VPC-Spoke in einem anderen Projekt vorschlagen

Wenn Sie einen Spoke erstellen, müssen Sie ihn mit einem Hub verknüpfen. Befindet sich der Spoke in einem anderen Projekt als der Hub, muss der Hub-Administrator den vorgeschlagenen Spoke genehmigen, bevor er aktiv werden kann. So erstellen Sie einen VPC-Spoke, den Sie mit einem Hub in einem anderen Projekt verbinden möchten:

Informationen zum Arbeiten mit Spokes, wie z. B. zum Erstellen, Auflisten, Aktualisieren und Löschen von Spokes, finden Sie unter Mit Spokes arbeiten.

Hinweise

Lesen Sie zuerst die folgenden Abschnitte, bevor Sie beginnen.

Projekt erstellen oder auswählen

Geben Sie ein gültiges Projekt an, um die Konfiguration des Network Connectivity Centers zu vereinfachen.

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialisieren:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialisieren:

gcloud init

1. Wenn Sie die Google Cloud CLI verwenden, legen Sie Ihre Projekt-ID mit dem Befehl gcloud config set fest.

   gcloud config set project PROJECT_ID

   Ersetzen Sie PROJECT_ID durch Ihre eindeutige Projekt-ID.

   Die Anleitung für die gcloud-Befehlszeile auf dieser Seite setzt voraus, dass Sie Ihre Projekt-ID festgelegt haben.

2. Prüfen Sie mit dem Befehl gcloud config list, ob die Projekt-ID korrekt festgelegt ist.

   gcloud config list --format='text(core.project)'

Network Connectivity API aktivieren

Bevor Sie Aufgaben mit Network Connectivity Center ausführen können, müssen Sie die Network Connectivity API aktivieren.

Console

So aktivieren Sie die Network Connectivity API:

1. Rufen Sie in der Google Cloud -Console die Seite Network Connectivity Center auf.

   Zum Network Connectivity Center

2. Klicken Sie auf Aktivieren.

Alternativ können Sie die API mithilfe der Google Cloud Console API-Bibliothek aktivieren, wie unter APIs aktivieren beschrieben.

Erforderliche Berechtigungen für diese Aufgabe

Zum Ausführen dieser Aufgabe müssen Sie die folgenden Berechtigungen oder die folgenden IAM-Rollen haben.

Berechtigungen

• compute.networks.use im entsprechenden Netzwerk, je nach Spoke-Typ:
  • Für VPC-Spokes: für das VPC-Netzwerk, das zu einem Spoke hinzugefügt wird
  • Für Ersteller-VPC-Spokes: im gepeerten Nutzer-VPC-Netzwerk
• networkconnectivity.groups.use für den Hub, mit dem der Spoke verknüpft wird
• networkconnectivity.spokes.create im entsprechenden Projekt, je nach Spoketyp:
  • Für VPC-Spokes: in dem Projekt, in dem sich das VPC-Netzwerk befindet
  • Für Ersteller-VPC-Spokes: im Projekt, in dem sich das gepeerte Nutzer-VPC-Netzwerk befindet
• networkconnectivity.spokes.use – Nur für Ersteller-VPC-Spokes. Sie benötigen diese Berechtigung für den Peering-Nutzer-VPC-Spoke.

Rollen

• Compute-Netzwerkadministrator (roles/compute.networkAdmin) für das entsprechende Netzwerk, je nach Spoke-Typ:
  • Für VPC-Spokes: das VPC-Netzwerk, das zu einem Spoke hinzugefügt wird
  • Für Ersteller-VPC-Spokes: das gepeerte Nutzer-VPC-Netzwerk
• Gruppennutzer (roles/networkconnectivity.groupUser) für den Hub, mit dem der Spoke verknüpft wird
• Spoke-Administrator (roles/networkconnectivity.spokeAdmin) im entsprechenden Projekt, je nach Spoke-Typ:
  • Für VPC-Spokes: in dem Projekt, in dem sich das VPC-Netzwerk befindet
  • Für Ersteller-VPC-Spokes: im Projekt, in dem sich das gepeerte Nutzer-VPC-Netzwerk befindet

Spoke vorschlagen

So erstellen Sie einen VPC-Spoke im selben Projekt wie der Hub oder in einem anderen Projekt:

Wenn Sie Bereiche für den Ausschluss aus dem Export oder Bereiche für den Einschluss in den Export zuweisen möchten, verwenden Sie die entsprechenden Optionen beim Erstellen des Spokes.

Console

1. Rufen Sie in der Google Cloud -Console die Seite Network Connectivity Center auf.

   Zum Network Connectivity Center

2. Wählen Sie im Projektmenü ein Projekt aus, in dem Sie den Spoke erstellen möchten.

3. Klicken Sie auf den Tab Spokes.

4. Klicken Sie auf Spoke hinzufügen.

5. Wählen Sie im Abschnitt Hub auswählen In einem anderen Projekt aus, um den neuen Spoke an einen Hub in einem anderen Projekt anzuhängen.

6. Geben Sie die Projekt-ID und den Hub-Namen ein, an den Sie den neuen Spoke anhängen möchten.

7. Geben Sie einen Spoke-Namen und optional eine Beschreibung ein.

8. Wenn der Hub, mit dem Sie eine Verbindung herstellen, für die Stern-Topologie konfiguriert ist, wählen Sie den Namen der Spoke-Gruppe für Ihren Spoke aus oder geben Sie ihn ein. Informationen zur Sterntopologie finden Sie unter Sterntopologie. Informationen zu Spoke-Gruppen finden Sie unter Spoke-Gruppen.

9. Für Spoke-Typ sind die folgenden Optionen verfügbar:

   • Bei einem Hub in einem anderen Projekt ist der Standard-Spoke-Typ VPC-Spoke.
   • Bei einem Hub im selben Projekt werden zulässige Spoke-Typen durch bereits vorhandene Spoke-Typen bestimmt.
   • Wenn keine Spokes vorhanden sind, können Sie einen beliebigen Spoke-Typ auswählen. Die vorab ausgewählte Option ist jedoch „Cloud VPN-Tunnel“.

10. Wählen Sie zum Hinzufügen eines VPC-Netzwerks zum Spoke das VPC-Netzwerk aus der Liste aus.

11. Optional: Im Feld VPC-Spoke-Filter können Sie einen Filter hinzufügen, um das Bewerben von Routen anzupassen. Geben Sie dazu IP-Adressbereiche an, um den Export vom Spoke in den Hub aus- oder einzuschließen. Sie können den Spoke so konfigurieren, dass nur Subnetzbereiche mit privaten IPv4-Adressen, nur IPv6-Subnetzbereiche (intern und extern) oder sowohl Subnetzbereiche mit privaten IPv4-Adressen als auch interne und externe IPv6-Subnetzbereiche exportiert werden.

    1. IPv4-Bereiche: Konfigurieren Sie den Export von IPv4-Subnetzbereichen.

       • Export von IPv4-Subnetzbereichen vom Spoke zum Hub einschließen: Dieses Kästchen ist standardmäßig aktiviert und alle Subnetzbereiche, die private IPv4-Adressen verwenden, werden exportiert.

         Wenn Sie keine IPv4-Subnetzbereiche exportieren möchten, deaktivieren Sie dieses Kästchen.

         Wenn Sie nur bestimmte IPv4-Subnetzbereiche exportieren möchten, wählen Sie IPv4-Bereiche angeben aus und geben Sie die Adressbereiche ein, die Sie exportieren möchten. Die von Ihnen angegebenen IPv4-Subnetzbereiche müssen private IPv4-Adressbereiche sein. Ausgenommen sind privat verwendete öffentliche IPv4-Adressen. Weitere Informationen finden Sie unter Gültige IPv4-Bereiche.

       • Export von Subnetzbereichen vom Spoke zum Hub ausschließen: Wenn der Spoke alle Subnetzbereiche exportiert, die private IPv4-Adressen verwenden, und Sie bestimmte Bereiche vom Export ausschließen möchten, geben Sie diese Bereiche in dieses Feld ein.

    2. IPv6-Bereiche: Konfigurieren Sie den Export von IPv6-Subnetzbereichen.

       • Export aller IPv6-Subnetzbereiche vom Spoke zum Hub einschließen: Aktivieren Sie das Kästchen, um alle internen und externen IPv6-Subnetzbereiche zum Hub zu exportieren.

12. Klicken Sie auf Fertig.

13. Wenn Sie weitere Spokes hinzufügen möchten, klicken Sie auf Spoke hinzufügen und starten Sie den Vorgang noch einmal. Beginnen Sie mit der Eingabe eines Spoke-Namens.

14. Wenn Sie alle Spokes hinzugefügt haben, klicken Sie auf Erstellen. Die Seite „Network Connectivity Center“ wird aktualisiert und zeigt Details zu den von Ihnen erstellten Spokes an.

    Der Spoke-Status bleibt Inactive, bis der Hub-Administrator den vorgeschlagenen Spoke überprüft und akzeptiert.

gcloud

Verwenden Sie zum Erstellen eines VPC-Spoke den Befehl gcloud network-connectivity spokes linked-vpc-network create.

gcloud network-connectivity spokes linked-vpc-network create SPOKE_NAME \
    --hub=HUB_URI \
    --global \
    --vpc-network=VPC_NETWORK \
    --include-export-ranges=[INCLUDE_EXPORT_RANGES] \
    --exclude-export-ranges=[EXCLUDE_EXPORT_RANGES] \
    --group=GROUP_NAME

Ersetzen Sie Folgendes:

• SPOKE_NAME: Name für den Spoke, den Sie erstellen.
• HUB_URI: URI eines Hubs in einem anderen Projekt, in dem Sie den Spoke erstellen möchten.
• VPC_NETWORK: das VPC-Netzwerk, zu dem dieser Spoke eine Verbindung bietet. Das VPC-Netzwerk muss sich im selben Projekt wie der Spoke befinden.

• INCLUDE_EXPORT_RANGES: Eine durch Kommas getrennte Liste von Keywords, CIDRs oder einer Kombination aus Keywords und CIDRs, die definieren, welche Subnetz-IP-Adressbereiche in den Hub exportiert werden können.

  • Mit dem Keyword ALL_PRIVATE_IPV4_RANGES werden alle Subnetzbereiche, die private IPv4-Adressen verwenden, der Liste der zu exportierenden Bereiche hinzugefügt.

  • Mit dem Keyword ALL_IPV6_RANGES werden alle IPv6-Subnetzbereiche der Liste der zu exportierenden Bereiche hinzugefügt.

  • Die Liste der Exportbereiche unterstützt bis zu 16 eindeutige, nicht überlappende IPv4- oder IPv6-CIDR-Bereiche. Kein CIDR in der Liste darf mit einem anderen CIDR in der Liste übereinstimmen oder es enthalten. Jeder aktuelle und zukünftige Subnetzbereich im VPC-Spoke-Netzwerk, der sich mit einem CIDR in der Liste der zu exportierenden Bereiche überschneidet, muss eine der folgenden Bedingungen erfüllen:

    • Eine CIDR-Adresse muss genau mit einer CIDR-Adresse in der Liste der Exportbereiche übereinstimmen.

    • Sie müssen in einen CIDR-Bereich in der Liste der eingeschlossenen Exportbereiche passen. In diesem Fall hat ein Subnetzbereich eine längere Subnetzmaske als der CIDR-Bereich in der Liste „Exportbereiche einschließen“. Wenn das VPC-Spoke-Netzwerk beispielsweise den Subnetzbereich 10.1.2.0/24 hat, ist 10.1.0.0/16 ein gültiger CIDR für die Liste der zu exportierenden Bereiche, aber 10.1.2.0/25 nicht.

  • Wenn Sie die Liste INCLUDE_EXPORT_RANGES weglassen, verhält sich das Network Connectivity Center so, als ob die Liste der zu exportierenden Bereiche [ALL_PRIVATE_IPV4_RANGES] wäre.

• EXCLUDE_EXPORT_RANGES: Eine durch Kommas getrennte Liste von CIDRs, die definieren, welche IP-Adressbereiche von Subnetzen niemals in den Hub exportiert werden.

  • Die Liste der auszuschließenden Bereiche unterstützt bis zu 16 eindeutige, nicht überlappende CIDRs. Kein CIDR in der Liste darf mit einem anderen CIDR in der Liste übereinstimmen oder es enthalten.

  • Jeder in der Liste der ausgeschlossenen Bereiche angegebene CIDR muss auf IP-Adressen erweitert werden, die vollständig in der Liste der eingeschlossenen Exportbereiche enthalten sind.

  • Wenn Sie die Liste EXCLUDE_EXPORT_RANGES weglassen, verhält sich Network Connectivity Center so, als wäre die Liste „exclude export ranges“ leer ([]).

• GROUP_NAME: Die Gruppe, zu der dieser Spoke gehört. Die unterstützten Werte sind default für einen Hub mit Mesh-Topologie oder center oder edge für einen Hub mit Sterntopologie. Dieses Feld ist für Spoke-Gruppen erforderlich, die eine Sterntopologie verwenden. Ausführliche Informationen zu Spoke-Gruppen finden Sie unter Spoke-Gruppen.

API

Verwenden Sie zum Erstellen eines VPC-Spoke die Methode networkconnectivity.spokes.create.

  POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/global/spokes
  {
    "name":"SPOKE_NAME",
    "hub":"HUB_URI",
    "linkedVpcNetwork": {
       "uri": VPC_URI,
       "include_export_ranges": "[INCLUDE_EXPORT_RANGES]",
       "exclude_export_ranges": "[EXCLUDE_EXPORT_RANGES]",
       "group": "GROUP_NAME"
    },
  }

Ersetzen Sie Folgendes:

• PROJECT_ID: ID des Projekts, das den neuen Spoke enthält
• SPOKE_NAME: Name für den Spoke, den Sie erstellen
• HUB_URI: Der vollständige Hub-URI einschließlich des Projekts, da sich der Hub in einem anderen Projekt als der Spoke befindet, z. B. projects/hub-project-ID/locations/global/hubs/hub-name
• VPC_URI: das VPC-Netzwerk, auf das dieser Spoke verweist, z. B. vpc_uri

• INCLUDE_EXPORT_RANGES: Eine durch Kommas getrennte Liste von Keywords, CIDRs oder einer Kombination aus Keywords und CIDRs, die definieren, welche Subnetz-IP-Adressbereiche in den Hub exportiert werden können.

  • Mit dem Keyword ALL_PRIVATE_IPV4_RANGES werden alle Subnetzbereiche, die private IPv4-Adressen verwenden, der Liste der zu exportierenden Bereiche hinzugefügt.

  • Mit dem Keyword ALL_IPV6_RANGES werden alle IPv6-Subnetzbereiche der Liste der zu exportierenden Bereiche hinzugefügt.

  • Die Liste der zu exportierenden Bereiche unterstützt bis zu 16 eindeutige, nicht überlappende CIDRs. Kein CIDR in der Liste darf mit einem anderen CIDR in der Liste übereinstimmen oder es enthalten. Jeder aktuelle und zukünftige Subnetzbereich im VPC-Spoke-Netzwerk, der sich mit einem CIDR in der Liste der zu exportierenden Bereiche überschneidet, muss eine der folgenden Bedingungen erfüllen:

    • Eine CIDR-Adresse muss genau mit einer CIDR-Adresse in der Liste der Exportbereiche übereinstimmen.

    • Sie müssen in einen CIDR-Bereich in der Liste der eingeschlossenen Exportbereiche passen. In diesem Fall hat ein Subnetzbereich eine längere Subnetzmaske als der CIDR-Bereich in der Liste „Exportbereiche einschließen“. Wenn das VPC-Spoke-Netzwerk beispielsweise den Subnetzbereich 10.1.2.0/24 hat, ist 10.1.0.0/16 ein gültiger CIDR für die Liste der zu exportierenden Bereiche, aber 10.1.2.0/25 nicht.

  • Wenn Sie die Liste INCLUDE_EXPORT_RANGES weglassen, verhält sich das Network Connectivity Center so, als ob die Liste der zu exportierenden Bereiche [ALL_PRIVATE_IPV4_RANGES] wäre.

• EXCLUDE_EXPORT_RANGES: Eine durch Kommas getrennte Liste von CIDRs, die definieren, welche IP-Adressbereiche von Subnetzen niemals in den Hub exportiert werden.

  • Die Liste der auszuschließenden Bereiche unterstützt bis zu 16 eindeutige, nicht überlappende CIDRs. Kein CIDR in der Liste darf mit einem anderen CIDR in der Liste übereinstimmen oder es enthalten.

  • Jeder in der Liste der ausgeschlossenen Bereiche angegebene CIDR muss auf IP-Adressen erweitert werden, die vollständig in der Liste der eingeschlossenen Exportbereiche enthalten sind.

  • Wenn Sie die Liste EXCLUDE_EXPORT_RANGES weglassen, verhält sich Network Connectivity Center so, als wäre die Liste „exclude export ranges“ leer ([]).

• GROUP_NAME: Die Gruppe, zu der dieser Spoke gehört, z. B. center oder edge. Dieses Feld ist für Spoke-Gruppen erforderlich, die eine Sterntopologie verwenden. Weitere Informationen zu Spoke-Gruppen

Nächste Schritte

• Informationen zum Erstellen von Hubs und Spokes finden Sie unter Mit Hubs und Spokes arbeiten.
• Eine Liste der Partner, deren Lösungen in das Network Connectivity Center eingebunden sind, finden Sie unter Network Connectivity Center-Partner.
• Lösungen für häufige Probleme finden Sie unter Fehlerbehebung beim Network Connectivity Center.
• Ausführliche Informationen zur API und zu gcloud-Befehlen finden Sie unter APIs und Referenz.