1. 简介
借助 Private Service Connect,您可以使用 VPC 网络内的全局内部 IP 地址创建专用端点,以访问 Google API。在此概念的基础上,您现在可以使用内部 HTTP(S) 负载平衡器创建具有使用方 HTTP(S) 服务控件的 Private Service Connect 端点。这为您提供了以下功能:
- 您可以使用网址映射来选择可用哪些服务;按路径过滤可让您进行更精细的检查。
- 您可以重命名服务,并将其映射到您选择的网址。
- 您可以使用客户管理的 TLS 证书。
- 您可以通过从同一区域的工作负载连接到 Google API 的区域端点来启用传输中的数据驻留。
这些名称和 IP 地址是您的 VPC 网络以及使用 Cloud VPN 隧道或 Cloud Interconnect 连接 (VLAN) 连接到该网络的任何本地网络的内部。
学习内容
- 使用使用方 HTTP(S) Service Controls 创建 Private Service Connect 端点
- 创建 Cloud Key Management Service (KMS) 密钥环和密钥。
- 创建 Cloud DNS 代管式专用区域和 A 记录。
- 访问针对公共 API 解析的 KMS API(区域和全球)。
- 针对 PSC 端点访问 KMS API(区域和全球)。
所需条件
- 具备部署实例和配置网络组件方面的知识
2. 测试环境
将在 us-central1 区域中创建一个用于托管虚拟机的子网、HTTP(S) 内部负载平衡器转发规则,以及一个用于 HTTP(S) 内部负载平衡器的代理专用子网。我们首先在密钥管理系统 (KMS) 中创建密钥环和密钥,并解析到公共 API 端点。然后,我们将创建 PSC 端点,以解析为 us-central1 中的区域 KMS 端点。
3. 设置和要求
自定进度的环境设置
- 登录 Google Cloud 控制台,然后创建一个新项目或重复使用现有项目。如果您还没有 Gmail 或 Google Workspace 账号,则必须创建一个。
- 项目名称是此项目参与者的显示名称。它是 Google API 尚未使用的字符串,您可以随时对其进行更新。
- 项目 ID 在所有 Google Cloud 项目中必须是唯一的,并且不可变(一经设置便无法更改)。Cloud Console 会自动生成一个唯一字符串;通常情况下,您无需关注该字符串。在大多数 Codelab 中,您都需要引用项目 ID(它通常标识为
PROJECT_ID),因此如果您不喜欢某个 ID,请再生成一个随机 ID,还可以尝试自己创建一个,并确认是否可用。然后,项目创建后,ID 会处于“冻结”状态。 - 第三个值是一些 API 使用的项目编号。如需详细了解所有这三个值,请参阅文档。
- 接下来,您需要在 Cloud Console 中启用结算功能,才能使用 Cloud 资源/API。运行此 Codelab 应该不会产生太多的费用(如果有费用的话)。要关闭资源以避免产生超出本教程范围的费用,请按照此 Codelab 末尾提供的任何“清理”说明操作。Google Cloud 的新用户符合参与 $300 USD 免费试用计划的条件。
启动 Cloud Shell
虽然可以通过笔记本电脑对 Google Cloud 进行远程操作,但在此 Codelab 中,您将使用 Google Cloud Shell,这是一个在云端运行的命令行环境。
在 Google Cloud 控制台 中,点击右上角工具栏中的 Cloud Shell 图标:
预配和连接到环境应该只需要片刻时间。完成后,您应该会看到如下内容:
这个虚拟机已加载了您需要的所有开发工具。它提供了一个持久的 5GB 主目录,并且在 Google Cloud 中运行,大大增强了网络性能和身份验证功能。只需一个浏览器,即可完成本实验中的所有工作。
4. 准备工作
启用 API
在 Cloud Shell 中,确保已设置项目 ID
gcloud config list project gcloud config set project [YOUR-PROJECT-NAME] export project=YOUR-PROJECT-NAME export region=us-central1 export zone=us-central1-a echo $project echo $region echo $zone
启用所有必要的服务
gcloud services enable compute.googleapis.com gcloud services enable servicedirectory.googleapis.com gcloud services enable dns.googleapis.com gcloud services enable cloudkms.googleapis.com
5. 创建 VPC 网络、子网和防火墙规则
VPC 网络
通过 Cloud Shell
gcloud compute networks create consumer-vpc --subnet-mode custom
创建子网
通过 Cloud Shell
gcloud compute networks subnets create consumer-subnet-1 \ --network consumer-vpc \ --range 10.0.0.0/24 \ --region $region \ --enable-private-ip-google-access
在本实验中,您将创建一个指向区域级 API 后端的内部 L7 区域级负载平衡器。Google 内部 L7 负载平衡器是代理负载平衡器,因此您需要创建一个专用于该负载平衡器的代理子网以执行代理。如需详细了解代理专用子网,请点击此处。
通过 Cloud Shell
gcloud compute networks subnets create proxy-subnet1 \ --purpose=INTERNAL_HTTPS_LOAD_BALANCER \ --role=ACTIVE \ --network consumer-vpc \ --range 10.100.100.0/24 \ --region $region
创建防火墙规则
在本实验中,您将使用 IAP 连接到您创建的实例。以下防火墙规则将使您能够通过 IAP 连接到实例。如果您不想使用 IAP,则可以跳过此步骤,改为在实例中添加公共 IP 地址,并创建一条允许 TCP 端口 22 上来自 0.0.0.0/0 的入站流量的防火墙规则。
要允许 IAP 连接到您的虚拟机实例,请创建以下防火墙规则:
- 适用于您希望可以使用 IAP 访问的所有虚拟机实例。
- 允许来自 IP 范围 35.235.240.0/20 的入站流量。此范围包含 IAP 用于 TCP 转发的所有 IP 地址。
通过 Cloud Shell
gcloud compute firewall-rules create allow-ssh-iap \
--network consumer-vpc \
--allow tcp:22 \
--source-ranges=35.235.240.0/20
创建 Cloud NAT 实例
必须创建 Cloud NAT 才能下载 Linux 软件包发行版。
创建 Cloud Router
通过 Cloud Shell
gcloud compute routers create crnat \
--network consumer-vpc \
--region $region
创建 Cloud NAT
通过 Cloud Shell
gcloud compute routers nats create central-nat \
--router=crnat \
--auto-allocate-nat-external-ips \
--nat-all-subnet-ip-ranges \
--enable-logging \
--region $region
6. 创建密钥管理密钥环和密钥
通过 Cloud Shell
gcloud kms keyrings create central-keyring \
--location $region
gcloud kms keyrings create global-keyring \
--location global
通过 Cloud Shell
gcloud kms keys create central-key \
--location $region \
--keyring central-keyring \
--purpose encryption
gcloud kms keys create global-key \
--location global \
--keyring global-keyring \
--purpose encryption
在 Cloud Shell 中,确认密钥环和密钥已成功在 us-central1 区域中创建。
gcloud kms keys list \
--location $region \
--keyring central-keyring
预期结果
NAME: projects/<PROJECT_ID>/locations/us-central1/keyRings/central-keyring/cryptoKeys/central-key PURPOSE: ENCRYPT_DECRYPT ALGORITHM: GOOGLE_SYMMETRIC_ENCRYPTION PROTECTION_LEVEL: SOFTWARE LABELS: PRIMARY_ID: 1 PRIMARY_STATE: ENABLED
通过 Cloud Shell
gcloud kms keys list \
--location global \
--keyring global-keyring
预期结果
NAME: projects/<PROJECT_ID>/locations/global/keyRings/global-keyring/cryptoKeys/global-key PURPOSE: ENCRYPT_DECRYPT ALGORITHM: GOOGLE_SYMMETRIC_ENCRYPTION PROTECTION_LEVEL: SOFTWARE LABELS: PRIMARY_ID: 1 PRIMARY_STATE: ENABLED
请记下为键提供的完整路径名称,因为稍后您将使用此路径进行连接。
7. 创建客户端虚拟机并连接到 KMS 区域端点
接下来,您将创建一个客户端虚拟机,通过 SSH 连接到该虚拟机,并测试 us-central1 区域 KMS API 端点的解析。
通过 Cloud Shell
gcloud compute instances create client-vm \
--network=consumer-vpc \
--subnet=consumer-subnet-1 \
--zone=$zone \
--no-address \
--scopes=https://www.googleapis.com/auth/cloud-platform \
--image-family=debian-10 \
--image-project=debian-cloud \
--metadata startup-script='#! /bin/bash
sudo apt-get update
sudo apt-get install dnsutils -y
sudo apt-get install tcpdump -y'
接下来,您需要更新默认计算服务账号,以获取对您创建的 KMS 密钥的访问权限。默认计算服务账号将采用 <项目编号> 格式-compute@developer.gserviceaccount.com.如需获取项目编号,请从 Cloud Shell 运行以下命令,并复制返回结果最后一行的编号。
gcloud projects describe $project
更新默认计算服务账号以获取对您创建的 KMS 密钥的访问权限。
通过 Cloud Shell
gcloud kms keys add-iam-policy-binding central-key \
--location $region \
--keyring central-keyring \
--member serviceAccount:<PROJECT_NUMBER>-compute@developer.gserviceaccount.com \
--role roles/cloudkms.admin
gcloud kms keys add-iam-policy-binding global-key \
--location global \
--keyring global-keyring \
--member serviceAccount:<PROJECT_NUMBER>-compute@developer.gserviceaccount.com \
--role roles/cloudkms.admin
点击 +(下面的屏幕截图)再创建一个 Cloud Shell 终端
在标签页 2 中,通过 IAP 建立隧道以通过 SSH 连接到 client-vm。请注意,环境变量不会带有,并且您需要将 project-id 添加到下面的命令中。
通过 Cloud Shell
gcloud beta compute ssh --zone us-central1-a "client-vm" \ --tunnel-through-iap \ --project <PROJECT_ID>
使用您之前记下的 KMS 密钥名称连接到 KMS Regional API 端点。
从标签页 2 开始,client-vm
curl -s -H "Authorization: Bearer $(gcloud auth print-access-token)" \ --resolve cloudkms.googleapis.com:443:us-central1-cloudkms.googleapis.com \ https://cloudkms.googleapis.com/v1/projects/<YOUR_PROJECT_ID>/locations/us-central1/keyRings/central-keyring/cryptoKeys/central-key
预期结果
{
"name": "projects/<PROJECT_ID>/locations/us-central1/keyRings/central-keyring/cryptoKeys/central-key",
"primary": {
"name": "projects/<PROJECT_ID>/locations/us-central1/keyRings/central-keyring/cryptoKeys/central-key/cryptoKeyVersions/1",
"state": "ENABLED",
"createTime": "2021-11-12T17:41:21.543348620Z",
"protectionLevel": "SOFTWARE",
"algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION",
"generateTime": "2021-11-12T17:41:21.543348620Z"
},
"purpose": "ENCRYPT_DECRYPT",
"createTime": "2021-11-12T17:41:21.543348620Z",
"versionTemplate": {
"protectionLevel": "SOFTWARE",
"algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION"
},
"destroyScheduledDuration": "86400s"
}
从标签页 2 开始,client-vm
curl -s -H "Authorization: Bearer $(gcloud auth print-access-token)" \ --resolve cloudkms.googleapis.com:443:cloudkms.googleapis.com \ https://cloudkms.googleapis.com/v1/projects/<YOUR_PROJECT_ID>/locations/global/keyRings/global-keyring/cryptoKeys/global-key
预期结果
{
"name": "projects/<PROJECT_ID>/locations/global/keyRings/global-keyring/cryptoKeys/global-key",
"primary": {
"name": "projects/<PROJECT_ID>/locations/global/keyRings/global-keyring/cryptoKeys/global-key/cryptoKeyVersions/1",
"state": "ENABLED",
"createTime": "2021-11-22T19:19:43.271238847Z",
"protectionLevel": "SOFTWARE",
"algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION",
"generateTime": "2021-11-22T19:19:43.271238847Z"
}, "purpose": "ENCRYPT_DECRYPT",
"createTime": "2021-11-22T19:19:43.271238847Z",
"versionTemplate": {
"protectionLevel": "SOFTWARE",
"algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION"
},
"destroyScheduledDuration": "86400s"}
查看与全球端点相比,DNS 在何处解析 us-central KMS 端点。
从 tab2、client-vm
dig us-central1-cloudkms.googleapis.com
预期结果
; <<>> DiG 9.11.5-P4-5.1+deb10u6-Debian <<>> us-central1-cloudkms.googleapis.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4383 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;us-central1-cloudkms.googleapis.com. IN A ;; ANSWER SECTION: us-central1-cloudkms.googleapis.com. 300 IN A 142.250.125.95 ;; Query time: 4 msec ;; SERVER: 169.254.169.254#53(169.254.169.254) ;; WHEN: Fri Nov 12 20:40:05 UTC 2021 ;; MSG SIZE rcvd: 80
从标签页 2 开始,client-vm
dig cloudkms.googleapis.com
预期结果
; <<>> DiG 9.11.5-P4-5.1+deb10u6-Debian <<>> cloudkms.googleapis.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49528 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;cloudkms.googleapis.com. IN A ;; ANSWER SECTION: cloudkms.googleapis.com. 300 IN A 209.85.200.95 ;; Query time: 8 msec ;; SERVER: 169.254.169.254#53(169.254.169.254) ;; WHEN: Mon Nov 22 15:26:17 UTC 2021 ;; MSG SIZE rcvd: 68
从 dig 的结果中,我们可以看到 us-central1 区域 KMS 端点和全球 KMS 端点的 DNS 解析解析为外部 IP 地址。(注意:您看到的 IP 地址可能是其他外部 IP 地址。这是正常的 Google API 行为。)
在下一部分,切换回 Cloud Shell 中的第一个标签页。
8. 创建 Private Service Connect 端点
您将创建一个内部 HTTP(S) 负载平衡器,其中包含一个将 us-central1 区域 KMS 端点作为后端服务的网络端点组。负载平衡器的转发规则充当 Private Service Connect 端点。
使用 Privet Service Connect 类型创建网络端点组 (NEG),并以服务 us-central1-cloudkms.googleapis.com 为目标。
通过 Cloud Shell
gcloud beta compute network-endpoint-groups create l7psc-kms-neg \ --network-endpoint-type=private-service-connect \ --psc-target-service=us-central1-cloudkms.googleapis.com \ --region=$region
为负载平衡器创建后端服务。
通过 Cloud Shell
gcloud compute backend-services create l7-psc-kms \ --load-balancing-scheme=INTERNAL_MANAGED \ --protocol=HTTP \ --region=$region
将 NEG 添加到后端服务。
通过 Cloud Shell
gcloud beta compute backend-services add-backend l7-psc-kms \ --network-endpoint-group=l7psc-kms-neg \ --region=$region
为负载平衡器创建网址映射。
通过 Cloud Shell
gcloud compute url-maps create l7-psc-url-map \ --default-service=l7-psc-kms \ --region=$region
为端点将使用的自定义网址创建路径匹配器。
通过 Cloud Shell
gcloud compute url-maps add-path-matcher l7-psc-url-map \ --path-matcher-name=example \ --default-service=l7-psc-kms \ --region=$region
为自定义网址 us-central1-cloudkms.example.com 创建主机规则。
通过 Cloud Shell
gcloud compute url-maps add-host-rule l7-psc-url-map \ --hosts=us-central1-cloudkms.example.com \ --path-matcher-name=example \ --region=$region
为负载平衡器创建目标代理。对于生产使用场景,建议为您在上一个命令中配置的主机使用 HTTP(S) 和自定义证书。
通过 Cloud Shell
gcloud compute target-http-proxies create psc-http-proxy \
--url-map=l7-psc-url-map \
--region=$region
为将充当 Private Service Connect 端点的负载平衡器创建转发规则。
通过 Cloud Shell
gcloud beta compute forwarding-rules create l7-psc-forwarding-rule \ --load-balancing-scheme=INTERNAL_MANAGED \ --network=consumer-vpc \ --subnet=consumer-subnet-1 \ --address=10.0.0.100 \ --ports=80 \ --region=$region \ --target-http-proxy=psc-http-proxy \ --target-http-proxy-region=$region
9. DNS 配置
在本部分中,您将为 example.com 创建一个专用 DNS 区域,以及一条指向我们在上一步中创建的转发规则的 A 记录。
创建代管式 DNS 专用区域。
通过 Cloud Shell
gcloud dns managed-zones create example \
--description="example domain for KMS" \
--dns-name=example.com \
--networks=consumer-vpc \
--visibility=private
为 us-central1-cloudkms.example.com 创建一条记录。
通过 Cloud Shell
gcloud dns record-sets transaction start \ --zone=example gcloud dns record-sets transaction add 10.0.0.100 \ --name=us-central1-cloudkms.example.com \ --ttl=300 \ --type=A \ --zone=example gcloud dns record-sets transaction execute \ --zone=example
10. 通过 PSC 连接到区域级 KMS 端点
在标签页 2 中切换回 client-vm 以运行 tcpdump,查看所有连接详情并通过 PSC 端点测试与区域端点和全球端点的连接。
sudo tcpdump -i any net 10.0.0.100 or port 53 -n
在 Cloud Shell 中打开第 3 个标签页,然后通过 SSH 连接到 client-vm。
curl -s -H "Authorization: Bearer $(gcloud auth print-access-token)" \ http://us-central1-cloudkms.example.com/v1/projects/<YOUR_PROJECT_ID>/locations/us-central1/keyRings/central-keyring/cryptoKeys/central-key
预期结果 + TCPDUMP
{
"name": "projects/psc-2-321213/locations/us-central1/keyRings/central-keyring/cryptoKeys/central-key",
"primary": {
"name": "projects/psc-2-321213/locations/us-central1/keyRings/central-keyring/cryptoKeys/central-key/cryptoKeyVersions/1",
"state": "ENABLED",
"createTime": "2021-11-12T17:41:21.543348620Z",
"protectionLevel": "SOFTWARE",
"algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION",
"generateTime": "2021-11-12T17:41:21.543348620Z"
},
"purpose": "ENCRYPT_DECRYPT",
"createTime": "2021-11-12T17:41:21.543348620Z",
"versionTemplate": {
"protectionLevel": "SOFTWARE",
"algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION"
},
"destroyScheduledDuration": "86400s"
}
---
19:54:42.924923 IP 10.0.0.3.55290 > 169.254.169.254.53: 26132+ A? cloudkms.googleapis.com. (41)
19:54:42.925137 IP 10.0.0.3.55290 > 169.254.169.254.53: 40734+ AAAA? cloudkms.googleapis.com. (41)
19:54:42.931480 IP 169.254.169.254.53 > 10.0.0.3.55290: 26132 1/0/0 A 10.0.0.100 (57)
19:54:42.931781 IP 169.254.169.254.53 > 10.0.0.3.55290: 40734 1/0/0 AAAA 2607:f8b0:4001:c0d::5f (69)
19:54:42.932285 IP 10.0.0.3.57136 > 10.0.0.100.80: Flags [S], seq 3382081170, win 65320, options [mss 1420,sackOK,TS val 1907763603 ecr 0,nop,wscale 7], length 0
19:54:42.934951 IP 10.0.0.100.80 > 10.0.0.3.57136: Flags [S.], seq 3147938658, ack 3382081171, win 65535, options [mss 1420,sackOK,TS val 3206048204 ecr 1907763603,nop,wscale 8], length 0
19:54:42.934978 IP 10.0.0.3.57136 > 10.0.0.100.80: Flags [.], ack 1, win 511, options [nop,nop,TS val 1907763606 ecr 3206048204], length 0
19:54:42.935182 IP 10.0.0.3.57136 > 10.0.0.100.80: Flags [P.], seq 1:422, ack 1, win 511, options [nop,nop,TS val 1907763606 ecr 3206048204], length 421: HTTP: GET /v1/projects/<PROJECT_ID/locations/us-central1/keyRings/central-keyring/cryptoKeys/central-key HTTP/1.1
19:54:42.935614 IP 10.0.0.100.80 > 10.0.0.3.57136: Flags [.], ack 422, win 261, options [nop,nop,TS val 3206048205 ecr 1907763606], length 0
19:54:43.010268 IP 10.0.0.100.80 > 10.0.0.3.57136: Flags [P.], seq 1:1072, ack 422, win 261, options [nop,nop,TS val 3206048280 ecr 1907763606], length 1071: HTTP: HTTP/1.1 200 OK
19:54:43.010295 IP 10.0.0.3.57136 > 10.0.0.100.80: Flags [.], ack 1072, win 503, options [nop,nop,TS val 1907763681 ecr 3206048280], length 0
19:54:43.011545 IP 10.0.0.3.57136 > 10.0.0.100.80: Flags [F.], seq 422, ack 1072, win 503, options [nop,nop,TS val 1907763683 ecr 3206048280], length 0
19:54:43.012013 IP 10.0.0.100.80 > 10.0.0.3.57136: Flags [F.], seq 1072, ack 423, win 261, options [nop,nop,TS val 3206048282 ecr 1907763683], length 0
19:54:43.012021 IP 10.0.0.3.57136 > 10.0.0.100.80: Flags [.], ack 1073, win 503, options [nop,nop,TS val 1907763683 ecr 3206048282], length 0
重新查看标签页 2 窗口并检查 tcpdump 信息。您会看到您可以通过创建的 PSC 端点访问 Cloud KMS 区域端点,并且 us-central1 区域端点会以不公开方式解析为您创建的托管式 Cloud DNS 区域。
从标签页 3,选择“client-vm”
curl -s -H "Authorization: Bearer $(gcloud auth print-access-token)" \ http://us-central1-cloudkms.example.com/v1/projects/<YOUR_PROJECT_ID>/locations/global/keyRings/global-keyring/cryptoKeys/global-key
预期结果 + TCPDUMP
{
"error": {
"code": 404,
"message": "The request concerns location 'global' but was sent to location 'us-central1'. Either Cloud KMS is not available in 'global' or the request was misrouted. gRPC clients must ensure that 'x-goog-request-params' is specified in request metadata. See https://cloud.google.com/kms/docs/grpc for more information.",
"status": "NOT_FOUND"
}
}
---
20:04:32.199247 IP 10.0.0.3.57162 > 10.0.0.100.80: Flags [S], seq 2782317346, win 65320, options [mss 1420,sackOK,TS val 1908352831 ecr 0,nop,wscale 7], length 0
20:04:32.201643 IP 10.0.0.100.80 > 10.0.0.3.57162: Flags [S.], seq 1927472124, ack 2782317347, win 65535, options [mss 1420,sackOK,TS val 3731555085 ecr 1908352831,nop,wscale 8], length 0
20:04:32.201666 IP 10.0.0.3.57162 > 10.0.0.100.80: Flags [.], ack 1, win 511, options [nop,nop,TS val 1908352834 ecr 3731555085], length 0
20:04:32.201812 IP 10.0.0.3.57162 > 10.0.0.100.80: Flags [P.], seq 1:415, ack 1, win 511, options [nop,nop,TS val 1908352834 ecr 3731555085], length 414: HTTP: GET /v1/projects/<YOUR_PROJECT_ID>/locations/global/keyRings/global-keyring/cryptoKeys/global-key HTTP/1.1
20:04:32.202308 IP 10.0.0.100.80 > 10.0.0.3.57162: Flags [.], ack 415, win 261, options [nop,nop,TS val 3731555086 ecr 1908352834], length 0
20:04:32.237629 IP 10.0.0.100.80 > 10.0.0.3.57162: Flags [P.], seq 1:760, ack 415, win 261, options [nop,nop,TS val 3731555121 ecr 1908352834], length 759: HTTP: HTTP/1.1 404 Not Found
20:04:32.237656 IP 10.0.0.3.57162 > 10.0.0.100.80: Flags [.], ack 760, win 506, options [nop,nop,TS val 1908352870 ecr 3731555121], length 0
20:04:32.238283 IP 10.0.0.3.57162 > 10.0.0.100.80: Flags [F.], seq 415, ack 760, win 506, options [nop,nop,TS val 1908352870 ecr 3731555121], length 0
20:04:32.238833 IP 10.0.0.100.80 > 10.0.0.3.57162: Flags [F.], seq 760, ack 416, win 261, options [nop,nop,TS val 3731555122 ecr 1908352870], length 0
20:04:32.238851 IP 10.0.0.3.57162 > 10.0.0.100.80: Flags [.], ack 761, win 506, options [nop,nop,TS val 1908352871 ecr 3731555122], length 0
尝试访问全球 Cloud KMS 密钥/密钥环会导致错误。您也会在 tcpdump 中看到这些连接尝试。
在标签页 3 中,client-vm
dig us-central1-cloudkms.example.com
预期结果
; <<>> DiG 9.11.5-P4-5.1+deb10u7-Debian <<>> us-central1-cloudkms.example.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27474 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;us-central1-cloudkms.example.com. IN A ;; ANSWER SECTION: us-central1-cloudkms.example.com. 300 IN A 10.0.0.100 ;; Query time: 7 msec ;; SERVER: 169.254.169.254#53(169.254.169.254) ;; WHEN: Mon May 23 16:22:12 UTC 2022 ;; MSG SIZE rcvd: 77
通过这项调查,您现在会看到我们为 us-central1-cloudkms.googleapis.com 创建的自定义网址现在指向 PSC 端点,并且只会解析在该区域创建的资源。
您现在可以关闭 client-vm 的两个 SSH 标签页。
11. 清理步骤
从单个 Cloud Shell 终端删除实验组件
gcloud dns record-sets transaction start --zone=example
gcloud dns record-sets transaction remove 10.0.0.100 \
--name=us-central1-cloudkms.example.com \
--ttl=300 \
--type=A \
--zone=example
gcloud dns record-sets transaction execute --zone=example
gcloud dns managed-zones delete example
gcloud compute forwarding-rules delete l7-psc-forwarding-rule --region=$region --quiet
gcloud compute target-http-proxies delete psc-http-proxy --region=$region --quiet
gcloud compute url-maps delete l7-psc-url-map --region=$region --quiet
gcloud compute backend-services delete l7-psc-kms --region=$region --quiet
gcloud compute network-endpoint-groups delete l7psc-kms-neg --region=$region --quiet
gcloud compute instances delete client-vm --zone=$zone --quiet
#Replace PROJECT_NUMBER
gcloud kms keys remove-iam-policy-binding global-key --keyring=global-keyring --location=global \
--member=serviceAccount:<PROJECT_NUMBER>-compute@developer.gserviceaccount.com \
--role roles/cloudkms.admin
#Replace PROJECT_NUMBER
gcloud kms keys remove-iam-policy-binding central-key --keyring=central-keyring --location=$region \
--member=serviceAccount:<PROJECT_NUMBER>-compute@developer.gserviceaccount.com \
--role roles/cloudkms.admin
gcloud kms keys versions destroy 1 --location=global --keyring=global-keyring --key=global-key
gcloud kms keys versions destroy 1 --location=$region --keyring=central-keyring --key=central-key
gcloud compute routers nats delete central-nat --router=crnat --region=$region --quiet
gcloud compute routers delete crnat --region=$region --quiet
gcloud compute firewall-rules delete allow-ssh-iap --quiet
gcloud compute networks subnets delete proxy-subnet1 --region=$region --quiet
gcloud compute networks subnets delete consumer-subnet-1 --region=$region --quiet
gcloud compute networks delete consumer-vpc --quiet
12. 恭喜!
恭喜您完成此 Codelab。
所学内容
- 使用使用方 HTTP(S) Service Controls 创建 Private Service Connect 端点
- 创建 Cloud Key Management Service (KMS) 密钥环和密钥。
- 创建 Cloud DNS 代管式专用区域和 A 记录。
- 针对公共 API 解析了对 KMS API(区域和全球)的访问。
- 针对 PSC 端点访问 KMS API(区域和全球)。