יצירת רשת מסוג spoke של VPC של תוכן

בדף הזה מוסבר איך ליצור רשת מסוג spoke של ענן וירטואלי פרטי (VPC) מסוג producer במרכז Network Connectivity Center ‏ (NCC).

סקירה כללית על רשתות מסוג Hub-and-Spoke של VPC של יצרן זמינה במאמר בנושא רשתות מסוג Hub-and-Spoke של VPC של יצרן.

לפני שמתחילים

לפני שיוצרים רשת מסוג spoke של VPC של יצרן:

יצירת רשת מסוג spoke של VPC של תוכן

כדי לחבר רשת VPC של בעלים של שירות מנוהל לרשתות אחרות בפרויקט נתון, צריך לחבר את רשת ה-VPC של בעלים של שירות מנוהל ל-spoke של VPC של בעלים של שירות מנוהל, ואז לחבר את ה-spoke של VPC של בעלים של שירות מנוהל ל-hub.

אם משתמשים ב-Google Cloud CLI או ב-API כדי לחבר את רשת ה-VPC של הספק לרשת מרכזית שהוגדרה לטופולוגיית כוכב, צריך להשתמש באותו שם קבוצה כמו רשת ה-VPC הקיימת של הלקוח ברשת המרכזית. אם משתמשים במסוף Google Cloud , ה-VPC spoke של הבעלים מתווסף אוטומטית לאותה קבוצה.

אם רוצים להקצות טווחים להחרגה מייצוא או טווחים לכלול בייצוא, צריך להשתמש באפשרויות המתאימות במהלך יצירת ה-spoke.

כדי ליצור רשת VPC מסוג Hub של תוכן, פועלים לפי השלבים הבאים.

המסוף

  1. נכנסים לדף Network Connectivity Center במסוף Google Cloud .

    מעבר אל Network Connectivity Center

  2. בתפריט הפרויקטים, בוחרים את הפרויקט שבו רוצים ליצור את ה-spoke.

  3. לוחצים על הכרטיסייה Spokes.

  4. לוחצים על הוספת מרכזים.

  5. בקטע Select hub, בוחרים את המיקום של הרכזת באופן הבא:

    • כדי לצרף את הרשת החדשה לרכזת באותו פרויקט, בוחרים באפשרות In project PROJECT_NAME (בפרויקט) ובוחרים את שם הרכזת מהרשימה.
    • אם רוצים לצרף את הרשת החדשה לרכזת בפרויקט אחר, בוחרים באפשרות In another project (בפרויקט אחר). מזינים את מזהה הפרויקט ואת שם ה-Hub שאליהם רוצים לצרף את ה-Spoke החדש.

    כשבוחרים רכזת בפרויקט אחר, החישורים הופכים לפעילים רק אחרי שהאדמין של הרכזת בודק ומאשר את החישורים המוצעים. מידע נוסף על יצירת רשתות spoke שמצורפות לרשת hub בפרויקט אחר זמין במאמר סקירה כללית על רשתות spoke של VPC. אם יוצרים רשת spoke של יצרן באותו פרויקט כמו רשת ה-hub, עדיין מתייחסים לרשימת האישור האוטומטי. כברירת מחדל, הרשימה לאישור אוטומטי כבר כוללת את אותו פרויקט, ולכן ה-spoke של ה-VPC של המפיק מאושר ומופעל באופן אוטומטי.

  6. מזינים שם של רכזת ואפשר גם להוסיף תיאור.

  7. בוחרים באפשרות רשת VPC של יצרן בתור סוג ה-Spoke.

  8. מזינים את השם של spoke צרכן מסוג VPC קיים ברשת המרכזית שצורכת שירותים מרשת ה-VPC של הספק דרך חיבור של קישור בין רשתות VPC שכנות. Google Cloudהמערכת מזהה את רשת הספק דרך חיבור הקישור. אפשר לבחור באחת מהאפשרויות הבאות:

  9. אופציונלית, אפשר להוסיף מסנן של רשת VPC מסוג Spoke כדי להתאים אישית את אופן הפרסום של המסלולים. לשם כך, מזינים טווח כתובות IP כדי להחריג או לכלול ייצוא מהרשת מסוג Spoke לרשת מסוג Hub. אפשר לשנות את המסנן הזה אחרי שיוצרים את ה-spoke.

  10. לוחצים על סיום.

  11. אם רוצים להוסיף עוד רכיבי Hub, לוחצים על הוספת רכיב Hub ומתחילים את התהליך מחדש, החל מהזנת שם לרכיב Hub.

  12. כשמסיימים להוסיף את הרכיבים, לוחצים על יצירה. בדף NCC מתעדכנים הפרטים לגבי הרכזות שיצרתם.

gcloud

כדי ליצור רשת spoke של VPC של יצרן, משתמשים בפקודה gcloud network-connectivity spokes linked-producer-vpc-network create.

gcloud network-connectivity spokes linked-producer-vpc-network create SPOKE_NAME \
    --hub=HUB \
    --description=DESCRIPTION \
    --network=CONSUMER_VPC_URI \
    --peering=PEERING_NAME \
    --include-export-ranges=[INCLUDE_EXPORT_RANGES] \
    --exclude-export-ranges=[EXCLUDE_EXPORT_RANGES] \
    --global \
    --group=GROUP_NAME

מחליפים את מה שכתוב בשדות הבאים:

  • SPOKE_NAME: השם של הרשת המסועפת שאתם יוצרים, למשל producer-vpc-spoke1
  • HUB: מרכז ה-Hub עבור ה-Spoke
  • DESCRIPTION: טקסט אופציונלי לתיאור ה-spoke

  • CONSUMER_VPC_URI: רשת ה-VPC שצורכת שירותים מהרשת של ספק השירות באמצעות חיבור של קישור בין רשתות VPC שכנות (peering)

    ‫Google Cloud מזהה את רשת ה-VPC של הספק דרך חיבור הקישור. הרשת של הצרכן שאתם מזינים צריכה להיות גם רשת מסוג Spoke ב-Hub. אפשר להזין את ה-URI המלא או היחסי. בדוגמה הבאה מוצג URI יחסי: projects/PROJECT_ID/global/networks/NETWORK_NAME.

  • PEERING_NAME: השם של הקישור בין רשת ה-VPC לבין רשת ה-VPC של ספק השירות. רשת ה-VPC של המפיק חייבת להיות באותו פרויקט כמו רשת ה-VPC שלכם, ובמצב ACTIVE. מגדירים את הדגל --peering לאחד מהערכים הבאים:

  • INCLUDE_EXPORT_RANGES: רשימה מופרדת בפסיקים של מילות מפתח, CIDR או שילוב של מילות מפתח ו-CIDR שמגדירים אילו טווחי כתובות IP של רשתות משנה אפשר לייצא למרכז.

    • מילת המפתח ALL_PRIVATE_IPV4_RANGES מוסיפה לרשימת טווחי הייצוא של הכללה את כל טווחי תת-הרשת שמשתמשים בכתובות IPv4 פרטיות.

    • מילת המפתח ALL_IPV4_RANGES מוסיפה את כל הטווחים התקינים של IPv4, כולל טווחים של כתובות IPv4 ציבוריות שנמצאות בשימוש פרטי, לרשימת טווחי הייצוא שייכללו. אפשר להשתמש בדגל --exclude-export-ranges כדי לסנן את הרשימה.

    • מילת המפתח ALL_IPV6_RANGES מוסיפה את כל טווחי רשתות המשנה של IPv6 לרשימת טווחי הייצוא שייכללו.

    • הרשימה של טווחי הייצוא כוללת עד 16 כתובות CIDR ייחודיות שלא חופפות. אף CIDR ברשימה לא יכול להתאים ל-CIDR אחר ברשימה או להכיל אותו. כל טווח של רשת משנה נוכחית ועתידית ברשת ה-VPC מסוג Hub and Spoke שחופף ל-CIDR ברשימת טווחי הייצוא של הכללה חייב לעמוד באחד מהתנאים הבאים:

      • התאמה מדויקת ל-CIDR ברשימת טווחי הייצוא הכלולים.

      • הם נכללים ב-CIDR ברשימת טווחי הייצוא הכלולים. במצב הזה, אורך מסכה של רשת משנה גדול יותר מ-CIDR ברשימת טווחי הייצוא שכוללים. לדוגמה, אם טווח רשת המשנה של רשת ה-VPC מסוג Hub and Spoke הוא 10.1.2.0/24, הטווח 10.1.0.0/16 הוא CIDR תקין לרשימת טווחי הייצוא שרוצים לכלול, אבל הטווח 10.1.2.0/25 לא תקין.

    • אם משמיטים את הרשימה INCLUDE_EXPORT_RANGES,‏ NCC פועל כאילו הרשימה של טווחי הייצוא שצריך לכלול היא [ALL_PRIVATE_IPV4_RANGES].

  • EXCLUDE_EXPORT_RANGES: רשימה מופרדת בפסיקים של CIDR שמגדירה אילו טווחי כתובות IP של רשתות משנה לא מיוצאים אף פעם ל-Hub.

    • הרשימה של טווחי הכתובות להחרגה תומכת בעד 16 כתובות CIDR ייחודיות שלא חופפות. אף CIDR ברשימה לא יכול להיות זהה ל-CIDR אחר ברשימה או להכיל אותו.

    • כל CIDR שצוין ברשימת טווחי ההחרגה חייב להתרחב לכתובות IP שנכללות במלואן ברשימת טווחי הייצוא של הכללה.

    • אם לא מציינים את EXCLUDE_EXPORT_RANGES הרשימה, הכלי NCC פועל כאילו הרשימה של טווחי כתובות IP לייצוא להחרגה ריקה ([]).

  • GROUP_NAME: הקבוצה שאליה שייך הרכז, לדוגמה, center או edge. השדה הזה נדרש לקבוצות מסוג Hub and Spoke שמשתמשות בטופולוגיית כוכב. אם משתמשים בטופולוגיית כוכב, צריך למקם את רשת ה-VPC מסוג spoke של היצרן באותה קבוצה כמו רשת ה-VPC מסוג spoke של הצרכן הקיימת. מידע נוסף על קבוצות מרכזיות זמין במאמר קבוצות מרכזיות.

API

כדי ליצור רשת מסוג spoke של VPC של יצרן, משתמשים ב-method ‏networkconnectivity.spokes.create.

  POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/global/spokes/SPOKE_NAME
  {
    "hub":"HUB_NAME",
    "linkedProducerVpcNetwork": {
       "network": "CONSUMER_VPC_URI",
       "peering_name": "PEERING_NAME",
       "include_export_ranges": "[INCLUDE_EXPORT_RANGES]",
       "exclude_export_ranges": "[EXCLUDE_EXPORT_RANGES]",
       "group": "GROUP_NAME"
    },
  }

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט שמכיל את הרשת החדשה מסוג spoke
  • HUB_NAME: שם ה-hub שאליו מצרפים את ה-spoke
  • SPOKE_NAME: השם של הרשת המקומית שאתם יוצרים

  • CONSUMER_VPC_URI: רשת ה-VPC שצורכת שירותים מהספק דרך חיבור של קישור בין רשתות VPC שכנות (peering)

    ‫Google Cloud מזהה את רשת ה-VPC של הספק דרך חיבור הקישור. הרשת של הצרכן שאתם מזינים צריכה להיות גם רשת מסוג Spoke ב-Hub. אפשר להזין את ה-URI המלא או היחסי. בדוגמה הבאה מוצג URI יחסי: projects/PROJECT_ID/global/networks/NETWORK_NAME.

  • PEERING_NAME: השם של הקישור בין רשת ה-VPC לבין רשת ה-VPC של ספק השירות. רשת ה-VPC של המפיק חייבת להיות באותו פרויקט כמו רשת ה-VPC שלכם, ובמצב ACTIVE. מגדירים את הדגל --peering לאחד מהערכים הבאים:

  • INCLUDE_EXPORT_RANGES: רשימה מופרדת בפסיקים של מילות מפתח, CIDR או שילוב של מילות מפתח ו-CIDR שמגדירים אילו טווחי כתובות IP של רשתות משנה אפשר לייצא למרכז.

    • מילת המפתח ALL_PRIVATE_IPV4_RANGES מוסיפה לרשימת טווחי הייצוא של הכללה את כל טווחי תת-הרשת שמשתמשים בכתובות IPv4 פרטיות.

    • מילת המפתח ALL_IPV4_RANGES מוסיפה את כל הטווחים התקינים של כתובות IPv4, כולל טווחים של כתובות IPv4 ציבוריות שנמצאות בשימוש פרטי, לרשימת טווחי הייצוא שייכללו. אפשר להשתמש בדגל exclude_export_ranges כדי לסנן את הרשימה.

    • מילת המפתח ALL_IPV6_RANGES מוסיפה את כל טווחי רשתות המשנה של IPv6 לרשימת טווחי הייצוא שייכללו.

    • הרשימה של טווחי הייצוא כוללת עד 16 כתובות CIDR ייחודיות שלא חופפות. אף CIDR ברשימה לא יכול להתאים ל-CIDR אחר ברשימה או להכיל אותו. כל טווח של רשת משנה נוכחית ועתידית ברשת ה-VPC מסוג Hub and Spoke שחופף ל-CIDR ברשימת טווחי הייצוא של הכללה חייב לעמוד באחד מהתנאים הבאים:

      • התאמה מדויקת ל-CIDR ברשימת טווחי הייצוא הכלולים.

      • הם נכללים ב-CIDR ברשימת טווחי הייצוא הכלולים. במצב הזה, אורך מסכה של רשת משנה גדול יותר מ-CIDR ברשימת טווחי הייצוא שכוללים. לדוגמה, אם טווח רשת המשנה של רשת ה-VPC מסוג Hub and Spoke הוא 10.1.2.0/24, הטווח 10.1.0.0/16 הוא CIDR תקין לרשימת טווחי הייצוא שרוצים לכלול, אבל הטווח 10.1.2.0/25 לא תקין.

    • אם משמיטים את הרשימה INCLUDE_EXPORT_RANGES,‏ NCC פועל כאילו הרשימה של טווחי הייצוא שצריך לכלול היא [ALL_PRIVATE_IPV4_RANGES].

  • EXCLUDE_EXPORT_RANGES: רשימה מופרדת בפסיקים של CIDR שמגדירה אילו טווחי כתובות IP של רשתות משנה לא מיוצאים אף פעם ל-Hub.

    • הרשימה של טווחי הכתובות להחרגה תומכת בעד 16 כתובות CIDR ייחודיות שלא חופפות. אף CIDR ברשימה לא יכול להיות זהה ל-CIDR אחר ברשימה או להכיל אותו.

    • כל CIDR שצוין ברשימת טווחי ההחרגה חייב להתרחב לכתובות IP שנכללות במלואן ברשימת טווחי הייצוא של הכללה.

    • אם לא מציינים את EXCLUDE_EXPORT_RANGES הרשימה, הכלי NCC פועל כאילו הרשימה של טווחי כתובות IP לייצוא להחרגה ריקה ([]).

  • GROUP_NAME: הקבוצה שאליה שייך ה-spoke הזה

    הערכים הנתמכים הם default עבור רכזת טופולוגיית רשת, ו-center או edge עבור רכזת טופולוגיית כוכב. השדה הזה נדרש לקבוצות של רכזות משנה שמשתמשות בטופולוגיית כוכב. אם משתמשים בטופולוגיית כוכב, צריך למקם את ה-spoke של ה-VPC של היצרן באותה קבוצה כמו ה-spoke הקיים של ה-VPC של הצרכן. מידע נוסף על קבוצות spoke זמין במאמר קבוצות spoke.

המאמרים הבאים