Questa pagina è stata tradotta dall'API Cloud Translation.

Connettere due siti utilizzando gli spoke della VPN

Questo tutorial descrive come utilizzare un hub del Network Connectivity Center e spoke di Cloud VPN per configurare il trasferimento di dati tra due filiali.

Per ulteriori informazioni sulla creazione di hub e spoke, consulta Utilizzare hub e spoke.

Prima di iniziare

Prima di iniziare, consulta le seguenti sezioni.

Crea o seleziona un progetto

Per semplificare la configurazione di Network Connectivity Center, inizia identificando un progetto valido.

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

To initialize the gcloud CLI, run the following command:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

To initialize the gcloud CLI, run the following command:

gcloud init

Se utilizzi Google Cloud CLI, imposta l'ID progetto utilizzando il comando gcloud config set.
```
gcloud config set project PROJECT_ID
```
Sostituisci PROJECT_ID con il tuo ID progetto univoco.

Le istruzioni dell'interfaccia a riga della gcloud CLI in questa pagina presuppongono che tu abbia impostato l'ID progetto.
Per verificare di aver impostato correttamente l'ID progetto, utilizza il comando gcloud config list.
```
gcloud config list --format='text(core.project)'
```

Convenzioni per l'identificazione delle risorse

Quando fai riferimento alle risorse utilizzando gcloud CLI o l'API, utilizza le convenzioni descritte nella tabella seguente.

Convegno	Supportato per	Note	Esempio
URI completo	Tutte le risorse	Utilizza uno di questi metodi per fare riferimento alle istanze dell'appliance router.	"https://www.googleapis.com/compute/projects/`PROJECT_ID`/zones/`ZONE`/instances/`INSTANCE_NAME`"
Nome risorsa relativo	Tutte le risorse		"projects/`PROJECT_ID`/zones/`ZONE`/instances/`INSTANCE_NAME`"
Nome	Risorse a livello di regione e globale	Utilizza questo metodo per hub, spoke, tunnel VPN e collegamenti VLAN.	"`HUB_NAME`"

Topologia di esempio

Il seguente diagramma descrive le risorse di esempio utilizzate in questo tutorial.

Tutorial sulla topologia per Network Connectivity Center. — Tutorial sulla topologia per Network Connectivity Center (fai clic per ingrandire)

Configurare la connettività per il trasferimento dei dati

Per configurare la connettività per il trasferimento dei dati:

Crea risorse Google Cloud come una rete Virtual Private Cloud (VPC), gateway e tunnel VPN ad alta disponibilità e router Cloud.
Crea un hub.
Definisci uno spoke per la prima e la seconda sede distaccata. Ogni spoke deve utilizzare un tunnel VPN come risorsa sottostante.
Verifica la configurazione.

Creare risorse Google Cloud

Questo tutorial presuppone che tu abbia già creato le seguenti risorse Google Cloud:

Una rete VPC con la modalità di routing dinamico impostata su global
Nella regione più vicina a Office1, una sottorete, un gateway VPN ad alta disponibilità, un router Cloud e un tunnel che collega l'interfaccia del gateway a Office1
Nella regione più vicina a Office2, una sottorete, un gateway VPN ad alta disponibilità, un router Cloud e un tunnel che collega l'interfaccia del gateway a Office2

Se devi creare queste risorse, consulta i seguenti documenti:

Per creare una rete VPC, consulta Creare reti. Poiché questa configurazione utilizza spoke in regioni diverse, imposta la modalità di routing dinamico della rete su global.
Per creare subnet, vedi Aggiunta di subnet.
Per creare gateway VPN ad alta disponibilità, tunnel e un router Cloud, consulta Creare un gateway VPN ad alta disponibilità connesso a un gateway VPN peer.

Dopo aver identificato le risorse Google Cloud esistenti o averne create di nuove, vai alla sezione successiva.

Creare l'hub

Per prima cosa, crea un hub. In un secondo momento, collegherai gli spoke a questo hub.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o dei seguenti ruoli IAM.

Autorizzazioni

networkconnectivity.hubs.create
Se stai lavorando nella console Google Cloud:
- networkconnectivity.hubs.get
- networkconnectivity.hubs.list
- networkconnectivity.spokes.list
- compute.projects.get

Ruoli

Hub & Spoke Admin (roles/networkconnectivity.hubAdmin)
Se stai lavorando nella console Google Cloud: Visualizzatore della rete Compute (roles/compute.networkViewer)

Console

Nella console Google Cloud, vai alla pagina Network Connectivity Center (Centro per la connettività di rete).

Vai a Network Connectivity Center
Nel menu a discesa del progetto, seleziona un progetto. Nel diagramma di esempio, il progetto è my-project.
Inserisci un nome per l'hub, in questo caso my-hub.
Inserisci una Descrizione facoltativa.
Verifica l'ID progetto. Se l'ID progetto non è corretto, seleziona un progetto diverso utilizzando il menu a discesa nella parte superiore della schermata.
Fai clic su Continua.
Per aggiungere lo spoke Office1 all'hub, vai a Creare lo spoke per l'ufficio 1.

gcloud

Per creare un hub, utilizza il comando gcloud network-connectivity hubs create.

  gcloud network-connectivity hubs create HUB_NAME \
     --description="DESCRIPTION" \
     --labels="KEY"="VALUE"

Sostituisci i seguenti valori:

HUB_NAME: il nome del nuovo hub, in questo caso my-hub
DESCRIPTION: testo facoltativo che descrive l'hub
KEY: la chiave nella coppia chiave-valore per il testo facoltativo dell'etichetta
VALUE: il valore nella coppia chiave-valore per il testo facoltativo dell'etichetta

Per aggiungere lo spoke Office1 all'hub, vai a Creare lo spoke per l'ufficio 1.

API

Per creare un hub, utilizza il metodo networkconnectivity.hubs.create.

  POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/global/hubs
  {
    "name":"HUB_NAME",
    "description":"DESCRIPTION",
    "labels": {
      "KEY": "VALUE"
    }
  }

Sostituisci i seguenti valori:

PROJECT_ID: l'ID del progetto che contiene il nuovo hub, ad esempio my-project
HUB_NAME: il nome del nuovo hub, ad esempio my-hub
DESCRIPTION: testo facoltativo che descrive l'hub
KEY: la chiave nella coppia chiave-valore per il testo facoltativo dell'etichetta
VALUE: il valore nella coppia chiave-valore per il testo facoltativo dell'etichetta

Per aggiungere lo spoke Office1 all'hub, vai a Creare lo spoke per l'ufficio 1.

Crea lo spoke per Office 1

Crea uno spoke per Office1. Utilizza due tunnel VPN ad alta disponibilità come le risorse sottostanti dello spoke. Ogni tunnel deve avere origine da un gateway VPN ad alta disponibilità nella regione più vicina all'ufficio. Nel diagramma di esempio, questi tunnel sono rappresentati come vpn-tunnel1-office1 e vpn-tunnel2-office1.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o dei seguenti ruoli IAM.

Autorizzazioni

networkconnectivity.spokes.create
compute.routers.get
compute.vpnTunnels.get
Se stai lavorando nella console Google Cloud, devi disporre dell'autorizzazione per visualizzare determinate risorse di rete. Per maggiori dettagli, consulta Ruoli e autorizzazioni.

Ruoli

Il valore sarà uno dei seguenti:
- Amministratore spoke (roles/networkconnectivity.spokeAdmin)
- Hub & Spoke Admin (roles/networkconnectivity.hubAdmin)
Un ruolo, ad esempio Visualizzatore rete Compute (roles/compute.networkViewer)), che ti concede l'autorizzazione a leggere le risorse del router Cloud e il tipo di risorsa del tuo spoke (in questo caso, i tunnel VPN).
Se stai lavorando nella console Google Cloud, Visualizzatore della rete di Compute (roles/compute.networkViewer)

Console

I passaggi che seguono proseguono da Creare l'hub. Spiega come creare un raggio subito dopo aver specificato il nome e la descrizione dell'hub.

Nel modulo Nuovo spoke, imposta il campo Tipo di spoke su Tunnel VPN.
Inserisci un nome raggio, in questo caso office-1-spoke.
Se vuoi, inserisci una Descrizione del raggio.
Seleziona la Regione per il raggio. Nel diagramma di esempio, il raggio si trova in us-west1.
In Trasferimento dati site-to-site, seleziona On.
Seleziona la rete VPC appropriata. Nel diagramma di esempio, lo spoke si trova in network-a.
Seleziona un tunnel VPN. Se opportuno, fai clic su Aggiungi tunnel per aggiungere un altro campo Tunnel VPN. Nel diagramma di esempio vengono utilizzati due tunnel: vpn-tunnel1-office1 e vpn-tunnel2-office1. Al termine, fai clic su Fine.
Fai clic su Crea.

La pagina Network Connectivity Center viene aggiornata per mostrare i dettagli degli spoke che hai creato. Per aggiungere lo spoke Office2 all'hub, continua con Creare lo spoke per Office 2.

gcloud

Per creare il raggio, utilizza il comando gcloud network-connectivity spokes linked-vpn-tunnels create.

  gcloud network-connectivity spokes linked-vpn-tunnels create SPOKE_NAME \
    --hub=HUB_NAME \
    --description="DESCRIPTION" \
    --vpn-tunnels=TUNNEL_NAME,TUNNEL_NAME_2 \
    --region=REGION \
    --labels="KEY"="VALUE" \
    --site-to-site-data-transfer

Sostituisci i seguenti valori:

SPOKE_NAME: il nome del raggio, in questo caso office-1-spoke
HUB_NAME: il nome dell'hub a cui colleghi il raggio, in questo caso my-hub
DESCRIPTION: testo facoltativo che descrive il raggio
TUNNEL_NAME: il nome del primo tunnel VPN ad alta disponibilità, in questo caso vpn-tunnel1-office1
TUNNEL_NAME_2: il nome del tunnel ridondante, in questo caso vpn-tunnel2-office1. Quando includi un secondo tunnel, non utilizzare uno spazio tra la virgola e il nome del secondo tunnel
REGION: la regione Google Cloud in cui si trova il spoke, in questo caso us-west1
KEY: la chiave nella coppia chiave-valore per il testo facoltativo dell'etichetta
VALUE: il valore nella coppia chiave-valore per il testo facoltativo dell'etichetta

Per aggiungere lo spoke Office2 all'hub, vai a Creare lo spoke per Office 2.

API

Per creare il raggio, utilizza il metodo networkconnectivity.spokes.create.

  POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/spokes/SPOKE_NAME
  {
    "hub": "HUB_NAME",
    "labels": {"KEY": "VALUE"},
    "linkedVpnTunnels": {
      "uris: [
        "TUNNEL_NAME",
        "TUNNEL_NAME_2"
      ],
      "siteToSiteDataTransfer": true
    }
  }

Sostituisci i seguenti valori:

PROJECT_ID: l'ID del tuo progetto
REGION: la regione Google Cloud in cui vuoi collocare lo spoke, in questo caso us-west1
SPOKE_NAME: il nome del raggio
HUB_NAME: il nome dell'hub a cui agganci il raggio
KEY: la chiave nella coppia chiave-valore per il testo facoltativo della etichetta
VALUE: il valore nella coppia chiave-valore per il testo facoltativo dell'etichetta
TUNNEL_NAME: il nome del primo tunnel VPN ad alta disponibilità, in questo caso vpn-tunnel1-office1
TUNNEL_NAME_2: il nome del tunnel ridondante, in questo caso vpn-tunnel2-office1. Quando includi un secondo tunnel, non utilizzare uno spazio tra la virgola e il nome del secondo tunnel

Crea lo spoke per Office 2

Crea uno spoke per Office2. Utilizza due tunnel VPN ad alta disponibilità come le risorse sottostanti dello spoke. Ogni tunnel deve avere origine da un gateway VPN ad alta disponibilità nella regione più vicina all'ufficio. Nel diagramma di esempio, questi tunnel sono rappresentati come vpn-tunnel1-office2 e vpn-tunnel2-office2.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o dei seguenti ruoli IAM.

Autorizzazioni

networkconnectivity.spokes.create
compute.routers.get
compute.vpnTunnels.get
Se stai lavorando nella console Google Cloud, devi disporre dell'autorizzazione per visualizzare determinate risorse di rete. Per maggiori dettagli, consulta Ruoli e autorizzazioni.

Ruoli

Il valore sarà uno dei seguenti:
- Amministratore spoke (roles/networkconnectivity.spokeAdmin)
- Hub & Spoke Admin (roles/networkconnectivity.hubAdmin)
Un ruolo, ad esempio Visualizzatore rete Compute (roles/compute.networkViewer)), che ti concede l'autorizzazione a leggere le risorse del router Cloud e il tipo di risorsa del tuo spoke (in questo caso, i tunnel VPN).
Se stai lavorando nella console Google Cloud, Visualizzatore della rete di Compute (roles/compute.networkViewer)

Console

Per creare il secondo raggio:

Vai alla pagina Network Connectivity Center.

Vai a Network Connectivity Center
Nel menu a discesa del progetto, seleziona un progetto. Nel diagramma di esempio, il progetto è my-project.
Fai clic sulla scheda Raggi.
Fai clic su Aggiungi raggi per aprire la pagina Aggiungi raggi.
Nel modulo Nuovo spoke, imposta il campo Tipo di spoke su Tunnel VPN.
Inserisci un nome raggio, in questo caso office-2-spoke.
Se vuoi, inserisci una Descrizione del raggio.
Seleziona la Regione per il raggio. Nel diagramma di esempio, il raggio si trova in us-east1.
In Trasferimento dati site-to-site, seleziona On.
Verifica che il campo Rete VPC sia impostato sulla stessa rete dell'ultimo spoke che hai creato. Nel diagramma di esempio, si tratta di network-a.
Seleziona un tunnel VPN. Se opportuno, fai clic su Aggiungi tunnel per aggiungere un altro campo Tunnel VPN. Nel diagramma di esempio vengono utilizzati due tunnel: vpn-tunnel1-office2 e vpn-tunnel2-office2. Al termine, fai clic su Fine.
Fai clic su Crea.

gcloud

Per creare il raggio, utilizza il comando gcloud network-connectivity spokes linked-vpn-tunnels create.

  gcloud network-connectivity spokes linked-vpn-tunnels create SPOKE_NAME \
    --hub=HUB_NAME \
    --description="DESCRIPTION" \
    --vpn-tunnels=TUNNEL_NAME,TUNNEL_NAME_2 \
    --region=REGION \
    --labels="KEY"="VALUE" \
    --site-to-site-data-transfer

Sostituisci i seguenti valori:

SPOKE_NAME: il nome del raggio, in questo caso office-2-spoke
HUB_NAME: il nome dell'hub a cui colleghi il raggio, in questo caso my-hub
DESCRIPTION: testo facoltativo che descrive il raggio
TUNNEL_NAME: il nome del primo tunnel VPN ad alta disponibilità, in questo caso vpn-tunnel1-office2
TUNNEL_NAME_2: il nome del tunnel ridondante, in questo caso vpn-tunnel2-office2. Quando includi un secondo tunnel, non utilizzare uno spazio tra la virgola e il nome del secondo tunnel
REGION: la regione Google Cloud in cui si trova il spoke, in questo casous-east1
KEY: la chiave nella coppia chiave-valore per il testo facoltativo dell'etichetta
VALUE: il valore nella coppia chiave-valore per il testo facoltativo dell'etichetta

Per aggiungere lo spoke Office2 all'hub, vai a Creare lo spoke per Office 2.

API

Per creare il raggio, utilizza il metodo networkconnectivity.spokes.create.

  POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/spokes/SPOKE_NAME
  {
    "hub": "HUB_NAME",
    "labels": {"KEY": "VALUE"},
    "linkedVpnTunnels": {
      "uris": [
        "TUNNEL_NAME",
        "TUNNEL_NAME_2"
      ],
      "siteToSiteDataTransfer": true
    }
  }

Sostituisci i seguenti valori:

PROJECT_ID: l'ID del tuo progetto
REGION: la regione Google Cloud in cui vuoi collocare lo spoke, in questo caso us-east1
SPOKE_NAME: il nome del raggio
HUB_NAME: il nome dell'hub a cui agganci il raggio
KEY: la chiave nella coppia chiave-valore per il testo facoltativo della etichetta
VALUE: il valore nella coppia chiave-valore per il testo facoltativo dell'etichetta
TUNNEL_NAME: il nome del primo tunnel VPN ad alta disponibilità, in questo caso vpn-tunnel1-office2
TUNNEL_NAME_2: il nome del tunnel ridondante, in questo caso vpn-tunnel2-office2; quando includi un secondo tunnel, non utilizzare uno spazio tra la virgola e il nome del secondo tunnel

Verificare la configurazione

Dopo aver configurato l'hub e i relativi spoke, dovresti essere in grado di inoltrare il traffico dall'istanza di macchina virtuale (VM) di un ufficio all'istanza VM dell'altro ufficio. Per farlo, ogni VM deve avere accesso al tunnel VPN nella sua regione.

Ripulire la configurazione

Segui i passaggi descritti nelle sezioni seguenti per ripulire la configurazione di esempio. Per evitare che la fatturazione continui, elimina le risorse che hai creato.

Elimina il progetto

Se vuoi eliminare il progetto che hai creato, segui questi passaggi. In alternativa, puoi mantenere il progetto ed eliminare le singole risorse, come descritto nelle sezioni seguenti.

Attenzione: l'eliminazione di un progetto ha i seguenti effetti:

L'intero contenuto del progetto viene eliminato. Se hai utilizzato un progetto esistente per le attività descritte in questo documento, quando lo elimini elimini anche tutto il lavoro svolto nel progetto.
Gli ID progetto personalizzati non sono più disponibili. Quando hai creato questo progetto, potresti aver creato un ID progetto personalizzato che vuoi utilizzare in futuro. Per conservare gli URL che utilizzano l'ID progetto, ad esempio un URL appspot.com, elimina le risorse selezionate all'interno del progetto anziché eliminare l'intero progetto.

Se intendi esplorare più architetture, tutorial o guide rapide, il riuso dei progetti può aiutarti a non superare i limiti di quota.

In the Google Cloud console, go to the Manage resources page.
Go to Manage resources
In the project list, select the project that you want to delete, and then click Delete.
In the dialog, type the project ID, and then click Shut down to delete the project.

Elimina entrambi gli spoke

Devi eliminare tutti gli spoke prima di poter eliminare un hub.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o dei seguenti ruoli IAM.

Autorizzazioni

networkconnectivity.spokes.delete
Inoltre, se stai lavorando nella console Google Cloud:
- networkconnectivity.hubs.get
- networkconnectivity.hubs.list
- networkconnectivity.spokes.list
- compute.projects.get

Ruoli

Uno dei seguenti valori:
- Amministratore spoke (roles/networkconnectivity.spokeAdmin
- Hub & Spoke Admin (roles/networkconnectivity.hubAdmin)
Inoltre, se stai lavorando nella console Google Cloud:
- Compute Network Viewer (roles/compute.networkViewer)

Console

Vai alla pagina Network Connectivity Center.

Vai a Network Connectivity Center
Nel menu a discesa del progetto, seleziona un progetto. Nel diagramma di esempio, il progetto è my-project.
Fai clic sulla scheda Raggi.
Visualizza l'elenco dei nomi dei raggi per il progetto.
Seleziona le caselle di controllo per i raggi da eliminare, in questo caso office-1-spoke e office-2-spoke.
Fai clic su Elimina raggi.
Nella finestra di dialogo di conferma, fai clic su Elimina.

gcloud

Per eliminare i raggi, utilizza il comando gcloud network-connectivity spokes delete. Utilizza il comando due volte, una per eliminare office-1-spoke e di nuovo per eliminare office-2-spoke.

  gcloud network-connectivity spokes delete SPOKE_NAME \
    --region=REGION

Sostituisci i seguenti valori:

SPOKE_NAME: il nome del raggio da eliminare, in questo caso office-1-spoke e office-2-spoke
REGION: la regione Google Cloud in cui si trova il spoke

API

Per eliminare i raggi, utilizza il metodo networkconnectivity.spokes.delete. Utilizza questo metodo due volte, una per eliminare office-1-spoke e di nuovo per eliminare office-2-spoke.

  DELETE https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/spokes/SPOKE_NAME

Sostituisci i seguenti valori:

PROJECT_ID: l'ID del progetto che contiene lo spoke. Nel diagramma di esempio, il progetto è my-project
REGION: la regione Google Cloud in cui si trova il spoke
SPOKE_NAME: il nome del raggio da eliminare, in questo caso office-1-spoke e office-2-spoke

Eliminare l'hub

Dopo aver eliminato gli spoke, puoi eliminare l'hub.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o dei seguenti ruoli IAM.

Autorizzazioni

networkconnectivity.hubs.delete
Inoltre, se stai lavorando nella console Google Cloud:
- networkconnectivity.hubs.get
- networkconnectivity.hubs.list
- networkconnectivity.spokes.list
- compute.projects.get

Ruoli

Hub & Spoke Admin (roles/networkconnectivity.hubAdmin)
Inoltre, se stai lavorando nella console Google Cloud, Compute Network Viewer (roles/compute.networkViewer)

Console

Nella console Google Cloud, vai alla pagina Network Connectivity Center (Centro per la connettività di rete).

Vai a Network Connectivity Center
Nel menu a discesa del progetto, seleziona un progetto. Nel diagramma di esempio, il progetto è my-project.
Fai clic su Elimina hub.
Nella finestra di dialogo di conferma, fai clic su Elimina per eliminare l'hub.

gcloud

Per eliminare l'hub, utilizza il comando gcloud network-connectivity hubs delete.

  gcloud network-connectivity hubs delete HUB_NAME /
    --project=PROJECT_ID

Sostituisci i seguenti valori:

HUB_NAME: il nome dell'hub da eliminare, in questo caso my-hub.
PROJECT_ID: l'ID del progetto che contiene l'hub. Nel diagramma di esempio, il progetto è my-project

API

Per eliminare l'hub, utilizza il metodo networkconnectivity.hubs.delete.

  DELETE https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/global/hubs/HUB_NAME

Sostituisci i seguenti valori:

PROJECT_ID: l'ID del progetto che contiene l'hub. Nel diagramma di esempio, il progetto è my-project
HUB_NAME: il nome dell'hub da eliminare

Elimina la rete e la subnet VPC

Elimina la rete e la subnet VPC che hai configurato per questo tutorial.

Passaggi successivi

Per visualizzare una topologia di esempio, consulta Topologia di esempio per il trasferimento dati site-to-site.
Per scoprire di più su come Network Connectivity Center consente la connettività full mesh, consulta Scambio di route con trasferimento di dati da sito a sito.
Per informazioni sui requisiti di alta disponibilità, consulta Requisiti di alta disponibilità per le risorse spoke.
Per creare hub e spoke, consulta Utilizzare hub e spoke.
Per trovare soluzioni ai problemi di Network Connectivity Center, consulta la sezione Risoluzione dei problemi.