סקירה כללית על רשתות מסוג Hub and Spoke ב-VPC

בדף הזה מפורטת סקירה כללית על התמיכה ב-VPC spokes ב-Network Connectivity Center ‏(NCC).

VPC spokes

‫Network Connectivity Center מספק קישוריות בין רשתות VPC בהיקף גדול, עם תמיכה ברשתות מסוג Hub and Spoke. רשתות spoke של VPC מפחיתות את המורכבות התפעולית של ניהול החיבורים האישיים בין רשתות VPC שכנות באמצעות שימוש ברשתות spoke של VPC ובמודל מרכזי לניהול קישוריות. רשתות VPC מסוג Spoke יכולות לייצא ולייבא את כל המסלולים של רשתות המשנה מרשתות VPC אחרות מסוג Spoke במרכז של Network Connectivity Center. כך מובטחת קישוריות מלאה בין כל עומסי העבודה שנמצאים בכל רשתות ה-VPC האלה. תעבורת הנתונים ברשתות VPC נשארת בתוך רשת Google Cloud ולא עוברת דרך האינטרנט, מה שעוזר להבטיח את הפרטיות והאבטחה.

החיבורים לרשתות VPC יכולים להיות באותו פרויקט ובאותו ארגון כמו רכזת NCC, או בפרויקט ובארגון אחרים. כל רשת VPC מסוג Spoke יכולה להיות מחוברת רק לרשת Hub אחת בכל פעם.

מידע על יצירת רשת VPC מסוג Spoke זמין במאמר יצירת רשת VPC מסוג Spoke.

השוואה לקישור בין רשתות VPC שכנות (peering)

רשתות מסוג spoke ב-VPC תומכות בדרישות של ארגונים בינוניים וגדולים, ומספקות קישוריות של נתיבי רשתות משנה מסוג IPv4 ו-IPv6 וקישוריות של נתיבים דינמיים מסוג IPv4 באמצעות רשתות spoke היברידיות.

רשת VPC יכולה להיות גם רשת מסוג spoke ב-NCC וגם להיות מחוברת לרשת VPC אחרת באמצעות קישור בין רשתות VPC שכנות, בתנאי שרשת ה-VPC המקושרת היא לא רשת מסוג spoke בעצמה.

כשמשתמשים ב-VPC Network Peering וב-VPC spokes של NCC, חשוב לזכור את הנקודות הבאות:

• נתיבי תת-רשת של Peering ב-VPC spoke לא מיוצאים ל-hub.

• ‫NCC לא מספק קישוריות למשאבים ברשת VPC שמחוברת ל-VPC spoke באמצעות קישור בין רשתות VPC שכנות, למעט במקרה הבא:

  • אפשר להוסיף רשת VPC של בעלים של שירות מנוהל מקושרת לגישה לשירותים פרטיים כspoke של בעלים של שירות מנוהל.

תכונה	קישור בין רשתות VPC שכנות (peering)	VPC spokes
רשתות VPC	קישורים בין רשתות VPC שכנות (peering) לכל רשת VPC	Active VPC spokes per hub
טווחים של תת-רשתות (נתיבי תת-רשת)	טווחים של רשתות משנה לכל קבוצת קישור בין רשתות שכנות (peering)	מסלולים של רשת משנה לכל טבלת ניתוב
מסלולים סטטיים ודינמיים	מסלולים סטטיים לכל קבוצת קישור בין רשתות שכנות (peering) מסלולים דינמיים לכל אזור לכל קבוצת קישור בין רשתות שכנות (peering)	קידומות ייחודיות של מסלולים דינמיים לכל טבלת מסלולים של רכזת לכל אזור. אין תמיכה בהחלפת נתונים של מסלולים סטטיים.
ייצוא מסננים	לא ניתן להשתמש במסננים ספציפיים. מידע נוסף זמין בקטע אפשרויות להחלפת מסלולים במאמר בנושא VPC Network Peering.	אפשר להגדיר עד 16 טווחי CIDR לכל רשת VPC מסוג spoke.
NAT בין רשתות VPC	לא נתמך	נתמך
הפצת חיבור של Private Service Connect	לא נתמך	נתמך
קישוריות של רשתות מסוג spoke של VPC של ספק מרשתות VPC אחרות	לא נתמך	נתמך
הקצאת כתובות IP	כתובות IPv4 פנימיות, כולל כתובות IPv4 פרטיות וכתובות IPv4 ציבוריות שמשמשות באופן פרטי. מידע על טווחי IPv4 תקינים כתובות IPv6 פנימיות וחיצוניות.	כתובות IPv4 פנימיות, כולל כתובות IPv4 פרטיות וכתובות IPv4 ציבוריות שמשמשות באופן פרטי. מידע על טווחי IPv4 תקינים כתובות IPv6 פנימיות וחיצוניות.
משפחות של כתובות IP	הגדרות נתמכות: החלפה רק של טווחי רשתות משנה של IPv4 החלפת טווחי רשתות משנה של IPv4 ו-IPv6	הגדרות נתמכות: החלפה רק של טווחי רשתות משנה של IPv4 החלפת טווחי רשתות משנה של IPv4 ו-IPv6 החלפת טווחי רשתות משנה של IPv6 בלבד
ביצועים וקצב העברת נתונים (בהשוואה למנגנוני קישוריות אחרים של VPC)	זמן האחזור הכי קצר, התפוקה הכי גבוהה (שווה ערך למכונה וירטואלית למכונה וירטואלית).	זמן האחזור הכי קצר, התפוקה הכי גבוהה (שווה ערך למכונה וירטואלית למכונה וירטואלית).

רשתות VPC מסוג Hub & Spoke בפרויקט אחר

באמצעות NCC, אפשר לצרף רשתות VPC, שמיוצגות כרשתות משנה של VPC, למרכז יחיד בפרויקט אחר, כולל פרויקט בארגון אחר. כך אפשר לחבר את רשתות ה-VPC שלכם בכמה פרויקטים וארגונים יחד בקנה מידה גדול.

אתם יכולים להיות אחד מסוגי המשתמשים הבאים:

• אדמין של מרכז ששייך לפרויקט אחד
• אדמין של רשת VPC מסוג Hub & Spoke או אדמין רשת שרוצה להוסיף את רשת ה-VPC שלו בפרויקט אחר כ-Spoke ל-Hub

האדמין של הרכזת קובע מי יכול ליצור רשת VPC מסוג spoke בפרויקט אחר שמשויך לרכזת, באמצעות הרשאות ניהול זהויות והרשאות גישה (IAM). האדמין של רשת ה-VPC יוצר רשת מסוג spoke בפרויקט אחר מהרשת מסוג hub. המרכזים האלה לא פעילים כשיוצרים אותם. האדמין של הרכזת צריך לבדוק אותם, והוא יכול לאשר או לדחות את ההסתעפות. אם האדמין של הרכזת מאשר את החישורים, הם מופעלים.

‫NCC תמיד מקבלת אוטומטית רשתות מסוג spoke שנוצרו באותו פרויקט כמו הרשת המרכזית.

מידע מפורט על ניהול של מרכזים עם רשתות מסוג Hub and Spoke של VPC בפרויקט שונה מהפרויקט של המרכז זמין במאמר סקירה כללית על ניהול מרכזים. מידע מפורט לאדמינים של מרכזי ניהול זמניים מופיע במאמר סקירה כללית על ניהול מרכזי ניהול זמניים.

אינטראקציה של רשת spoke עם VPC Service Controls

‫NCC תומך ב-VPC Service Controls עבור רכזות חוצות פרויקטים וארגונים. אם יש רשת מסוג spoke בפרויקט אחר מרשת ה-hub, כשמוסיפים גבולות גזרה חדשים של VPC Service Controls, אי אפשר להוסיף רשתות spoke חדשות שמפרות את גבולות הגזרה. עם זאת, מרכזי רשת קיימים שהוספתם לפני הוספת גבולות הגזרה של VPC Service Controls ימשיכו לפעול.

קישוריות VPC עם מסנני ייצוא

‫NCC מאפשר להגביל את הקישוריות של כל רשתות ה-VPC מסוג spoke רק לקבוצת משנה של רשתות משנה ב-VPC מסוג spoke. כדי להגביל את הקישוריות:

• אפשר להגדיר את ה-spoke כך שיפרסם את כל טווחי רשתות המשנה שלו או אף אחד מהם.
• אפשר לשנות את טווחי הכתובות של רשתות המשנה המיוצאות.
• אתם יכולים לציין טווחי כתובות כדי למנוע את הפרסום שלהם, וליצור רשימה של טווחי CIDR שאפשר לפרסם מהם ברשת ה-VPC. אפשר גם לציין רק רשימה של טווחי CIDR מותרים, וכך לחסום את כל הטווחי ה-CIDR חוץ מהטווחי ה-CIDR המותרים.

אתם יכולים להשתמש במסנני ייצוא כדי להגדיר את רשתות ה-Spoke ב-VPC כך שיחליפו רק טווחי כתובות IPv4 של תת-רשתות, רק טווחי כתובות IPv6 של תת-רשתות או גם טווחי כתובות IPv4 וגם טווחי כתובות IPv6 של תת-רשתות. כדאי לשקול רכזת שרשת ה-VPC שלה כוללת שילוב של סוגי מחסנית של רשתות משנה. אם מגדירים את ה-spoke לייצא רק טווחי רשתות משנה של IPv6, מתבצעת החלפה של טווחי IPv6 מרשתות משנה עם מחסנית כפולה ומרשתות משנה של IPv6 בלבד, אבל לא מתבצעת החלפה של טווחי רשתות משנה של IPv4 מרשתות משנה של IPv4 בלבד ומרשתות משנה עם מחסנית כפולה.

החרגת טווחי ייצוא

כדי למנוע פרסום של טווח כתובות IP, אפשר להשתמש בדגל --exclude-export-ranges ב-Google Cloud CLI או בשדה excludeExportRanges ב-API. כל טווחי כתובות ה-IP שתואמים לטווח שצוין לא ייכללו בייצוא למרכז. הסינון הזה שימושי אם יש לכם רשתות משנה שצריכות להיות פרטיות ברשת ה-VPC, או אם יש חפיפה בינן לבין רשתות משנה אחרות בטבלת הניתוב של הרכזת.

הכללת טווחי ייצוא

כדי לקבוע אילו טווחי כתובות IP מורשים לפרסם מ-VPC spoke, משתמשים בדגל --include-export-ranges או בשדה includeExportRanges ב-API. אפשר לציין את הפרטים הבאים:

• כדי לפרסם את כל טווחי רשתות המשנה הפרטיות של כתובות IPv4, אפשר לציין ALL_PRIVATE_IPV4_RANGES.
• כדי לפרסם רק טווחי רשתות משנה ספציפיים, אפשר לציין רשימה של טווחי CIDR.
• כדי לפרסם את כל טווחי רשתות המשנה של IPv6, אפשר לציין ALL_IPV6_RANGES.

כדי ליצור קישוריות מדויקת יותר, אפשר להשתמש במסנן ייצוא להכללה לצד מסנן ייצוא להחרגה. הסינון הזה קובע אם אפשר לפרסם טווח מסוים של רשת משנה מרשת ה-VPC.

כתובות IPv4 ציבוריות לשימוש פרטי

כדי לאפשר את ההחלפה של כתובות IPv4 ציבוריות לשימוש פרטי עם רשתות spoke של VPC ורשתות spoke של VPC של ספקי שירותים (גרסת Preview), אפשר לבצע אחת מהפעולות הבאות במהלך יצירת ה-spoke באמצעות השדה --include-export-ranges:

• מזינים ALL_IPV4_RANGES.
• מוסיפים ALL_PRIVATE_IPV4_RANGES וכוללים רשימה מופרדת בפסיקים של טווחי כתובות IPv4 ציבוריות שמשמשות לשימוש פרטי שאתם צריכים.

לתשומת ליבכם

כשמשתמשים במסננים להחרגה ולכלול טווחי ייצוא, כדאי לקחת בחשבון את הנקודות הבאות:

• הטווחים שמוגדרים לכלול חייבים להיות נפרדים זה מזה, כלומר הם לא יכולים להיות חופפים. לדוגמה, נניח שיש שלושה טווחי כתובות IPv4:

  טווח 1: ‎10.100.64.0/18

  טווח 2: ‎10.100.250.0/21

  טווח 3: ‎10.100.100.0/22

  טווח 1 וטווח 2 הם טווחי הכללה תקינים כי אין חפיפה ביניהם. עם זאת, טווח 3 נכלל בטווח 1, ולכן הוא לא חוקי.

  אם אתם משתמשים ב-IPv6, נניח שיש לכם את שלושת טווחי כתובות ה-IPv6 הבאים:

  טווח 1: 2001:db8::/32

  טווח 2: ‎2001:db9::/32

  טווח 3: 2001:db8:1000::/48

  טווח 1 וטווח 2 הם טווחי הכללה תקינים כי אין חפיפה ביניהם. עם זאת, טווח 3 נכלל בטווח 1, ולכן הוא לא חוקי.

• ב-NCC כבר יש מסנני ייצוא להחרגה במדיניות הגדרת הרשת, ולכן גם מסנני הייצוא להכללה וגם מסנני הייצוא להחרגה משפיעים על טווחי ה-CIDR של הגדרת הרשת התקפה. כשמשתמשים במסנני ייצוא של הכללה והחרגה, טווחי כתובות ה-IP של ההכללה צריכים להיות קבוצה רחבה יותר של טווחי כתובות ה-IP של ההחרגה.

• אם לא מציינים את מסנן ההכללה כשיוצרים את ה-spoke של ה-VPC,‏ NCC מגדיר את טווח ההכללה שמוגדר כברירת מחדל לכל כתובות ה-IPv4 הפרטיות התקפות, כפי שמוגדר בטווחים תקפים של כתובות IPv4.

• כדי לצמצם את טווח ההכללה, אפשר להוסיף כמה טווחי החרגה. לדוגמה, אם מציינים את הטווח 10.1.0.0/16 כטווח הכללה ואת הטווחים 10.1.100.0/24 ו-10.1.200.0/24 כטווחים להחרגה, התוצאה היא קישוריות משופרת עם שילוב של מסנני הכללה והחרגה. הטווח הזה כולל את כל הכתובות מ-10.1.0.0/24 עד 10.1.99.0/24, מ-10.1.101.0/24 עד 10.1.199.0/24 ומ-10.1.201.0/24 עד 10.1.255.0/24.

• טווחים קיימים של רשתות משנה ממשיכים לפעול כצפוי. חפיפה עם טווחי הכללה והחרגה בזמן יצירת טווחי רשתות משנה חדשים גורמת לשגיאה.

דוגמאות לטווחים לא תקינים של רשתות משנה חדשות

בדוגמאות הבאות מוצגים טווחי רשתות משנה לא חוקיים:

• חפיפה עם טווח ההחרגה

  במקרה הזה, טווח ההכללה הבא מכיל את טווח רשת המשנה 4, שהוא קבוצת-על של טווח ההחרגה 4. כלומר, טווח רשת המשנה 4 לא תקין.

  טווח להכללה: 10.0.0.0/8

  החרגת טווח 4: ‎10.1.1.0/24

  טווח תת-רשת 4: ‎10.1.0.0/16

• חפיפה עם טווח ההכללה

  טווח רשת המשנה 5 חופף לטווח הכלול, ולכן הוא לא חוקי.

  הכללת טווח: 10.1.1.0/24

  טווח רשת משנה 5: ‎10.1.0.0/16

  כשמזינים טווח לא תקין של רשת משנה במהלך תהליך יצירת רשת המשנה, מקבלים שגיאה Invalid IPCidrRange, בדומה לשגיאה הבאה:

  Invalid IPCidrRange: CIDR_RANGE conflicts with existing subnetwork SUBNET_RANGE in region REGION
  

טופולוגיות מוגדרות מראש

‫NCC מאפשר לציין את הגדרות הקישוריות בכל רשתות ה-VPC מסוג Hub and Spoke. אפשר לבחור באחת משתי הטופולוגיות המוגדרות מראש:

• טופולוגיית רשת Mesh
• טופולוגיית כוכב

מידע מפורט על טופולוגיות של קישוריות זמין במאמר בנושא טופולוגיות מוגדרות מראש של קישוריות.

מידע מפורט על הגדרת טופולוגיית רשת או טופולוגיית כוכב עבור רשתות ה-spoke של ה-VPC זמין במאמר בנושא הגדרת רכזת.

מגבלות

בקטע הזה מתוארות המגבלות של רשתות spoke של VPC באופן כללי, וגם כשהן מצורפות לרשת hub בפרויקט אחר. המגבלות האלה חלות גם על רשתות וירטואליות פרטיות (VPC) מסוג Hub and Spoke של בעלי תוכן.

מגבלות של רשתות מסוג spoke ב-VPC

• רשתות VPC יכולות להתחבר זו לזו באופן בלעדי באמצעות רכזת NCC או באמצעות קישור בין רשתות VPC שכנות.
• אי אפשר להשתמש בקישור בין רשתות VPC שכנות (peering) בין שני רכזות VPC שמחוברים לאותו רכזת NCC. עם זאת, חשוב לזכור:
  • רשת מסוג spoke של VPC של ספק דורשת חיבור peering לרשת מסוג spoke של VPC באותו מרכז. לא נוצרת קישוריות דרך NCC בין רשת VPC מסוג spoke של היצרן לבין רשת VPC מסוג spoke שמקושרת לרשת שכנה.
  • יכול להיות שיהיה לכם spoke של VPC שמקושר ל-NCC, שמקושר באמצעות קישור בין רשתות שכנות (peering) של VPC ל-VPC נפרד שלא מהווה חלק מ-NCC.
• רשתות VPC שמחוברות זו לזו באמצעות NCC וקישור בין רשתות שכנות (peering) של VPC בכל שילוב שהוא, הן לא טרנזיטיביות.
• אין תמיכה בהחלפת מסלולים סטטיים בין רשתות VPC מסוג Hub and Spoke.
• אי אפשר להגיע למאזני עומסי רשת פנימיים להעברת סיגנל ללא שינוי שמבוססים על IPv6 בין רשתות מסוג Hub and Spoke של VPC.
• אין תמיכה בהחלפה דינמית של נתיבים ב-IPv6.
• אין תמיכה ברשתות VPC במצב אוטומטי כרשתות מסוג spoke. אפשר לעבור מרשת VPC במצב אוטומטי לרשת VPC במצב מותאם אישית, שמאפשרת להגדיר ידנית קידומות של רשתות משנה לכל אזור ברשת ה-VPC. אחרי העדכון, אי אפשר לבטל את הפעולה הזו.

מגבלות של חילופי מסלולים דינמיים

• IPv4 בלבד: NCC תומך רק בהחלפת מסלולים דינמיים של IPv4. אין תמיכה בהחלפת מסלולים דינמיים של IPv6.

• תאימות של רכיבי Spoke היברידיים לטופולוגיית כוכב: רכזת שהוגדרה לשימוש בטופולוגיית כוכב מחילה את ההגבלות הבאות על רכיבי Spoke היברידיים שלה:

  • יש תמיכה ב-Hybrid spokes עם העברת נתונים מאתר לאתר רק בקבוצת ה-center spoke.
  • מרכזי תקשורת היברידיים שלא מופעלת בהם העברת נתונים בין אתרים יכולים להיות בקבוצת מרכזי התקשורת המרכזיים או בקבוצת מרכזי התקשורת של הקצה.

• ניתוב רשתות VPC שהן גם רשתות מסוג spoke: ‏NCC תומך בשתי רשתות VPC לניתוב או יותר באותו מרכז רק אם כל רשתות ה-VPC לניתוב הן לא גם רשתות מסוג spoke. אם לרכזת NCC יש רשת VPC אחת לניתוב, אפשר להשתמש ברשת ה-VPC הזו גם כרשת VPC מסוג Spoke:

  • אם אתם צריכים להפוך חיבורים של Private Service Connect שהופצו לזמינים לרשתות מקומיות דרך רשתות ה-VPC המשויכות ל-hub, רשת ה-VPC היחידה של ה-hub לניתוב צריכה להיות מחוברת גם כרשת VPC משויכת.

  • אם אתם לא צריכים להפוך חיבורים של Private Service Connect שמופצים לרשתות מקומיות דרך רשתות ה-spoke ההיברידיות של הרכזת, מומלץ לא להגדיר רשת VPC לניתוב כרשת VPC מסוג spoke, כדי שהרכזת תוכל לתמוך בשתי רשתות VPC לניתוב או יותר.

תקופת צינון אחרי מחיקה של רשת spoke ב-VPC

אם רוצים ליצור רשת מסוג Spoke חדשה באותה רשת VPC שמחוברת לרכזת אחרת, צריך לחכות את תקופת ההמתנה של 10 דקות לפחות. אם לא מאפשרים את תקופת הצינון המתאימה, יכול להיות שההגדרה החדשה לא תיכנס לתוקף. לא צריך להמתין את תקופת ההרחקה הזו אם רשת ה-VPC מתווספת כרשת משנית לאותו מרכז.

מכסות ומגבלות

כשמשתמשים בהחלפת מסלולים דינמית, חשוב לעקוב בקפידה אחרי השימוש במספר המסלולים הדינמיים לכל מרכז. המיכסה הזו סופרת את השימוש לפי יעד (קידומת) בלבד, בלי להתייחס לעדיפות או לניתוב הבא של מסלול דינמי. אם השימוש במכסה הזו חורג מהמגבלה שלה, NCC משמיט מסלולים לפי היעד. אם יעד מסוים מושמט, אז כל המסלולים הדינמיים עם היעד הזה – ללא קשר לעדיפות או לניתוב לקפיצה הבאה – לא נשלחים יותר למרכז.

מידע מפורט על מכסות זמין במאמר מכסות ומגבלות.

חיוב

בקטעים הבאים מפורטים החיובים על שעות שימוש ב-spoke ועל תעבורה יוצאת.

שעות השימוש בחישורים

שעות השימוש ב-Spoke מחויבות בפרויקט שבו נמצא משאב ה-Spoke, והן מחויבות לפי התמחור הרגיל של שעות השימוש ב-Spoke. חיוב על שעות שימוש ב-Spoke מתבצע רק כשה-Spoke במצב ACTIVE.

תנועה יוצאת

תעבורת נתונים יוצאת מחויבת בפרויקט של משאב ה-spoke שממנו מגיעה התנועה. המחיר זהה גם אם התנועה חוצה את גבולות הפרויקט.

הסכם רמת שירות (SLA)

מידע על הסכם רמת השירות של NCC זמין במאמר הסכם רמת השירות (SLA) של Network Connectivity Center.

תמחור

למידע על תמחור, אפשר לעיין במאמר בנושא תמחור NCC.

המאמרים הבאים

• במאמר עבודה עם רכזות ונקודות הסתעפות מוסבר איך ליצור רכזות ונקודות הסתעפות.
• כדי לראות רשימה של שותפים שהפתרונות שלהם משולבים עם NCC, אפשר לעיין ברשימת השותפים של NCC.
• כדי למצוא פתרונות לבעיות נפוצות, אפשר לעיין במאמר בנושא פתרון בעיות.
• פרטים על פקודות API ו-gcloud זמינים במאמר ממשקי API והפניות.