Lab: NCC-Website zum Standort mit der FlexiWAN SD-WAN-Appliance

1. Einführung

Übersicht

In diesem Lab lernen Sie einige der Funktionen von Network Connectivity Center kennen.

Das Network Connectivity Center (NCC) ist ein Hub-and-Spoke-Modell für die Steuerungsebene, mit dem Netzwerkverbindungen in Google Cloud verwaltet werden. Die Hub-Ressource ist ein Modell für die zentrale Konnektivitätsverwaltung miteinander verbundener Spokes. Das NCC unterstützt derzeit die folgenden Netzwerkressourcen als Spokes:

• VLAN-Anhänge
• Router-Appliances
• HA VPN

Für Codelabs ist die Verwendung der flexiWAN SaaS-SD-WAN-Lösung erforderlich, die die Bereitstellung und Verwaltung von WANs vereinfacht. flexWAN ist eine Open-Source-SD-WAN- und SASE-Lösung.

Umfang

In diesem Codelab erstellen Sie eine SD-WAN-Hub-and-Spoke-Topologie, um Remote-Zweigstellen zu simulieren, die das Backbone-Netzwerk von Google für die Kommunikation zwischen Standort und Cloud sowie zwischen Standorten durchlaufen.

1. Sie stellen ein Paar GCE-VMs bereit, die für den „flexiWAN“-SD-WAN-Agent in der Hub-VPC konfiguriert sind. Diese VMs stellen Headends für eingehenden und ausgehenden Traffic zu GCP dar.
2. Stellen Sie zwei Remote-FlexiWAN-SD-WAN-Router bereit, um zwei verschiedene VPCs für Zweigstellen darzustellen.
3. Für das Testen des Datenpfads konfigurieren Sie drei GCE-VMs, um On-Premise-Clients und einen auf GCP gehosteten Server zu simulieren.

Lerninhalte

• Mit NCC Remote-Zweigstellen über eine Open-Source-SD-WAN-Lösung verbinden
• Praktische Erfahrung mit einer softwaredefinierten Open-Source-WAN-Lösung

Voraussetzungen

• Kenntnisse über GCP-VPC-Netzwerke
• Kenntnisse zu Cloud Router und BGP-Routing
• Für das Codelab sind 6 VPCs erforderlich. Prüfen Sie Ihr Kontingent:Netzwerke und fordern Sie bei Bedarf zusätzliche Netzwerke an (siehe Screenshot unten):

2. Ziele

• GCP-Umgebung einrichten
• flexiWAN Edge-Instanzen in der GCP bereitstellen
• NCC-Hub und flexiWAN Edge-NVA als Spoke einrichten
• flexiWAN-Instanzen mit flexiManage konfigurieren und verwalten
• BGP-Routenaustausch zwischen vpc-app-svcs und der flexiWAN-NVA konfigurieren
• Erstellen Sie einen Remote-Standort, der eine Remote-Niederlassung eines Kunden oder ein Rechenzentrum simuliert.
• IPSEC-Tunnel zwischen dem Remote-Standort und der NVA herstellen
• Prüfen, ob die Geräte erfolgreich bereitgestellt wurden
• Website-zu-Cloud-Datenübertragung validieren
• Site-to-Site-Datenübertragung überprüfen
• Verwendete Ressourcen bereinigen

Für dieses Tutorial ist die Erstellung eines kostenlosen flexiManage-Kontos erforderlich, um flexiEdge-Instanzen zu authentifizieren, einzubinden und zu verwalten.

Hinweis

Google Cloud Console und Cloud Shell verwenden

In diesem Lab verwenden wir sowohl die Google Cloud Console als auch Cloud Shell, um mit GCP zu interagieren.

Google Cloud Console

Die Cloud Console ist unter https://console.cloud.google.com erreichbar.

Richten Sie die folgenden Elemente in Google Cloud ein, um die Konfiguration des Network Connectivity Centers zu vereinfachen:

Wählen Sie in der Google Cloud Console auf der Seite zur Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie ein Google Cloud-Projekt.

Starten Sie Cloud Shell. In diesem Codelab werden $Variablen verwendet, um die Implementierung der gcloud-Konfiguration in Cloud Shell zu erleichtern.

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname

IAM-Rollen

Für den Zugriff auf bestimmte APIs sind IAM-Rollen erforderlich. Konfigurieren Sie Ihren Nutzer mit den erforderlichen NCC-IAM-Rollen.

3. Netzwerk-Lab-Umgebung einrichten

Übersicht

In diesem Abschnitt stellen wir die VPC-Netzwerke und Firewallregeln bereit.

Netzwerke des lokalen Zweigstellenstandorts simulieren

Dieses VPC-Netzwerk enthält Subnetze für lokale VM-Instanzen.

Erstellen Sie die Netzwerke und Subnetze für den lokalen Standort:

gcloud compute networks create site1-vpc \
--subnet-mode custom

gcloud compute networks create site2-vpc \
--subnet-mode custom

gcloud compute networks create s1-inside-vpc \
--subnet-mode custom

gcloud compute networks create s2-inside-vpc \
--subnet-mode custom

gcloud compute networks subnets create site1-subnet \
--network site1-vpc \
--range 10.10.0.0/24 \
--region us-central1

gcloud compute networks subnets create site2-subnet \
--network site2-vpc \
--range 10.20.0.0/24 \
--region us-east4

gcloud compute networks subnets create s1-inside-subnet \
--network s1-inside-vpc \
--range 10.10.1.0/24 \
--region us-central1

gcloud compute networks subnets create s2-inside-subnet \
--network s2-inside-vpc \
--range 10.20.1.0/24 \
--region us-east4

Erstellen Sie Firewallregeln für site1-vpc, die Folgendes zulassen:

• SSH, intern, IAP
• ESP, UDP/500, UDP/4500
• Bereich 10.0.0.0/8
• 192.168.0.0/16-Bereich

gcloud compute firewall-rules create site1-ssh \--network site1-vpc \
--allow tcp:22

gcloud compute firewall-rules create site1-internal \
--network site1-vpc \
--allow all \
--source-ranges 10.0.0.0/8

gcloud compute firewall-rules create site1-cloud \
--network site1-vpc \
--allow all \
--source-ranges 192.168.0.0/16

gcloud compute firewall-rules create site1-vpn \
--network site1-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router

gcloud compute firewall-rules create site1-iap \
--network site1-vpc --allow tcp:22 --source-ranges=35.235.240.0/20

Erstellen Sie Site-to-VPC-Firewallregeln, die Folgendes zulassen:

• SSH, intern, IAP
• Bereich 10.0.0.0/8
• 192.168.0.0/16-Bereich

gcloud compute firewall-rules create site2-ssh \
--network site2-vpc \
--allow tcp:22

gcloud compute firewall-rules create site2-internal \
--network site2-vpc \
--allow all \
--source-ranges 10.0.0.0/8

gcloud compute firewall-rules create site2-cloud \
--network site1-vpc \
--allow all \
--source-ranges 192.168.0.0/16

gcloud compute firewall-rules create site2-vpn \
--network site1-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router

gcloud compute firewall-rules create site2-iap \
--network site2-vpc --allow tcp:22 --source-ranges=35.235.240.0/20

Erstellen Sie Firewallregeln für s1-inside-vpc, die Folgendes zulassen:

• SSH, intern, IAP
• Bereich 10.0.0.0/8
• 192.168.0.0/16-Bereich

gcloud compute firewall-rules create s1-inside-ssh \
--network s1-inside-vpc \
--allow tcp:22

gcloud compute firewall-rules create s1-inside-internal \
--network s1-inside-vpc \
--allow all \
--source-ranges 10.0.0.0/8

gcloud compute firewall-rules create s1-inside-cloud \
--network s1-inside-vpc  \
--allow all \
--source-ranges 192.168.0.0/16

gcloud compute firewall-rules create s1-inside-iap \
--network site2-vpc --allow tcp:22 --source-ranges=35.235.240.0/20

Erstellen Sie s2-inside-vpc-Firewallregeln, die Folgendes zulassen:

• SSH, intern, IAP
• Bereich 10.0.0.0/8
• 192.168.0.0/16-Bereich

gcloud compute firewall-rules create s2-inside-ssh \
--network s2-inside-vpc \
--allow tcp:22

gcloud compute firewall-rules create s2-inside-internal \
--network s2-inside-vpc \
--allow all \
--source-ranges 10.0.0.0/8

gcloud compute firewall-rules create s2-inside-cloud \
--network s2-inside-vpc  \
--allow all \
--source-ranges 192.168.0.0/16

gcloud compute firewall-rules create s2-inside-iap \
--network site2-vpc --allow tcp:22 --source-ranges=35.235.240.0/20

Erstellen Sie für Testzwecke die Instanzen s1-inside-vm und s2-inside-vm.

gcloud compute instances create s1-vm \
--zone=us-central1-a \
--machine-type=e2-micro \
--network-interface subnet=s1-inside-subnet,private-network-ip=10.10.1.3,no-address

gcloud compute instances create s2-vm \
--zone=us-east4-b \
--machine-type=e2-micro \
--network-interface subnet=s2-inside-subnet,private-network-ip=10.20.1.3,no-address

GCP-Cloud-Netzwerkumgebung simulieren

Zur Aktivierung des regionenübergreifenden Site-to-Site-Traffics über das hub-vpc-Netzwerk und die Spokes müssen Sie im hub-vpc-Netzwerk globales Routing aktivieren. Weitere Informationen zum Routenaustausch

1. Erstellen Sie das Netzwerk hub-vpc und die Subnetze:

gcloud compute networks create hub-vpc \
--subnet-mode custom \
--bgp-routing-mode=global

gcloud compute networks subnets create hub-subnet1 \
--network hub-vpc \
--range 10.1.0.0/24 \
--region us-central1

gcloud compute networks subnets create hub-subnet2 \
--network hub-vpc \
--range 10.2.0.0/24 \
--region us-east4

2. Erstellen Sie das Netzwerk workload-vpc und die Subnetze:

gcloud compute networks create workload-vpc \
--subnet-mode custom \
--bgp-routing-mode=global

gcloud compute networks subnets create workload-subnet1 \
--network workload-vpc \
--range 192.168.235.0/24 \
--region us-central1

gcloud compute networks subnets create workload-subnet2 \
--network workload-vpc \
--range 192.168.236.0/24 \
--region us-east4

3. Erstellen Sie Firewallregeln für die Hub-VPC, die Folgendes zulassen:

• SSH
• ESP, UDP/500, UDP/4500
• interner Bereich 10.0.0.0/8 (der den für die BGP-Sitzung vom Cloud Router zur Router-Appliance erforderlichen TCP-Port 179 abdeckt)

gcloud compute firewall-rules create hub-ssh \
--network hub-vpc \
--allow tcp:22

gcloud compute firewall-rules create hub-vpn \
--network hub-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router

gcloud compute firewall-rules create hub-internal \
--network hub-vpc \
--allow all \
--source-ranges 192.168.0.0/16

gcloud compute firewall-rules create hub-iap \
--network hub-vpc --allow tcp:22 --source-ranges=35.235.240.0/20

4. Erstellen Sie Firewallregeln für die Workload-VPC, die Folgendes zulassen:

• SSH
• Interner Bereich 192.168.0.0/16 (der den für die BGP-Sitzung vom Cloud Router zur Router-Appliance erforderlichen TCP-Port 179 abdeckt)

gcloud compute firewall-rules create workload-ssh \
--network workload-vpc \
--allow tcp:22

gcloud compute firewall-rules create workload-internal \
--network workload-vpc \
--allow all \
--source-ranges 192.168.0.0/16

gcloud compute --project=$projectname firewall-rules create allow-from-site-1-2 --direction=INGRESS --priority=1000 --network=workload-vpc --action=ALLOW --rules=all --source-ranges=10.10.1.0/24,10.20.1.0/24

gcloud compute firewall-rules create workload-onprem \
--network hub-vpc \
--allow all \
--source-ranges 10.0.0.0/8

gcloud compute firewall-rules create workload-iap \
--network workload-vpc --allow tcp:22 --source-ranges=35.235.240.0/20

5. Aktivieren Sie Cloud NAT in der Arbeitslast-VPC, damit workload1-vm Pakete herunterladen kann. Erstellen Sie dazu einen Cloud Router und ein NAT-Gateway.

gcloud compute routers create cloud-router-usc-central-1-nat \
    --network workload-vpc \
    --region us-central1

gcloud compute routers nats create cloudnat-us-central1 \
    --router=cloud-router-usc-central-1-nat \
    --auto-allocate-nat-external-ips \
    --nat-all-subnet-ip-ranges \
    --region us-central1

6. Erstellen Sie den workload1-vm-Host in "us-central1-a" in workload-VPC. Mit diesem Host überprüfen Sie die Verbindung zwischen Website und Cloud.

gcloud compute instances create workload1-vm \
    --project=$projectname \
    --machine-type=e2-micro \
    --image-family debian-10 \
    --image-project debian-cloud \
    --zone us-central1-a \
    --private-network-ip 192.168.235.3 \
        --no-address \
    --subnet=workload-subnet1 \
    --metadata startup-script="#! /bin/bash
      sudo apt-get update
      sudo apt-get install apache2 -y
      sudo service apache2 restart
      echo 'Welcome to Workload VM1 !!' | tee /var/www/html/index.html
      EOF"

4. On-Premise-Appliances für SD-WAN einrichten

On-Prem-VM für SD‑WAN (Appliances) erstellen

Im folgenden Abschnitt erstellen wir die Router-Appliances „site1-nva“ und „site2-nva“, die als lokale Router fungieren.

Instanzen erstellen

Erstellen Sie die site1-router-Appliance mit dem Namen site1-nva.

gcloud compute instances create site1-nva \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=site1-subnet \
--network-interface subnet=s1-inside-subnet,no-address \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any \
--can-ip-forward

Erstellen Sie die Appliance site2-router mit dem Namen site2-nva.

gcloud compute instances create site2-nva \
--zone=us-east4-b \
--machine-type=e2-medium \
--network-interface subnet=site2-subnet \
--network-interface subnet=s2-inside-subnet,no-address \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-east4-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any \
--can-ip-forward 

5. flexiWAN auf site1-nva installieren

Öffnen Sie eine SSH-Verbindung zu „site1-nva“. Wenn eine Zeitüberschreitung auftritt, versuchen Sie es noch einmal.

gcloud compute ssh site1-nva --zone=us-central1-a

flexiWAN auf site1-nva installieren

sudo su 

sudo curl -sL https://deb.flexiwan.com/setup | sudo bash -
apt install flexiwan-router -y

Bereiten Sie die VM für die flexiWAN-Steuerungsebenenregistrierung vor.

Führen Sie nach Abschluss der flexiWAN-Installation den Befehl fwsystem_checker aus, um Ihre Systemkonfiguration zu prüfen. Dieser Befehl prüft die Systemanforderungen und hilft, Konfigurationsfehler in Ihrem System zu beheben.

• Option 2 für schnelle und stille Konfiguration auswählen
• Beenden Sie den Vorgang anschließend mit 0.
• Schließen Sie das Cloud Shell-Fenster nicht.

root@site-1-nva-1:/home/user# fwsystem_checker
 
<output snipped>

        [0] - quit and use fixed parameters
         1  - check system configuration
         2  - configure system silently
         3  - configure system interactively
         4  - restore system checker settings to default
        ------------------------------------------------
Choose: 2

<output snipped>

        [0] - quit and use fixed parameters
         1  - check system configuration
         2  - configure system silently
         3  - configure system interactively
         4  - restore system checker settings to default
        ------------------------------------------------
Choose: 0
Please wait..
Done.
=== system checker ended ====

Lassen Sie die Sitzung für die folgenden Schritte geöffnet.

6. Registrieren Sie „site1-nva“ beim SD-WAN-Controller.

Diese Schritte sind erforderlich, um die Bereitstellung des flexiWAN-NVA abzuschließen, das über die flexiManage Console verwaltet wird. Die flexiWAN-Organisation muss eingerichtet sein, bevor Sie fortfahren.

Authentifizieren Sie die neu bereitgestellte flexiWAN-NVA mit flexiManage mithilfe eines Sicherheitstokens, indem Sie sich im flexiManage-Konto anmelden. Dasselbe Token kann für alle Router-Appliances wiederverwendet werden.

Wählen Sie Inventar → Tokens aus,erstellen Sie ein Token und wählen Sie „Kopieren“ aus.

Kehren Sie zur Cloud Shell (site1-nva) zurück und fügen Sie das Token in das Verzeichnis /etc/flexiwan/agent/token.txt ein. Gehen Sie dazu so vor:

nano /etc/flexiwan/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter

Site-Router in der flexiManage Console aktivieren

Melden Sie sich in der flexiManage Console an, um site1-nva auf dem Controller zu aktivieren.

Wählen Sie im linken Bereich Inventar → Geräte aus und klicken Sie auf das Gerät Unbekannt.

Geben Sie den Hostnamen von site1-nva ein und genehmigen Sie das Gerät, indem Sie das Steuerelement nach rechts schieben.

Wählen Sie den Tab Schnittstellen aus.

Suchen Sie nach der Spalte Zugewiesen, klicken Sie auf Nein und ändern Sie die Einstellung zu Ja.

Wählen Sie den Tab „Firewall“ aus und klicken Sie auf das +, um eine Firewallregel für eingehenden Traffic hinzuzufügen.

Wählen Sie die WAN-Schnittstelle aus, auf die die SSH-Regel angewendet werden soll (siehe unten).

Klicken Sie auf Gerät aktualisieren.

Starten Sie die site1-NVA über den flexiWAN-Controller. Kehren Sie zu Inventar → Geräte → site1-nva zurück und wählen Sie Gerät starten aus.

Status – Wird synchronisiert

Status – Synchronisiert

Das Warnsymbol ist unter Fehlerbehebung → Benachrichtigungen zu sehen. Nachdem Sie sich die Nachrichten angesehen haben, wählen Sie alle aus und markieren Sie sie als gelesen.

7. flexiWAN auf site2-nva installieren

Öffnen Sie einen neuen Tab und erstellen Sie eine Cloud Shell-Sitzung. Aktualisieren Sie die $variables, um die Implementierung der gcloud-Konfiguration zu unterstützen.

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname

Öffnen Sie eine SSH-Verbindung zu „site2-nva“. Wenn ein Zeitlimit überschritten wird, versuchen Sie es noch einmal.

gcloud compute ssh site2-nva --zone=us-east4-b

flexiWAN auf site2-nva installieren

sudo su 

sudo curl -sL https://deb.flexiwan.com/setup | sudo bash -
apt install flexiwan-router -y

Bereiten Sie die VM für die flexiWAN-Steuerungsebenenregistrierung vor.

Führen Sie nach Abschluss der flexiWAN-Installation den Befehl fwsystem_checker aus, um Ihre Systemkonfiguration zu prüfen. Dieser Befehl prüft die Systemanforderungen und hilft, Konfigurationsfehler in Ihrem System zu beheben.

• Option 2 für schnelle und stille Konfiguration auswählen
• Beenden Sie den Vorgang anschließend mit 0.
• Schließen Sie das Cloud Shell-Fenster nicht.

root@site2-nva:/home/user# fwsystem_checker
 
<output snipped>

        [0] - quit and use fixed parameters
         1  - check system configuration
         2  - configure system silently
         3  - configure system interactively
         4  - restore system checker settings to default
        ------------------------------------------------
Choose: 2

<output snipped>

        [0] - quit and use fixed parameters
         1  - check system configuration
         2  - configure system silently
         3  - configure system interactively
         4  - restore system checker settings to default
        ------------------------------------------------
Choose: 0
Please wait..
Done.
=== system checker ended ====

8. Registrieren Sie site2-nva beim SD-WAN-Controller.

Diese Schritte sind erforderlich, um die Bereitstellung des flexiWAN-NVA abzuschließen, das über die flexiManage Console verwaltet wird. Die flexiWAN-Organisation muss eingerichtet sein, bevor Sie fortfahren.

Authentifizieren Sie die neu bereitgestellte flexiWAN-NVA mit flexiManage mithilfe eines Sicherheitstokens, indem Sie sich im flexiManage-Konto anmelden. Dasselbe Token kann für alle Router-Appliances wiederverwendet werden.

Inventar → Tokens auswählen, Token erstellen und Kopieren auswählen

Kehren Sie zu Cloud Shell (site2-nva) zurück und fügen Sie das Token in das Verzeichnis /etc/flexiwan/agent/token.txt ein. Gehen Sie dazu so vor:

nano /etc/flexiwan/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter

Site-Router über die flexiManage Console aktivieren

Melden Sie sich in der flexiManage Console an, um site2-nva auf dem Controller zu aktivieren.

Wählen Sie im linken Bereich Inventar → Geräte aus und klicken Sie auf das Gerät Unbekannt.

Geben Sie den Hostnamen von site2-nva ein und genehmigen Sie das Gerät, indem Sie den Drehregler nach rechts schieben.

Wählen Sie den Tab Schnittstellen aus.

Suchen Sie nach der Spalte Zugewiesen, klicken Sie auf Nein und ändern Sie die Einstellung zu Ja.

Wählen Sie den Firewall-Tab aus und klicken Sie auf das +-Zeichen, um eine Firewallregel für eingehenden Traffic hinzuzufügen. Wählen Sie die WAN-Schnittstelle aus, auf die die SSH-Regel angewendet werden soll (siehe unten).

Klicken Sie auf Gerät aktualisieren.

Starten Sie die site2-NVA über den flexiWAN-Controller. Kehren Sie zu Inventar → Geräte → site2-nva zurück und wählen Sie Gerät starten aus.

Status: Wird synchronisiert

Status – Synchronisiert

Das Warnsymbol ist unter Fehlerbehebung → Benachrichtigungen zu sehen. Nachdem Sie sich die Nachrichten angesehen haben, wählen Sie alle aus und markieren Sie sie als gelesen.

9. SD‑WAN-Appliances für Hub einrichten

Im folgenden Abschnitt erstellen und registrieren Sie die Hub-Router (hub-r1 und hub-r2) beim flexiWAN Controller, wie Sie es bereits mit den Standortrouten getan haben.

Öffnen Sie einen neuen Tab und erstellen Sie eine Cloud Shell-Sitzung. Aktualisieren Sie die $variables, um die Implementierung der gcloud-Konfiguration zu unterstützen.

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname

Hub-NVA-Instanzen erstellen

Erstellen Sie die Appliance hub-r1:

gcloud compute instances create hub-r1 \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=hub-subnet1 \
--network-interface subnet=workload-subnet1,no-address \
--can-ip-forward \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any

Erstellen Sie die Appliance hub-r2:

gcloud compute instances create hub-r2 \
--zone=us-east4-b \
--machine-type=e2-medium \
--network-interface subnet=hub-subnet2 \
--network-interface subnet=workload-subnet2,no-address \
--can-ip-forward \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-east4-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any

10. flexiWAN auf Hub-Instanzen für hub-r1 installieren

SSH-Verbindung zu hub-r1 öffnen

gcloud compute ssh hub-r1 --zone=us-central1-a

flexiWAN-Agent auf beiden Hub-r1-Geräten installieren

sudo su
sudo curl -sL https://deb.flexiwan.com/setup | sudo bash -
apt install flexiwan-router -y

hub-r1-VMs für die flexiWAN-Registrierung vorbereiten

Führen Sie nach Abschluss der flexiWAN-Installation den Befehl fwsystem_checker aus, um Ihre Systemkonfiguration zu prüfen. Dieser Befehl prüft die Systemanforderungen und hilft, Konfigurationsfehler in Ihrem System zu beheben.

root@hub-r1:/home/user# fwsystem_checker

• Option 2 für schnelle und stille Konfiguration auswählen
• Beenden Sie den Vorgang anschließend mit 0.
• Schließen Sie das Cloud Shell-Fenster nicht.

11. Hub-r1-VMs auf dem flexiManage-Controller registrieren

Authentifizieren Sie die neu bereitgestellte flexiWAN-NVA mit flexiManage mithilfe eines Sicherheitstokens, indem Sie sich im flexiManage-Konto anmelden.

• Wählen Sie Inventar → Tokens aus und kopieren Sie das Token.

Kehren Sie zur Cloud Shell (hub-r1) zurück und fügen Sie das Token in das Verzeichnis /etc/flexiwan/agent/token.txt ein. Gehen Sie dazu so vor:

nano /etc/flexiwan/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter

12. flexiWAN auf Hub-Instanzen für hub-r2 installieren

SSH-Verbindung zu hub-r2 öffnen

gcloud compute ssh hub-r2 --zone=us-east4-b

flexiWAN-Agent auf beiden hub-r2-Geräten installieren

sudo su
sudo curl -sL https://deb.flexiwan.com/setup | sudo bash -
apt install flexiwan-router -y

Hub-r2-VMs für die flexiWAN-Registrierung vorbereiten

Führen Sie nach Abschluss der flexiWAN-Installation den Befehl fwsystem_checker aus, um Ihre Systemkonfiguration zu prüfen. Dieser Befehl prüft die Systemanforderungen und hilft, Konfigurationsfehler in Ihrem System zu beheben.

root@hub-r2:/home/user# fwsystem_checker

• Option 2 für schnelle und stille Konfiguration auswählen
• Beenden Sie den Vorgang anschließend mit 0.
• Schließen Sie das Cloud Shell-Fenster nicht.

13. hub-r2-VMs auf dem flexiManage-Controller registrieren

Authentifizieren Sie die neu bereitgestellte flexiWAN-NVA mit flexiManage mithilfe eines Sicherheitstokens, indem Sie sich im flexiManage-Konto anmelden.

• Wählen Sie Inventar → Tokens aus und kopieren Sie das Token.

Kehren Sie zur Cloud Shell (hub-r2) zurück und fügen Sie das Token in das Verzeichnis /etc/flexiwan/agent/token.txt ein. Gehen Sie dazu so vor:

nano /etc/flexiwan/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter

Hub-Router hub-r1 in der flexiManage Console aktivieren

In der flexiManage Console anmelden

• Rufen Sie Inventar → Geräte auf.
• Der Hostname für hub-r1 und hub-r2 ist „unknown“.

Wähle das unbekannte Gerät mit dem Hostnamen hub-r1 aus.

• Geben Sie den Hostnamen des hub-r1 ein.
• Genehmigen Sie das Gerät, indem Sie das Drehrad nach rechts schieben.

Wählen Sie den Tab Schnittstellen aus.

• Spalte Zugewiesen suchen
• Klicken Sie neben der Schnittstellenzeile auf Nein, um die Einstellung in Ja zu ändern.

Wählen Sie den Tab Firewall aus.

• Klicken Sie auf +, um eine eingehende Firewallregel hinzuzufügen.
• Wählen Sie die WAN-Schnittstelle aus, von der die Regel übernommen werden soll.
• SSH-Port 22 mit TCP-Protokoll zulassen
• Klicken Sie auf Gerät aktualisieren.

Starten Sie die hub-r1-Appliance für SD-WAN über den Controller von flexiWAN.

• Kehre zu Inventar → Geräte → hub-r1 zurück.

Wählen Sie Gerät starten aus.

• Warten Sie, bis die Synchronisierung abgeschlossen ist, und notieren Sie sich den Status Wird ausgeführt.

Hub-Router Hub-R2 in der flexiManage Console aktivieren

Wähle das unbekannte Gerät mit dem Hostnamen hub-r2 aus.

• Geben Sie den Hostnamen des hub-r2 ein.
• Genehmigen Sie das Gerät, indem Sie das Drehrad nach rechts schieben.

Wählen Sie den Tab „Schnittstellen“ aus.

• Spalte Zugewiesen suchen
• Klicken Sie neben der Schnittstellenzeile auf Nein, um die Einstellung in Ja zu ändern.

Wählen Sie den Firewall-Tab aus.

• Klicken Sie auf +, um eine eingehende Firewallregel hinzuzufügen.
• Wählen Sie die WAN-Schnittstelle aus, von der die Regel übernommen werden soll.
• SSH-Port 22 mit TCP-Protokoll zulassen
• Klicken Sie auf Regel hinzufügen.
• Klicken Sie auf Gerät aktualisieren.

Starten Sie die hub-r2-Appliance für SD-WAN über den Controller von flexiWAN.

• Kehren Sie zu Inventar → Geräte → hub-r2 zurück und wählen Sie Gerät starten aus.
• Warten Sie, bis die Synchronisierung abgeschlossen ist, und notieren Sie sich den Status Wird ausgeführt.

14. Network Connectivity Center im GCP Hub

API-Dienste aktivieren

Aktivieren Sie die Network Connectivity API, falls sie noch nicht aktiviert ist:

gcloud services enable networkconnectivity.googleapis.com

NCC-Hub erstellen

gcloud network-connectivity hubs create ncc-hub

Create request issued for: [ncc-hub]
Waiting for operation [projects/user-3p-dev/locations/global/operations/operation-1668793629598-5edc24b7ee3ce-dd4c765b-5ca79556] to complete...done.     
Created hub [ncc-hub]

Beide Router-Appliances als NCC-Spoke konfigurieren

Suchen Sie nach dem URI und der IP-Adresse für „hub-r1“ und „hub-r2“ und notieren Sie sich die Ausgabe. Sie benötigen diese Informationen im nächsten Schritt.

Notieren Sie sich die IP-Adresse (192.168.x.x) der hub-r1- und hub-r2-Instanz.

gcloud compute instances describe hub-r1 \
--zone=us-central1-a \
--format="value(selfLink.scope(projects))"

gcloud compute instances describe hub-r1 --zone=us-central1-a | grep "networkIP"

gcloud compute instances describe hub-r2 \
--zone=us-east4-b \
--format="value(selfLink.scope(projects))"

gcloud compute instances describe hub-r2 --zone=us-east4-b | grep "networkIP"

Fügen Sie die VNIC des Hub-r1 networkIP (192.168.x.x) als Spoke hinzu und aktivieren Sie die Site-to-Site-Datenübertragung.

gcloud network-connectivity spokes linked-router-appliances create s2s-wrk-cr1 \
--hub=ncc-hub \
--router-appliance=instance="https://www.googleapis.com/compute/projects/$projectname/zones/us-central1-a/instances/hub-r1",ip=192.168.235.4 \
--region=us-central1 \
--site-to-site-data-transfer

Fügen Sie die vNIC des Hub-r2 networkIP (192.168.x.x) als Spoke hinzu und aktivieren Sie die Site-to-Site-Datenübertragung.

gcloud network-connectivity spokes linked-router-appliances create s2s-wrk-cr2 \
--hub=ncc-hub \
--router-appliance=instance=/projects/$projectname/zones/us-east4-b/instances/hub-r2,ip=192.168.236.101 \
--region=us-east4 \
--site-to-site-data-transfer

Cloud Router für die Einrichtung von BGP mit Hub-R1 konfigurieren

Erstellen Sie im nächsten Schritt den Cloud Router und kündigen Sie das Arbeitslast-VPC-Subnetz 192.168.235.0/24 an.

Erstellen Sie den Cloud Router in us-central1, der über BGP mit hub-r1 kommuniziert.

gcloud compute routers create wrk-cr1 \
--region=us-central1 \
--network=workload-vpc \
--asn=65002 \
--set-advertisement-groups=all_subnets \
--advertisement-mode=custom

Wenn Sie die Router-Appliances als NCC-Spoke konfigurieren, kann der Cloud Router BGP auf virtuellen Schnittstellen aushandeln.

Erstellen Sie zwei Schnittstellen auf dem Cloud Router, über die BGP-Nachrichten mit hub-r1 ausgetauscht werden.

IP-Adressen werden aus dem Arbeitslast-Subnetz ausgewählt und können bei Bedarf geändert werden.

gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int0 \
--ip-address=192.168.235.101 

gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int1 \
--ip-address=192.168.235.102 \
--redundant-interface=int0

Konfigurieren Sie die Cloud Router-Schnittstelle, um BGP mit der vNIC-1 von hub-r1 einzurichten. Aktualisieren Sie die peer-ip-address mit der IP-Adresse von hub-r1 networkIP. Hinweis: Für int0 und int1 wird dieselbe IP-Adresse verwendet.

gcloud compute routers add-bgp-peer wrk-cr1 \
    --peer-name=hub-cr1-bgp-peer-0 \
    --interface=int0 \
    --peer-ip-address=192.168.235.4 \
    --peer-asn=64111 \
    --instance=hub-r1 \
    --instance-zone=us-central1-a \
    --region=us-central1

gcloud compute routers add-bgp-peer wrk-cr1 \
    --peer-name=hub-cr1-bgp-peer-1 \
    --interface=int1 \
    --peer-ip-address=192.168.235.4 \
    --peer-asn=64111 \
    --instance=hub-r1 \
    --instance-zone=us-central1-a \
    --region=us-central1

Prüfen Sie den BGP-Status. An diesem Punkt im Codelab ist BGP im Verbindungsstatus, da die Netzwerkrouter-Appliance nicht für BGP konfiguriert wurde.

gcloud compute routers get-status wrk-cr1 --region=us-central1

Workload-cr2 für die Einrichtung von BGP mit Hub-R2 konfigurieren

Erstellen Sie im nächsten Schritt den Cloud Router und kündigen Sie das Arbeitslast-VPC-Subnetz 192.168.236.0/24 an.

Erstellen Sie den Cloud Router in „us-east4“, der über BGP mit „hub-r2“ kommuniziert.

gcloud compute routers create wrk-cr2 \
--region=us-east4 \
--network=workload-vpc \
--asn=65002 \
--set-advertisement-groups=all_subnets \
--advertisement-mode=custom

Erstellen Sie ein Schnittstellenpaar auf dem Cloud Router, über das BGP-Nachrichten mit hub-r2 ausgetauscht werden. Die IP-Adressen werden aus dem Workload-Subnetz ausgewählt und können bei Bedarf geändert werden.

gcloud compute routers add-interface wrk-cr2 \
--region=us-east4 \
--subnetwork=workload-subnet2 \
--interface-name=int0 \
--ip-address=192.168.236.5 


gcloud compute routers add-interface wrk-cr2 \
--region=us-east4 \
--subnetwork=workload-subnet2 \
--interface-name=int1 \
--ip-address=192.168.236.6 \
--redundant-interface=int0

Konfigurieren Sie die Cloud Router-Schnittstelle, um BGP mit der vNIC-1 von hub-r2 einzurichten. Aktualisieren Sie die peer-ip-address mit der IP-Adresse von hub-r1 networkIP. Hinweis: Für int0 und int1 wird dieselbe IP-Adresse verwendet.

gcloud compute routers add-bgp-peer wrk-cr2 \
    --peer-name=hub-cr2-bgp-peer-0 \
    --interface=int0 \
    --peer-ip-address=192.168.236.101 \
    --peer-asn=64112 \
    --instance=hub-r2 \
    --instance-zone=us-east4-b \
    --region=us-east4

gcloud compute routers add-bgp-peer wrk-cr2 \
    --peer-name=hub-cr2-bgp-peer-1 \
    --interface=int1 \
    --peer-ip-address=192.168.236.101 \
    --peer-asn=64112 \
    --instance=hub-r2 \
    --instance-zone=us-east4-b \
    --region=us-east4

Prüfen Sie den BGP-Status. An diesem Punkt im Codelab ist BGP im Verbindungsstatus, da die Netzwerkrouter-Appliance nicht für BGP konfiguriert wurde.

gcloud compute routers get-status wrk-cr2 --region=us-east4

15. Hub-Router-Appliances für BGP konfigurieren

Hub-r1 für BGP konfigurieren

Melden Sie sich in der flexiManage Console an.

Rufen Sie Inventar → Geräte → hub-r1 auf und wählen Sie das Gerät mit dem HostName:hub-r1 aus.

• Klicken Sie auf den Tab Routing.
• Klicken Sie auf BGP-Konfiguration.
• OSPF-Routen neu verteilen deaktivieren
• Konfigurieren Sie hub-r1 für BGP mit diesen Parametern und klicken Sie auf Speichern.

Wählen Sie den Tab Schnittstellen aus, suchen Sie die LAN-Schnittstelle und die Spalte Routing.

• Klicken Sie auf Keine, um das Menü zu öffnen und BGP als Routing-Protokoll auszuwählen.

• Klicken Sie oben auf der Seite auf „Gerät aktualisieren“.

Hub-r2 für BGP konfigurieren

Melden Sie sich in der flexiManage Console an.

Gehen Sie zu Inventar → Geräte → hub-r2 und wählen Sie das Gerät mit dem HostName:hub-r2 aus.

• Klicken Sie auf den Tab Routing.
• Klicken Sie auf BGP-Konfiguration.
• OSPF-Routen neu verteilen deaktivieren
• Konfigurieren Sie hub-r2 für BGP mit diesen Parametern und klicken Sie auf Speichern.

Wählen Sie den Tab Interfaces (Schnittstellen) aus, suchen Sie nach der LAN-Schnittstelle und nach der Spalte „Routing“.

• Klicken Sie auf „none“ (keine), um ein Drop-down-Menü zu öffnen, in dem Sie BGP als Routingprotokoll auswählen können.

• Klicken Sie oben auf der Seite auf Gerät aktualisieren.

Wählen Sie den Tab Routing aus.

• Prüfen, ob hub-r2 eine BGP-Route von wrk-cr2 erlernt hat

16. BGP-Routenaustausch zwischen Router-Appliances

Lokale ASN für Remote-Standorte einrichten

Konfigurieren Sie eine lokale BGP-ASN für site1-nva und site2-nva. Nach der Konfiguration richten wir einen IPSEC-Tunnel zwischen den Remote-Standorten und Hub-Routern ein.

Wählen Sie das Gerät mit HostName:site1-nva aus.

• Klicken Sie auf den Tab Routing.
• Klicken Sie auf BGP-Konfiguration.
• OSPF-Routen neu verteilen deaktivieren
• BGP aktiviert
• Lokales ASN 7269 → Speichern
• Gerät aktualisieren
• Tab „Interfaces“ → „LAN“ → „Routing“ → „BGP“
• Gerät aktualisieren

Wählen Sie das Gerät mit HostName:site2-nva aus.

• Klicken Sie auf den Tab Routing.
• Klicken Sie auf BGP-Konfiguration.
• OSPF-Routen neu verteilen deaktivieren
• BGP aktiviert
• Lokale ASN 7270 → Speichern
• Gerät aktualisieren
• Tab „Interfaces“ → „LAN“ → „Routing“ → „BGP“
• Gerät aktualisieren

VPN-Tunnel zwischen Standort- und Hub-Appliances konfigurieren

Melden Sie sich in der flexiManage Console an.

• Rufen Sie Inventar → Geräte auf.
• Klicken Sie das Kästchen neben dem Hostnamen von site1-nva und hub-r1 an, um einen VPN-Tunnel zwischen diesem NVA-Paar zu erstellen.
• Klicken Sie auf Aktionen → Tunnel erstellen und konfigurieren Sie Folgendes:

• Wählen Sie Tunnel erstellen aus.
• Entfernen Sie die Häkchen bei site1-nva und ub-r1.

Wiederholen Sie die Schritte, um einen Tunnel zwischen site2-nva und hub-r2 zu erstellen. Wählen Sie dazu die entsprechenden Parameter aus.

Prüfen Sie, ob das Tunnelpaar zwischen jedem NVA-Paar eingerichtet ist.

• Wählen Sie in der Seitenleiste links Inventar und dann Tunnels aus. Suchen Sie die Spalte „Status“.

Prüfen Sie, ob „site1-nva“ Routen zu den Subnetzen 192.168.235.0/24 und 192.168.236.0/24 gelernt hat.

• Wählen Sie Inventar → Geräte → site1-nva aus und klicken Sie auf den Tab Routing.

In der Beispielausgabe unten hat flexiWAN den Tunnel automatisch mit der Host-IP-Adresse 10.100.0.6 erstellt.

17. Datenpfadkonnektivität prüfen

Site-to-Cloud-Konnektivität vom lokalen Standort aus prüfen

Sehen Sie sich das Diagramm an und prüfen Sie, ob der Datenpfad zwischen s1-vm und workload1-vm

Statische VPC-Routen für Site-to-Cloud konfigurieren

Die lokalen Site1-VPC und Site2-VPC simulieren ein lokales Rechenzentrumsnetzwerk.

Die Router-Appliances „Site-1-nva“ und „site-2-nva“ verwenden VPN-Verbindungen, um das Hub-Netzwerk zu erreichen.

Erstellen Sie für den Anwendungsfall „Standort zu Cloud“** statische Routen zum Ziel 192.168.0.0/16, wobei die Router-Appliance als nächster Hop verwendet wird, um Netzwerke im GCP-Cloud-Netzwerk zu erreichen.

Erstellen Sie auf s1-inside-vpc eine statische Route für das Cloud-Ziel (192.168.0.0/16):

gcloud compute routes create site1-subnet-route  \
--network=s1-inside-vpc \
--destination-range=192.168.0.0/16  \
--next-hop-instance=site1-nva \
--next-hop-instance-zone=us-central1-a

Erstellen Sie auf s2-inside-vpc eine statische Route für das Cloud-Ziel (192.168.0.0/16):

gcloud compute routes create site2-subnet-route  \
--network=s2-inside-vpc \
--destination-range=192.168.0.0/16  \
--next-hop-instance=site2-nva \
--next-hop-instance-zone=us-east4-b

Suchen Sie in Cloud Shell nach der IP-Adresse von workload1-vm. Sie benötigen diese, um die Verbindung von „s1-vm“ aus zu testen.

gcloud compute instances describe workload1-vm --zone=us-central1-a | grep "networkIP"

Öffnen Sie eine SSH-Verbindung zu s1-vm. Wenn ein Zeitlimit überschritten wird, versuchen Sie es noch einmal.

gcloud compute ssh s1-vm --zone=us-central1-a

Stellen Sie eine SSH-Verbindung zu s1-vm her und verwenden Sie den Befehl curl, um eine TCP-Sitzung mit der IP-Adresse von workload1-VM herzustellen.

s1-vm:~$ curl 192.168.235.3 -vv
*   Trying 192.168.235.3:80...
* Connected to 192.168.235.3 (192.168.235.3) port 80 (#0)
> GET / HTTP/1.1
> Host: 192.168.235.3
> User-Agent: curl/7.74.0
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< Date: Wed, 07 Dec 2022 15:12:08 GMT
< Server: Apache/2.4.54 (Debian)
< Last-Modified: Tue, 06 Dec 2022 00:57:46 GMT
< ETag: "1f-5ef1e4acfa1d9"
< Accept-Ranges: bytes
< Content-Length: 31
< Content-Type: text/html
< 
Page served from: workload1-vm
* Connection #0 to host 192.168.235.3 left intact

Site-to-Site-Verbindung überprüfen

Sehen Sie sich das Diagramm an und prüfen Sie, ob der Datenpfad zwischen s1-vm und s2-vm

Statische VPC-Routen für Site-to-Site konfigurieren

Wenn Sie Site-to-Site-Traffic zwischen Site 1 und Site 2 über das globale Netzwerk von GCP weiterleiten möchten, erstellen Sie statische Routen zu den Subnetzwerken der Remotestandorte und verwenden die lokale Router-Appliance als nächsten Hop.

In einem späteren Schritt wird die Arbeitslast-VPC mit NCC konfiguriert, um die Site-to-Site-Datenübertragung zu unterstützen.

Erstellen Sie auf s1-inside-vpc eine statische Route,um das Subnetz „site2“ (10.20.1.0/24) zu erreichen:

gcloud compute routes create site1-sn1-route  \
--network=s1-inside-vpc \
--destination-range=10.20.1.0/24  \
--next-hop-instance=site1-nva \
--next-hop-instance-zone=us-central1-a

Erstellen Sie auf s2-inside-vpc eine statische Route,um das Subnetz „site1-subnet“ (10.10.1.0/24) zu erreichen:

gcloud compute routes create site2-sn1-route  \
--network=s2-inside-vpc \
--destination-range=10.10.1.0/24  \
--next-hop-instance=site2-nva \
--next-hop-instance-zone=us-east4-b

Suchen Sie in Cloud Shell nach der IP-Adresse von s2-vm. Sie benötigen diese, um die Verbindung von S1-vm aus zu testen.

gcloud compute instances describe s2-vm --zone=us-east4-b | grep networkIP

Öffnen Sie eine SSH-Verbindung zu s1-vm. Wenn ein Zeitlimit überschritten wird, versuchen Sie es noch einmal.

gcloud compute ssh s1-vm --zone=us-central1-a

Stellen Sie eine SSH-Verbindung zu s1-vm her und pingen Sie die IP-Adresse von s2-vm an.

s1-vm:~$ ping 10.20.1.3
PING 10.20.1.3 (10.20.1.3) 56(84) bytes of data.
64 bytes from 10.20.1.3: icmp_seq=1 ttl=60 time=99.1 ms
64 bytes from 10.20.1.3: icmp_seq=2 ttl=60 time=94.3 ms
64 bytes from 10.20.1.3: icmp_seq=3 ttl=60 time=92.4 ms
64 bytes from 10.20.1.3: icmp_seq=4 ttl=60 time=90.9 ms
64 bytes from 10.20.1.3: icmp_seq=5 ttl=60 time=89.7 ms

18. Bereinigen

Melden Sie sich in Cloud Shell an und löschen Sie VM-Instanzen in den Netzwerken der Hub- und Branch-Standorte.

#on prem instances
gcloud compute instances delete s1-vm --zone=us-central1-a --quiet
gcloud compute instances delete s2-vm --zone=us-east4-b --quiet

#delete on prem firewall rules
gcloud compute firewall-rules delete site1-ssh --quiet
gcloud compute firewall-rules delete site1-internal --quiet
gcloud compute firewall-rules delete site1-cloud --quiet
gcloud compute firewall-rules delete site1-vpn  --quiet
gcloud compute firewall-rules delete site1-iap --quiet
gcloud compute firewall-rules delete site2-ssh --quiet
gcloud compute firewall-rules delete site2-internal --quiet
gcloud compute firewall-rules delete site2-cloud --quiet
gcloud compute firewall-rules delete site2-vpn  --quiet
gcloud compute firewall-rules delete site2-iap --quiet
gcloud compute firewall-rules delete allow-from-site-1-2 --quiet
gcloud compute firewall-rules delete s2-inside-cloud s2-inside-internal s2-inside-ssh --quiet
gcloud compute firewall-rules delete s1-inside-cloud s1-inside-iap s1-inside-internal s1-inside-ssh s2-inside-cloud s2-inside-iap s2-inside-internal s2-inside-ssh --quiet


#delete ncc spokes
gcloud network-connectivity spokes delete s2s-wrk-cr1 --region us-central1 --quiet
gcloud network-connectivity spokes delete s2s-wrk-cr2 --region us-east4 --quiet

#delete ncc hub
gcloud network-connectivity hubs delete ncc-hub --quiet

#delete the cloud router
gcloud compute routers delete wrk-cr1 --region=us-central1 --quiet
gcloud compute routers delete wrk-cr2 --region=us-east4 --quiet

#delete the instances

gcloud compute instances delete hub-r1 --zone=us-central1-a --quiet
gcloud compute instances delete hub-r2 --zone=us-east4-b --quiet
gcloud compute instances delete workload1-vm --zone=us-central1-a --quiet
gcloud compute instances delete site1-nva --zone=us-central1-a --quiet
gcloud compute instances delete site2-nva --zone=us-east4-b --quiet

#delete on prem subnets

gcloud compute networks subnets delete hub-subnet1 s1-inside-subnet site1-subnet workload-subnet1 --region=us-central1 --quiet

gcloud compute networks subnets delete hub-subnet2 s2-inside-subnet  site2-subnet workload-subnet2 --region=us-east4 --quiet 

#delete hub firewall rule
gcloud compute firewall-rules delete hub-ssh --quiet
gcloud compute firewall-rules delete hub-vpn --quiet
gcloud compute firewall-rules delete hub-internal --quiet
gcloud compute firewall-rules delete hub-iap --quiet

gcloud compute firewall-rules delete workload-ssh --quiet
gcloud compute firewall-rules delete workload-internal --quiet
gcloud compute firewall-rules delete workload-onprem --quiet
gcloud compute firewall-rules delete workload-iap --quiet

#delete on vpcs
gcloud compute networks delete hub-vpc s1-inside-vpc s2-inside-vpc site2-vpc workload-vpc --quiet 

19. Glückwunsch!

Sie haben das Network Connectivity Center-Lab abgeschlossen.

Behandelte Themen

• Software-Defined WAN-Integration für NCC-Site-Cloud-Verbindungen konfiguriert
• Software-definiertes WAN für die NCC-Site-to-Site-Integration konfiguriert

Nächste Schritte

• Network Connectivity Center – Übersicht
• Network Connectivity Center-Dokumentation
• flexiWAN-Ressourcen
• flexiWAN-GitLab-Repository

© Google LLC oder deren Tochtergesellschaften. Alle Rechte vorbehalten. Nicht weitergeben.