Private Service Connect – Sử dụng phần phụ trợ PSC để truy cập vào Dịch vụ nhà sản xuất

1. Giới thiệu

Private Service Connect cho phép nhà sản xuất dịch vụ cung cấp dịch vụ một cách riêng tư từ mạng VPC này sang mạng VPC khác. Người dùng có thể truy cập vào các dịch vụ của nhà sản xuất thông qua điểm cuối PSC hoặc Phụ trợ PSC.

Lớp học lập trình này tập trung vào PSC Backends. PSC Backend được dùng cùng với bộ cân bằng tải proxy của Google Cloud (Ứng dụng hoặc Mạng). Việc sử dụng PSC Backends giúp người tiêu dùng kiểm soát chặt chẽ hơn, chẳng hạn như:

  • Khả năng ghi nhận và ghi nhật ký chuyên sâu hơn
  • Tích hợp Cloud Armor
  • URL tùy chỉnh
  • Quản lý lưu lượng truy cập nâng cao
  • Chứng chỉ TLS tuỳ chỉnh

Trong lớp học lập trình này, bạn sẽ tìm hiểu cách tạo một Phụ trợ Private Service Connect bằng Trình cân bằng tải ứng dụng bên ngoài trên toàn cầu để truy cập riêng vào một dịch vụ nhà sản xuất trong một mạng khác.

Kiến thức bạn sẽ học được

  • Tạo và định cấu hình một Phụ trợ PSC được liên kết với Trình cân bằng tải ứng dụng bên ngoài (toàn cầu)
  • Định cấu hình dịch vụ web do Apache quản lý và cung cấp dịch vụ này dưới dạng dịch vụ PSC thông qua một Tệp đính kèm dịch vụ
  • Tạo chứng chỉ SSL để chấm dứt SSL trên Trình cân bằng tải ứng dụng nội bộ và bên ngoài
  • Định cấu hình một vùng công khai Cloud DNS để truy cập vào dịch vụ PSC

Bạn cần có

  • Một dự án trên Google Cloud có quyền của chủ sở hữu

2. Môi trường thử nghiệm

Môi trường mà bạn sẽ tạo bao gồm một VPC người dùng và VPC nhà sản xuất. Trong VPC của Nhà sản xuất, bạn sẽ triển khai một nhóm phiên bản được quản lý từ một mẫu phiên bản tạo ra dịch vụ web Apache nguồn mở. Bạn cũng sẽ triển khai một vm kiểm thử để đảm bảo chức năng cục bộ phù hợp của dịch vụ. Bạn sẽ hiển thị dịch vụ Apache dưới dạng dịch vụ Nhà sản xuất PSC thông qua một Tệp đính kèm dịch vụ.

Trong VPC của Người dùng, bạn sẽ triển khai một Trình cân bằng tải ứng dụng bên ngoài trên toàn cầu có dịch vụ phụ trợ PSC trỏ đến dịch vụ Apache. Sau đó, bạn sẽ thiết lập một vùng DNS công khai để truy cập vào dịch vụ PSC trên Internet công cộng.

31e7497bf3d9035c.png

3. Thiết lập và yêu cầu

Thiết lập môi trường theo tốc độ của riêng bạn

  1. Đăng nhập vào Google Cloud Console rồi tạo một dự án mới hoặc sử dụng lại một dự án hiện có. Nếu chưa có tài khoản Gmail hoặc Google Workspace, bạn phải tạo một tài khoản.

fbef9caa1602edd0.png

a99b7ace416376c4.png

5e3ff691252acf41.png

  • Tên dự án là tên hiển thị của những người tham gia dự án này. Đây là một chuỗi ký tự mà các API của Google không sử dụng. Bạn luôn có thể cập nhật thông tin này.
  • Mã dự án là mã duy nhất trên tất cả các dự án trên Google Cloud và không thể thay đổi (bạn không thể thay đổi mã này sau khi đã đặt). Cloud Console sẽ tự động tạo một chuỗi duy nhất; thường thì bạn không cần quan tâm đến chuỗi này. Trong hầu hết các lớp học lập trình, bạn sẽ cần tham chiếu đến Mã dự án (thường được xác định là PROJECT_ID). Nếu không thích mã nhận dạng được tạo, bạn có thể tạo một mã nhận dạng ngẫu nhiên khác. Hoặc bạn có thể thử tên người dùng của riêng mình để xem tên đó có được chấp nhận hay không. Bạn không thể thay đổi tên này sau bước này và tên này sẽ tồn tại trong suốt thời gian của dự án.
  • Để bạn nắm được thông tin, có một giá trị thứ ba là Số dự án mà một số API sử dụng. Tìm hiểu thêm về cả 3 giá trị này trong tài liệu.
  1. Tiếp theo, bạn cần bật tính năng thanh toán trong Cloud Console để sử dụng các tài nguyên/API trên đám mây. Việc thực hiện lớp học lập trình này sẽ không tốn nhiều chi phí, nếu có. Để tắt các tài nguyên nhằm tránh bị tính phí ngoài phạm vi hướng dẫn này, bạn có thể xoá các tài nguyên đã tạo hoặc xoá dự án. Người dùng mới của Google Cloud đủ điều kiện tham gia chương trình Dùng thử miễn phí trị giá 300 USD.

Khởi động Cloud Shell

Mặc dù có thể vận hành Google Cloud từ xa trên máy tính xách tay, nhưng trong lớp học lập trình này, bạn sẽ sử dụng Google Cloud Shell, một môi trường dòng lệnh chạy trên Cloud.

Trên Bảng điều khiển Google Cloud, hãy nhấp vào biểu tượng Cloud Shell trên thanh công cụ ở trên cùng bên phải:

55efc1aaa7a4d3ad.png

Quá trình này chỉ mất vài phút để cung cấp và kết nối với môi trường. Khi quá trình này kết thúc, bạn sẽ thấy như sau:

7ffe5cbb04455448.png

Máy ảo này được trang bị tất cả các công cụ phát triển mà bạn cần. Nó cung cấp một thư mục chính có dung lượng 5 GB và chạy trên Google Cloud, giúp tăng cường đáng kể hiệu suất mạng và hoạt động xác thực. Bạn có thể thực hiện mọi thao tác trong lớp học lập trình này trong trình duyệt. Bạn không cần cài đặt bất cứ thứ gì.

4. Trước khi bắt đầu

Bật API

Trong Cloud Shell, hãy đảm bảo rằng bạn đã thiết lập mã dự án

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
export project=YOUR-PROJECT-NAME
export region=us-central1
echo $project
echo $region

Bật tất cả các dịch vụ cần thiết

gcloud services enable compute.googleapis.com
gcloud services enable servicedirectory.googleapis.com
gcloud services enable dns.googleapis.com

5. Thiết lập VPC của nhà sản xuất

Tạo mạng VPC

Từ Cloud Shell

gcloud compute networks create producer-vpc --subnet-mode custom

Tạo mạng con

Hai mạng con cho mục đích chung sẽ được triển khai trong producer-vpc. service-subnet sẽ được dùng để triển khai các VM dịch vụ web Apache cũng như quy tắc chuyển tiếp của trình cân bằng tải. test-client-subnet sẽ nằm ở một khu vực khác và được dùng để triển khai một VM nhằm kiểm thử dịch vụ Apache khi đã bật tính năng Truy cập toàn cầu.

Từ Cloud Shell

gcloud compute networks subnets create service-subnet \
    --network=producer-vpc \
    --range=10.0.0.0/28 \
    --region=$region

Từ Cloud Shell

gcloud compute networks subnets create test-client-subnet \
    --network=producer-vpc \
    --range=10.0.1.0/28 \
    --region=us-east4

Chúng ta cũng phải triển khai một mạng con chỉ dành cho proxy để sử dụng với Bộ cân bằng tải ứng dụng nội bộ theo khu vực.

Từ Cloud Shell

gcloud compute networks subnets create central-proxy-subnet \
    --network=producer-vpc \
    --range=10.100.101.0/24 \
    --region=$region \
    --purpose=REGIONAL_MANAGED_PROXY \
    --role=ACTIVE

Khi một dịch vụ PSC được triển khai, mỗi dịch vụ duy nhất cần có một mạng con NAT PSC tương ứng được liên kết với Service Attachment. Mạng con này phải có kích thước phù hợp, tuỳ thuộc vào số lượng điểm cuối được kết nối dự kiến.

Từ Cloud Shell

gcloud compute networks subnets create psc-nat-subnet \
    --network=producer-vpc \
    --region=$region \
    --range=10.100.100.0/24 \
    --purpose=PRIVATE_SERVICE_CONNECT

Tạo Cloud NAT

Bạn cần có Cloud NAT để cài đặt các gói phù hợp cho dịch vụ nhà sản xuất của chúng tôi.

Từ Cloud Shell

gcloud compute routers create central-cr \
    --network=producer-vpc \
    --region=$region

Từ Cloud Shell

gcloud compute routers nats create central-nat \
    --router=central-cr \
    --region=$region \
    --nat-all-subnet-ip-ranges \
    --auto-allocate-nat-external-ips

Tạo Chính sách và quy tắc cho Tường lửa mạng

Từ Cloud Shell

gcloud compute network-firewall-policies create producer-vpc-policy --global

gcloud compute network-firewall-policies associations create \
    --firewall-policy producer-vpc-policy \
    --network producer-vpc \
    --name network-producer-vpc \
    --global-firewall-policy

Để cho phép IAP kết nối với các phiên bản máy ảo, hãy tạo một quy tắc tường lửa có:

  • Áp dụng cho tất cả các phiên bản máy ảo mà bạn muốn có thể truy cập bằng IAP.
  • Cho phép lưu lượng truy cập vào từ dải IP 35.235.240.0/20. Dải này chứa tất cả địa chỉ IP mà IAP sử dụng để chuyển tiếp TCP.

Từ Cloud Shell

gcloud compute network-firewall-policies rules create 1000 \
    --action ALLOW \
    --firewall-policy producer-vpc-policy \
    --description "SSH with IAP" \
    --direction INGRESS \
    --src-ip-ranges 35.235.240.0/20 \
    --layer4-configs tcp:22  \
    --global-firewall-policy

Bạn sẽ cần thêm 2 quy tắc tường lửa để cho phép lưu lượng truy cập vào các hệ thống phụ trợ của trình cân bằng tải có nguồn từ mạng con chỉ có proxy của trình cân bằng tải (2000), cũng như một quy tắc cho phép các quy trình kiểm tra tình trạng của trình cân bằng tải trên các thực thể phụ trợ (2001).

Từ Cloud Shell

gcloud compute network-firewall-policies rules create 2000 \
    --action ALLOW \
    --firewall-policy producer-vpc-policy \
    --description "allow traffic from load balancer proxy subnet" \
    --direction INGRESS \
    --src-ip-ranges 10.100.101.0/24 \
    --layer4-configs tcp:443 \
    --global-firewall-policy


gcloud compute network-firewall-policies rules create 2001 \
    --action ALLOW \
    --firewall-policy producer-vpc-policy \
    --description "allow load balancer health checks" \
    --direction INGRESS \
    --src-ip-ranges 130.211.0.0/22,35.191.0.0/16 \
    --layer4-configs tcp:443 \
    --global-firewall-policy

6. Tạo dịch vụ web Apache

Chúng ta sẽ tạo một Dịch vụ web Apache đơn giản hiển thị "Dịch vụ PSC".

Tạo mẫu phiên bản

Từ Cloud Shell

gcloud compute instance-templates create apache-service-template \
    --network producer-vpc \
    --subnet service-subnet \
    --region $region \
    --no-address \
    --metadata startup-script='#! /bin/bash
    sudo apt-get update
    apt-get install apache2 -y
    a2enmod ssl
    sudo a2ensite default-ssl
    echo "PSC Service" | \
    tee /var/www/html/index.html
    systemctl restart apache2'

Tạo quy trình Kiểm tra tình trạng hoạt động cho MIG

Từ Cloud Shell

gcloud compute health-checks create https service-mig-healthcheck \
    --port=443 \
    --global

Tạo nhóm phiên bản được quản lý

Từ Cloud Shell

gcloud compute instance-groups managed create psc-service-mig \
    --region $region \
    --size=2 \
    --template=apache-service-template \
    --health-check=service-mig-healthcheck

gcloud compute instance-groups managed set-named-ports psc-service-mig \
    --named-ports=https:443 \
    --region=$region

7. Tạo chứng chỉ tự ký

Hoàn tất Bước 1 của hướng dẫn tại đây để tạo chứng chỉ tự ký. Bạn có thể chạy tất cả các lệnh trong Cloud Shell. Quay lại đây khi bạn hoàn tất Bước 1. BẠN PHẢI ĐỊNH CẤU HÌNH TÊN CHUNG BẰNG EXAMPLE.COM.

Tạo một tài nguyên chứng chỉ để liên kết với trình cân bằng tải. Thay thế các tham số chứng chỉ và khoá riêng tư bằng tên tệp cụ thể của bạn.

Từ Cloud Shell

gcloud compute ssl-certificates create producer-service-cert \
    --certificate=<your-producer-certfile.cert> \
    --private-key=<your-producer-keyfile.pem> \
    --region=$region

8. Tạo Internal Regional Application Load Balancer

Tiếp theo, chúng ta sẽ tạo các thành phần trình cân bằng tải cho dịch vụ. Chúng tôi đang sử dụng Trình cân bằng tải ứng dụng theo khu vực nội bộ, nhưng bạn có thể sử dụng bất kỳ trình cân bằng tải nội bộ nào của Google Cloud. Hãy làm theo tài liệu thích hợp về bộ cân bằng tải để xử lý TLS.

Tạo địa chỉ IP nội bộ sẽ được dùng cho quy tắc chuyển tiếp của bộ cân bằng tải và ghi lại IP này để dùng sau khi bạn thực hiện một lệnh gọi kiểm thử đến dịch vụ.

Từ Cloud Shell

gcloud compute addresses create apache-service-ip \
 --region=$region \
 --subnet=service-subnet

gcloud compute addresses describe apache-service-ip \
   --format="get(address)" \
   --region=$region

Tạo chế độ kiểm tra tình trạng của trình cân bằng tải.

Từ Cloud Shell

gcloud compute health-checks create https lb-apache-service-hc \
    --region=$region \
    --port-name=https

Tạo dịch vụ phụ trợ.

Từ Cloud Shell

gcloud compute backend-services create apache-bes\
  --load-balancing-scheme=INTERNAL_MANAGED \
  --protocol=HTTPS \
  --port-name=https \
  --health-checks=lb-apache-service-hc \
  --health-checks-region=$region \
  --region=$region


gcloud compute backend-services add-backend apache-bes \
  --balancing-mode=UTILIZATION \
  --instance-group=psc-service-mig \
  --region=$region

Tạo Bản đồ URL.

Từ Cloud Shell

gcloud compute url-maps create producer-url-map \
  --default-service=apache-bes \
  --region=$region

Tạo các proxy HTTPS mục tiêu.

Từ Cloud Shell

gcloud compute target-https-proxies create https-proxy \
  --url-map=producer-url-map \
  --region=$region \
  --ssl-certificates=producer-service-cert

Tạo quy tắc chuyển tiếp.

Từ Cloud Shell

gcloud compute forwarding-rules create apache-fr \
  --load-balancing-scheme=INTERNAL_MANAGED \
  --network=producer-vpc \
  --subnet=service-subnet \
  --address=apache-service-ip \
  --ports=443 \
  --region=$region \
  --target-https-proxy=https-proxy \
  --target-https-proxy-region=$region \
  --allow-global-access

9. Tạo một máy ảo kiểm thử và kiểm thử dịch vụ cục bộ

Trước khi tạo Service Attachment, chúng ta sẽ tạo một VM ứng dụng kiểm thử ở một khu vực khác để kiểm tra xem trình cân bằng tải có được định cấu hình chính xác với Global Access và TLS hay không.

Từ Cloud Shell

gcloud compute instances create vm-client \
    --zone=us-east4-a \
    --subnet=test-client-subnet \
    --no-address

Đợi khoảng một phút để quá trình cấp phép hoàn tất, sau đó SSH vào phiên bản.

Từ Cloud Shell

gcloud compute ssh \
    --zone "us-east4-a" "vm-client" \
    --tunnel-through-iap \
    --project $project

Kiểm thử Dịch vụ Apache bằng cách kết nối qua cổng 443 thông qua trình cân bằng tải. Địa chỉ IP nội bộ là địa chỉ mà bạn đã đặt trước và ghi lại trước đó.

curl https://example.com:443 -k --connect-to example.com:443:<YOUR-INTERNAL-IP>:443

KẾT QUẢ DỰ KIẾN

PSC Service

Thoát khỏi máy ảo.

Từ vm-client

exit

10. Tạo tệp đính kèm dịch vụ

Trong ví dụ này, chúng ta sẽ định cấu hình Service Attachment để chỉ cho phép các kết nối PSC từ dự án này. Bạn có thể định cấu hình để chấp nhận một hoặc nhiều dự án hoặc mạng cụ thể, nhưng không được chấp nhận cả hai. Chúng tôi đã đặt giới hạn tối đa cho số lượt kết nối là 5. Mỗi dự án hoặc mạng phải có một hạn mức được đặt.

Từ Cloud Shell

gcloud compute service-attachments create apache-service-attachment \
    --region=$region \
    --producer-forwarding-rule=apache-fr \
    --connection-preference=ACCEPT_MANUAL \
    --consumer-accept-list=$project=5 \
    --nat-subnets=psc-nat-subnet

Bạn nên ghi lại URI của Tệp đính kèm dịch vụ (selfLink) vì bạn sẽ cần URI này trong bước tiếp theo để định cấu hình Phụ trợ PSC. Bạn có thể lấy khoá này bằng cách thực thi lệnh sau trong Cloud Shell.

Từ Cloud Shell

gcloud compute service-attachments describe apache-service-attachment \
    --region $region

Sao chép URI bắt đầu từ projects

Ví dụ: projects/$project/regions/$region/serviceAttachments/apache-service-attachment

11. Thiết lập VPC cho người tiêu dùng

Tạo mạng VPC

Từ Cloud Shell

gcloud compute networks create consumer-vpc --subnet-mode custom

Tạo mạng con

Bạn cần có một mạng con ở phía người dùng nơi Nhóm điểm cuối mạng (NEG) Private Service Connect sẽ được triển khai.

Từ Cloud Shell

gcloud compute networks subnets create consumer-subnet \
    --network=consumer-vpc \
    --region=$region \
    --range=10.0.0.0/28

12. Dự trữ IP ngoài và tạo chứng chỉ tự ký phía người dùng

IP ngoài

Tạo địa chỉ IP tĩnh bên ngoài sẽ được dùng sau này cho quy tắc chuyển tiếp của trình cân bằng tải và ghi lại địa chỉ IP trong một biến Cloud Shell.

Từ Cloud Shell

gcloud compute addresses create external-psc-ip \
    --network-tier=PREMIUM \
    --ip-version=IPV4 \
    --global

export externalip=$(gcloud compute addresses describe external-psc-ip \
    --format="get(address)" \
    --global)

echo $externalip

Chứng chỉ tự ký của người tiêu dùng

Hoàn tất Bước 1 của hướng dẫn tại đây lần thứ hai để tạo chứng chỉ tự ký. Bạn có thể chạy tất cả các lệnh trong Cloud Shell. Quay lại đây khi bạn hoàn tất Bước 1. Chúng tôi sẽ sử dụng một dịch vụ DNS công khai có ký tự đại diện mã nguồn mở có tên là nip.io thay vì sở hữu vùng DNS công khai của riêng mình. URL công khai của dịch vụ PSC sẽ sử dụng địa chỉ IP ngoài mà bạn vừa định cấu hình. BẠN PHẢI ĐỊNH CẤU HÌNH TÊN CHUNG CỦA MÌNH BẰNG <YOUR-EXTERNAL-IP.nip.io>

Tạo một tài nguyên chứng chỉ để liên kết với trình cân bằng tải bên ngoài. Thay thế các tham số chứng chỉ và khoá riêng tư bằng tên tệp cụ thể của bạn.

Từ Cloud Shell

gcloud compute ssl-certificates create consumer-service-cert \
    --certificate=<your-consumer-certfile.cert> \
    --private-key=<your-consumer-keyfile.pem> \
    --global

13. Tạo các thành phần của Trình cân bằng tải

Chúng ta sẽ tạo một Bộ cân bằng tải ứng dụng bên ngoài trên toàn cầu có NEG PSC trỏ đến Service Attachment mới tạo của chúng ta dưới dạng Dịch vụ phụ trợ.

Hãy chuẩn bị sẵn URI của tệp đính kèm dịch vụ mà chúng ta đã ghi chú ở bước cuối cùng. Thay thế psc-target-service bên dưới bằng URI của bạn.

Từ Cloud Shell

gcloud compute network-endpoint-groups create apache-psc-neg \
--network-endpoint-type=private-service-connect \
--psc-target-service=projects/$project/regions/$region/serviceAttachments/apache-service-attachment \
--region=$region \
--network=consumer-vpc \
--subnet=consumer-subnet

Tạo dịch vụ phụ trợ.

Từ Cloud Shell

gcloud compute backend-services create apache-pscneg-bes \
    --load-balancing-scheme=EXTERNAL_MANAGED \
    --protocol=HTTPS \
    --global

gcloud compute backend-services add-backend apache-pscneg-bes \
    --network-endpoint-group=apache-psc-neg \
    --network-endpoint-group-region=$region \
    --global

Tạo URL Map

Từ Cloud Shell

gcloud compute url-maps create consumer-url-map \
    --default-service=apache-pscneg-bes \
    --global

Tạo các proxy HTTPS mục tiêu.

Từ Cloud Shell

gcloud compute target-https-proxies create psc-https-proxy \
    --url-map=consumer-url-map \
    --ssl-certificates=consumer-service-cert

Tạo quy tắc chuyển tiếp

Từ Cloud Shell

gcloud compute forwarding-rules create external-fr \
  --load-balancing-scheme=EXTERNAL_MANAGED \
  --network-tier=PREMIUM \
  --address=external-psc-ip \
  --global \
  --target-https-proxy=psc-https-proxy \
  --ports=443

14. Tạo vùng DNS công khai

Từ Cloud Shell

gcloud dns managed-zones create "psc-service" \
    --dns-name=$externalip.nip.io. \
    --description="public dns for psc service" \
    --visibility=public

Từ Cloud Shell

gcloud dns record-sets transaction start \
   --zone="psc-service"

gcloud dns record-sets transaction add $externalip \
   --name=$externalip.nip.io \
   --ttl=300 \
   --type=A \
   --zone="psc-service"

gcloud dns record-sets transaction execute \
   --zone="psc-service"

15. Kiểm tra kết nối PSC của người tiêu dùng

Hãy đợi 7 đến 10 phút trước khi kiểm tra để DNS công khai truyền tải.

Từ Cloud Shell

curl https://$externalip.nip.io -k

Bạn cũng có thể kiểm tra từ trình duyệt bằng cách nhập https://<YOUR-EXTERNAL-IP>.nip.io vào trình duyệt hoặc thiết bị đầu cuối trên máy tính.

KẾT QUẢ DỰ KIẾN

PSC Service

16. Các bước dọn dẹp

Xoá các thành phần trong phòng thí nghiệm khỏi một thiết bị đầu cuối Cloud Shell

gcloud dns record-sets delete $externalip.nip.io --zone="psc-service" --type=A -q

gcloud dns managed-zones delete "psc-service" -q

gcloud compute forwarding-rules delete external-fr --global -q 

gcloud compute target-https-proxies delete psc-https-proxy -q

gcloud compute url-maps delete consumer-url-map --global -q

gcloud compute backend-services delete apache-pscneg-bes --global -q

gcloud compute network-endpoint-groups delete apache-psc-neg --region=$region -q

gcloud compute ssl-certificates delete consumer-service-cert --global -q

gcloud compute addresses delete external-psc-ip --global -q

gcloud compute networks subnets delete consumer-subnet --region $region -q

gcloud compute networks delete consumer-vpc -q

gcloud compute instances delete vm-client --zone=us-east4-a -q

gcloud compute service-attachments delete apache-service-attachment --region $region -q

gcloud compute forwarding-rules delete apache-fr --region $region -q

gcloud compute target-https-proxies delete https-proxy --region $region -q

gcloud compute url-maps delete producer-url-map --region $region -q

gcloud compute backend-services delete apache-bes --region $region -q

gcloud compute health-checks delete lb-apache-service-hc --region $region -q

gcloud compute addresses delete apache-service-ip --region $region -q

gcloud compute ssl-certificates delete producer-service-cert --region $region -q

gcloud compute instance-groups managed delete psc-service-mig --region $region -q

gcloud compute health-checks delete service-mig-healthcheck --global -q

gcloud compute instance-templates delete apache-service-template -q

gcloud compute network-firewall-policies rules delete 2001 --firewall-policy producer-vpc-policy --global-firewall-policy -q

gcloud compute network-firewall-policies rules delete 2000 --firewall-policy producer-vpc-policy --global-firewall-policy -q

gcloud compute network-firewall-policies rules delete 1000 --firewall-policy producer-vpc-policy --global-firewall-policy -q

gcloud compute network-firewall-policies associations delete --firewall-policy=producer-vpc-policy  --name=network-producer-vpc --global-firewall-policy -q

gcloud compute network-firewall-policies delete producer-vpc-policy --global -q

gcloud compute routers nats delete central-nat --router=central-cr --region $region -q

gcloud compute routers delete central-cr --region $region -q

gcloud compute networks subnets delete psc-nat-subnet --region $region -q

gcloud compute networks subnets delete service-subnet --region $region -q

gcloud compute networks subnets delete test-client-subnet --region us-east4 -q 

gcloud compute networks subnets delete central-proxy-subnet --region $region -q

gcloud compute networks delete producer-vpc -q

17. Xin chúc mừng!

Chúc mừng bạn đã hoàn thành lớp học lập trình này.

Nội dung đã đề cập

  • Tạo và định cấu hình một Phụ trợ PSC được liên kết với Trình cân bằng tải ứng dụng bên ngoài (toàn cầu)
  • Định cấu hình dịch vụ web do Apache quản lý và cung cấp dịch vụ này dưới dạng dịch vụ PSC thông qua một Tệp đính kèm dịch vụ
  • Tạo chứng chỉ SSL để chấm dứt SSL trên Trình cân bằng tải ứng dụng nội bộ và bên ngoài
  • Định cấu hình một vùng công khai Cloud DNS để truy cập vào dịch vụ PSC