1. مقدمة
نظرة عامة
في هذا التمرين العملي، ستستكشف بعض ميزات Network Connectivity Center.
Network Connectivity Center (NCC) هو نموذج مستوى تحكّم مركزي وموزّع لإدارة اتصال الشبكة في Google Cloud. يوفر مورد المحور نموذجًا مركزيًا لإدارة الاتصال من أجل ربط الشبكات الفرعية. تتيح "مركزية الشبكة" حاليًا موارد الشبكة التالية كشبكات فرعية:
- مرفقات VLAN
- أجهزة التوجيه
- HA VPN
تتطلّب الدروس التطبيقية حول الترميز استخدام حلول شبكة WAN المعرّفة بالبرمجيات من flexiWAN SaaS التي تسهّل عملية نشر شبكة WAN وإدارتها. flexWAN هو حلّ مفتوح المصدر لشبكة SD-WAN وSASE.
ما ستنشئه
في هذا الدرس التطبيقي حول الترميز، ستنشئ بنية شبكة SD-WAN على شكل محور ونقطة اتصال لمحاكاة المواقع الفرعية البعيدة التي ستنتقل عبر شبكة Google الأساسية للتواصل بين الموقع والسحابة الإلكترونية وبين المواقع.
- ستنشر زوجًا من الأجهزة الافتراضية في GCE تم إعدادهما لوكيل SD-WAN "flexiWAN" في شبكة VPC المحورية التي تمثّل نقاط النهاية لحركة البيانات الواردة والصادرة إلى Google Cloud Platform.
- نشر جهازَي توجيه flexiWAN SD-WAN عن بُعد لتمثيل شبكتَي VPC مختلفتَين في موقعَين فرعيَين
- بالنسبة إلى اختبار مسار البيانات، عليك ضبط ثلاثة أجهزة افتراضية على Google Compute Engine لمحاكاة العملاء المحليين والخادم المستضاف على Google Cloud Platform.
ما ستتعلمه
- استخدام NCC لربط المكاتب الفرعية البعيدة ببعضها البعض باستخدام حلّ شبكة WAN محدّدة بالبرامج مفتوح المصدر
- خبرة عملية في استخدام حلول شبكات WAN المحدّدة بالبرامج المفتوحة المصدر
المتطلبات
- معرفة شبكة VPC في Google Cloud
- معرفة Cloud Router وتوجيه بروتوكول BGP
- يتطلّب الدرس التطبيقي حول الترميز 6 شبكات VPC. تحقَّق من الحصة:الشبكات واطلب إضافة شبكات إضافية إذا لزم الأمر، كما هو موضّح في لقطة الشاشة أدناه:
2. الأهداف
- إعداد بيئة GCP
- نشر مثيلات flexiWAN Edge في GCP
- إنشاء مركز NCC وNVA Edge flexiWAN كعقدة فرعية
- إعداد وإدارة مثيلات flexiWAN باستخدام flexiManage
- ضبط تبادل مسارات BGP بين vpc-app-svcs وNVA من flexiWAN
- إنشاء موقع جغرافي بعيد يحاكي فرعًا بعيدًا للعميل أو مركز بيانات
- إنشاء نفق IPSEC بين الموقع البعيد وNVA
- التأكّد من نشر الأجهزة بنجاح
- التحقّق من صحة عملية نقل البيانات من الموقع الإلكتروني إلى السحابة الإلكترونية
- التحقّق من صحة عملية نقل بيانات الموقع الإلكتروني من موقع إلى آخر
- تنظيف الموارد المستخدَمة
يتطلّب هذا البرنامج التعليمي إنشاء حساب flexiManage مجاني للمصادقة والإعداد والإدارة لنسخ flexiEdge.
قبل البدء
استخدام Google Cloud Console وCloud Shell
للتفاعل مع Google Cloud Platform، سنستخدم كلاً من Google Cloud Console وCloud Shell خلال هذا الدرس التطبيقي.
Google Cloud Console
يمكن الوصول إلى Cloud Console على https://console.cloud.google.com.
اضبط العناصر التالية في Google Cloud لتسهيل إعداد Network Connectivity Center:
في Google Cloud Console، في صفحة اختيار المشروع، اختَر مشروعًا على Google Cloud أو أنشِئ مشروعًا.
شغِّل Cloud Shell. يستخدِم هذا الدرس التطبيقي حول الترميز $variables للمساعدة في تنفيذ عملية إعداد gcloud في Cloud Shell.
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname
أدوار "إدارة الهوية وإمكانية الوصول"
تتطلّب "مركز إدارة العملاء" أدوار IAM للوصول إلى واجهات برمجة تطبيقات معيّنة. احرص على ضبط المستخدم باستخدام أدوار NCC IAM حسب الحاجة.
اسم الدور | الوصف | الأذونات |
networkconnectivity.networkAdmin | يسمح هذا الدور لمشرفي الشبكة بإدارة المحاور والفروع. | networkconnectivity.hubs.networkconnectivity.spokes. |
networkconnectivity.networkSpokeManager | يسمح بإضافة وإدارة أجهزة تابعة في جهاز مركزي. يجب استخدامه في شبكة VPC مشتركة يملك فيها المشروع المضيف "مركز التبادل"، ولكن يمكن للمشرفين الآخرين في المشاريع الأخرى إضافة "عُقد" إلى "مركز التبادل" من أجل المرفقات. | networkconnectivity.spokes.** |
networkconnectivity.networkUsernetworkconnectivity.networkViewer | تسمح لمستخدمي الشبكة بعرض سمات مختلفة للمركز والفروع. | networkconnectivity.hubs.getnetworkconnectivity.hubs.listnetworkconnectivity.spokes.getnetworkconnectivity.spokes.listnetworkconnectivity.spokes.aggregatedList |
3- إعداد بيئة مختبر الشبكة
نظرة عامة
في هذا القسم، سننفّذ شبكات VPC وقواعد جدار الحماية.
محاكاة شبكات المواقع الفرعية المحلية
تحتوي شبكة السحابة الإلكترونية الافتراضية (VPC) هذه على شبكات فرعية للأجهزة الافتراضية المحلية.
أنشئ شبكات الموقع الفرعية والشبكات المحلية:
gcloud compute networks create site1-vpc \
--subnet-mode custom
gcloud compute networks create site2-vpc \
--subnet-mode custom
gcloud compute networks create s1-inside-vpc \
--subnet-mode custom
gcloud compute networks create s2-inside-vpc \
--subnet-mode custom
gcloud compute networks subnets create site1-subnet \
--network site1-vpc \
--range 10.10.0.0/24 \
--region us-central1
gcloud compute networks subnets create site2-subnet \
--network site2-vpc \
--range 10.20.0.0/24 \
--region us-east4
gcloud compute networks subnets create s1-inside-subnet \
--network s1-inside-vpc \
--range 10.10.1.0/24 \
--region us-central1
gcloud compute networks subnets create s2-inside-subnet \
--network s2-inside-vpc \
--range 10.20.1.0/24 \
--region us-east4
أنشئ قواعد جدار الحماية site1-vpc للسماح بما يلي:
- بروتوكول النقل الآمن (SSH)، داخلي، بروتوكول IAP
- ESP وUDP/500 وUDP/4500
- النطاق 10.0.0.0/8
- النطاق 192.168.0.0/16
gcloud compute firewall-rules create site1-ssh \--network site1-vpc \
--allow tcp:22
gcloud compute firewall-rules create site1-internal \
--network site1-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create site1-cloud \
--network site1-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create site1-vpn \
--network site1-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router
gcloud compute firewall-rules create site1-iap \
--network site1-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
أنشئ قواعد جدار الحماية site2-vpc للسماح بما يلي:
- بروتوكول النقل الآمن (SSH)، داخلي، بروتوكول IAP
- النطاق 10.0.0.0/8
- النطاق 192.168.0.0/16
gcloud compute firewall-rules create site2-ssh \
--network site2-vpc \
--allow tcp:22
gcloud compute firewall-rules create site2-internal \
--network site2-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create site2-cloud \
--network site1-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create site2-vpn \
--network site1-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router
gcloud compute firewall-rules create site2-iap \
--network site2-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
أنشئ قواعد جدار الحماية s1-inside-vpc للسماح بما يلي:
- بروتوكول النقل الآمن (SSH)، داخلي، بروتوكول IAP
- النطاق 10.0.0.0/8
- النطاق 192.168.0.0/16
gcloud compute firewall-rules create s1-inside-ssh \
--network s1-inside-vpc \
--allow tcp:22
gcloud compute firewall-rules create s1-inside-internal \
--network s1-inside-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create s1-inside-cloud \
--network s1-inside-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create s1-inside-iap \
--network site2-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
أنشئ قواعد جدار الحماية s2-inside-vpc للسماح بما يلي:
- بروتوكول النقل الآمن (SSH)، داخلي، بروتوكول IAP
- النطاق 10.0.0.0/8
- النطاق 192.168.0.0/16
gcloud compute firewall-rules create s2-inside-ssh \
--network s2-inside-vpc \
--allow tcp:22
gcloud compute firewall-rules create s2-inside-internal \
--network s2-inside-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create s2-inside-cloud \
--network s2-inside-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create s2-inside-iap \
--network site2-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
لأغراض الاختبار، أنشئ مثيلَي s1-inside-vm وs2-inside-vm
gcloud compute instances create s1-vm \
--zone=us-central1-a \
--machine-type=e2-micro \
--network-interface subnet=s1-inside-subnet,private-network-ip=10.10.1.3,no-address
gcloud compute instances create s2-vm \
--zone=us-east4-b \
--machine-type=e2-micro \
--network-interface subnet=s2-inside-subnet,private-network-ip=10.20.1.3,no-address
محاكاة بيئة شبكة السحابة الإلكترونية في Google Cloud Platform
لتفعيل حركة المرور بين المواقع الجغرافية المختلفة من خلال شبكة hub-vpc والشبكات الفرعية، عليك تفعيل التوجيه العام في شبكة hub-vpc. يمكنك الاطّلاع على مزيد من المعلومات في مقالة تبادُل المسارات ضمن NCC.
- أنشئ
hub-vpcشبكة وشبكات فرعية:
gcloud compute networks create hub-vpc \
--subnet-mode custom \
--bgp-routing-mode=global
gcloud compute networks subnets create hub-subnet1 \
--network hub-vpc \
--range 10.1.0.0/24 \
--region us-central1
gcloud compute networks subnets create hub-subnet2 \
--network hub-vpc \
--range 10.2.0.0/24 \
--region us-east4
- أنشئ
workload-vpcشبكة وشبكات فرعية:
gcloud compute networks create workload-vpc \
--subnet-mode custom \
--bgp-routing-mode=global
gcloud compute networks subnets create workload-subnet1 \
--network workload-vpc \
--range 192.168.235.0/24 \
--region us-central1
gcloud compute networks subnets create workload-subnet2 \
--network workload-vpc \
--range 192.168.236.0/24 \
--region us-east4
- أنشئ قواعد جدار حماية Hub-VPC للسماح بما يلي:
- بروتوكول النقل الآمن (SSH)
- ESP وUDP/500 وUDP/4500
- النطاق الداخلي 10.0.0.0/8 (الذي يغطي منفذ TCP رقم 179 المطلوب لجلسة BGP من موجّه السحابة الإلكترونية إلى جهاز التوجيه)
gcloud compute firewall-rules create hub-ssh \
--network hub-vpc \
--allow tcp:22
gcloud compute firewall-rules create hub-vpn \
--network hub-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router
gcloud compute firewall-rules create hub-internal \
--network hub-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create hub-iap \
--network hub-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
- أنشئ قواعد جدار حماية Workload-VPC للسماح بما يلي:
- بروتوكول النقل الآمن (SSH)
- النطاق الداخلي 192.168.0.0/16 (الذي يغطي منفذ TCP 179 المطلوب لجلسة BGP من موجه السحابة الإلكترونية إلى جهاز التوجيه)
gcloud compute firewall-rules create workload-ssh \
--network workload-vpc \
--allow tcp:22
gcloud compute firewall-rules create workload-internal \
--network workload-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute --project=$projectname firewall-rules create allow-from-site-1-2 --direction=INGRESS --priority=1000 --network=workload-vpc --action=ALLOW --rules=all --source-ranges=10.10.1.0/24,10.20.1.0/24
gcloud compute firewall-rules create workload-onprem \
--network hub-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create workload-iap \
--network workload-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
- تفعيل Cloud NAT في شبكة VPC الخاصة بعبء العمل للسماح للجهاز الظاهري workload1 بتنزيل الحِزم من خلال إنشاء Cloud Router وNAT Gateway
gcloud compute routers create cloud-router-usc-central-1-nat \
--network workload-vpc \
--region us-central1
gcloud compute routers nats create cloudnat-us-central1 \
--router=cloud-router-usc-central-1-nat \
--auto-allocate-nat-external-ips \
--nat-all-subnet-ip-ranges \
--region us-central1
- أنشئ
workload1-vmin "us-central1-a" inworkload-VPC، وستستخدم هذا المضيف لإثبات إمكانية الاتصال بين الموقع الإلكتروني والسحابة الإلكترونية.
gcloud compute instances create workload1-vm \
--project=$projectname \
--machine-type=e2-micro \
--image-family debian-10 \
--image-project debian-cloud \
--zone us-central1-a \
--private-network-ip 192.168.235.3 \
--no-address \
--subnet=workload-subnet1 \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install apache2 -y
sudo service apache2 restart
echo 'Welcome to Workload VM1 !!' | tee /var/www/html/index.html
EOF"
4. إعداد الأجهزة المحلية لشبكة SD-WAN
إنشاء جهاز افتراضي محلي لشبكة SDWAN (الأجهزة)
في القسم التالي، سننشئ أجهزة توجيه site1-nva وsite2-nva تعمل كأجهزة توجيه محلية.
إنشاء مثيلات
أنشئ جهاز site1-router باسم site1-nva
gcloud compute instances create site1-nva \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=site1-subnet \
--network-interface subnet=s1-inside-subnet,no-address \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any \
--can-ip-forward
أنشئ جهاز site2-router باسم site2-nva
gcloud compute instances create site2-nva \
--zone=us-east4-b \
--machine-type=e2-medium \
--network-interface subnet=site2-subnet \
--network-interface subnet=s2-inside-subnet,no-address \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-east4-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any \
--can-ip-forward
5- تثبيت flexiWAN على site1-nva
افتح اتصال SSH بموقع site1-nva، وإذا انتهت المهلة، حاوِل مرة أخرى
gcloud compute ssh site1-nva --zone=us-central1-a
تثبيت flexiWAN على site1-nva
sudo su
sudo curl -sL https://deb.flexiwan.com/setup | sudo bash -
apt install flexiwan-router -y
جهِّز الجهاز الافتراضي لتسجيل مستوى التحكّم في flexiWAN.
بعد اكتمال عملية تثبيت flexiWAN، شغِّل الأمر fwsystem_checker للتحقّق من إعدادات النظام. يتحقّق هذا الأمر من متطلبات النظام ويساعد في إصلاح أخطاء الإعداد في نظامك.
- اختَر الخيار
2لإجراء عملية ضبط سريعة بدون إصدار أي صوت - يمكنك الخروج بعد ذلك باستخدام الرمز 0.
- لا تغلق نافذة Cloud Shell.
root@site-1-nva-1:/home/user# fwsystem_checker
<output snipped>
[0] - quit and use fixed parameters
1 - check system configuration
2 - configure system silently
3 - configure system interactively
4 - restore system checker settings to default
------------------------------------------------
Choose: 2
<output snipped>
[0] - quit and use fixed parameters
1 - check system configuration
2 - configure system silently
3 - configure system interactively
4 - restore system checker settings to default
------------------------------------------------
Choose: 0
Please wait..
Done.
=== system checker ended ====
اترك الجلسة مفتوحة لتنفيذ الخطوات التالية
6. تسجيل site1-nva باستخدام وحدة التحكّم في SD-WAN
هذه الخطوات مطلوبة لإكمال عملية توفير جهاز NVA من flexiWAN، ويتم إدارته من وحدة تحكّم flexiManage. يُرجى التأكّد من إعداد مؤسسة flexiWAN قبل المتابعة.
يمكنك مصادقة جهاز NVA الجديد الذي تم تفعيله في flexiWAN باستخدام flexiManage من خلال رمز مميز للأمان عن طريق تسجيل الدخول إلى حساب flexiManage. يمكن إعادة استخدام الرمز المميز نفسه على جميع أجهزة التوجيه.
انقر على المستودع الإعلاني → الرموز المميّزة، وأنشئ رمزًا مميّزًا وانقر على "نسخ".
ارجع إلى Cloud Shell (site1-nva) والصِق الرمز المميّز في الدليل /etc/flexiwan/agent/token.txt من خلال تنفيذ ما يلي:
nano /etc/flexiwan/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter
تفعيل "أجهزة توجيه المواقع الإلكترونية" على flexiManage Console
سجِّل الدخول إلى وحدة تحكّم flexiManage لتفعيل site1-nva على وحدة التحكّم
في اللوحة اليمنى، اختَر "المستودع" (Inventory) → "الأجهزة" (Devices)، ثم انقر على الجهاز "غير معروف" (Unknown).
أدخِل اسم مضيف site1-nva ووافِق على الجهاز من خلال تحريك القرص إلى اليسار.
اختَر علامة التبويب الواجهات"
ابحث عن العمود "تم التعيين" وانقر على "لا" وغيِّر الإعداد إلى "نعم".
انقر على علامة التبويب "جدار الحماية" (Firewall) ثم على رمز "+" لإضافة قاعدة جدار حماية وارد
اختَر واجهة شبكة المنطقة الواسعة (WAN) لتطبيق قاعدة ssh كما هو موضّح أدناه
انقر على تعديل الجهاز
ابدأ site1-nva من وحدة تحكّم flexiWAN. ارجع إلى المستودع → الأجهزة → site1-nva واختَر بدء الجهاز
الحالة - جارٍ المزامنة
الحالة - تمت المزامنة
يمكن الاطّلاع على مؤشر التحذير ضمن تحديد المشاكل وحلّها → الإشعارات. بعد عرضها، اختَر الكل ثم ضَع علامة "مقروءة"
7. Install flexiWAN on site2-nva
افتح علامة تبويب جديدة وأنشئ جلسة Cloud Shell، وعدِّل المتغيرات $للمساعدة في تنفيذ إعدادات gcloud.
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname
افتح اتصال SSH بموقع site2-nva، وإذا انتهت المهلة، حاوِل مرة أخرى
gcloud compute ssh site2-nva --zone=us-east4-b
Install flexiWAN on site2-nva
sudo su
sudo curl -sL https://deb.flexiwan.com/setup | sudo bash -
apt install flexiwan-router -y
جهِّز الجهاز الافتراضي لتسجيل مستوى التحكّم في flexiWAN.
بعد اكتمال عملية تثبيت flexiWAN، شغِّل الأمر fwsystem_checker للتحقّق من إعدادات النظام. يتحقّق هذا الأمر من متطلبات النظام ويساعد في إصلاح أخطاء الإعداد في نظامك.
- اختَر الخيار
2لإجراء عملية ضبط سريعة بدون إصدار أي صوت - يمكنك الخروج بعد ذلك باستخدام الرمز 0.
- لا تغلق نافذة Cloud Shell.
root@site2-nva:/home/user# fwsystem_checker
<output snipped>
[0] - quit and use fixed parameters
1 - check system configuration
2 - configure system silently
3 - configure system interactively
4 - restore system checker settings to default
------------------------------------------------
Choose: 2
<output snipped>
[0] - quit and use fixed parameters
1 - check system configuration
2 - configure system silently
3 - configure system interactively
4 - restore system checker settings to default
------------------------------------------------
Choose: 0
Please wait..
Done.
=== system checker ended ====
8. تسجيل site2-nva باستخدام أداة التحكّم في SD-WAN
هذه الخطوات مطلوبة لإكمال عملية توفير جهاز NVA من flexiWAN، ويتم إدارته من وحدة تحكّم flexiManage. يُرجى التأكّد من إعداد مؤسسة flexiWAN قبل المتابعة.
يمكنك مصادقة جهاز NVA الجديد الذي تم تفعيله في flexiWAN باستخدام flexiManage من خلال رمز مميز للأمان عن طريق تسجيل الدخول إلى حساب flexiManage. يمكن إعادة استخدام الرمز المميز نفسه على جميع أجهزة التوجيه.
اختَر "المستودع" → "الرموز المميزة"، وأنشئ رمزًا مميزًا، ثم اختَر نسخ.
ارجع إلى Cloud Shell (site2-nva) والصِق الرمز المميّز في الدليل /etc/flexiwan/agent/token.txt من خلال تنفيذ ما يلي:
nano /etc/flexiwan/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter
تفعيل "أدوات توجيه المواقع الإلكترونية" من وحدة تحكّم flexiManage
تسجيل الدخول إلى وحدة تحكّم flexiManage لتفعيل site2-nva على وحدة التحكّم
في اللوحة اليمنى، اختَر "المستودع" (Inventory) → "الأجهزة" (Devices)، ثم انقر على الجهاز "غير معروف" (Unknown).
أدخِل اسم مضيف site2-nva ووافِق على الجهاز من خلال تحريك القرص إلى اليسار.
اختَر علامة التبويب الواجهات"
ابحث عن العمود "تم التعيين" وانقر على "لا" وغيِّر الإعداد إلى "نعم".
انقر على علامة التبويب "جدار الحماية"، ثم على علامة "+" لإضافة قاعدة جدار حماية وارد. اختَر واجهة شبكة المنطقة الواسعة (WAN) لتطبيق قاعدة ssh كما هو موضّح أدناه
انقر على تعديل الجهاز
ابدأ site2-nva من وحدة تحكّم flexiWAN. ارجع إلى المستودع → الأجهزة → site2-nva اختَر بدء الجهاز
الحالة - جارٍ المزامنة
الحالة - تمت المزامنة
يمكن الاطّلاع على مؤشر التحذير ضمن تحديد المشاكل وحلّها → الإشعارات. بعد عرضها، اختَر الكل ثم ضَع علامة "مقروءة"
9- إعداد أجهزة SDWAN في مركز البيانات
في القسم التالي، ستنشئ موجّهات المحور (hub-r1 وhub-r2) وتسجّلها في وحدة التحكّم flexiWAN Controller كما تمّ تنفيذه سابقًا مع مسارات الموقع.
افتح علامة تبويب جديدة وأنشئ جلسة Cloud Shell، وعدِّل المتغيرات $للمساعدة في تنفيذ إعدادات gcloud.
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname
إنشاء مثيلات NVA في "مركز"
أنشئ جهاز hub-r1:
gcloud compute instances create hub-r1 \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=hub-subnet1 \
--network-interface subnet=workload-subnet1,no-address \
--can-ip-forward \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any
أنشئ جهاز hub-r2:
gcloud compute instances create hub-r2 \
--zone=us-east4-b \
--machine-type=e2-medium \
--network-interface subnet=hub-subnet2 \
--network-interface subnet=workload-subnet2,no-address \
--can-ip-forward \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-east4-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any
10. تثبيت flexiWAN على مثيلات المحور لـ hub-r1
فتح اتصال SSH بـ hub-r1
gcloud compute ssh hub-r1 --zone=us-central1-a
تثبيت وكيل flexiWAN على كل من hub-r1
sudo su
sudo curl -sL https://deb.flexiwan.com/setup | sudo bash -
apt install flexiwan-router -y
إعداد الأجهزة الافتراضية hub-r1 للتسجيل في flexiWAN
بعد اكتمال عملية تثبيت flexiWAN، شغِّل الأمر fwsystem_checker للتحقّق من إعدادات النظام. يتحقّق هذا الأمر من متطلبات النظام ويساعد في إصلاح أخطاء الإعداد في نظامك.
root@hub-r1:/home/user# fwsystem_checker
- اختَر الخيار
2لإجراء عملية ضبط سريعة بدون إصدار أي صوت - يمكنك الخروج بعد ذلك باستخدام الرمز 0.
- لا تغلق نافذة Cloud Shell.
11. تسجيل الأجهزة الافتراضية hub-r1 على وحدة التحكّم flexiManage
يمكنك مصادقة جهاز NVA الجديد الذي تم تفعيله في flexiWAN باستخدام flexiManage من خلال رمز مميز للأمان عن طريق تسجيل الدخول إلى حساب flexiManage.
- اختَر المستودع الإعلاني → الرموز المميزة وانسخ الرمز المميز.
ارجع إلى Cloud Shell (hub-r1) وألصِق الرمز المميّز في الدليل /etc/flexiwan/agent/token.txt من خلال تنفيذ ما يلي
nano /etc/flexiwan/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter
12. تثبيت flexiWAN على مثيلات Hub لـ hub-r2
فتح اتصال SSH بـ hub-r2
gcloud compute ssh hub-r2 --zone=us-east4-b
تثبيت وكيل flexiWAN على كل من hub-r2
sudo su
sudo curl -sL https://deb.flexiwan.com/setup | sudo bash -
apt install flexiwan-router -y
إعداد الأجهزة الافتراضية hub-r2 للتسجيل في flexiWAN
بعد اكتمال عملية تثبيت flexiWAN، شغِّل الأمر fwsystem_checker للتحقّق من إعدادات النظام. يتحقّق هذا الأمر من متطلبات النظام ويساعد في إصلاح أخطاء الإعداد في نظامك.
root@hub-r2:/home/user# fwsystem_checker
- اختَر الخيار
2لإجراء عملية ضبط سريعة بدون إصدار أي صوت - يمكنك الخروج بعد ذلك باستخدام الرمز 0.
- لا تغلق نافذة Cloud Shell.
13. تسجيل الأجهزة الافتراضية hub-r2 على وحدة تحكّم flexiManage
يمكنك مصادقة جهاز NVA الجديد الذي تم تفعيله في flexiWAN باستخدام flexiManage من خلال رمز مميز للأمان عن طريق تسجيل الدخول إلى حساب flexiManage.
- اختَر المستودع الإعلاني → الرموز المميزة وانسخ الرمز المميز.
ارجع إلى Cloud Shell (hub-r2) وألصِق الرمز المميّز في الدليل /etc/flexiwan/agent/token.txt من خلال تنفيذ ما يلي
nano /etc/flexiwan/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter
تفعيل أجهزة توجيه Hub (hub-r1) على وحدة تحكّم flexiManage
تسجيل الدخول إلى وحدة تحكّم flexiManage
- انتقِل إلى المساحة الإعلانية → الأجهزة
- ابحث عن اسم المضيف لكل من hub-r1 وhub-r2 ولاحظ أنّ قيمتهما هي "غير معروف".
اختَر الجهاز غير المعروف الذي يحمل اسم المضيف hub-r1
- أدخِل اسم مضيف hub-r1
- وافِق على الجهاز من خلال تحريك زر الاتصال إلى اليسار.
اختَر علامة التبويب واجهات
- ابحث عن العمود "تم التعيين"
- بجانب صف الواجهة، انقر على "لا" لتغيير الإعداد إلى "نعم".
انقر على علامة التبويب جدار الحماية
- انقر على "+" لإضافة قاعدة جدار الحماية الواردة
- اختَر واجهة شبكة WAN التي سيتم تطبيق القاعدة عليها.
- السماح بمنفذ SSH 22 باستخدام بروتوكول TCP
- انقر على تعديل الجهاز
ابدأ تشغيل جهاز hub-r1 لشبكة SD-WAN من وحدة تحكّم flexiWAN
- ارجع إلى المستودع → الأجهزة → hub-r1
انقر على بدء تشغيل الجهاز.
- انتظِر إلى أن تكتمل عملية المزامنة، ولاحِظ الحالة "قيد التشغيل".
تفعيل أجهزة توجيه مركز التحكّم hub-r2 على وحدة تحكّم flexiManage
اختَر الجهاز غير المعروف الذي يحمل اسم المضيف hub-r2
- أدخِل اسم مضيف hub-r2
- وافِق على الجهاز من خلال تحريك زر الاتصال إلى اليسار.
اختَر علامة التبويب "الواجهات"
- ابحث عن العمود "تم التعيين"
- بجانب صف الواجهة، انقر على "لا" لتغيير الإعداد إلى "نعم".
انقر على علامة التبويب "جدار الحماية".
- انقر على "+" لإضافة قاعدة جدار الحماية الواردة
- اختَر واجهة شبكة WAN التي سيتم تطبيق القاعدة عليها.
- السماح بمنفذ SSH رقم 22 باستخدام بروتوكول TCP
- انقر على إضافة قاعدة.
- انقر على تعديل الجهاز
ابدأ تشغيل جهاز hub-r2 لشبكة SD-WAN من وحدة تحكّم flexiWAN
- ارجع إلى المستودع → الأجهزة → hub-r2، ثم انقر على بدء الجهاز.
- انتظِر إلى أن تكتمل عملية المزامنة، ولاحِظ الحالة "قيد التشغيل".
14. Network Connectivity Center على GCP Hub
تفعيل خدمات واجهة برمجة التطبيقات
فعِّل واجهة برمجة التطبيقات الخاصة باتصال الشبكة في حال لم يتم تفعيلها بعد:
gcloud services enable networkconnectivity.googleapis.com
إنشاء "مركز NCC"
gcloud network-connectivity hubs create ncc-hub
Create request issued for: [ncc-hub]
Waiting for operation [projects/user-3p-dev/locations/global/operations/operation-1668793629598-5edc24b7ee3ce-dd4c765b-5ca79556] to complete...done.
Created hub [ncc-hub]
ضبط كلا جهازي التوجيه كشبكة فرعية في NCC
ابحث عن معرّف الموارد الموحّد (URI) وعنوان IP لكل من hub-r1 وhub-r2، ودوِّن الناتج. ستحتاج إلى هذه المعلومات في الخطوة التالية.
احرص على تدوين عنوان IP (192.168.x.x) لكل من مثيلَي hub-r1 وhub-r2.
gcloud compute instances describe hub-r1 \
--zone=us-central1-a \
--format="value(selfLink.scope(projects))"
gcloud compute instances describe hub-r1 --zone=us-central1-a | grep "networkIP"
gcloud compute instances describe hub-r2 \
--zone=us-east4-b \
--format="value(selfLink.scope(projects))"
gcloud compute instances describe hub-r2 --zone=us-east4-b | grep "networkIP"
أضِف vnic الخاص بـ hub-r1 networkIP (192.168.x.x) كشبكة فرعية وفعِّل نقل البيانات من موقع إلى آخر
gcloud network-connectivity spokes linked-router-appliances create s2s-wrk-cr1 \
--hub=ncc-hub \
--router-appliance=instance="https://www.googleapis.com/compute/projects/$projectname/zones/us-central1-a/instances/hub-r1",ip=192.168.235.4 \
--region=us-central1 \
--site-to-site-data-transfer
أضِف واجهة الشبكة الافتراضية (vnic) الخاصة بـ hub-r2 networkIP (192.168.x.x) كشبكة فرعية، وفعِّل نقل بيانات الموقع الإلكتروني من موقع إلى آخر.
gcloud network-connectivity spokes linked-router-appliances create s2s-wrk-cr2 \
--hub=ncc-hub \
--router-appliance=instance=/projects/$projectname/zones/us-east4-b/instances/hub-r2,ip=192.168.236.101 \
--region=us-east4 \
--site-to-site-data-transfer
إعداد Cloud Router لإنشاء بروتوكول BGP مع Hub-R1
في الخطوة التالية، أنشئ Cloud Router وأعلِن عن الشبكة الفرعية 192.168.235.0/24 لشبكة VPC الخاصة بعبء العمل.
أنشئ موجّه السحابة الإلكترونية في us-central1 الذي سيتواصل مع BGP باستخدام hub-r1
gcloud compute routers create wrk-cr1 \
--region=us-central1 \
--network=workload-vpc \
--asn=65002 \
--set-advertisement-groups=all_subnets \
--advertisement-mode=custom
من خلال ضبط أجهزة التوجيه كجهاز NCC Spoke، يمكن لجهاز التوجيه السحابي التفاوض على بروتوكول BGP على الواجهات الافتراضية.
أنشئ واجهتَين على جهاز التوجيه السحابي لتبادل رسائل BGP مع hub-r1.
يتم اختيار عناوين IP من الشبكة الفرعية الخاصة بعبء العمل ويمكن تغييرها إذا لزم الأمر.
gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int0 \
--ip-address=192.168.235.101
gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int1 \
--ip-address=192.168.235.102 \
--redundant-interface=int0
اضبط واجهة Cloud Router لإنشاء BGP باستخدام vNIC-1 في hub-r1، وعدِّل peer-ip-address باستخدام عنوان IP الخاص بـ networkIP في hub-r1 . يُرجى العِلم أنّه يتم استخدام عنوان IP نفسه لكل من int0 وint1.
gcloud compute routers add-bgp-peer wrk-cr1 \
--peer-name=hub-cr1-bgp-peer-0 \
--interface=int0 \
--peer-ip-address=192.168.235.4 \
--peer-asn=64111 \
--instance=hub-r1 \
--instance-zone=us-central1-a \
--region=us-central1
gcloud compute routers add-bgp-peer wrk-cr1 \
--peer-name=hub-cr1-bgp-peer-1 \
--interface=int1 \
--peer-ip-address=192.168.235.4 \
--peer-asn=64111 \
--instance=hub-r1 \
--instance-zone=us-central1-a \
--region=us-central1
تحقَّق من حالة BGP. في هذه المرحلة من المختبر العملي، تكون BGP في "حالة الاتصال" لأنّه لم يتم إعداد جهاز توجيه الشبكة لبروتوكول BGP.
gcloud compute routers get-status wrk-cr1 --region=us-central1
ضبط Workload-cr2 لإنشاء BGP مع Hub-R2
في الخطوة التالية، أنشئ Cloud Router وأعلِن عن الشبكة الفرعية 192.168.236.0/24 لشبكة VPC الخاصة بعبء العمل.
أنشئ موجّه السحابة الإلكترونية في us-east4 الذي سيتواصل مع BGP باستخدام hub-r2
gcloud compute routers create wrk-cr2 \
--region=us-east4 \
--network=workload-vpc \
--asn=65002 \
--set-advertisement-groups=all_subnets \
--advertisement-mode=custom
أنشئ زوجًا من الواجهات على جهاز التوجيه السحابي الذي سيتلقّى رسائل BGP من hub-r2، ويتم اختيار عناوين IP من الشبكة الفرعية الخاصة بعبء العمل ويمكن تغييرها إذا لزم الأمر.
gcloud compute routers add-interface wrk-cr2 \
--region=us-east4 \
--subnetwork=workload-subnet2 \
--interface-name=int0 \
--ip-address=192.168.236.5
gcloud compute routers add-interface wrk-cr2 \
--region=us-east4 \
--subnetwork=workload-subnet2 \
--interface-name=int1 \
--ip-address=192.168.236.6 \
--redundant-interface=int0
اضبط واجهة Cloud Router لإنشاء BGP باستخدام vNIC-1 في hub-r2، وعدِّل peer-ip-address باستخدام عنوان IP الخاص بـ networkIP في hub-r1 . يُرجى العِلم أنّه يتم استخدام عنوان IP نفسه لكل من int0 وint1.
gcloud compute routers add-bgp-peer wrk-cr2 \
--peer-name=hub-cr2-bgp-peer-0 \
--interface=int0 \
--peer-ip-address=192.168.236.101 \
--peer-asn=64112 \
--instance=hub-r2 \
--instance-zone=us-east4-b \
--region=us-east4
gcloud compute routers add-bgp-peer wrk-cr2 \
--peer-name=hub-cr2-bgp-peer-1 \
--interface=int1 \
--peer-ip-address=192.168.236.101 \
--peer-asn=64112 \
--instance=hub-r2 \
--instance-zone=us-east4-b \
--region=us-east4
تحقَّق من حالة BGP. في هذه المرحلة من المختبر العملي، تكون BGP في "حالة الاتصال" لأنّه لم يتم إعداد جهاز توجيه الشبكة لبروتوكول BGP.
gcloud compute routers get-status wrk-cr2 --region=us-east4
15. ضبط أجهزة توجيه Hub لبروتوكول BGP
ضبط hub-r1 لبروتوكول BGP
يُرجى التأكّد من تسجيل الدخول إلى وحدة تحكّم flexiManage
انتقِل إلى المستودع → الأجهزة → hub-r1 واختَر الجهاز الذي يحمل اسم المضيف:hub-r1
- انقر على علامة التبويب "التوجيه"
- انقر على "إعدادات BGP".
- إيقاف "إعادة توزيع مسارات OSPF"
- اضبط hub-r1 لبروتوكول BGP باستخدام هذه المَعلمات، ثم انقر على حفظ.
انقر على علامة التبويب "الواجهات"، وحدِّد موقع واجهة الشبكة المحلية (LAN)، ثم ابحث عن العمود "التوجيه".
- انقر على none لفتح القائمة من أجل اختيار BGP كبروتوكول التوجيه
- في أعلى الصفحة، انقر على "تعديل الجهاز".
ضبط hub-r2 لبروتوكول BGP
يُرجى التأكّد من تسجيل الدخول إلى وحدة تحكّم flexiManage
انتقِل إلى المستودع → الأجهزة → hub-r2، واختَر الجهاز الذي يحمل اسم المضيف:hub-r2
- انقر على علامة التبويب "التوجيه"
- انقر على "إعدادات BGP".
- إيقاف "إعادة توزيع مسارات OSPF"
- اضبط hub-r2 لبروتوكول BGP باستخدام هذه المَعلمات، ثم انقر على "حفظ".
انقر على علامة التبويب الواجهات، وحدِّد موقع واجهة الشبكة المحلية (LAN)، ثم ابحث عن العمود "التوجيه"
- انقر على "بلا" (none) لفتح قائمة منسدلة لاختيار BGP كبروتوكول التوجيه.
- في أعلى الصفحة، انقر على تحديث الجهاز.
اختَر علامة التبويب "التوجيه".
- تأكَّد من أنّ الجهاز hub-r2 قد تعلّم مسار BGP من wrk-cr2.
16. تبادل مسارات بروتوكول BGP بين أجهزة التوجيه
إنشاء رقم نظام مستقل محلي للمواقع البعيدة
اضبط رقم النظام المستقل (ASN) المحلي لبروتوكول البوابة الحدودية (BGP) لكل من site1-nva وsite2-nva، وبعد ضبطه، سننشئ اتصالاً نفقيًا لأمان بروتوكول الإنترنت (IPsec) بين المواقع البعيدة وأجهزة توجيه الموزّع.
اختَر الجهاز الذي يحمل HostName:site1-nva
- انقر على علامة التبويب "التوجيه"
- انقر على "إعدادات BGP".
- إيقاف "إعادة توزيع مسارات OSPF"
- تفعيل بروتوكول البوابة الحدودية (BGP)
- نظام ASN المحلي 7269 → حفظ
- تحديث الجهاز
- علامة التبويب "الواجهات" (Interfaces) → شبكة المنطقة المحلية (LAN) → التوجيه (Routing) → بروتوكول بوابة الحدود (BGP)
- تحديث الجهاز
اختَر الجهاز الذي يحمل HostName:site2-nva
- انقر على علامة التبويب "التوجيه"
- انقر على "إعدادات BGP".
- إيقاف "إعادة توزيع مسارات OSPF"
- تفعيل بروتوكول البوابة الحدودية (BGP)
- رقم نظام ASN المحلي 7270 → حفظ
- تحديث الجهاز
- علامة التبويب "الواجهات" (Interfaces) → شبكة المنطقة المحلية (LAN) → التوجيه (Routing) → بروتوكول بوابة الحدود (BGP)
- تحديث الجهاز
ضبط أنفاق VPN بين أجهزة الموقع وأجهزة المركز
يُرجى التأكّد من تسجيل الدخول إلى وحدة تحكّم flexiManage
- انتقِل إلى المساحة الإعلانية → الأجهزة
- ضَع علامة في المربّع بجانب اسم المضيف site1-nva وhub-r1 لإنشاء نفق VPN بين هذا الزوج من الأجهزة الظاهرية للشبكة (NVA).
- انقر على الإجراءات→ إنشاء أنفاق واضبط ما يلي
- انقر على إنشاء أنفاق.
- أزِل علامات الاختيار من site1-nva وub-r1
كرِّر الخطوات لإنشاء نفق بين site2-nva وhub-r2 عن طريق تحديد المَعلمات المناسبة
تأكَّد من إنشاء زوج من الأنفاق بين كل زوج من أجهزة NVA.
- في اللوحة الجانبية اليمنى، اختَر المستودع الإعلاني، ثمّ انقر على الأنفاق وابحث عن عمود الحالة.
تأكَّد من أنّ "site1-nva" تعلّم مسارات إلى الشبكة الفرعية 192.168.235.0/24 و192.168.236.0/24
- اختَر المستودع → الأجهزة → site1-nva وانقر على علامة التبويب التوجيه
في مثال الناتج أدناه، أنشأت flexiWAN النفق تلقائيًا باستخدام عنوان IP للمضيف 10.100.0.6 
17. التأكّد من إمكانية الوصول إلى مسار البيانات
التحقّق من إمكانية الاتصال من الموقع الإلكتروني إلى السحابة الإلكترونية
راجِع الرسم البياني، وتأكَّد من مسار البيانات بين s1-vm وworkload1-vm
ضبط مسارات VPC الثابتة من الموقع إلى السحابة
تحاكي شبكة Site1-VPC وSite2-VPC داخل المؤسسة شبكة مركز بيانات داخل المؤسسة.
يستخدم كل من أجهزة التوجيه Site-1-nva وSite-2-nva اتصال VPN للوصول إلى شبكة المحور.
بالنسبة إلى حالة استخدام الموقع الإلكتروني على السحابة الإلكترونية**،** أنشئ مسارات ثابتة إلى الوجهة 192.168.0.0/16 باستخدام جهاز التوجيه كقفزة تالية للوصول إلى الشبكات في شبكة السحابة الإلكترونية على Google Cloud Platform.
في s1-inside-vpc، أنشئ مسارًا ثابتًا لوجهة السحابة الإلكترونية (192.168.0.0/16):
gcloud compute routes create site1-subnet-route \
--network=s1-inside-vpc \
--destination-range=192.168.0.0/16 \
--next-hop-instance=site1-nva \
--next-hop-instance-zone=us-central1-a
في s2-inside-vpc، أنشئ مسارًا ثابتًا لوجهة السحابة الإلكترونية (192.168.0.0/16):
gcloud compute routes create site2-subnet-route \
--network=s2-inside-vpc \
--destination-range=192.168.0.0/16 \
--next-hop-instance=site2-nva \
--next-hop-instance-zone=us-east4-b
في Cloud Shell، ابحث عن عنوان IP الخاص بالجهاز الافتراضي workload1-vm. ستحتاج إلى ذلك لاختبار الاتصال من "s1-vm".
gcloud compute instances describe workload1-vm --zone=us-central1-a | grep "networkIP"
افتح اتصال SSH بالجهاز s1-vm، وإذا انتهت المهلة، أعِد المحاولة
gcloud compute ssh s1-vm --zone=us-central1-a
استخدِم بروتوكول SSH للوصول إلى s1-vm واستخدِم الأمر curl لإنشاء جلسة TCP لعنوان IP الخاص بالجهاز الافتراضي workload1-VM.
s1-vm:~$ curl 192.168.235.3 -vv * Trying 192.168.235.3:80... * Connected to 192.168.235.3 (192.168.235.3) port 80 (#0) > GET / HTTP/1.1 > Host: 192.168.235.3 > User-Agent: curl/7.74.0 > Accept: */* > * Mark bundle as not supporting multiuse < HTTP/1.1 200 OK < Date: Wed, 07 Dec 2022 15:12:08 GMT < Server: Apache/2.4.54 (Debian) < Last-Modified: Tue, 06 Dec 2022 00:57:46 GMT < ETag: "1f-5ef1e4acfa1d9" < Accept-Ranges: bytes < Content-Length: 31 < Content-Type: text/html < Page served from: workload1-vm * Connection #0 to host 192.168.235.3 left intact
التحقّق من إمكانية الاتصال بين المواقع
راجِع الرسم البياني، وتأكَّد من أنّ مسار البيانات بين s1-vm وs2-vm
ضبط مسارات VPC الثابتة من موقع إلى موقع
لتوجيه الزيارات بين الموقع 1 والموقع 2 باستخدام شبكة Google Cloud العالمية، عليك إنشاء مسارات ثابتة إلى وجهات الشبكة الفرعية للموقع البعيد باستخدام جهاز توجيه محلي كقفزة تالية.
في خطوة لاحقة، سيتم ضبط شبكة VPC الخاصة بعبء العمل باستخدام NCC لإتاحة نقل البيانات من موقع إلى آخر.
في s1-inside-vpc، أنشئ مسارًا ثابتًا للوصول إلى الشبكة الفرعية site2 (10.20.1.0/24):
gcloud compute routes create site1-sn1-route \
--network=s1-inside-vpc \
--destination-range=10.20.1.0/24 \
--next-hop-instance=site1-nva \
--next-hop-instance-zone=us-central1-a
في s2-inside-vpc، أنشئ مسارًا ثابتًا للوصول إلى الشبكة الفرعية site1 (10.10.1.0/24):
gcloud compute routes create site2-sn1-route \
--network=s2-inside-vpc \
--destination-range=10.10.1.0/24 \
--next-hop-instance=site2-nva \
--next-hop-instance-zone=us-east4-b
في Cloud Shell، ابحث عن عنوان IP الخاص بالجهاز الافتراضي "s2-vm". ستحتاج إلى ذلك لاختبار الاتصال من S1-vm.
gcloud compute instances describe s2-vm --zone=us-east4-b | grep networkIP
افتح اتصال SSH بالجهاز s1-vm، وإذا انتهت المهلة، أعِد المحاولة
gcloud compute ssh s1-vm --zone=us-central1-a
يمكنك استخدام SSH للوصول إلى "s1-vm" و "إرسال طلب اختبار الاتصال" إلى عنوان IP الخاص بـ "s2-vm".
s1-vm:~$ ping 10.20.1.3
PING 10.20.1.3 (10.20.1.3) 56(84) bytes of data.
64 bytes from 10.20.1.3: icmp_seq=1 ttl=60 time=99.1 ms
64 bytes from 10.20.1.3: icmp_seq=2 ttl=60 time=94.3 ms
64 bytes from 10.20.1.3: icmp_seq=3 ttl=60 time=92.4 ms
64 bytes from 10.20.1.3: icmp_seq=4 ttl=60 time=90.9 ms
64 bytes from 10.20.1.3: icmp_seq=5 ttl=60 time=89.7 ms
18 تنظيف
تسجيل الدخول إلى Cloud Shell وحذف مثيلات الأجهزة الافتراضية في شبكات الموقع المركزي والمواقع الفرعية
#on prem instances
gcloud compute instances delete s1-vm --zone=us-central1-a --quiet
gcloud compute instances delete s2-vm --zone=us-east4-b --quiet
#delete on prem firewall rules
gcloud compute firewall-rules delete site1-ssh --quiet
gcloud compute firewall-rules delete site1-internal --quiet
gcloud compute firewall-rules delete site1-cloud --quiet
gcloud compute firewall-rules delete site1-vpn --quiet
gcloud compute firewall-rules delete site1-iap --quiet
gcloud compute firewall-rules delete site2-ssh --quiet
gcloud compute firewall-rules delete site2-internal --quiet
gcloud compute firewall-rules delete site2-cloud --quiet
gcloud compute firewall-rules delete site2-vpn --quiet
gcloud compute firewall-rules delete site2-iap --quiet
gcloud compute firewall-rules delete allow-from-site-1-2 --quiet
gcloud compute firewall-rules delete s2-inside-cloud s2-inside-internal s2-inside-ssh --quiet
gcloud compute firewall-rules delete s1-inside-cloud s1-inside-iap s1-inside-internal s1-inside-ssh s2-inside-cloud s2-inside-iap s2-inside-internal s2-inside-ssh --quiet
#delete ncc spokes
gcloud network-connectivity spokes delete s2s-wrk-cr1 --region us-central1 --quiet
gcloud network-connectivity spokes delete s2s-wrk-cr2 --region us-east4 --quiet
#delete ncc hub
gcloud network-connectivity hubs delete ncc-hub --quiet
#delete the cloud router
gcloud compute routers delete wrk-cr1 --region=us-central1 --quiet
gcloud compute routers delete wrk-cr2 --region=us-east4 --quiet
#delete the instances
gcloud compute instances delete hub-r1 --zone=us-central1-a --quiet
gcloud compute instances delete hub-r2 --zone=us-east4-b --quiet
gcloud compute instances delete workload1-vm --zone=us-central1-a --quiet
gcloud compute instances delete site1-nva --zone=us-central1-a --quiet
gcloud compute instances delete site2-nva --zone=us-east4-b --quiet
#delete on prem subnets
gcloud compute networks subnets delete hub-subnet1 s1-inside-subnet site1-subnet workload-subnet1 --region=us-central1 --quiet
gcloud compute networks subnets delete hub-subnet2 s2-inside-subnet site2-subnet workload-subnet2 --region=us-east4 --quiet
#delete hub firewall rule
gcloud compute firewall-rules delete hub-ssh --quiet
gcloud compute firewall-rules delete hub-vpn --quiet
gcloud compute firewall-rules delete hub-internal --quiet
gcloud compute firewall-rules delete hub-iap --quiet
gcloud compute firewall-rules delete workload-ssh --quiet
gcloud compute firewall-rules delete workload-internal --quiet
gcloud compute firewall-rules delete workload-onprem --quiet
gcloud compute firewall-rules delete workload-iap --quiet
#delete on vpcs
gcloud compute networks delete hub-vpc s1-inside-vpc s2-inside-vpc site2-vpc workload-vpc --quiet
19. تهانينا!
لقد أكملت الدرس التطبيقي حول Network Connectivity Center.
المواضيع التي تناولتها
- تم ضبط عملية الدمج مع شبكة WAN المعرَّفة بالبرامج لربط شبكة المؤسسة بـ Google Cloud من خلال NCC
- تم إعداد عملية الدمج بين شبكة WAN المحدّدة بالبرامج (SD-WAN) وNCC من موقع إلى آخر
الخطوات التالية
- نظرة عامة على Network Connectivity Center
- مستندات Network Connectivity Center
- مَراجع flexiWAN
- مستودع flexiWAN GitLab
©Google, LLC أو الشركات التابعة لها. جميع الحقوق محفوظة. يُرجى عدم توزيعها.