Private Service Connect – Sử dụng phần phụ trợ PSC để truy cập vào Dịch vụ nhà sản xuất

1. Giới thiệu

Private Service Connect cho phép nhà sản xuất dịch vụ hiển thị dịch vụ một cách riêng tư từ mạng VPC này đến mạng VPC khác. Người dùng có thể truy cập vào các dịch vụ của nhà sản xuất thông qua điểm cuối PSC hoặc phần phụ trợ PSC.

Trọng tâm của lớp học lập trình này là phần phụ trợ PSC. Phần phụ trợ PSC được sử dụng cùng với bộ cân bằng tải proxy của Google Cloud (Ứng dụng hoặc Mạng). Việc sử dụng phần phụ trợ PSC cung cấp các chế độ kiểm soát chi tiết hơn cho phía người dùng, chẳng hạn như:

  • Khả năng ghi nhận và quan sát chuyên sâu hơn
  • Tích hợp Cloud Armor
  • URL tùy chỉnh
  • Quản lý lưu lượng truy cập nâng cao
  • Chứng chỉ TLS tuỳ chỉnh

Trong lớp học lập trình này, bạn sẽ tìm hiểu cách tạo một phần phụ trợ Private Service Connect bằng Trình cân bằng tải ứng dụng bên ngoài toàn cầu để truy cập riêng vào một dịch vụ nhà sản xuất trong một mạng khác.

Kiến thức bạn sẽ học được

  • Tạo và định cấu hình phần phụ trợ PSC liên kết với Trình cân bằng tải ứng dụng bên ngoài toàn cầu
  • Định cấu hình dịch vụ web do Apache quản lý và hiển thị dịch vụ đó dưới dạng dịch vụ PSC thông qua Tệp đính kèm dịch vụ
  • Tạo chứng chỉ SSL để chấm dứt SSL trên Trình cân bằng tải ứng dụng nội bộ và bên ngoài
  • Định cấu hình vùng công khai Cloud DNS để truy cập dịch vụ PSC

Bạn cần có

  • Một dự án Google Cloud có quyền của chủ sở hữu

2. Môi trường thử nghiệm

Môi trường mà bạn sẽ tạo sẽ bao gồm VPC Người tiêu dùng và VPC Nhà sản xuất. Trong VPC của nhà sản xuất, bạn sẽ triển khai một nhóm thực thể được quản lý từ mẫu thực thể tạo một dịch vụ web Apache nguồn mở. Bạn cũng sẽ triển khai một máy ảo kiểm thử để đảm bảo chức năng cục bộ phù hợp của dịch vụ. Bạn sẽ hiển thị dịch vụ Apache dưới dạng dịch vụ Nhà sản xuất PSC thông qua Tệp đính kèm dịch vụ.

Trong VPC của người dùng, bạn sẽ triển khai Trình cân bằng tải ứng dụng bên ngoài toàn cầu với dịch vụ phụ trợ PSC trỏ đến dịch vụ Apache. Sau đó, bạn sẽ thiết lập một vùng DNS công khai để truy cập vào dịch vụ PSC trên Internet công khai.

31e7497bf3d9035c.png

3. Cách thiết lập và các yêu cầu

Thiết lập môi trường theo tốc độ của riêng bạn

  1. Đăng nhập vào Google Cloud Console rồi tạo một dự án mới hoặc sử dụng lại một dự án hiện có. Nếu chưa có tài khoản Gmail hoặc Google Workspace, bạn phải tạo một tài khoản.

fbef9caa1602edd0.png

a99b7ace416376c4.png

5e3ff691252acf41.png

  • Tên dự án là tên hiển thị cho người tham gia dự án này. Đây là một chuỗi ký tự không được API của Google sử dụng. Bạn luôn có thể cập nhật thông tin này.
  • Mã dự án là duy nhất trên tất cả các dự án Google Cloud và không thể thay đổi (không thể thay đổi sau khi đặt). Cloud Console sẽ tự động tạo một chuỗi duy nhất; thường thì bạn không cần quan tâm đến chuỗi này. Trong hầu hết các lớp học lập trình, bạn sẽ cần tham chiếu đến Mã dự án (thường được xác định là PROJECT_ID). Nếu không thích mã được tạo, bạn có thể tạo một mã ngẫu nhiên khác. Ngoài ra, bạn có thể thử dùng email của riêng mình để xem có thể sử dụng hay không. Bạn không thể thay đổi tên này sau bước này và tên này sẽ được giữ nguyên trong suốt thời gian diễn ra dự án.
  • Xin lưu ý rằng có một giá trị thứ ba là Mã dự án mà một số API sử dụng. Tìm hiểu thêm về cả ba giá trị này trong tài liệu.
  1. Tiếp theo, bạn cần bật tính năng thanh toán trong Cloud Console để sử dụng các tài nguyên/API trên Cloud. Việc tham gia lớp học lập trình này sẽ không tốn kém nhiều chi phí, nếu có. Để tắt các tài nguyên nhằm tránh bị tính phí sau khi hoàn tất hướng dẫn này, bạn có thể xoá các tài nguyên đã tạo hoặc xoá dự án. Người dùng mới của Google Cloud đủ điều kiện tham gia chương trình Dùng thử miễn phí 300 USD.

Khởi động Cloud Shell

Mặc dù có thể điều khiển Google Cloud từ xa trên máy tính xách tay, nhưng trong lớp học lập trình này, bạn sẽ sử dụng Google Cloud Shell, một môi trường dòng lệnh chạy trên đám mây.

Trong Bảng điều khiển Google Cloud, hãy nhấp vào biểu tượng Cloud Shell trên thanh công cụ trên cùng bên phải:

55efc1aaa7a4d3ad.png

Quá trình cấp phép và kết nối với môi trường sẽ chỉ mất vài phút. Khi hoàn tất, bạn sẽ thấy như sau:

7ffe5cbb04455448.png

Máy ảo này được tải sẵn tất cả các công cụ phát triển mà bạn cần. Ứng dụng này cung cấp một thư mục gốc 5 GB ổn định và chạy trên Google Cloud, giúp nâng cao đáng kể hiệu suất mạng và xác thực. Bạn có thể thực hiện tất cả công việc trong lớp học lập trình này trong một trình duyệt. Bạn không cần cài đặt gì cả.

4. Trước khi bắt đầu

Bật API

Trong Cloud Shell, hãy đảm bảo bạn đã thiết lập mã dự án

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
export project=YOUR-PROJECT-NAME
export region=us-central1
echo $project
echo $region

Bật tất cả các dịch vụ cần thiết

gcloud services enable compute.googleapis.com
gcloud services enable servicedirectory.googleapis.com
gcloud services enable dns.googleapis.com

5. Thiết lập VPC cho nhà sản xuất

Tạo mạng VPC

Trong Cloud Shell

gcloud compute networks create producer-vpc --subnet-mode custom

Tạo mạng con

Hai mạng con dùng cho nhiều mục đích sẽ được triển khai trong producer-vpc. Mạng con dịch vụ sẽ được dùng để triển khai các máy ảo dịch vụ web Apache cũng như quy tắc chuyển tiếp của bộ cân bằng tải. test-client-subnet sẽ ở một khu vực khác và được dùng để triển khai một máy ảo nhằm kiểm thử dịch vụ Apache với tính năng Truy cập toàn cầu được bật.

Trong Cloud Shell

gcloud compute networks subnets create service-subnet \
    --network=producer-vpc \
    --range=10.0.0.0/28 \
    --region=$region

Trong Cloud Shell

gcloud compute networks subnets create test-client-subnet \
    --network=producer-vpc \
    --range=10.0.1.0/28 \
    --region=us-east4

Chúng ta cũng phải triển khai một mạng con chỉ dành cho proxy để sử dụng với Trình cân bằng tải ứng dụng nội bộ theo khu vực.

Trong Cloud Shell

gcloud compute networks subnets create central-proxy-subnet \
    --network=producer-vpc \
    --range=10.100.101.0/24 \
    --region=$region \
    --purpose=REGIONAL_MANAGED_PROXY \
    --role=ACTIVE

Khi một dịch vụ PSC được triển khai, mỗi dịch vụ riêng biệt cần có một mạng con NAT PSC tương ứng để liên kết với Tệp đính kèm dịch vụ. Bạn nên định cỡ cho mạng con này cho phù hợp tuỳ thuộc vào số lượng điểm cuối dự kiến được kết nối.

Trong Cloud Shell

gcloud compute networks subnets create psc-nat-subnet \
    --network=producer-vpc \
    --region=$region \
    --range=10.100.100.0/24 \
    --purpose=PRIVATE_SERVICE_CONNECT

Tạo Cloud NAT

Bạn cần có Cloud NAT để cài đặt các gói phù hợp cho các dịch vụ nhà sản xuất của chúng tôi.

Trong Cloud Shell

gcloud compute routers create central-cr \
    --network=producer-vpc \
    --region=$region

Trong Cloud Shell

gcloud compute routers nats create central-nat \
    --router=central-cr \
    --region=$region \
    --nat-all-subnet-ip-ranges \
    --auto-allocate-nat-external-ips

Tạo Chính sách và quy tắc cho tường lửa mạng

Trong Cloud Shell

gcloud compute network-firewall-policies create producer-vpc-policy --global

gcloud compute network-firewall-policies associations create \
    --firewall-policy producer-vpc-policy \
    --network producer-vpc \
    --name network-producer-vpc \
    --global-firewall-policy

Để cho phép IAP kết nối với các phiên bản máy ảo, hãy tạo một quy tắc tường lửa:

  • Áp dụng cho tất cả các phiên bản máy ảo mà bạn muốn truy cập bằng IAP.
  • Cho phép lưu lượng truy cập vào từ dải IP 35.235.240.0/20. Phạm vi này chứa tất cả địa chỉ IP mà IAP sử dụng để chuyển tiếp TCP.

Trong Cloud Shell

gcloud compute network-firewall-policies rules create 1000 \
    --action ALLOW \
    --firewall-policy producer-vpc-policy \
    --description "SSH with IAP" \
    --direction INGRESS \
    --src-ip-ranges 35.235.240.0/20 \
    --layer4-configs tcp:22  \
    --global-firewall-policy

Bạn sẽ cần thêm hai quy tắc tường lửa để cho phép lưu lượng truy cập vào phần phụ trợ của trình cân bằng tải lấy nguồn từ mạng con chỉ có proxy của trình cân bằng tải (2000), cũng như một quy tắc cho phép kiểm tra tình trạng của trình cân bằng tải trên các thực thể phụ trợ (2001).

Trong Cloud Shell

gcloud compute network-firewall-policies rules create 2000 \
    --action ALLOW \
    --firewall-policy producer-vpc-policy \
    --description "allow traffic from load balancer proxy subnet" \
    --direction INGRESS \
    --src-ip-ranges 10.100.101.0/24 \
    --layer4-configs tcp:443 \
    --global-firewall-policy


gcloud compute network-firewall-policies rules create 2001 \
    --action ALLOW \
    --firewall-policy producer-vpc-policy \
    --description "allow load balancer health checks" \
    --direction INGRESS \
    --src-ip-ranges 130.211.0.0/22,35.191.0.0/16 \
    --layer4-configs tcp:443 \
    --global-firewall-policy

6. Tạo Dịch vụ web Apache

Chúng ta sẽ tạo một Dịch vụ web Apache đơn giản hiển thị "Dịch vụ PSC".

Tạo mẫu thực thể

Trong Cloud Shell

gcloud compute instance-templates create apache-service-template \
    --network producer-vpc \
    --subnet service-subnet \
    --region $region \
    --no-address \
    --metadata startup-script='#! /bin/bash
    sudo apt-get update
    apt-get install apache2 -y
    a2enmod ssl
    sudo a2ensite default-ssl
    echo "PSC Service" | \
    tee /var/www/html/index.html
    systemctl restart apache2'

Tạo quy trình Kiểm tra tình trạng cho MIG

Trong Cloud Shell

gcloud compute health-checks create https service-mig-healthcheck \
    --port=443 \
    --global

Tạo nhóm thực thể được quản lý

Trong Cloud Shell

gcloud compute instance-groups managed create psc-service-mig \
    --region $region \
    --size=2 \
    --template=apache-service-template \
    --health-check=service-mig-healthcheck

gcloud compute instance-groups managed set-named-ports psc-service-mig \
    --named-ports=https:443 \
    --region=$region

7. Tạo chứng chỉ tự ký

Hoàn tất Bước 1 của hướng dẫn tại đây để tạo chứng chỉ tự ký. Bạn có thể chạy tất cả các lệnh trong Cloud Shell. Hãy quay lại vị trí này khi hoàn tất Bước 1. BẠN PHẢI THIẾT LẬP TÊN PHỔ BIẾN VỚI EXAMPLE.COM.

Tạo tài nguyên chứng chỉ để liên kết với trình cân bằng tải. Thay thế các tham số chứng chỉ và khoá riêng tư bằng tên tệp cụ thể của bạn.

Trong Cloud Shell

gcloud compute ssl-certificates create producer-service-cert \
    --certificate=<your-producer-certfile.cert> \
    --private-key=<your-producer-keyfile.pem> \
    --region=$region

8. Tạo Trình cân bằng tải ứng dụng nội bộ theo vùng

Tiếp theo, chúng ta sẽ tạo các thành phần trình cân bằng tải cho dịch vụ. Chúng tôi đang sử dụng Trình cân bằng tải ứng dụng nội bộ theo khu vực, nhưng bạn có thể sử dụng bất kỳ trình cân bằng tải nội bộ nào của Google Cloud. Làm theo tài liệu về bộ cân bằng tải phù hợp để xử lý TLS.

Tạo địa chỉ IP nội bộ sẽ được dùng cho quy tắc chuyển tiếp của bộ cân bằng tải và ghi lại địa chỉ IP sẽ được dùng sau này khi bạn thực hiện lệnh gọi kiểm thử đến dịch vụ.

Trong Cloud Shell

gcloud compute addresses create apache-service-ip \
 --region=$region \
 --subnet=service-subnet

gcloud compute addresses describe apache-service-ip \
   --format="get(address)" \
   --region=$region

Tạo tính năng kiểm tra tình trạng của trình cân bằng tải.

Trong Cloud Shell

gcloud compute health-checks create https lb-apache-service-hc \
    --region=$region \
    --port-name=https

Tạo dịch vụ phụ trợ.

Trong Cloud Shell

gcloud compute backend-services create apache-bes\
  --load-balancing-scheme=INTERNAL_MANAGED \
  --protocol=HTTPS \
  --port-name=https \
  --health-checks=lb-apache-service-hc \
  --health-checks-region=$region \
  --region=$region


gcloud compute backend-services add-backend apache-bes \
  --balancing-mode=UTILIZATION \
  --instance-group=psc-service-mig \
  --region=$region

Tạo Bản đồ URL.

Trong Cloud Shell

gcloud compute url-maps create producer-url-map \
  --default-service=apache-bes \
  --region=$region

Tạo proxy HTTPS mục tiêu.

Trong Cloud Shell

gcloud compute target-https-proxies create https-proxy \
  --url-map=producer-url-map \
  --region=$region \
  --ssl-certificates=producer-service-cert

Tạo Quy tắc chuyển tiếp.

Trong Cloud Shell

gcloud compute forwarding-rules create apache-fr \
  --load-balancing-scheme=INTERNAL_MANAGED \
  --network=producer-vpc \
  --subnet=service-subnet \
  --address=apache-service-ip \
  --ports=443 \
  --region=$region \
  --target-https-proxy=https-proxy \
  --target-https-proxy-region=$region \
  --allow-global-access

9. Tạo máy ảo kiểm thử và kiểm thử dịch vụ cục bộ

Trước khi tạo Tệp đính kèm dịch vụ, chúng ta sẽ tạo một máy ảo ứng dụng kiểm thử ở một khu vực khác để kiểm tra xem trình cân bằng tải có được định cấu hình chính xác bằng Quyền truy cập toàn cầu và TLS hay không.

Trong Cloud Shell

gcloud compute instances create vm-client \
    --zone=us-east4-a \
    --subnet=test-client-subnet \
    --no-address

Đợi khoảng một phút để quá trình cấp phép hoàn tất, sau đó SSH vào thực thể.

Trong Cloud Shell

gcloud compute ssh \
    --zone "us-east4-a" "vm-client" \
    --tunnel-through-iap \
    --project $project

Kiểm thử Dịch vụ Apache bằng cách kết nối qua 443 thông qua trình cân bằng tải. Địa chỉ IP nội bộ là địa chỉ bạn đã đặt trước và ghi lại trước đó.

curl https://example.com:443 -k --connect-to example.com:443:<YOUR-INTERNAL-IP>:443

KẾT QUẢ DỰ KIẾN

PSC Service

Thoát khỏi máy ảo.

Từ vm-client

exit

10. Tạo tệp đính kèm dịch vụ

Trong ví dụ này, chúng ta sẽ định cấu hình Tệp đính kèm dịch vụ để chỉ cho phép các kết nối PSC từ dự án này. Bạn có thể định cấu hình chế độ này để chấp nhận một hoặc nhiều dự án hoặc mạng cụ thể, nhưng không được chấp nhận cả hai. Chúng tôi đã đặt giới hạn kết nối tối đa là 5 kết nối. Bạn phải đặt giới hạn cho mỗi dự án hoặc mạng.

Trong Cloud Shell

gcloud compute service-attachments create apache-service-attachment \
    --region=$region \
    --producer-forwarding-rule=apache-fr \
    --connection-preference=ACCEPT_MANUAL \
    --consumer-accept-list=$project=5 \
    --nat-subnets=psc-nat-subnet

Bạn nên ghi lại URI tệp đính kèm dịch vụ (selfLink) vì bạn sẽ cần URI này trong bước tiếp theo để định cấu hình phần phụ trợ PSC. Bạn có thể lấy mã này bằng cách thực thi mã sau trong Cloud Shell.

Trong Cloud Shell

gcloud compute service-attachments describe apache-service-attachment \
    --region $region

Sao chép URI bắt đầu từ projects (dự án)

Ví dụ: projects/$project/regions/$region/serviceAttachments/apache-service-attachment

11. Thiết lập VPC cho người tiêu dùng

Tạo mạng VPC

Trong Cloud Shell

gcloud compute networks create consumer-vpc --subnet-mode custom

Tạo mạng con

Cần có một mạng con ở phía người dùng để triển khai Nhóm điểm cuối mạng (NEG) của Private Service Connect.

Trong Cloud Shell

gcloud compute networks subnets create consumer-subnet \
    --network=consumer-vpc \
    --region=$region \
    --range=10.0.0.0/28

12. Đặt trước IP bên ngoài và tạo chứng chỉ tự ký phía người dùng

IP bên ngoài

Tạo địa chỉ IP tĩnh bên ngoài sẽ được dùng sau này cho quy tắc chuyển tiếp của bộ cân bằng tải và ghi lại địa chỉ IP đó trong một biến Cloud Shell.

Trong Cloud Shell

gcloud compute addresses create external-psc-ip \
    --network-tier=PREMIUM \
    --ip-version=IPV4 \
    --global

export externalip=$(gcloud compute addresses describe external-psc-ip \
    --format="get(address)" \
    --global)

echo $externalip

Chứng chỉ tự ký của người tiêu dùng

Lần thứ hai, hãy hoàn tất Bước 1 của hướng dẫn tại đây để tạo chứng chỉ tự ký. Bạn có thể chạy tất cả các lệnh trong Cloud Shell. Hãy quay lại vị trí này khi hoàn tất Bước 1. Chúng tôi sẽ sử dụng một dịch vụ DNS đại diện công khai nguồn mở có tên là nip.io thay vì sở hữu vùng DNS công khai của riêng mình. URL công khai của dịch vụ PSC sẽ sử dụng địa chỉ IP bên ngoài mà bạn vừa định cấu hình. BẠN PHẢI ĐỊNH CẤU HÌNH TÊN THƯỜNG XUYÊN BẰNG <YOUR-EXTERNAL-IP.nip.io>

Tạo tài nguyên chứng chỉ để liên kết với trình cân bằng tải bên ngoài. Thay thế các tham số chứng chỉ và khoá riêng tư bằng tên tệp cụ thể của bạn.

Trong Cloud Shell

gcloud compute ssl-certificates create consumer-service-cert \
    --certificate=<your-consumer-certfile.cert> \
    --private-key=<your-consumer-keyfile.pem> \
    --global

13. Tạo thành phần Trình cân bằng tải

Chúng ta sẽ tạo một Trình cân bằng tải ứng dụng bên ngoài toàn cầu với một NEG PSC trỏ đến Tệp đính kèm dịch vụ mới tạo làm Dịch vụ phụ trợ.

Hãy ghi lại URI tệp đính kèm dịch vụ mà chúng ta đã ghi chú ở bước cuối cùng. Thay thế psc-target-service bên dưới bằng URI của bạn.

Trong Cloud Shell

gcloud compute network-endpoint-groups create apache-psc-neg \
--network-endpoint-type=private-service-connect \
--psc-target-service=projects/$project/regions/$region/serviceAttachments/apache-service-attachment \
--region=$region \
--network=consumer-vpc \
--subnet=consumer-subnet

Tạo Dịch vụ phụ trợ.

Trong Cloud Shell

gcloud compute backend-services create apache-pscneg-bes \
    --load-balancing-scheme=EXTERNAL_MANAGED \
    --protocol=HTTPS \
    --global

gcloud compute backend-services add-backend apache-pscneg-bes \
    --network-endpoint-group=apache-psc-neg \
    --network-endpoint-group-region=$region \
    --global

Tạo sơ đồ URL

Trong Cloud Shell

gcloud compute url-maps create consumer-url-map \
    --default-service=apache-pscneg-bes \
    --global

Tạo proxy HTTPS mục tiêu.

Trong Cloud Shell

gcloud compute target-https-proxies create psc-https-proxy \
    --url-map=consumer-url-map \
    --ssl-certificates=consumer-service-cert

Tạo quy tắc chuyển tiếp

Trong Cloud Shell

gcloud compute forwarding-rules create external-fr \
  --load-balancing-scheme=EXTERNAL_MANAGED \
  --network-tier=PREMIUM \
  --address=external-psc-ip \
  --global \
  --target-https-proxy=psc-https-proxy \
  --ports=443

14. Tạo vùng DNS công khai

Trong Cloud Shell

gcloud dns managed-zones create "psc-service" \
    --dns-name=$externalip.nip.io. \
    --description="public dns for psc service" \
    --visibility=public

Trong Cloud Shell

gcloud dns record-sets transaction start \
   --zone="psc-service"

gcloud dns record-sets transaction add $externalip \
   --name=$externalip.nip.io \
   --ttl=300 \
   --type=A \
   --zone="psc-service"

gcloud dns record-sets transaction execute \
   --zone="psc-service"

15. Kiểm thử kết nối PSC của người tiêu dùng

Chờ 7 đến 10 phút trước khi kiểm thử để DNS công khai được truyền tải.

Trong Cloud Shell

curl https://$externalip.nip.io -k

Bạn cũng có thể kiểm thử từ trình duyệt bằng cách nhập https://<YOUR-EXTERNAL-IP>.nip.io vào trình duyệt hoặc thiết bị đầu cuối trên máy tính.

KẾT QUẢ DỰ KIẾN

PSC Service

16. Các bước dọn dẹp

Xoá các thành phần của lớp học từ một thiết bị đầu cuối Cloud Shell

gcloud dns record-sets delete $externalip.nip.io --zone="psc-service" --type=A -q

gcloud dns managed-zones delete "psc-service" -q

gcloud compute forwarding-rules delete external-fr --global -q 

gcloud compute target-https-proxies delete psc-https-proxy -q

gcloud compute url-maps delete consumer-url-map --global -q

gcloud compute backend-services delete apache-pscneg-bes --global -q

gcloud compute network-endpoint-groups delete apache-psc-neg --region=$region -q

gcloud compute ssl-certificates delete consumer-service-cert --global -q

gcloud compute addresses delete external-psc-ip --global -q

gcloud compute networks subnets delete consumer-subnet --region $region -q

gcloud compute networks delete consumer-vpc -q

gcloud compute instances delete vm-client --zone=us-east4-a -q

gcloud compute service-attachments delete apache-service-attachment --region $region -q

gcloud compute forwarding-rules delete apache-fr --region $region -q

gcloud compute target-https-proxies delete https-proxy --region $region -q

gcloud compute url-maps delete producer-url-map --region $region -q

gcloud compute backend-services delete apache-bes --region $region -q

gcloud compute health-checks delete lb-apache-service-hc --region $region -q

gcloud compute addresses delete apache-service-ip --region $region -q

gcloud compute ssl-certificates delete producer-service-cert --region $region -q

gcloud compute instance-groups managed delete psc-service-mig --region $region -q

gcloud compute health-checks delete service-mig-healthcheck --global -q

gcloud compute instance-templates delete apache-service-template -q

gcloud compute network-firewall-policies rules delete 2001 --firewall-policy producer-vpc-policy --global-firewall-policy -q

gcloud compute network-firewall-policies rules delete 2000 --firewall-policy producer-vpc-policy --global-firewall-policy -q

gcloud compute network-firewall-policies rules delete 1000 --firewall-policy producer-vpc-policy --global-firewall-policy -q

gcloud compute network-firewall-policies associations delete --firewall-policy=producer-vpc-policy  --name=network-producer-vpc --global-firewall-policy -q

gcloud compute network-firewall-policies delete producer-vpc-policy --global -q

gcloud compute routers nats delete central-nat --router=central-cr --region $region -q

gcloud compute routers delete central-cr --region $region -q

gcloud compute networks subnets delete psc-nat-subnet --region $region -q

gcloud compute networks subnets delete service-subnet --region $region -q

gcloud compute networks subnets delete test-client-subnet --region us-east4 -q 

gcloud compute networks subnets delete central-proxy-subnet --region $region -q

gcloud compute networks delete producer-vpc -q

17. Xin chúc mừng!

Chúc mừng bạn đã hoàn thành lớp học lập trình này.

Nội dung đã đề cập

  • Tạo và định cấu hình phần phụ trợ PSC liên kết với Trình cân bằng tải ứng dụng bên ngoài toàn cầu
  • Định cấu hình dịch vụ web do Apache quản lý và hiển thị dịch vụ đó dưới dạng dịch vụ PSC thông qua Tệp đính kèm dịch vụ
  • Tạo chứng chỉ SSL để chấm dứt SSL trên Trình cân bằng tải ứng dụng nội bộ và bên ngoài
  • Định cấu hình vùng công khai Cloud DNS để truy cập dịch vụ PSC