পরিষেবাগুলি প্রকাশ এবং ব্যবহার করতে ব্যক্তিগত পরিষেবা সংযোগ ব্যবহার করে৷

1. ভূমিকা

প্রাইভেট সার্ভিস কানেক্ট একটি পরিষেবা প্রযোজককে একটি পরিষেবা গ্রাহককে ব্যক্তিগতভাবে পরিষেবা অফার করতে দেয়৷ ব্যক্তিগত পরিষেবা সংযোগ নিম্নলিখিত সুবিধাগুলি অফার করে:

  • একটি পরিষেবা প্রযোজক ভিপিসি নেটওয়ার্ক একাধিক পরিষেবা গ্রাহককে সমর্থন করতে পারে।
  • প্রতিটি ভোক্তা একটি অভ্যন্তরীণ আইপি ঠিকানার সাথে সংযোগ করে যা তারা সংজ্ঞায়িত করে। প্রাইভেট সার্ভিস কানেক্ট নেটওয়ার্ক অ্যাড্রেস ট্রান্সলেশন (NAT) করে সেবা প্রযোজকের কাছে রিকোয়েস্ট পাঠানোর জন্য।

45b90d50690dd111.png

চিত্র 2. প্রাইভেট সার্ভিস কানেক্ট এন্ডপয়েন্ট এবং সার্ভিস অ্যাটাচমেন্ট ব্যবহার করে সেবা ভোক্তাদের ভোক্তাদের ভিপিসি নেটওয়ার্ক থেকে সেবা প্রযোজকের ভিপিসি নেটওয়ার্কের পরিষেবাতে ট্রাফিক পাঠাতে দেয় (বড় করতে ক্লিক করুন)।

আপনি কি শিখবেন

  • ব্যক্তিগত পরিষেবা সংযোগ সুবিধা
  • সেবা ভোক্তাদের জন্য মূল ধারণা
  • পরিষেবা প্রযোজকদের জন্য মূল ধারণা
  • একটি প্রযোজক পরিবেশ তৈরি করুন
  • একটি পরিষেবা সংযুক্তির মাধ্যমে পরিষেবা (উৎপাদক পরিবেশ) প্রকাশ করুন
  • একটি ভোক্তা পরিবেশ তৈরি করুন
  • ভোক্তা নেটওয়ার্কে একটি ফরওয়ার্ডিং নিয়ম তৈরি করুন
  • TCP ভোক্তা অ্যাক্সেস যাচাই করুন
  • প্রক্সি প্রোটোকল সক্ষম করুন এবং যাচাই করুন
  • নীতি অ্যাক্সেস নিয়ন্ত্রণ সক্ষম করুন

আপনি কি প্রয়োজন হবে

  • অভ্যন্তরীণ লোড ব্যালেন্সারের জ্ঞান
  • দুটি প্রকল্পে ভিপিসি তৈরি করার ক্ষমতা

2. ব্যক্তিগত পরিষেবা সংযোগ সুবিধা

PSC এর সাথে, VPC পিয়ারিং ব্যবহার করার তুলনায় আপনার অনেক সুবিধা রয়েছে:

ব্যক্তিগত আইপি স্পেসের আরও ভাল নিয়ন্ত্রণ

  • একটি পরিষেবা ভোক্তা হিসাবে, আপনি ব্যক্তিগত আইপি ঠিকানা নিয়ন্ত্রণ করতে পারেন যা আপনি অ্যাক্সেস করতে চান এমন পরিচালিত পরিষেবার সাথে সংযোগ করতে ব্যবহৃত হয়।
  • একটি পরিষেবা ভোক্তা হিসাবে, আপনার VPC-তে ব্যবহৃত ব্যাকএন্ড পরিষেবাগুলির জন্য ব্যক্তিগত IP ঠিকানা রেঞ্জগুলি সংরক্ষণ করার বিষয়ে আপনাকে চিন্তা করার দরকার নেই৷ প্রযোজক পরিষেবাগুলির সাথে সংযোগ করতে আপনাকে শুধুমাত্র আপনার নিজের সাবনেট থেকে একটি আইপি ঠিকানা চয়ন করতে হবে৷
  • একটি পরিষেবা প্রযোজক হিসাবে, আপনি একটি মাল্টি-টেন্যান্ট মডেল স্থাপন করতে বেছে নিতে পারেন, যেখানে আপনার ভিপিসিতে এমন পরিষেবা রয়েছে যা একাধিক ভোক্তা ভিপিসি পরিবেশন করে। ওভারল্যাপিং সাবনেট রেঞ্জ থাকা ভোক্তাদের আর কোনো সমস্যা নেই।
  • একজন পরিষেবা প্রদানকারী হিসাবে, আপনি আরও আইপি ঠিকানার জন্য আপনার ভোক্তাদের সাথে যোগাযোগ করার প্রয়োজন ছাড়াই আপনার পরিষেবাকে যতটা প্রয়োজন তত বেশি VM দৃষ্টান্তে স্কেল করতে পারেন।

উন্নত নিরাপত্তা এবং বিচ্ছিন্নতা

  • একজন সেবা ভোক্তা হিসেবে, শুধুমাত্র আপনিই সেবা প্রযোজকের সাথে যোগাযোগ শুরু করতে পারেন। এই ইউনি-ডিরেকশনাল কানেক্টিভিটি ফায়ারওয়াল কনফিগারেশনকে ব্যাপকভাবে সরল করে কিন্তু পরিষেবা প্রযোজকের কাছ থেকে আসা রুজ ট্র্যাফিকের ঝুঁকিও কমায়।
  • একজন পরিষেবা প্রযোজক হিসাবে, আপনাকে ভোক্তার ভিপিসি-তে সাবনেট রেঞ্জের উপর ভিত্তি করে আপনার ফায়ারওয়াল নিয়ম পরিবর্তন করতে হবে না। আপনার পরিষেবার জন্য কনফিগার করা NAT IP ঠিকানা পরিসরের জন্য আপনি কেবল ফায়ারওয়াল নিয়ম তৈরি করতে পারেন।

ভাল মাপযোগ্যতা

  • PSC হাজার হাজার ভোক্তাদের সমর্থন করে উচ্চ-স্কেলযোগ্য নকশা সক্ষম করে এবং পরিষেবা প্রযোজকদেরকে উচ্চ মাপযোগ্য মাল্টি-টেন্যান্ট বা একক-ভাড়াটে পরিষেবা অফার করার অনুমতি দেয়।
  • ব্যক্তিগত পরিষেবা সংযোগ ব্যবহার করে একজন পরিষেবা ভোক্তা হিসাবে, আপনি আপনার VPC-তে প্রয়োজনীয় সংস্থান তৈরি করতে পারেন। প্রযোজক ভিপিসিতে তৈরি এই ধরনের সম্পদের সংখ্যা দ্বারা এর স্কেল প্রভাবিত হয় না।

3. পরিষেবা গ্রাহকদের জন্য মূল ধারণা

আপনি আপনার VPC নেটওয়ার্কের বাইরের পরিষেবাগুলি ব্যবহার করতে ব্যক্তিগত পরিষেবা সংযোগের শেষ পয়েন্টগুলি ব্যবহার করতে পারেন৷ পরিষেবা গ্রাহকরা ব্যক্তিগত পরিষেবা সংযোগের শেষ পয়েন্ট তৈরি করে যা একটি লক্ষ্য পরিষেবার সাথে সংযোগ করে।

শেষবিন্দু

আপনি একটি লক্ষ্য পরিষেবার সাথে সংযোগ করতে ব্যক্তিগত পরিষেবা সংযোগের শেষ পয়েন্টগুলি ব্যবহার করেন৷ আপনার VPC নেটওয়ার্কে এন্ডপয়েন্টগুলির একটি অভ্যন্তরীণ IP ঠিকানা রয়েছে এবং ফরওয়ার্ডিং নিয়ম সংস্থানের উপর ভিত্তি করে।

আপনি এন্ডপয়েন্টে ট্র্যাফিক পাঠান, যা এটিকে আপনার VPC নেটওয়ার্কের বাইরের লক্ষ্যগুলিতে ফরোয়ার্ড করে।

টার্গেট

প্রাইভেট সার্ভিস কানেক্ট এন্ডপয়েন্টের একটি টার্গেট থাকে, আপনি যে পরিষেবাটির সাথে সংযোগ করতে চান তা হল:

  • একটি API বান্ডেল :
  • সমস্ত API: বেশিরভাগ Google API
  • VPC-SC: API যেগুলি VPC পরিষেবা নিয়ন্ত্রণ সমর্থন করে৷
  • অন্য ভিপিসি নেটওয়ার্কে একটি প্রকাশিত পরিষেবা । এই পরিষেবাটি আপনার নিজস্ব সংস্থা বা তৃতীয় পক্ষ দ্বারা পরিচালিত হতে পারে৷

প্রকাশিত পরিষেবা

একটি পরিষেবা প্রযোজকের পরিষেবাতে আপনার এন্ডপয়েন্ট সংযোগ করতে, পরিষেবাটির জন্য আপনার পরিষেবা সংযুক্তি প্রয়োজন৷ পরিষেবা সংযুক্তি URI-তে এই বিন্যাস রয়েছে: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME

4. পরিষেবা প্রযোজকদের জন্য মূল ধারণা

ভোক্তাদের জন্য একটি পরিষেবা উপলব্ধ করতে, আপনি ভোক্তা আইপি ঠিকানাগুলির নেটওয়ার্ক ঠিকানা অনুবাদ (NAT) ব্যবহার করার জন্য এক বা একাধিক ডেডিকেটেড সাবনেট তৈরি করুন৷ তারপরে আপনি একটি পরিষেবা সংযুক্তি তৈরি করুন যা সেই সাবনেটগুলিকে বোঝায়।

প্রাইভেট সার্ভিস কানেক্ট সাবনেট

একটি পরিষেবা প্রকাশ করার জন্য, পরিষেবা প্রযোজক প্রথমে ব্যক্তিগত পরিষেবা সংযোগের উদ্দেশ্যে এক বা একাধিক সাবনেট তৈরি করে

যখন একটি ভোক্তা VPC নেটওয়ার্ক থেকে একটি অনুরোধ পাঠানো হয়, তখন ভোক্তার উৎস আইপি ঠিকানাটি উৎস NAT (SNAT) ব্যবহার করে একটি প্রাইভেট সার্ভিস কানেক্ট সাবনেট থেকে নির্বাচিত একটি IP ঠিকানায় অনুবাদ করা হয়।

আপনি যদি ভোক্তা সংযোগ আইপি ঠিকানার তথ্য ধরে রাখতে চান, তাহলে ভোক্তা সংযোগের তথ্য দেখা দেখুন।

এই সাবনেটগুলি VM দৃষ্টান্ত বা ফরওয়ার্ড করার নিয়মগুলির মতো সংস্থানগুলির জন্য ব্যবহার করা যাবে না৷ সাবনেটগুলি শুধুমাত্র আগত ভোক্তা সংযোগগুলির SNAT-এর জন্য IP ঠিকানা প্রদান করতে ব্যবহৃত হয়।

প্রাইভেট সার্ভিস কানেক্ট সাবনেটে অবশ্যই প্রতি 63টি ভোক্তা VM-এর জন্য কমপক্ষে একটি IP ঠিকানা থাকতে হবে যাতে প্রতিটি ভোক্তা VM-কে নেটওয়ার্ক ঠিকানা অনুবাদের জন্য 1,024 টি উৎস টিপল বরাদ্দ করা হয়।

একটি প্রাইভেট সার্ভিস কানেক্ট সাবনেটের ন্যূনতম আকার হল /24।

পরিষেবা সংযুক্তি

পরিষেবা প্রযোজকরা একটি পরিষেবা সংযুক্তির মাধ্যমে তাদের পরিষেবা প্রকাশ করে।

  • একটি পরিষেবা প্রকাশ করতে, একজন পরিষেবা প্রযোজক একটি পরিষেবা সংযুক্তি তৈরি করে যা পরিষেবার লোড ব্যালেন্সার ফরওয়ার্ডিং নিয়মকে বোঝায়।
  • একটি পরিষেবা অ্যাক্সেস করতে, একটি পরিষেবা গ্রাহক একটি শেষ পয়েন্ট তৈরি করে যা পরিষেবা সংযুক্তি বোঝায়।

সংযোগ পছন্দ

আপনি যখন একটি পরিষেবা তৈরি করেন, আপনি এটি কীভাবে উপলব্ধ করবেন তা চয়ন করেন। দুটি বিকল্প আছে:

  • স্বয়ংক্রিয়ভাবে সমস্ত প্রকল্পের জন্য সংযোগগুলি গ্রহণ করুন - যে কোনও পরিষেবা গ্রাহক একটি এন্ডপয়েন্ট কনফিগার করতে এবং স্বয়ংক্রিয়ভাবে পরিষেবার সাথে সংযোগ করতে পারে৷
  • নির্বাচিত প্রকল্পগুলির জন্য সংযোগ গ্রহণ করুন - পরিষেবা গ্রাহকরা পরিষেবাতে সংযোগ করার জন্য একটি শেষ পয়েন্ট কনফিগার করে এবং পরিষেবা প্রযোজক সংযোগের অনুরোধগুলি গ্রহণ বা প্রত্যাখ্যান করে৷

5. পরীক্ষা পরিবেশ

ভোক্তা নেটওয়ার্কে একটি TCP স্ট্যাটিক আইপি ঠিকানা থাকে যা পরিষেবা প্রযোজকের কাছে অনুরোধের উদ্ভবের জন্য ব্যবহৃত হয়, টার্গেট-সার্ভিস-অ্যাটাচমেন্ট ছাড়াও যা প্রযোজকের পরিষেবা সংযুক্তির (প্রকাশিত পরিষেবা) ম্যাপ করে।

এখন, প্রযোজক নেটওয়ার্কের দিকে নজর দেওয়া যাক। লক্ষ্য করুন কিভাবে প্রযোজক নেটওয়ার্কের ভোক্তাদের নেটওয়ার্কে একটি ম্যাপিং নেই, পরিবর্তে, প্রযোজক নেটওয়ার্কে একটি পরিষেবা সংযুক্তি (প্রকাশিত পরিষেবা) রয়েছে যা পরিষেবার জন্য গ্রাহক দ্বারা ব্যবহৃত হয়। আমাদের ল্যাবে প্রযোজকের পরিষেবা সংযুক্তি হল একটি স্তর 4 অভ্যন্তরীণ লোড ব্যালেন্সার (প্রযোজক-ফরোয়ার্ডিং-বিধি) একটি TCP অ্যাপ্লিকেশন সমর্থনকারী একটি ব্যাকএন্ড পরিষেবাতে ম্যাপ করা হয়েছে৷

NAT সাবনেট এবং সংশ্লিষ্ট ফায়ারওয়াল নিয়ম প্রযোজক অ্যাপ্লিকেশনের সাথে যোগাযোগের অনুমতি দেয়।

28b09284a99eb60b.png

স্ব-গতিসম্পন্ন পরিবেশ সেটআপ

  1. ক্লাউড কনসোলে সাইন ইন করুন এবং একটি নতুন প্রকল্প তৈরি করুন বা বিদ্যমান একটি পুনরায় ব্যবহার করুন৷ আপনার যদি ইতিমধ্যেই একটি Gmail বা Google Workspace অ্যাকাউন্ট না থাকে, তাহলে আপনাকে অবশ্যই একটি তৈরি করতে হবে।

96a9c957bc475304.png

b9a10ebdf5b5a448.png

a1e3c01a38fa61c2.png

প্রজেক্ট আইডিটি মনে রাখবেন, সমস্ত Google ক্লাউড প্রকল্প জুড়ে একটি অনন্য নাম (উপরের নামটি ইতিমধ্যে নেওয়া হয়েছে এবং আপনার জন্য কাজ করবে না, দুঃখিত!)। এটি পরে এই কোডল্যাবে PROJECT_ID হিসাবে উল্লেখ করা হবে।

  1. এর পরে, Google ক্লাউড সংস্থানগুলি ব্যবহার করার জন্য আপনাকে ক্লাউড কনসোলে বিলিং সক্ষম করতে হবে৷

এই কোডল্যাবের মাধ্যমে চালানোর জন্য খুব বেশি খরচ করা উচিত নয়, যদি কিছু থাকে। "ক্লিনিং আপ" বিভাগে যে কোনও নির্দেশাবলী অনুসরণ করতে ভুলবেন না যা আপনাকে কীভাবে সংস্থানগুলি বন্ধ করতে হবে তা পরামর্শ দেয় যাতে আপনি এই টিউটোরিয়ালের বাইরে বিলিং করতে না পারেন৷ Google ক্লাউডের নতুন ব্যবহারকারীরা $300 USD বিনামূল্যের ট্রায়াল প্রোগ্রামের জন্য যোগ্য৷

ক্লাউড শেল শুরু করুন

যদিও Google ক্লাউড আপনার ল্যাপটপ থেকে দূরবর্তীভাবে পরিচালিত হতে পারে, এই কোডল্যাবে আপনি Google ক্লাউড শেল ব্যবহার করবেন, একটি কমান্ড লাইন পরিবেশ যা ক্লাউডে চলছে।

GCP কনসোল থেকে উপরের ডানদিকে টুলবারে ক্লাউড শেল আইকনে ক্লিক করুন:

bce75f34b2c53987.png

পরিবেশের ব্যবস্থা করতে এবং সংযোগ করতে এটি শুধুমাত্র কয়েক মুহূর্ত নিতে হবে। এটি সমাপ্ত হলে, আপনি এই মত কিছু দেখতে হবে:

f6ef2b5f13479f3a.png

এই ভার্চুয়াল মেশিনটি আপনার প্রয়োজনীয় সমস্ত ডেভেলপমেন্ট টুল দিয়ে লোড করা হয়েছে। এটি একটি ক্রমাগত 5GB হোম ডিরেক্টরি অফার করে এবং Google ক্লাউডে চলে, যা নেটওয়ার্ক কর্মক্ষমতা এবং প্রমাণীকরণকে ব্যাপকভাবে উন্নত করে। এই ল্যাবে আপনার সমস্ত কাজ কেবল একটি ব্রাউজার দিয়ে করা যেতে পারে।

6. আপনি শুরু করার আগে

কোডল্যাবের জন্য দুটি প্রকল্পের প্রয়োজন, যদিও PSC-এর প্রয়োজন নেই৷ একক বা একাধিক প্রকল্প সমর্থন করার রেফারেন্স নোট করুন।

একক প্রকল্প - প্রযোজক এবং ভোক্তা নেটওয়ার্ককে সমর্থন করার জন্য প্রকল্প আপডেট করুন

ক্লাউড শেলের ভিতরে, নিশ্চিত করুন যে আপনার প্রকল্প আইডি সেট আপ করা আছে

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
prodproject=YOUR-PROJECT-NAME
consumerproject=YOUR-PROJECT-NAME
echo $prodproject
echo $consumerproject

একাধিক প্রকল্প - প্রযোজক নেটওয়ার্ককে সমর্থন করার জন্য প্রকল্প আপডেট করুন

ক্লাউড শেলের ভিতরে, নিশ্চিত করুন যে আপনার প্রকল্প আইডি সেট আপ করা আছে

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
prodproject=YOUR-PROJECT-NAME
echo $prodproject

7. প্রযোজক VPC নেটওয়ার্ক তৈরি করুন

দ্রষ্টব্য: নিম্নলিখিত বিভাগে, আপনার প্রযোজক পরিষেবা রয়েছে এমন প্রকল্পে কনফিগারেশন আপডেটগুলি চালান

ভিপিসি নেটওয়ার্ক

ক্লাউড শেল থেকে

gcloud compute networks create vpc-demo-producer --project=$prodproject --subnet-mode=custom

সাবনেট তৈরি করুন

ক্লাউড শেল থেকে

gcloud compute networks subnets create vpc-demo-us-west2 --project=$prodproject --range=10.0.2.0/24 --network=vpc-demo-producer --region=us-west2

Cloud NAT উদাহরণ তৈরি করুন

Cloud NAT PSC-এর জন্য ব্যবহৃত একই NAT নয়। ক্লাউড NAT অ্যাপ্লিকেশন প্যাকেজ ডাউনলোড করার জন্য ইন্টারনেট অ্যাক্সেসের জন্য স্পষ্টভাবে ব্যবহার করা হয়।

ক্লাউড রাউটার তৈরি করুন

ক্লাউড শেল থেকে

gcloud compute routers create crnatprod --network vpc-demo-producer --region us-west2

Cloud NAT তৈরি করুন

ক্লাউড শেল থেকে

gcloud compute routers nats create cloudnatprod --router=crnatprod --auto-allocate-nat-external-ips --nat-all-subnet-ip-ranges --enable-logging --region us-west2

8. গণনা দৃষ্টান্ত তৈরি করুন

ক্লাউড শেল থেকে www-01 উদাহরণ তৈরি করুন

gcloud compute instances create www-01 \
    --zone=us-west2-a \
    --image-family=debian-9 \
    --image-project=debian-cloud \
    --subnet=vpc-demo-us-west2 --no-address \
    --metadata=startup-script='#! /bin/bash
apt-get update
apt-get install tcpdump -y
apt-get install apache2 -y
a2ensite default-ssl
apt-get install iperf3 -y
a2enmod ssl
vm_hostname="$(curl -H "Metadata-Flavor:Google" \
http://169.254.169.254/computeMetadata/v1/instance/name)"
filter="{print \$NF}"
vm_zone="$(curl -H "Metadata-Flavor:Google" \
http://169.254.169.254/computeMetadata/v1/instance/zone \
| awk -F/ "${filter}")"
echo "Page on $vm_hostname in $vm_zone" | \
tee /var/www/html/index.html
systemctl restart apache2
iperf3 -s -p 5050'

ক্লাউড শেল থেকে www-02 উদাহরণ তৈরি করুন

gcloud compute instances create www-02 \
    --zone=us-west2-a \
    --image-family=debian-9 \
    --image-project=debian-cloud \
    --subnet=vpc-demo-us-west2 --no-address \
    --metadata=startup-script='#! /bin/bash
apt-get update
apt-get install tcpdump -y
apt-get install apache2 -y
a2ensite default-ssl
apt-get install iperf3 -y
a2enmod ssl
vm_hostname="$(curl -H "Metadata-Flavor:Google" \
http://169.254.169.254/computeMetadata/v1/instance/name)"
filter="{print \$NF}"
vm_zone="$(curl -H "Metadata-Flavor:Google" \
http://169.254.169.254/computeMetadata/v1/instance/zone \
| awk -F/ "${filter}")"
echo "Page on $vm_hostname in $vm_zone" | \
tee /var/www/html/index.html
systemctl restart apache2
iperf3 -s -p 5050'

9. অব্যবস্থাপিত উদাহরণ গোষ্ঠী তৈরি করুন

www-01 এবং www-02 সমন্বিত একটি অব্যবস্থাপিত উদাহরণ গোষ্ঠী তৈরি করুন

ক্লাউড শেল থেকে

gcloud compute instance-groups unmanaged create vpc-demo-ig-www --zone=us-west2-a

gcloud compute instance-groups unmanaged add-instances vpc-demo-ig-www --zone=us-west2-a --instances=www-01,www-02

gcloud compute health-checks create http hc-http-80 --port=80

10. TCP ব্যাকএন্ড পরিষেবা, ফরওয়ার্ডিং নিয়ম এবং ফায়ারওয়াল তৈরি করুন

ক্লাউড শেল থেকে ব্যাকএন্ড পরিষেবা তৈরি করুন 

gcloud compute backend-services create vpc-demo-www-be-tcp --load-balancing-scheme=internal --protocol=tcp --region=us-west2 --health-checks=hc-http-80

gcloud compute backend-services add-backend vpc-demo-www-be-tcp --region=us-west2 --instance-group=vpc-demo-ig-www --instance-group-zone=us-west2-a

ক্লাউড শেল থেকে ফরওয়ার্ডিং নিয়ম তৈরি করুন 

gcloud compute forwarding-rules create vpc-demo-www-ilb-tcp --region=us-west2 --load-balancing-scheme=internal --network=vpc-demo-producer --subnet=vpc-demo-us-west2 --address=10.0.2.10 --ip-protocol=TCP --ports=all --backend-service=vpc-demo-www-be-tcp --backend-service-region=us-west2

ক্লাউড শেল থেকে ব্যাকএন্ড স্বাস্থ্য পরীক্ষা সক্ষম করতে একটি ফায়ারওয়াল নিয়ম তৈরি করুন 

gcloud compute firewall-rules create vpc-demo-health-checks --allow tcp:80,tcp:443 --network vpc-demo-producer --source-ranges 130.211.0.0/22,35.191.0.0/16 --enable-logging

IAP কে আপনার VM দৃষ্টান্তের সাথে সংযোগ করার অনুমতি দিতে, একটি ফায়ারওয়াল নিয়ম তৈরি করুন যা:

  • আপনি IAP ব্যবহার করে অ্যাক্সেসযোগ্য হতে চান এমন সমস্ত VM দৃষ্টান্তগুলিতে প্রযোজ্য।
  • IP পরিসর 35.235.240.0/20 থেকে ট্র্যাফিক প্রবেশের অনুমতি দেয়। এই পরিসরে সমস্ত আইপি ঠিকানা রয়েছে যা IAP TCP ফরওয়ার্ডিংয়ের জন্য ব্যবহার করে।

ক্লাউড শেল থেকে 

gcloud compute firewall-rules create psclab-iap-prod --network vpc-demo-producer --allow tcp:22 --source-ranges=35.235.240.0/20 --enable-logging

11. TCP NAT সাবনেট তৈরি করুন

ক্লাউড শেল থেকে 

gcloud compute networks subnets create vpc-demo-us-west2-psc-tcp --network=vpc-demo-producer --region=us-west2 --range=192.168.0.0/24 --purpose=private-service-connect

12. TCP পরিষেবা সংযুক্তি এবং ফায়ারওয়াল নিয়ম তৈরি করুন

ক্লাউড শেল থেকে TCP পরিষেবা সংযুক্তি তৈরি করুন 

gcloud compute service-attachments create vpc-demo-psc-west2-tcp --region=us-west2 --producer-forwarding-rule=vpc-demo-www-ilb-tcp --connection-preference=ACCEPT_AUTOMATIC --nat-subnets=vpc-demo-us-west2-psc-tcp

TCP পরিষেবা সংযুক্তি যাচাই করুন 

gcloud compute service-attachments describe vpc-demo-psc-west2-tcp --region us-west2

ক্লাউড শেল থেকে ফায়ারওয়াল নিয়ম তৈরি করুন যাতে TCP NAT সাবনেটকে ILB ব্যাকএন্ডে অ্যাক্সেস দেওয়া যায় 

gcloud compute --project=$prodproject firewall-rules create vpc-demo-allowpsc-tcp --direction=INGRESS --priority=1000 --network=vpc-demo-producer --action=ALLOW --rules=all --source-ranges=192.168.0.0/24 --enable-logging

13. গ্রাহকদের ভিপিসি নেটওয়ার্ক তৈরি করুন

দ্রষ্টব্য: নিম্নলিখিত বিভাগে, আপনার ভোক্তা পরিষেবা রয়েছে এমন প্রকল্পে কনফিগারেশন আপডেটগুলি চালান

নিম্নলিখিত বিভাগে ভোক্তা VPC একটি পৃথক প্রকল্পে কনফিগার করা হয়েছে। ভোক্তা এবং প্রযোজক নেটওয়ার্কের মধ্যে যোগাযোগ ভোক্তা নেটওয়ার্কে সংজ্ঞায়িত পরিষেবা সংযুক্তির মাধ্যমে সম্পন্ন হয়।

ভিপিসি নেটওয়ার্ক

কোডল্যাবের জন্য দুটি প্রকল্পের প্রয়োজন, যদিও PSC-এর প্রয়োজন নেই৷ একক বা একাধিক প্রকল্প সমর্থন করার রেফারেন্স নোট করুন।

একক প্রকল্প - প্রযোজক এবং ভোক্তা নেটওয়ার্ককে সমর্থন করার জন্য প্রকল্প আপডেট করুন

ক্লাউড শেলের ভিতরে, নিশ্চিত করুন যে আপনার প্রকল্প আইডি সেট আপ করা আছে 

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
consumerproject=YOUR-PROJECT-NAME
prodproject=YOUR-PROJECT-NAME
echo $prodproject
echo $consumerproject

একাধিক প্রকল্প - ভোক্তাদের একটি নেটওয়ার্ক সমর্থন করার জন্য প্রকল্প আপডেট করুন

ক্লাউড শেলের ভিতরে, নিশ্চিত করুন যে আপনার প্রকল্প আইডি সেট আপ করা আছে 

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
consumerproject=YOUR-PROJECT-NAME
echo $consumerproject

ক্লাউড শেল থেকে 

gcloud compute networks create vpc-demo-consumer --project=$consumerproject --subnet-mode=custom

PSC এর জন্য সাবনেট তৈরি করুন

ক্লাউড শেল থেকে 

gcloud compute networks subnets create consumer-subnet --project=$consumerproject  --range=10.0.60.0/24 --network=vpc-demo-consumer --region=us-west2

TCP অ্যাপ্লিকেশনের জন্য একটি স্ট্যাটিক আইপি ঠিকানা তৈরি করুন

ক্লাউড শেল থেকে 

gcloud compute addresses create vpc-consumer-psc-tcp --region=us-west2 --subnet=consumer-subnet --addresses 10.0.60.100

ফায়ারওয়াল নিয়ম তৈরি করুন

IAP কে আপনার VM দৃষ্টান্তের সাথে সংযোগ করার অনুমতি দিতে, একটি ফায়ারওয়াল নিয়ম তৈরি করুন যা:

  • আপনি IAP ব্যবহার করে অ্যাক্সেসযোগ্য হতে চান এমন সমস্ত VM দৃষ্টান্তগুলিতে প্রযোজ্য।
  • IP পরিসর 35.235.240.0/20 থেকে ট্র্যাফিক প্রবেশের অনুমতি দেয়। এই পরিসরে সমস্ত আইপি ঠিকানা রয়েছে যা IAP TCP ফরওয়ার্ডিংয়ের জন্য ব্যবহার করে।

ক্লাউড শেল থেকে 

gcloud compute firewall-rules create psclab-iap-consumer --network vpc-demo-consumer --allow tcp:22 --source-ranges=35.235.240.0/20 --enable-logging

যদিও PSC-এর জন্য প্রয়োজন নেই প্রযোজক পরিষেবা সংযুক্তিতে ভোক্তা PSC ট্র্যাফিক নিরীক্ষণের জন্য একটি এগ্রেস ফায়ারওয়াল নিয়ম তৈরি করুন 

gcloud compute --project=$consumerproject firewall-rules create vpc-consumer-psc --direction=EGRESS --priority=1000 --network=vpc-demo-consumer --action=ALLOW --rules=all --destination-ranges=10.0.60.0/24 --enable-logging

Cloud NAT উদাহরণ তৈরি করুন

Cloud NAT PSC-এর জন্য ব্যবহৃত একই NAT নয়। ক্লাউড NAT অ্যাপ্লিকেশন প্যাকেজ ডাউনলোড করার জন্য ইন্টারনেট অ্যাক্সেসের জন্য স্পষ্টভাবে ব্যবহার করা হয়

ক্লাউড রাউটার তৈরি করুন

ক্লাউড শেল থেকে 

gcloud compute routers create crnatconsumer --network vpc-demo-consumer --region us-west2

Cloud NAT তৈরি করুন

ক্লাউড শেল থেকে 

gcloud compute routers nats create cloudnatconsumer --router=crnatconsumer --auto-allocate-nat-external-ips --nat-all-subnet-ip-ranges --enable-logging --region us-west2

14. টেস্ট ইনস্ট্যান্স VM তৈরি করুন

ক্লাউড শেল থেকে 

gcloud compute instances create test-instance-1 \
    --zone=us-west2-a \
    --image-family=debian-9 \
    --image-project=debian-cloud \
    --subnet=consumer-subnet --no-address \
    --metadata=startup-script='#! /bin/bash
apt-get update
apt-get install iperf3 -y
apt-get install tcpdump -y'

15. TCP পরিষেবা সংযুক্তি তৈরি করুন

ক্লাউড শেল থেকে 

gcloud compute forwarding-rules create vpc-consumer-psc-fr-tcp --region=us-west2 --network=vpc-demo-consumer --address=vpc-consumer-psc-tcp --target-service-attachment=projects/$prodproject/regions/us-west2/serviceAttachments/vpc-demo-psc-west2-tcp

16. বৈধতা

আমরা ভোক্তা এবং প্রযোজক যোগাযোগ বৈধ করতে CURL, TCPDUMP এবং ফায়ারওয়াল লগ ব্যবহার করব।

ভোক্তার প্রকল্পের মধ্যে স্থির আইপি ঠিকানাগুলি প্রযোজকের সাথে যোগাযোগের উদ্ভবের জন্য ব্যবহার করা হয়। কনজিউমার ফরওয়ার্ডিং নিয়মে স্ট্যাটিক আইপি অ্যাড্রেসের এই ম্যাপিং নিম্নলিখিত সিনট্যাক্স সম্পাদন করে যাচাই করা হয়।

দ্রষ্টব্য: নিম্নলিখিত বিভাগে, আপনার ভোক্তা পরিষেবা রয়েছে এমন প্রকল্পে কনফিগারেশন আপডেটগুলি চালান

কনজিউমার ভিপিসি ক্লাউড শেল থেকে টিসিপি ফরওয়ার্ডিং নিয়ম এবং স্ট্যাটিক আইপি সনাক্ত করে 

gcloud compute forwarding-rules describe vpc-consumer-psc-fr-tcp --region us-west2

আউটপুট: 

IPAddress: 10.0.60.100
IPProtocol: TCP
creationTimestamp: '2021-07-14T13:34:23.359-07:00'
id: '2768158450402915488'
kind: compute#forwardingRule
labelFingerprint: 42WmSpB8rSM=
name: vpc-consumer-psc-fr-tcp
<snip>

17. TCP বৈধতা

দ্রষ্টব্য: নিম্নলিখিত বিভাগে, আপনার প্রযোজক পরিষেবা রয়েছে এমন প্রকল্পে কনফিগারেশন আপডেটগুলি চালান

প্রযোজক প্রকল্প থেকে, "www-01" এবং "www-02" সনাক্ত করুন এবং প্রতি উদাহরণে একটি SSH সেশন চালু করুন৷

6d0bb8c5cb115876.png

NAT নিরীক্ষণ করতে "www-01" থেকে TCPDUMP সঞ্চালন করুন 

sudo tcpdump -i any net 192.168.0.0/16 -n

NAT নিরীক্ষণ করতে "www-02" থেকে TCPDUMP সঞ্চালন করুন 

sudo tcpdump -i any net 192.168.0.0/16 -n

দ্রষ্টব্য: নিম্নলিখিত বিভাগে, আপনার ভোক্তা পরিষেবা রয়েছে এমন প্রকল্পে কনফিগারেশন আপডেটগুলি চালান

কনজিউমার প্রজেক্ট থেকে, "টেস্ট-ইনস্ট্যান্স-1" চিহ্নিত করুন এবং দুটি সেশন চালু করুন।

"টেস্ট-ইনস্ট্যান্স-1" সেশন থেকে একজন ভোক্তাকে নিরীক্ষণ করার জন্য TCPDUMP সঞ্চালন করে 

sudo tcpdump -i any host 10.0.60.100 -n

"পরীক্ষা-উদাহরণ-1" সেশন থেকে দুটি টিসিপি বৈধতা সম্পাদন করে 

curl -v 10.0.60.100

18. পর্যবেক্ষণ - ভোক্তা

"test-instance-1" সেশন থেকে দুটি CURL সফল এবং 200 ঠিক আছে। 

@test-instance-1:~$ curl -v 10.0.60.100 
* Rebuilt URL to: 10.0.60.100/
*   Trying 10.0.60.100...
* TCP_NODELAY set
* Connected to 10.0.60.100 (10.0.60.100) port 80 (#0)
> GET / HTTP/1.1
> Host: 10.0.60.100
> User-Agent: curl/7.52.1
> Accept: */*
> 
< HTTP/1.1 200 OK
< Date: Wed, 14 Jul 2021 21:20:22 GMT
< Server: Apache/2.4.25 (Debian)
< Last-Modified: Wed, 14 Jul 2021 20:09:09 GMT
< ETag: "1d-5c71aed5edabd"
< Accept-Ranges: bytes
< Content-Length: 29
< Content-Type: text/html
< 
Page on www-01 in us-west2-a
* Curl_http_done: called premature == 0
* Connection #0 to host 10.0.60.100 left intact

"test-instance-1" সেশন থেকে একটি TCPDUMP VM ইন্সট্যান্স শনাক্ত করে → TCP স্ট্যাটিক আইপি যোগাযোগ এবং প্রতিক্রিয়া 

21:20:22.572052 IP 10.0.60.2.59432 > 10.0.60.100.80: Flags [P.], seq 1:76, ack 1, win 222, options [nop,nop,TS val 634554 ecr 998739], length 75: HTTP: GET / HTTP/1.1

21:20:22.572688 IP 10.0.60.100.80 > 10.0.60.2.59432: Flags [P.], seq 1:257, ack 76, win 220, options [nop,nop,TS val 998739 ecr 634554], length 256: HTTP: HTTP/1.1 200 OK

ফায়ারওয়াল লগিং

লগ এক্সপ্লোরার ব্যবহার করে ফায়ারওয়াল বিধি যাচাই করা "vpc-consumner-psc" VM ইনস্ট্যান্স এবং স্ট্যাটিক আইপির মধ্যে প্রবাহ ক্যাপচার করছে

  1. ক্লাউড কনসোল থেকে, অপারেশন লগিং → লগ এক্সপ্লোরার সনাক্ত করুন
  2. ক্যোয়ারী ক্ষেত্রে আপনার উপভোক্তা প্রকল্পের সাথে নীচের এন্ট্রি আপডেট করুন এবং "ক্যোয়ারী চালান" নির্বাচন করুন

logName:(projects/yourconsumerproject/logs/compute.googleapis.com%2Ffirewall) এবং jsonPayload.rule_details.reference:("network:vpc-demo-consumer/firewall:vpc-consumer-psc")

  1. ক্যোয়ারী ফলাফল প্রদত্ত স্ক্রিনশট প্রতি নিম্নলিখিত প্রদান

b573c878a8d6d01f.png

  1. লগ প্রসারিত করুন এবং নীচে প্রদত্ত আউটপুট সনাক্ত করুন। dest_ip নোট করুন: 10.0.60.100 হল STATIC TCP IP এবং src_ip: 10.0.60.2 হল VM ইনস্ট্যান্স IP ঠিকানা

1b4f46b3e61f6f12.png

19. পর্যবেক্ষণ - প্রযোজক

ব্যাকএন্ড উদাহরণ "www-01" বা "www-02" থেকে TCP NAT সাবনেট এবং TCP ILB-এর মধ্যে নিম্নলিখিত যোগাযোগ পরিলক্ষিত হয়। 

21:20:22.572186 IP 192.168.0.2.1024 > 10.0.2.10.80: Flags [P.], seq 1:76, ack 1, win 222, options [nop,nop,TS val 634554 ecr 998739], length 75: HTTP: GET / HTTP/1.1

21:20:22.572679 IP 10.0.2.10.80 > 192.168.0.2.1024: Flags [P.], seq 1:257, ack 76, win 220, options [nop,nop,TS val 998739 ecr 634554], length 256: HTTP: HTTP/1.1 200 OK

20. ফায়ারওয়াল লগিং

লগ এক্সপ্লোরার ব্যবহার করে ফায়ারওয়াল বিধি যাচাই করুন "vpc-demo-allowpsc-tcp" নিম্নলিখিত পদক্ষেপগুলি সম্পাদন করে TCP NAT এবং TCP ILB প্রবাহকে ক্যাপচার করছে:

  1. ক্লাউড কনসোল থেকে, অপারেশন লগিং → লগ এক্সপ্লোরার সনাক্ত করুন
  2. ক্যোয়ারী ফিল্ডে আপনার প্রোডপ্রজেক্টের সাথে নীচের এন্ট্রি আপডেট করুন এবং "ক্যোয়ারী চালান" নির্বাচন করুন

logName:(projects/yourprodproject/logs/compute.googleapis.com%2Ffirewall) এবং jsonPayload.rule_details.reference:("network:vpc-demo-producer/firewall:vpc-demo-allowpsc-tcp")

  1. ক্যোয়ারী ফলাফল প্রদত্ত স্ক্রিনশট প্রতি নিম্নলিখিত প্রদান

8ce6b0d17d76ad6d.png

  1. লগ প্রসারিত করুন এবং নীচে প্রদত্ত আউটপুট সনাক্ত করুন। TCP ILB dest_ip: 10.0.2.10 এবং NAT TCP source_range (192.168.0.0/24) এবং সংশ্লিষ্ট src_ip: 192.168.0.2 নোট করুন।

e157a7af8cb667e.png

21. প্রক্সি প্রোটোকল সক্রিয় করুন

ডিফল্টরূপে, প্রাইভেট সার্ভিস কানেক্ট ভোক্তার উৎস আইপি ঠিকানাকে পরিষেবা প্রযোজকের ভিপিসি নেটওয়ার্কের একটি প্রাইভেট সার্ভিস কানেক্ট সাবনেটের ঠিকানায় অনুবাদ করে। আপনি যদি পরিবর্তে ভোক্তার মূল উৎস IP ঠিকানা দেখতে চান, আপনি PROXY প্রোটোকল সক্ষম করতে পারেন। PROXY প্রোটোকল সক্ষম হলে, আপনি PROXY প্রোটোকল হেডার থেকে ভোক্তার উৎস IP ঠিকানা এবং PSC সংযোগ আইডি পেতে পারেন

e9d1c49971b10ed0.png

ডকুমেন্টেশন রেফারেন্স

প্রযোজক প্রকাশিত পরিষেবাগুলি মুছুন৷

দ্রষ্টব্য: নিম্নলিখিত বিভাগে, আপনার প্রযোজক পরিষেবা রয়েছে এমন প্রকল্পে কনফিগারেশন আপডেটগুলি চালান

ক্লাউড শেল থেকে TCP পরিষেবা সংযুক্তিগুলি মুছুন 

gcloud compute service-attachments delete vpc-demo-psc-west2-tcp --region=us-west2 --quiet

ক্লাউড শেল থেকে যাচাইকরণ পরিষেবা সংযুক্তিগুলি মুছে ফেলা হয়েছে (তালিকাভুক্ত 0টি আইটেম) 

gcloud compute service-attachments list

প্রক্সি প্রোটোকল সক্ষম করে TCP পরিষেবা সংযুক্তি তৈরি করুন৷ 

gcloud compute service-attachments create vpc-demo-psc-west2-tcp --region=us-west2 \
--producer-forwarding-rule=vpc-demo-www-ilb-tcp \
--connection-preference=ACCEPT_AUTOMATIC \
--nat-subnets=vpc-demo-us-west2-psc-tcp \
--enable-proxy-protocol

ক্লাউড শেল থেকে যাচাইকরণ পরিষেবা সংযুক্তিগুলি প্রক্সি প্রোটোকল সক্ষম করে তৈরি করা হয় (সত্য) 

gcloud compute service-attachments describe vpc-demo-psc-west2-tcp --region=us-west2 | grep -i enableProxyProtocol:

দ্রষ্টব্য: নিম্নলিখিত বিভাগে, আপনার ভোক্তা পরিষেবা রয়েছে এমন প্রকল্পে কনফিগারেশন আপডেটগুলি চালান

ক্লাউড শেল থেকে TCP ফরওয়ার্ডিং নিয়ম মুছে দিন 

gcloud compute forwarding-rules delete vpc-consumer-psc-fr-tcp --region=us-west2 --quiet

পূর্বে তৈরি করা (প্রযোজক) পরিষেবা সংযুক্তির সাথে সংযুক্ত করতে TCP ফরওয়ার্ডিং নিয়মগুলি পুনরায় তৈরি করুন৷

ক্লাউড শেল থেকে TCP ফরওয়ার্ডিং নিয়ম তৈরি করুন 

gcloud compute forwarding-rules create vpc-consumer-psc-fr-tcp \
--region=us-west2 --network=vpc-demo-consumer \
--address=vpc-consumer-psc-tcp \
--target-service-attachment=projects/$prodproject/regions/us-west2/serviceAttachments/vpc-demo-psc-west2-tcp

প্রক্সি প্রোটোকল বৈধতা

দ্রষ্টব্য: নিম্নলিখিত বিভাগে, আপনার প্রযোজক পরিষেবা রয়েছে এমন প্রকল্পে কনফিগারেশন আপডেটগুলি চালান

প্রযোজক প্রকল্প থেকে, "www-01" এবং "www-02" সনাক্ত করুন এবং প্রতি দৃষ্টান্তে একটি সেশন চালু করুন।

6d0bb8c5cb115876.png

NAT নিরীক্ষণ করতে "www-01" থেকে TCPDUMP সঞ্চালন করুন 

sudo tcpdump -nnvvXSs 1514 net 192.168.0.0/16

NAT নিরীক্ষণ করতে "www-02" থেকে TCPDUMP সঞ্চালন করুন 

sudo tcpdump -nnvvXSs 1514 net 192.168.0.0/16

দ্রষ্টব্য: নিম্নলিখিত বিভাগে, আপনার ভোক্তা পরিষেবা রয়েছে এমন প্রকল্পে কনফিগারেশন আপডেটগুলি চালান

কনজিউমার প্রোজেক্ট থেকে, "টেস্ট-ইনস্ট্যান্স-1" চিহ্নিত করুন এবং একটি একক সেশন চালু করুন

"টেস্ট-ইনস্ট্যান্স-1" সেশন থেকে একটি কার্ল সঞ্চালন করুন 

curl 10.0.60.100

পর্যবেক্ষণ - ভোক্তা

মনে রাখবেন যে যদি PROXY Protocol v2 সক্রিয় থাকে কিন্তু অ্যাপ্লিকেশনটি এটিকে সমর্থন করার জন্য কনফিগার করা না থাকে, তাহলে নীচের উদাহরণ অনুযায়ী ক্লায়েন্ট থেকে সংযোগ করলে একটি ত্রুটি বার্তা প্রদর্শিত হবে। অতিরিক্ত প্রক্সি v2 হেডার এবং কোডল্যাবে কভার না করার জন্য অ্যাপাচি আপডেটের প্রয়োজন।

"test-instance-1" সেশন থেকে CURL একটি প্রত্যাশিত 400টি খারাপ অনুরোধ তৈরি করবে যদিও ব্যাকএন্ড ক্যোয়ারী সফল হয়েছে৷ 

@test-instance-1:~$ curl 10.0.60.100 
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>400 Bad Request</title>
</head><body>
<h1>Bad Request</h1>
<p>Your browser sent a request that this server could not understand.<br />
</p>
<hr>
<address>Apache/2.4.25 (Debian) Server at www-02.c.deepakmichaelprod.internal Port 80</address>

পর্যবেক্ষণ - ভোক্তা

ব্যাকএন্ড উদাহরণ "www-01" বা "www-02" থেকে TCP NAT সাবনেট এবং TCP ILB-এর মধ্যে নিম্নলিখিত যোগাযোগগুলি ক্যাপচারে এমবেড করা প্রক্সি প্রোটোকলের সাথে পরিলক্ষিত হয়।

বেশিরভাগ ক্ষেত্রে, tcpdump-এর 3য় প্যাকেটে প্রাসঙ্গিক প্রক্সি প্রোটোকল তথ্য উপাদান (IE) থাকে। ঐচ্ছিকভাবে, প্রক্সি প্রোটোকল IE ধারণ করে 39 বাইট সহ প্যাকেট সনাক্ত করুন। 

192.168.0.3.1025 > 10.0.2.10.80: Flags [P.], cksum 0xb617 (correct), seq 2729454396:2729454435, ack 1311105819, win 28160, length 39: HTTP
        0x0000:  4500 004f 0000 4000 4006 6df4 c0a8 0003  E..O..@.@.m.....
        0x0010:  0a00 020a 0401 0050 a2b0 2b3c 4e25 e31b  .......P..+<N%..
        0x0020:  5018 6e00 b617 0000 0d0a 0d0a 000d 0a51  P.n............Q
        0x0030:  5549 540a 2111 0017 0a00 3c02 0a00 3c64  UIT.!.....<...<d
        0x0040:  8138 0050 e000 0800 9b34 d70a 003c 64    .8.P.....4...<d

PROXY প্রোটোকল স্বাক্ষর শনাক্ত করুন: 0d0a0d0a000d0a515549540a প্যাকেট ক্যাপচারে

PROXY প্রোটোকল স্বাক্ষর শনাক্ত করার মাধ্যমে, এটিকে ভেঙে ফেলা এবং ক্ষেত্রগুলিকে নীচের মতো ডিকোড করা সম্ভব:

PROXY প্রোটোকল স্বাক্ষর: 0d0a0d0a000d0a515549540a

অন্যান্য প্রক্সি প্রোটোকল ক্ষেত্র: 21 11 00 17

আইপি এবং পোর্ট: 0a003c02 0a003c64 8138 0050

TLV প্রকার: e0

TLV দৈর্ঘ্য: 00 08

psc সংযোগ আইডি: 009b34d70a003c64

হেক্স

দশমিক / আইপি

প্রক্সি প্রোটোকল স্বাক্ষর

0d0a0d0a000d0a515549540a

সংস্করণ, প্রোটোকল, দৈর্ঘ্য

21 11 0017

এসআরসি আইপি

0a003c02

10.0.60.2

Dst আইপি

0a003c64

10.0.60.100

এসআরসি পোর্ট

8138

33080

Dst পোর্ট

0050

80

TLV প্রকার (PP2_TYPE_GCP)

e0

TLV দৈর্ঘ্য

0008

pscConnectionId

00004dde290a003c64

43686719580552292

pscConnectionId নীচের মত ভোক্তা ফরোয়ার্ডিং নিয়ম বর্ণনা করে এবং এটি মেলে তা নিশ্চিত করে যাচাই করা যেতে পারে:

দ্রষ্টব্য: নিম্নলিখিত বিভাগে, আপনার ভোক্তা পরিষেবা রয়েছে এমন প্রকল্পে কনফিগারেশন আপডেটগুলি চালান

ক্লাউড শেল থেকে TCP ফরওয়ার্ড করার নিয়ম বর্ণনা করুন 

gcloud compute forwarding-rules describe vpc-consumer-psc-fr-tcp --region=us-west2

আউটপুট pscConnectionID বর্ণনা করে 

$ gcloud compute forwarding-rules describe vpc-consumer-psc-fr-tcp --region=us-west2
IPAddress: 10.0.60.100
IPProtocol: TCP
creationTimestamp: '2021-07-14T16:50:31.766-07:00'
id: '4443494505307621032'
kind: compute#forwardingRule
labelFingerprint: 42WmSpB8rSM=
name: vpc-consumer-psc-fr-tcp
network: https://www.googleapis.com/compute/v1/projects/deepakmichaeldev/global/networks/vpc-demo-consumer
networkTier: PREMIUM
pscConnectionId: '43686719580552292'
pscConnectionStatus: ACCEPTED

22. সংযোগ নীতি

আপনি একটি প্রকাশিত পরিষেবার জন্য স্বয়ংক্রিয় এবং স্পষ্ট প্রকল্প গ্রহণযোগ্যতার মধ্যে স্যুইচ করতে পারেন।

স্বয়ংক্রিয় গ্রহণযোগ্যতা থেকে সুস্পষ্ট গ্রহণযোগ্যতায় পরিবর্তন করা ভোক্তাদের শেষ পয়েন্টগুলিকে প্রভাবিত করে না যেগুলি এই পরিবর্তনের আগে পরিষেবার সাথে সংযুক্ত ছিল৷ পরিষেবা সংযুক্তি মুছে ফেলা না হওয়া পর্যন্ত বিদ্যমান ভোক্তা শেষ পয়েন্ট প্রকাশিত পরিষেবার সাথে সংযোগ করতে পারে৷ পরিষেবার সাথে সংযোগ করার আগে নতুন ভোক্তার শেষ পয়েন্টগুলি অবশ্যই গ্রহণ করতে হবে৷ আরও তথ্যের জন্য একটি প্রকাশিত পরিষেবাতে অ্যাক্সেসের অনুরোধগুলি পরিচালনা করা দেখুন।

ল্যাবের এই বিভাগে, আপনি ভোক্তার পরিষেবা সংযুক্তি স্পষ্টভাবে অনুমোদন করতে প্রযোজকের সংযোগ নীতি পরিবর্তন করবেন।

দ্রষ্টব্য: নিম্নলিখিত বিভাগে, আপনার প্রযোজক পরিষেবা রয়েছে এমন প্রকল্পে কনফিগারেশন আপডেটগুলি চালান

প্রযোজক পরিষেবা ক্লাউড শেল থেকে স্বয়ংক্রিয়ভাবে গ্রহণ করার জন্য সংযোগ-অভিরুচি নীতি আপডেট করুন 

gcloud compute service-attachments update vpc-demo-psc-west2-tcp --region=us-west2 --connection-preference ACCEPT_MANUAL

নেটওয়ার্ক পরিষেবা → প্রাইভেট সার্ভিস কানেক্ট → প্রকাশিত পরিষেবা → vpc-demo-psc-west2-tcp → সংযুক্ত প্রকল্পগুলিতে নেভিগেট করে এন্ডপয়েন্ট স্থিতি সনাক্ত করুন

e1d90d1563e10731.png

লক্ষ্য করুন, গ্রাহক প্রকল্প সংযুক্ত প্রকল্পের অধীনে "মুলতুবি" স্থিতিতে পরিবর্তিত হয়েছে৷

ক্লাউড শেলে নিম্নলিখিতগুলি সম্পাদন করে গ্রাহকদের প্রকল্প গ্রহণ করুন, উপযুক্ত প্রকল্পের নামের সাথে আপডেট নিশ্চিত করুন 

gcloud compute service-attachments update vpc-demo-psc-west2-tcp --region=us-west2 --consumer-accept-list $consumerproject=20

নেটওয়ার্ক পরিষেবা → প্রাইভেট সার্ভিস কানেক্ট → প্রকাশিত পরিষেবা → vpc-demo-psc-west2-tcp → সংযুক্ত প্রকল্পগুলিতে নেভিগেট করে এন্ডপয়েন্ট স্থিতি সনাক্ত করুন

35cba9ac640594a2.png

লক্ষ্য করুন, সংযুক্ত প্রকল্পের অধীনে গ্রাহক প্রকল্প "স্বীকৃত" স্থিতিতে পরিবর্তিত হয়েছে৷

23. পরিচ্ছন্নতার পদক্ষেপ

প্রযোজক নেটওয়ার্ক পরিষ্কার করার পদক্ষেপ

দ্রষ্টব্য: নিম্নলিখিত বিভাগে, আপনার প্রযোজক পরিষেবা রয়েছে এমন প্রকল্পে কনফিগারেশন আপডেটগুলি চালান

প্রযোজক প্রকল্প টার্মিনালে একটি একক ক্লাউড শেল থেকে ল্যাব উপাদানগুলি মুছে দিন 

gcloud compute routers nats delete cloudnatprod --router=crnatprod --region=us-west2 --quiet

gcloud compute routers delete crnatprod --region=us-west2 --quiet

gcloud compute instances delete www-01 --zone=us-west2-a --quiet

gcloud compute instances delete www-02 --zone=us-west2-a --quiet

gcloud compute service-attachments delete vpc-demo-psc-west2-tcp --region=us-west2 --quiet

gcloud compute forwarding-rules delete vpc-demo-www-ilb-tcp --region=us-west2 --quiet

gcloud compute backend-services delete vpc-demo-www-be-tcp --region=us-west2 --quiet

gcloud compute instance-groups unmanaged delete vpc-demo-ig-www --zone=us-west2-a --quiet

gcloud compute health-checks delete hc-http-80 --quiet

gcloud compute firewall-rules delete vpc-demo-allowpsc-tcp --quiet

gcloud compute firewall-rules delete vpc-demo-health-checks --quiet

gcloud compute firewall-rules delete psclab-iap-prod --quiet

gcloud compute networks subnets delete vpc-demo-us-west2 --region=us-west2 --quiet

gcloud compute networks subnets delete vpc-demo-us-west2-psc-tcp --region=us-west2 --quiet

gcloud compute networks delete vpc-demo-producer --quiet

দ্রষ্টব্য: নিম্নলিখিত বিভাগে, আপনার ভোক্তা পরিষেবা রয়েছে এমন প্রকল্পে কনফিগারেশন আপডেটগুলি চালান

ভোক্তা নেটওয়ার্ক পরিষ্কারের পদক্ষেপ

প্রযোজক প্রকল্প টার্মিনালে একটি একক ক্লাউড শেল থেকে ল্যাব উপাদানগুলি মুছে দিন 

gcloud compute routers nats delete cloudnatconsumer --router=crnatconsumer --region=us-west2 --quiet

gcloud compute routers delete crnatconsumer --region=us-west2 --quiet

gcloud compute instances delete test-instance-1 --zone=us-west2-a --quiet

gcloud compute forwarding-rules delete vpc-consumer-psc-fr-tcp --region=us-west2 --quiet

gcloud compute addresses delete vpc-consumer-psc-tcp --region=us-west2 --quiet

gcloud compute firewall-rules delete psclab-iap-consumer --quiet

gcloud compute networks subnets delete consumer-subnet --region=us-west2 --quiet

gcloud compute firewall-rules delete vpc-consumer-psc --quiet

gcloud compute networks delete vpc-demo-consumer --quiet

24. অভিনন্দন!

কোডল্যাব সম্পূর্ণ করার জন্য অভিনন্দন।

আমরা কভার করেছি কি

  • ব্যক্তিগত পরিষেবা সংযোগ সুবিধা
  • সেবা ভোক্তাদের জন্য মূল ধারণা
  • পরিষেবা প্রযোজকদের জন্য মূল ধারণা
  • একটি প্রযোজক পরিবেশ তৈরি করুন
  • একটি পরিষেবা সংযুক্তির মাধ্যমে পরিষেবা (উৎপাদক পরিবেশ) প্রকাশ করুন
  • একটি ভোক্তা পরিবেশ তৈরি করুন
  • ভোক্তা নেটওয়ার্কে একটি ফরওয়ার্ডিং নিয়ম তৈরি করুন
  • TCP ভোক্তা অ্যাক্সেস যাচাই করুন
  • প্রক্সি প্রোটোকল সক্ষম করুন এবং যাচাই করুন
  • নীতি অ্যাক্সেস নিয়ন্ত্রণ সক্ষম করুন