1. Giới thiệu
Private Google Access cho máy chủ tại chỗ cung cấp một cách để các hệ thống tại chỗ kết nối với các API và dịch vụ của Google bằng cách định tuyến lưu lượng truy cập thông qua một đường hầm Cloud VPN hoặc một tệp đính kèm VLAN cho Cloud Interconnect. Private Google Access cho máy chủ tại chỗ là một cách thay thế để kết nối với các API và dịch vụ của Google qua Internet.
Private Google Access cho máy chủ tại chỗ yêu cầu bạn chuyển hướng các yêu cầu đối với các API của Google đến địa chỉ IP ảo (VIP). Đối với IPv6, các địa chỉ IP sau đây được sử dụng:
- Đối với private.googleapis.com: 2600:2d00:0002:2000::/64
- Đối với restricted.googleapis.com: 2600:2d00:0002:1000::/64
VIP mà bạn chọn sẽ xác định những dịch vụ mà bạn có thể truy cập. Trong lớp học lập trình này, chúng ta sẽ sử dụng private.googleapis.com. Để biết thêm thông tin, hãy xem phần Các lựa chọn về miền.
Lớp học lập trình này mô tả cách bật Private Google Access cho các máy chủ tại chỗ sử dụng IPv6 địa chỉ. Bạn sẽ thiết lập một mạng VPC có tên là on-premises-vpc để đại diện cho một môi trường tại chỗ. Đối với hoạt động triển khai của bạn, on-premises-vpc sẽ không tồn tại, thay vào đó, bạn sẽ sử dụng giải pháp nối mạng kết hợp cho trung tâm dữ liệu tại chỗ hoặc nhà cung cấp dịch vụ đám mây.
Sản phẩm bạn sẽ tạo ra
Trong lớp học lập trình này, bạn sẽ tạo một mạng IPv6 đầu cuối minh hoạ quyền truy cập tại chỗ vào Cloud Storage API bằng cách sử dụng CNAME *.googleapis.com đến địa chỉ IPv6 private.googleapis.com 2600:2d00:0002:2000::/64 như minh hoạ trong Hình 1.
Hình 1
Kiến thức bạn sẽ học được
- Cách tạo mạng VPC ngăn xếp kép
- Cách tạo HA VPN bằng IPv6
- Cách cập nhật DNS để truy cập vào Private Google Access
- Cách thiết lập và xác thực kết nối Private Google Access
Bạn cần có
- Dự án trong Google Cloud
2. Trước khi bắt đầu
Cập nhật dự án để hỗ trợ lớp học lập trình
Lớp học lập trình này sử dụng $variables để hỗ trợ việc triển khai cấu hình gcloud trong Cloud Shell.
Trong Cloud Shell, hãy thực hiện như sau:
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=YOUR-PROJECT-NAME
echo $projectname
3. Tạo transit-vpc
Tạo mạng VPC trung chuyển
Trong Cloud Shell, hãy thực hiện như sau:
gcloud compute networks create transit-vpc --project=$projectname --subnet-mode=custom --mtu=1460 --enable-ula-internal-ipv6 --bgp-routing-mode=regional
4. Tạo mạng tại chỗ
Mạng VPC này đại diện cho một môi trường tại chỗ.
Tạo mạng VPC tại chỗ
Trong Cloud Shell, hãy thực hiện như sau:
gcloud compute networks create on-premises-vpc --project=$projectname --subnet-mode=custom --mtu=1460 --enable-ula-internal-ipv6 --bgp-routing-mode=regional
Tạo mạng con
Trong Cloud Shell, hãy thực hiện như sau:
gcloud compute networks subnets create on-premises-subnet1-us-central1 --project=$projectname --range=172.16.10.0/27 --stack-type=IPV4_IPV6 --ipv6-access-type=INTERNAL --network=on-premises-vpc --region=us-central1
5. Tạo HA VPN cho transit-vpc và on-premises-vpc
Tạo HA VPN GW cho transit-vpc
Khi mỗi cổng được tạo, hai địa chỉ IPv4 bên ngoài sẽ được phân bổ tự động, một cho mỗi giao diện cổng. Hãy ghi lại các địa chỉ IP này để sử dụng sau trong các bước định cấu hình.
Trong Cloud Shell, hãy tạo HA VPN GW có loại ngăn xếp IPV4_IPV6.
gcloud compute vpn-gateways create transit-vpc-vpngw \
--network=transit-vpc\
--region=us-central1 \
--stack-type=IPV4_IPV6
Tạo HA VPN GW cho on-premises-vpc
Trong Cloud Shell, hãy tạo HA VPN GW có loại ngăn xếp IPV4_IPV6
gcloud compute vpn-gateways create on-premises-vpc-vpngw \
--network=on-premises-vpc\
--region=us-central1 \
--stack-type=IPV4_IPV6
Xác thực việc tạo HA VPN GW
Sử dụng bảng điều khiển, hãy chuyển đến phần Kết nối kết hợp → VPN → CỔNG VPN TRÊN ĐÁM MÂY.
Tạo Cloud Router cho transit-vpc
Trong Cloud Shell, hãy tạo Cloud Router nằm ở us-central1
gcloud compute routers create transit-vpc-cr-us-central1 \
--region=us-central1 \
--network=transit-vpc\
--asn=65001
Tạo Cloud Router cho on-premises-vpc
Trong Cloud Shell, hãy tạo Cloud Router nằm ở us-central1
gcloud compute routers create on-premises-vpc-cr-us-central1 \
--region=us-central1 \
--network=on-premises-vpc \
--asn=65002
Tạo đường hầm VPN cho transit-vpc
Bạn sẽ tạo 2 đường hầm VPN trên mỗi cổng HA VPN.
Tạo đường hầm VPN0
Trong Cloud Shell, hãy tạo tunnel0:
gcloud compute vpn-tunnels create transit-vpc-tunnel0 \
--peer-gcp-gateway on-premises-vpc-vpngw \
--region us-central1 \
--ike-version 2 \
--shared-secret [ZzTLxKL8fmRykwNDfCvEFIjmlYLhMucH] \
--router transit-vpc-cr-us-central1 \
--vpn-gateway transit-vpc-vpngw \
--interface 0
Tạo đường hầm VPN1
Trong Cloud Shell, hãy tạo tunnel1:
gcloud compute vpn-tunnels create transit-vpc-tunnel1 \
--peer-gcp-gateway on-premises-vpc-vpngw \
--region us-central1 \
--ike-version 2 \
--shared-secret [bcyPaboPl8fSkXRmvONGJzWTrc6tRqY5] \
--router transit-vpc-cr-us-central1 \
--vpn-gateway transit-vpc-vpngw \
--interface 1
Tạo đường hầm VPN cho on-premises-vpc
Bạn sẽ tạo 2 đường hầm VPN trên mỗi cổng HA VPN.
Tạo đường hầm VPN0
Trong Cloud Shell, hãy tạo tunnel0:
gcloud compute vpn-tunnels create on-premises-tunnel0 \
--peer-gcp-gateway transit-vpc-vpngw \
--region us-central1 \
--ike-version 2 \
--shared-secret [ZzTLxKL8fmRykwNDfCvEFIjmlYLhMucH] \
--router on-premises-vpc-cr-us-central1 \
--vpn-gateway on-premises-vpc-vpngw \
--interface 0
Tạo đường hầm VPN1
Trong Cloud Shell, hãy tạo tunnel1:
gcloud compute vpn-tunnels create on-premises-tunnel1 \
--peer-gcp-gateway transit-vpc-vpngw \
--region us-central1 \
--ike-version 2 \
--shared-secret [bcyPaboPl8fSkXRmvONGJzWTrc6tRqY5] \
--router on-premises-vpc-cr-us-central1 \
--vpn-gateway on-premises-vpc-vpngw \
--interface 1
Xác thực việc tạo đường hầm vpn
Sử dụng bảng điều khiển, hãy chuyển đến phần Kết nối kết hợp → VPN → ĐƯỜNG HẦM VPN TRÊN ĐÁM MÂY.
Tạo phiên BGP
Trong phần này, bạn sẽ định cấu hình các giao diện Cloud Router và các đối tượng ngang hàng BGP.
Khi tạo các đường hầm VPN cho phép lưu lượng truy cập IPv6, hãy chỉ định --enable-ipv6 khi bạn chạy lệnh add-bgp-peer.
Tạo giao diện và kết nối ngang hàng BGP cho transit-vpc
Trong Cloud Shell, hãy tạo giao diện BGP:
gcloud compute routers add-interface transit-vpc-cr-us-central1 \
--interface-name if-tunnel1-to-onpremise \
--ip-address 169.254.1.1 \
--mask-length 30 \
--vpn-tunnel transit-vpc-tunnel0 \
--region us-central1
Trong Cloud Shell, hãy tạo đối tượng ngang hàng BGP:
gcloud compute routers add-bgp-peer transit-vpc-cr-us-central1 \
--peer-name bgp-on-premises-tunnel0 \
--interface if-tunnel1-to-onpremise \
--peer-ip-address 169.254.1.2 \
--peer-asn 65002 \
--region us-central1 \
--enable-ipv6 \
--ipv6-nexthop-address 2600:2d00:0:3:0:0:0:1 \
--peer-ipv6-nexthop-address 2600:2d00:0:3:0:0:0:2
Trong Cloud Shell, hãy tạo giao diện BGP:
gcloud compute routers add-interface transit-vpc-cr-us-central1 \
--interface-name if-tunnel2-to-onpremise \
--ip-address 169.254.2.1 \
--mask-length 30 \
--vpn-tunnel transit-vpc-tunnel1 \
--region us-central1
Trong Cloud Shell, hãy tạo đối tượng ngang hàng BGP:
gcloud compute routers add-bgp-peer transit-vpc-cr-us-central1 \
--peer-name bgp-on-premises-tunnel2 \
--interface if-tunnel2-to-onpremise \
--peer-ip-address 169.254.2.2 \
--peer-asn 65002 \
--region us-central1 \
--enable-ipv6 \
--ipv6-nexthop-address 2600:2d00:0:3:0:0:0:11 \
--peer-ipv6-nexthop-address 2600:2d00:0:3:0:0:0:12
Tạo giao diện và kết nối ngang hàng BGP cho on-premises-vpc
Trong Cloud Shell, hãy tạo giao diện BGP:
gcloud compute routers add-interface on-premises-vpc-cr-us-central1\
--interface-name if-tunnel1-to-hub-vpc \
--ip-address 169.254.1.2 \
--mask-length 30 \
--vpn-tunnel on-premises-tunnel0 \
--region us-central1
Trong Cloud Shell, hãy tạo đối tượng ngang hàng BGP:
gcloud compute routers add-bgp-peer on-premises-vpc-cr-us-central1 \
--peer-name bgp-transit-vpc-tunnel0 \
--interface if-tunnel1-to-hub-vpc \
--peer-ip-address 169.254.1.1 \
--peer-asn 65001 \
--region us-central1 \
--enable-ipv6 \
--ipv6-nexthop-address 2600:2d00:0:3:0:0:0:2 \
--peer-ipv6-nexthop-address 2600:2d00:0:3:0:0:0:1
Trong Cloud Shell, hãy tạo giao diện BGP:
gcloud compute routers add-interface on-premises-vpc-cr-us-central1\
--interface-name if-tunnel2-to-hub-vpc \
--ip-address 169.254.2.2 \
--mask-length 30 \
--vpn-tunnel on-premises-tunnel1 \
--region us-central1
Trong Cloud Shell, hãy tạo đối tượng ngang hàng BGP:
gcloud compute routers add-bgp-peer on-premises-vpc-cr-us-central1\
--peer-name bgp-transit-vpc-tunnel1\
--interface if-tunnel2-to-hub-vpc \
--peer-ip-address 169.254.2.1 \
--peer-asn 65001 \
--region us-central1 \
--enable-ipv6 \
--ipv6-nexthop-address 2600:2d00:0:3:0:0:0:12 \
--peer-ipv6-nexthop-address 2600:2d00:0:3:0:0:0:11
Chuyển đến Kết nối kết hợp → VPN để xem thông tin chi tiết về đường hầm VPN.
Xác thực rằng transit-vpc đang tìm hiểu các tuyến IPv4 và IPv6 qua HA VPN
Vì các đường hầm HA VPN và phiên BGP đã được thiết lập, nên các tuyến từ on-premises-vpc sẽ được tìm hiểu từ transit-vpc. Sử dụng bảng điều khiển, hãy chuyển đến phần Mạng VPC → Mạng VPC → transit-vpc → TUYẾN.
Quan sát các tuyến động IPv4 và IPv6 đã tìm hiểu được như minh hoạ bên dưới:
Xác thực rằng on-premises-vpc không tìm hiểu các tuyến qua HA VPN
Transit-vpc không có mạng con, do đó, Cloud Router sẽ không quảng cáo bất kỳ mạng con nào cho on-premises-vpc. Sử dụng bảng điều khiển, hãy chuyển đến phần Mạng VPC → Mạng VPC → on-premises-vpc → TUYẾN.
6. Quảng cáo VIP IPv6 private.googleapis.com
Để truy cập vào Private Google Access từ tại chỗ, bạn cần tạo một quảng cáo tuyến tuỳ chỉnh từ transit-vpc. Địa chỉ IPv6 2600:2d00:0002:2000:: sẽ được quảng cáo cho môi trường tại chỗ và được các khối lượng công việc sử dụng để truy cập vào các API của Google như Cloud Storage, Cloud BigQuery và Cloud Bigtable sau khi DNS cục bộ được cập nhật.
Trong lớp học lập trình này, bạn sẽ bật quyền truy cập API vào hầu hết các API và dịch vụ của Google, bất kể chúng có được VPC Service Controls hỗ trợ hay không.
Từ bảng điều khiển, hãy chuyển đến phần Kết nối kết hợp → Cloud Router → transit-vpc-cr-us-central1, sau đó chọn CHỈNH SỬA.
Trong phần Tuyến được quảng cáo, hãy chọn tuỳ chọn Tạo tuyến tuỳ chỉnh, cập nhật các trường dựa trên ví dụ bên dưới, chọn XONG, rồi nhấp vào LƯU.
Xác thực rằng on-premises-vpc đang tìm hiểu các tuyến IPv6
Giờ đây, khi VIP IPv6 private.googleapis.com được quảng cáo từ transit-vpc, on-premises-vpc sẽ tìm hiểu được các tuyến động IPv6 cho VIP. Sử dụng bảng điều khiển, hãy chuyển đến phần Mạng VPC → Mạng VPC → on-premises-vpc → TUYẾN.
Quan sát các tuyến IPv6 được quảng cáo từ transit-vpc:
7. Thiết lập giao tiếp với các API của Google bằng Private Google Access
Trong phần sau, chúng ta sẽ truy cập và xác thực kết nối với Cloud Storage bằng cách sử dụng VIP IPv6 private.googleapis.com. Để thực hiện việc này, chúng ta cần thực hiện các thao tác sau trong on-premises-vpc.
- Tạo một quy tắc tường lửa đầu vào để cho phép quyền truy cập vào Identity-Aware Proxy (IAP) cho quyền truy cập SSH.
- Tạo Cloud Router và Cloud NAT để tải tcpdump và dnsutils xuống.
- Tạo một vùng DNS riêng tư trong Cloud DNS cho googleapis.com.
- Tạo một bộ chứa Cloud Storage.
Tạo quy tắc tường lửa IAP
Để cho phép IAP kết nối với các thực thể máy ảo, hãy tạo một quy tắc tường lửa:
- Áp dụng cho tất cả các thực thể máy ảo mà bạn muốn có thể truy cập bằng cách sử dụng IAP.
- Cho phép lưu lượng truy cập đầu vào từ dải IP 35.235.240.0/20. Dải này chứa tất cả các địa chỉ IP mà IAP sử dụng để chuyển tiếp TCP.
Trong Cloud Shell, hãy tạo quy tắc tường lửa IAP.
gcloud compute firewall-rules create ssh-iap-on-premises-vpc \
--network on-premises-vpc \
--allow tcp:22 \
--source-ranges=35.235.240.0/20
Cấu hình Cloud Router và NAT
Cloud NAT được sử dụng trong lớp học lập trình này để cài đặt gói phần mềm vì thực thể máy ảo không có địa chỉ IP ngoài.
Trong Cloud Shell, hãy tạo Cloud Router.
gcloud compute routers create on-premises-cr-us-central1-nat --network on-premises-vpc --region us-central1
Trong Cloud Shell, hãy tạo cổng NAT.
gcloud compute routers nats create on-premises-nat-us-central1 --router=on-premises-cr-us-central1-nat --auto-allocate-nat-external-ips --nat-all-subnet-ip-ranges --region us-central1
Tạo một thực thể kiểm thử, on-premises-testbox
Tạo một thực thể kiểm thử sẽ được dùng để kiểm thử và xác thực kết nối với VIP IPv6 private.googleapis.com.
Trong Cloud Shell, hãy tạo thực thể.
gcloud compute instances create on-premises-testbox \
--project=$projectname \
--machine-type=e2-micro \
--stack-type=IPV4_IPV6 \
--image-family debian-10 \
--no-address \
--image-project debian-cloud \
--zone us-central1-a \
--subnet=on-premises-subnet1-us-central1 \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install tcpdump -y
sudo apt-get install dnsutils -y"
Tạo vùng riêng tư Cloud DNS
Chúng ta sẽ sử dụng Cloud DNS để tạo một vùng riêng tư và các bản ghi cho *.googleapis.com. Dưới đây là các bước bắt buộc.
Trong Cloud Shell, hãy tạo một vùng DNS riêng tư v6-googleapis.com.
gcloud dns --project=$projectname managed-zones create v6-googleapis --description="" --dns-name="googleapis.com." --visibility="private" --networks="on-premises-vpc"
Trong Cloud Shell, hãy tạo bản ghi AAAA cho private.googleapis.com. trỏ đến địa chỉ IPv6 2600:2d00:0002:2000::.
gcloud dns --project=$projectname record-sets create private.googleapis.com. --zone="v6-googleapis" --type="AAAA" --ttl="300" --rrdatas="2600:2d00:0002:2000::"
Trong Cloud Shell, hãy tạo một CNAME cho *.googleapis.com để trỏ đến private.googleapis.com.
gcloud dns --project=$projectname record-sets create *.googleapis.com. --zone="v6-googleapis" --type="CNAME" --ttl="300" --rrdatas="private.googleapis.com."
Xác thực vùng riêng tư Cloud DNS
Chuyển đến phần Dịch vụ mạng → Cloud DNS → v6-googleapis.
Tạo bộ chứa Cloud Storage
Trong Cloud Shell, hãy tạo một bộ chứa Cloud Storage và thay thế bucket_name bằng một tên duy nhất trên toàn cầu mà bạn muốn. Hãy thử một tên khác nếu tên đó đã được sử dụng.
gsutil mb -l us-central1 -b on gs://bucket_name
8. Truy cập và xác thực các API của Google bằng địa chỉ IPv6
Trong phần sau, bạn sẽ thực hiện SSH vào 2 thiết bị đầu cuối Cloud Shell. Thiết bị đầu cuối đầu tiên được dùng để xác thực việc tra cứu IPv6 bằng tcpdump, trong khi thiết bị đầu cuối thứ hai được dùng để truy cập vào bộ chứa Cloud Storage.
Trong Cloud Shell, hãy thực hiện ssh vào thực thể kiểm thử on-premises-testbox.
gcloud compute ssh --zone "us-central1-a" "on-premises-testbox" --project "$projectname"
Trong thiết bị đầu cuối Cloud Shell 1, hãy bắt đầu tcpdump và theo dõi cổng 53 để biết lưu lượng truy cập DNS.
sudo tcpdump -nn -i ens4 port 53
Ví dụ bên dưới.
user@on-premises-testbox:~$ sudo tcpdump -nn -i ens4 port 53
Mở một thiết bị đầu cuối Cloud Shell mới bằng cách chọn "+". Sau khi thẻ mới được mở, hãy cập nhật biến tên dự án.
Trong Cloud Shell, hãy cập nhật biến tên dự án.
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=YOUR-PROJECT-NAME
echo $projectname
Trong Cloud Shell 2, hãy thực hiện ssh vào thực thể kiểm thử on-premises-testbox.
gcloud compute ssh --zone "us-central1-a" "on-premises-testbox" --project "$projectname"
Thực hiện lệnh dig để xác thực việc tra cứu DNS
Trong thiết bị đầu cuối Cloud Shell 2, hãy thực hiện lệnh dig đối với storage.googleapis.com.
dig AAAA storage.googleapis.com
Kiểm tra PHẦN TRẢ LỜI, vùng DNS riêng tư storage.googleapis.com CNAME đến private.googleapis.com AAAA 2600:2d00:2:2000::, ví dụ bên dưới:
user@on-premises-testbox:~$ dig AAAA storage.googleapis.com
; <<>> DiG 9.11.5-P4-5.1+deb10u8-Debian <<>> AAAA storage.googleapis.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2782
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;storage.googleapis.com. IN AAAA
;; ANSWER SECTION:
storage.googleapis.com. 300 IN CNAME private.googleapis.com.
private.googleapis.com. 300 IN AAAA 2600:2d00:2:2000::
;; Query time: 9 msec
;; SERVER: 169.254.169.254#53(169.254.169.254)
;; WHEN: Mon Feb 20 01:56:33 UTC 2023
;; MSG SIZE rcvd: 101
Trong thiết bị đầu cuối Cloud Shell 1, hãy kiểm tra tcpdump để xác nhận thêm việc phân giải DNS thành AAAA 2600:2d00:2:2000::.
user@on-premises-testbox:~$ sudo tcpdump -nn -i ens4 port 53
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens4, link-type EN10MB (Ethernet), capture size 262144 bytes
01:56:33.473208 IP 172.16.10.3.41476 > 169.254.169.254.53: 2782+ [1au] AAAA? storage.googleapis.com. (63)
01:56:33.482580 IP 169.254.169.254.53 > 172.16.10.3.41476: 2782 2/0/1 CNAME private.googleapis.com., AAAA 2600:2d00:2:2000:: (101)
Dựa trên lệnh dig và tcpdump, chúng ta có thể kết luận rằng việc phân giải DNS thành storage.googleapis.com được thực hiện thông qua 2600:2d00:2:2000::, địa chỉ IPv6 cho private.googleapis.com.
Thực hiện lệnh gsutil list để xác thực quyền truy cập vào Cloud Storage
Trong thiết bị đầu cuối Cloud Shell 2, hãy thực hiện lệnh list đối với bộ chứa Cloud Storage đã tạo trước đó bằng gsutil. Thay đổi bucket_name thành bộ chứa mà bạn đã tạo trước đó.
gsutil -d ls gs://bucket_name
Ví dụ sử dụng bộ chứa Cloud Storage codelab-ipv6, hãy kiểm tra đầu ra gỡ lỗi cho biết storage.googleapis.com và HTTP/1.1 200 OK.
user@on-premises-testbox:~$ gsutil -d ls gs://codelab-ipv6
***************************** WARNING *****************************
*** You are running gsutil with debug output enabled.
*** Be aware that debug output includes authentication credentials.
*** Make sure to remove the value of the Authorization header for
*** each HTTP request printed to the console prior to posting to
*** a public medium such as a forum post or Stack Overflow.
***************************** WARNING *****************************
gsutil version: 5.19
checksum: 49a18b9e15560adbc187bab09c51b5fd (OK)
boto version: 2.49.0
python version: 3.9.16 (main, Jan 10 2023, 02:29:25) [Clang 12.0.1 ]
OS: Linux 4.19.0-23-cloud-amd64
multiprocessing available: True
using cloud sdk: True
pass cloud sdk credentials to gsutil: True
config path(s): /etc/boto.cfg
gsutil path: /usr/lib/google-cloud-sdk/bin/gsutil
compiled crcmod: True
installed via package manager: False
editable install: False
shim enabled: False
Command being run: /usr/lib/google-cloud-sdk/platform/gsutil/gsutil -o GSUtil:default_project_id=myprojectid -o GoogleCompute:service_account=default -d ls gs://codelab-ipv6
config_file_list: ['/etc/boto.cfg']
config: [('working_dir', '/mnt/pyami'), ('debug', '0'), ('https_validate_certificates', 'true'), ('working_dir', '/mnt/pyami'), ('debug', '0'), ('default_project_id', 'myproject'), ('default_api_version', '2')]
DEBUG 0220 02:01:14.713012 multiprocess_file_storage.py] Read credential file
INFO 0220 02:01:14.714742 base_api.py] Calling method storage.objects.list with StorageObjectsListRequest: <StorageObjectsListRequest
bucket: 'codelab-ipv6'
delimiter: '/'
maxResults: 1000
projection: ProjectionValueValuesEnum(noAcl, 1)
versions: False>
INFO 0220 02:01:14.715939 base_api.py] Making http GET to https://storage.googleapis.com/storage/v1/b/codelab-ipv6/o?alt=json&fields=prefixes%2Citems%2Fname%2CnextPageToken&delimiter=%2F&maxResults=1000&projection=noAcl&versions=False
INFO 0220 02:01:14.716369 base_api.py] Headers: {'accept': 'application/json',
'accept-encoding': 'gzip, deflate',
'content-length': '0',
'user-agent': 'apitools Python/3.9.16 gsutil/5.19 (linux) analytics/disabled '
'interactive/True command/ls google-cloud-sdk/416.0.0'}
INFO 0220 02:01:14.716875 base_api.py] Body: (none)
connect: (storage.googleapis.com, 443)
send: b'GET /storage/v1/b/codelab-ipv6/o?alt=json&fields=prefixes%2Citems%2Fname%2CnextPageToken&delimiter=%2F&maxResults=1000&projection=noAcl&versions=False HTTP/1.1\r\nHost: storage.googleapis.com\r\ncontent-length: 0\r\nuser-agent: apitools Python/3.9.16 gsutil/5.19 (linux) analytics/disabled
<SNIP>
reply: 'HTTP/1.1 200 OK\r\n'
header: X-GUploader-UploadID: ADPycdvunHlbN1WQBxDr_LefzLaH_HY1bBH22X7IxX9sF1G2Yo_7-nhYwjxUf6N7AF9Zg_JDwPxYtuNJiFutfd6qauEfohYPs7mE
header: Content-Type: application/json; charset=UTF-8
header: Date: Mon, 20 Feb 2023 02:01:14 GMT
header: Vary: Origin
header: Vary: X-Origin
header: Cache-Control: private, max-age=0, must-revalidate, no-transform
header: Expires: Mon, 20 Feb 2023 02:01:14 GMT
header: Content-Length: 3
header: Server: UploadServer
INFO 0220 02:01:14.803286 base_api.py] Response of type Objects: <Objects
items: []
prefixes: []>
user@on-premises-testbox:~$
Trong thiết bị đầu cuối Cloud Shell 1, hãy kiểm tra tcpdump để xác nhận thêm việc phân giải DNS thành AAAA 2600:2d00:2:2000::.
eepakmichael@on-premises-testbox:~$ sudo tcpdump -nn -i ens4 port 53
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens4, link-type EN10MB (Ethernet), capture size 262144 bytes
02:01:14.725000 IP 172.16.10.3.48792 > 169.254.169.254.53: 7056+ A? storage.googleapis.com. (40)
02:01:14.725106 IP 172.16.10.3.48792 > 169.254.169.254.53: 50841+ AAAA? storage.googleapis.com. (40)
02:01:14.732516 IP 169.254.169.254.53 > 172.16.10.3.48792: 50841 2/0/0 CNAME private.googleapis.com., AAAA 2600:2d00:2:2000:: (90)
Thoát khỏi hệ điều hành thực thể on-premises-testbox, quay lại dấu nhắc Cloud Shell.
9. Dọn dẹp
Trong Cloud Shell, hãy thực hiện như sau:
gcloud compute vpn-tunnels delete transit-vpc-tunnel0 transit-vpc-tunnel1 on-premises-tunnel1 --region=us-central1 --quiet
gcloud compute vpn-tunnels delete on-premises-tunnel0 on-premises-tunnel1 --region=us-central1 --quiet
gcloud compute vpn-gateways delete on-premises-vpc-vpngw transit-vpc-vpngw --region=us-central1 --quiet
gcloud compute routers delete transit-vpc-cr-us-central1 on-premises-vpc-cr-us-central1 on-premises-cr-us-central1-nat --region=us-central1 --quiet
gcloud compute instances delete on-premises-testbox --zone=us-central1-a --quiet
gcloud compute networks subnets delete on-premises-subnet1-us-central1 --region=us-central1 --quiet
gcloud compute firewall-rules delete ssh-iap-on-premises-vpc --quiet
gcloud compute networks delete on-premises-vpc --quiet
gcloud compute networks delete transit-vpc --quiet
gsutil rb gs://bucket_name
gcloud dns record-sets delete *.googleapis.com. \
--type=CNAME \
--zone=v6-googleapis
gcloud dns record-sets delete private.googleapis.com. \
--type=AAAA \
--zone=v6-googleapis
gcloud dns managed-zones delete v6-googleapis
10. Xin chúc mừng
Xin chúc mừng! Bạn đã định cấu hình và xác thực thành công một Private Google Access bằng IPv6.
Bạn đã tạo cơ sở hạ tầng trung chuyển và tại chỗ, đồng thời tạo một Vùng DNS riêng cho phép phân giải các miền API của Google bằng IPv6. Bạn đã tìm hiểu cách kiểm thử và xác thực quyền truy cập IPv6 bằng lệnh dig và Cloud Storage.
Cosmopup cho rằng các lớp học lập trình rất tuyệt!!
Tiếp theo là gì?
Hãy xem một số lớp học lập trình này...