPC_NETWORK_URI \
    --global \
    --group=GROUP_NAME

Ersetzen Sie Folgendes:

  • SPOKE_NAME: der Name des Spoke, den Sie erstellen, z. B. vpc-spoke1
  • HUB_NAME: der Hub für den Spoke
  • DESCRIPTION: eine optionale Beschreibung des Spoke
  • VPC_NETWORK_URI: das VPC-Netzwerk, auf das dieser Spoke verweist
  • GROUP_NAME: die Gruppe, zu der dieser Spoke gehört

Da für den Hub die Hybrid-Prüftopologie verwendet wird, sind gültige Gruppennamen für VPC-Spokes prod, non-prod und services.

Weitere Optionen, die beim Hinzufügen eines VPC-Spoke verfügbar sind, einschließlich Details zu Exportfiltern, finden Sie unter VPC-Spoke erstellen.

API

Verwenden Sie die Methode projects.locations.spokes.create:

POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/global/spokes/SPOKE_NAME

{
 "hub":"HUB_NAME",
 "description": "DESCRIPTION",
 "linkedVpcNetwork": {
    "uri": "VPC_NETWORK_URI",
    "include_export_ranges": "[INCLUDE_RANGES]",
    "exclude_export_ranges": "[EXCLUDE_IPV4_RANGES]",
    "group": "GROUP_NAME"
 },
}

Ersetzen Sie Folgendes:

  • SPOKE_NAME: der Name des Spoke, den Sie erstellen, z. B. vpc-spoke1
  • HUB_NAME: der Hub für den Spoke
  • DESCRIPTION: eine optionale Beschreibung des Spoke
  • VPC_NETWORK_URI: das VPC-Netzwerk, auf das dieser Spoke verweist
  • GROUP_NAME: die Gruppe, zu der dieser Spoke gehört

Da für den Hub die Hybrid-Prüftopologie verwendet wird, sind gültige Gruppennamen für VPC-Spokes prod, non-prod und services.

Weitere Optionen, die beim Hinzufügen eines VPC-Spoke verfügbar sind, einschließlich Details zu Exportfiltern, finden Sie unter VPC-Spoke erstellen.

Weiter
NCC-Gateway-Spoke erstellen