Lab: NCC-Website zum Standort mit der FlexiWAN SD-WAN-Appliance

1. Einführung

Übersicht

In diesem Lab lernen Sie einige Funktionen von Network Connectivity Center kennen.

Network Connectivity Center (NCC) ist ein Hub-and-Spoke-Steuerungsebenenmodell für die Verwaltung von Netzwerkverbindungen in Google Cloud. Die Hub-Ressource bietet ein zentralisiertes Modell für die Konnektivitätsverwaltung zum Verbinden von Spokes. NCC unterstützt derzeit die folgenden Netzwerkressourcen als Spokes:

• VLAN-Anhänge
• Router-Appliances
• HA VPN

Codelabs erfordert die Verwendung einer flexiblen SD-WAN-Lösung für flexible WANs, die die WAN-Bereitstellung und -Verwaltung vereinfacht. FlexWAN ist eine Open-Source-Lösung für SD-WAN und SASE.

Inhalt

In diesem Codelab erstellen Sie eine Hub-and-Spoke-SD-WAN-Topologie, um Remote-Zweig-Standorte zu simulieren, die das Backbonenetzwerk von Google durchqueren, um von Standort zu Cloud und von Standort zu Standort zu kommunizieren.

1. Sie stellen ein Paar GCE-VMs bereit, die für „flexiWAN“ konfiguriert sind SD-WAN-Agent in der Hub-VPC, der Frontends für ein- und ausgehenden Traffic zur GCP darstellt.
2. Zwei Remote-FlexiWAN-SD-WAN-Router bereitstellen, um die VPC mit zwei verschiedenen Zweigstandorten darzustellen
3. Für Datenpfadtests konfigurieren Sie drei GCE-VMs, um lokale Clients und Server zu simulieren, die auf der GCP gehostet werden.

Aufgaben in diesem Lab

• NCC verwenden, um Remote-Zweigstellen mithilfe einer softwarebasierten Open-Source-WAN-Lösung miteinander zu verbinden
• Praxiserfahrung mit einer softwarebasierten Open-Source-WAN-Lösung

Voraussetzungen

• Kenntnisse des GCP-VPC-Netzwerks
• Kenntnisse zu Cloud Router und BGP-Routing
• Für Codelab sind 6 VPCs erforderlich. Überprüfen Sie Kontingent:Netzwerke und fordern Sie bei Bedarf zusätzliche Netzwerke an (Screenshot unten):

2. Zielsetzungen

• GCP-Umgebung einrichten
• FlexiWAN-Edge-Instanzen in der GCP bereitstellen
• NCC-Hub und flexiWAN Edge NVA als Spoke einrichten
• FlexiWAN-Instanzen mit flexiManage konfigurieren und verwalten
• BGP-Routenaustausch zwischen „vpc-app-svcs“ und der FlexiWAN-NVA konfigurieren
• Remote-Standort erstellen, der die Filiale eines Kunden oder ein Rechenzentrum simuliert
• IPSEC-Tunnel zwischen dem Remote-Standort und NVA einrichten
• Bereitgestellte Appliances prüfen
• Validierung der Datenübertragung von einer Website zur Cloud
• Datenübertragung von Website zu Website validieren
• Verwendete Ressourcen bereinigen

Für diese Anleitung muss ein kostenloses flexiManage-Konto erstellt werden, um FlexiEdge-Instanzen zu authentifizieren, einzurichten und zu verwalten.

Hinweis

Google Cloud Console und Cloud Shell verwenden

Für die Interaktion mit der GCP verwenden wir in diesem Lab sowohl die Google Cloud Console als auch Cloud Shell.

Google Cloud Console

Die Cloud Console ist unter https://console.cloud.google.com erreichbar.

Richten Sie die folgenden Elemente in Google Cloud ein, um die Konfiguration von Network Connectivity Center zu vereinfachen:

Wählen Sie in der Google Cloud Console auf der Seite zur Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie ein Google Cloud-Projekt.

Starten Sie Cloud Shell. In diesem Codelab wird $variables verwendet, um die Implementierung der gcloud-Konfiguration in Cloud Shell zu unterstützen.

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname

IAM-Rollen

NCC erfordert IAM-Rollen für den Zugriff auf bestimmte APIs. Konfigurieren Sie Ihren Nutzer nach Bedarf mit den NCC-IAM-Rollen.

3. Network Lab Environment einrichten

Übersicht

In diesem Abschnitt stellen wir die VPC-Netzwerke und Firewallregeln bereit.

Lokale Zweig-Site-Netzwerke simulieren

Dieses VPC-Netzwerk enthält Subnetze für lokale VM-Instanzen.

Erstellen Sie die lokalen Standortnetzwerke und Subnetze:

gcloud compute networks create site1-vpc \
--subnet-mode custom

gcloud compute networks create site2-vpc \
--subnet-mode custom

gcloud compute networks create s1-inside-vpc \
--subnet-mode custom

gcloud compute networks create s2-inside-vpc \
--subnet-mode custom

gcloud compute networks subnets create site1-subnet \
--network site1-vpc \
--range 10.10.0.0/24 \
--region us-central1

gcloud compute networks subnets create site2-subnet \
--network site2-vpc \
--range 10.20.0.0/24 \
--region us-east4

gcloud compute networks subnets create s1-inside-subnet \
--network s1-inside-vpc \
--range 10.10.1.0/24 \
--region us-central1

gcloud compute networks subnets create s2-inside-subnet \
--network s2-inside-vpc \
--range 10.20.1.0/24 \
--region us-east4

Erstellen Sie „site1-vpc“-Firewallregeln, um Folgendes zuzulassen:

• SSH, intern, IAP
• ESP, UDP/500, UDP/4500
• Bereich 10.0.0.0/8
• Bereich 192.168.0.0/16

gcloud compute firewall-rules create site1-ssh \--network site1-vpc \
--allow tcp:22

gcloud compute firewall-rules create site1-internal \
--network site1-vpc \
--allow all \
--source-ranges 10.0.0.0/8

gcloud compute firewall-rules create site1-cloud \
--network site1-vpc \
--allow all \
--source-ranges 192.168.0.0/16

gcloud compute firewall-rules create site1-vpn \
--network site1-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router

gcloud compute firewall-rules create site1-iap \
--network site1-vpc --allow tcp:22 --source-ranges=35.235.240.0/20

Erstellen Sie „site2-vpc“-Firewallregeln, um Folgendes zuzulassen:

• SSH, intern, IAP
• Bereich 10.0.0.0/8
• Bereich 192.168.0.0/16

gcloud compute firewall-rules create site2-ssh \
--network site2-vpc \
--allow tcp:22

gcloud compute firewall-rules create site2-internal \
--network site2-vpc \
--allow all \
--source-ranges 10.0.0.0/8

gcloud compute firewall-rules create site2-cloud \
--network site1-vpc \
--allow all \
--source-ranges 192.168.0.0/16

gcloud compute firewall-rules create site2-vpn \
--network site1-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router

gcloud compute firewall-rules create site2-iap \
--network site2-vpc --allow tcp:22 --source-ranges=35.235.240.0/20

Erstellen Sie s1-inside-vpc-Firewallregeln, um Folgendes zuzulassen:

• SSH, intern, IAP
• Bereich 10.0.0.0/8
• Bereich 192.168.0.0/16

gcloud compute firewall-rules create s1-inside-ssh \
--network s1-inside-vpc \
--allow tcp:22

gcloud compute firewall-rules create s1-inside-internal \
--network s1-inside-vpc \
--allow all \
--source-ranges 10.0.0.0/8

gcloud compute firewall-rules create s1-inside-cloud \
--network s1-inside-vpc  \
--allow all \
--source-ranges 192.168.0.0/16

gcloud compute firewall-rules create s1-inside-iap \
--network site2-vpc --allow tcp:22 --source-ranges=35.235.240.0/20

Erstellen Sie s2-inside-vpc-Firewallregeln, um Folgendes zuzulassen:

• SSH, intern, IAP
• Bereich 10.0.0.0/8
• Bereich 192.168.0.0/16

gcloud compute firewall-rules create s2-inside-ssh \
--network s2-inside-vpc \
--allow tcp:22

gcloud compute firewall-rules create s2-inside-internal \
--network s2-inside-vpc \
--allow all \
--source-ranges 10.0.0.0/8

gcloud compute firewall-rules create s2-inside-cloud \
--network s2-inside-vpc  \
--allow all \
--source-ranges 192.168.0.0/16

gcloud compute firewall-rules create s2-inside-iap \
--network site2-vpc --allow tcp:22 --source-ranges=35.235.240.0/20

Erstellen Sie zu Testzwecken die Instanzen s1-inside-vm und s2-inside-vm.

gcloud compute instances create s1-vm \
--zone=us-central1-a \
--machine-type=e2-micro \
--network-interface subnet=s1-inside-subnet,private-network-ip=10.10.1.3,no-address

gcloud compute instances create s2-vm \
--zone=us-east4-b \
--machine-type=e2-micro \
--network-interface subnet=s2-inside-subnet,private-network-ip=10.20.1.3,no-address

Cloud-Netzwerkumgebung der GCP simulieren

Wenn Sie regionsübergreifenden Site-to-Site-Traffic über das hub-vpc-Netzwerk und die Spokes aktivieren möchten, müssen Sie im hub-vpc-Netzwerk globales Routing aktivieren. Weitere Informationen finden Sie im NCC-Routenaustausch.

1. Erstellen Sie hub-vpc-Netzwerk und Subnetze:

gcloud compute networks create hub-vpc \
--subnet-mode custom \
--bgp-routing-mode=global

gcloud compute networks subnets create hub-subnet1 \
--network hub-vpc \
--range 10.1.0.0/24 \
--region us-central1

gcloud compute networks subnets create hub-subnet2 \
--network hub-vpc \
--range 10.2.0.0/24 \
--region us-east4

2. Erstellen Sie workload-vpc-Netzwerk und Subnetze:

gcloud compute networks create workload-vpc \
--subnet-mode custom \
--bgp-routing-mode=global

gcloud compute networks subnets create workload-subnet1 \
--network workload-vpc \
--range 192.168.235.0/24 \
--region us-central1

gcloud compute networks subnets create workload-subnet2 \
--network workload-vpc \
--range 192.168.236.0/24 \
--region us-east4

3. Erstellen Sie Hub-VPC-Firewallregeln, um Folgendes zuzulassen:

• SSH
• ESP, UDP/500, UDP/4500
• Interner 10.0.0.0/8-Bereich, der den für die BGP-Sitzung vom Cloud Router zur Router-Appliance erforderlichen TCP-Port 179 abdeckt

gcloud compute firewall-rules create hub-ssh \
--network hub-vpc \
--allow tcp:22

gcloud compute firewall-rules create hub-vpn \
--network hub-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router

gcloud compute firewall-rules create hub-internal \
--network hub-vpc \
--allow all \
--source-ranges 192.168.0.0/16

gcloud compute firewall-rules create hub-iap \
--network hub-vpc --allow tcp:22 --source-ranges=35.235.240.0/20

4. Erstellen Sie Firewallregeln für Arbeitslast-VPC, die Folgendes zulassen:

• SSH
• interner 192.168.0.0/16-Bereich, der den TCP-Port 179 abdeckt, der für die BGP-Sitzung vom Cloud Router zur Router-Appliance erforderlich ist

gcloud compute firewall-rules create workload-ssh \
--network workload-vpc \
--allow tcp:22

gcloud compute firewall-rules create workload-internal \
--network workload-vpc \
--allow all \
--source-ranges 192.168.0.0/16

gcloud compute --project=$projectname firewall-rules create allow-from-site-1-2 --direction=INGRESS --priority=1000 --network=workload-vpc --action=ALLOW --rules=all --source-ranges=10.10.1.0/24,10.20.1.0/24

gcloud compute firewall-rules create workload-onprem \
--network hub-vpc \
--allow all \
--source-ranges 10.0.0.0/8

gcloud compute firewall-rules create workload-iap \
--network workload-vpc --allow tcp:22 --source-ranges=35.235.240.0/20

5. Aktivieren Sie Cloud NAT in der Arbeitslast-VPC, damit Arbeitslast1-vm durch Erstellen eines Cloud Routers und eines NAT-Gateways Pakete herunterladen kann

gcloud compute routers create cloud-router-usc-central-1-nat \
    --network workload-vpc \
    --region us-central1

gcloud compute routers nats create cloudnat-us-central1 \
    --router=cloud-router-usc-central-1-nat \
    --auto-allocate-nat-external-ips \
    --nat-all-subnet-ip-ranges \
    --region us-central1

6. Erstellen Sie das workload1-vm in "us-central1-a" in workload-VPC. Sie verwenden diesen Host, um die Verbindung von Website zu Cloud zu prüfen.

gcloud compute instances create workload1-vm \
    --project=$projectname \
    --machine-type=e2-micro \
    --image-family debian-10 \
    --image-project debian-cloud \
    --zone us-central1-a \
    --private-network-ip 192.168.235.3 \
        --no-address \
    --subnet=workload-subnet1 \
    --metadata startup-script="#! /bin/bash
      sudo apt-get update
      sudo apt-get install apache2 -y
      sudo service apache2 restart
      echo 'Welcome to Workload VM1 !!' | tee /var/www/html/index.html
      EOF"

4. Lokale Appliances für SD-WAN einrichten

Lokale VM für SDWAN (Appliances) erstellen

Im folgenden Abschnitt erstellen wir die Router-Appliances „site1-nva“ und „site2-nva“, die als lokale Router fungieren.

Instanzen erstellen

Erstellen Sie die site1-router-Appliance mit dem Namen site1-nva.

gcloud compute instances create site1-nva \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=site1-subnet \
--network-interface subnet=s1-inside-subnet,no-address \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any \
--can-ip-forward

Erstellen Sie die site2-router-Appliance mit dem Namen site2-nva.

gcloud compute instances create site2-nva \
--zone=us-east4-b \
--machine-type=e2-medium \
--network-interface subnet=site2-subnet \
--network-interface subnet=s2-inside-subnet,no-address \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-east4-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any \
--can-ip-forward 

5. FlexiWAN auf site1-nva installieren

Stelle eine SSH-Verbindung zu site1-nva her und versuche es bei einer Zeitüberschreitung noch einmal.

gcloud compute ssh site1-nva --zone=us-central1-a

FlexiWAN auf site1-nva installieren

sudo su 

sudo curl -sL https://deb.flexiwan.com/setup | sudo bash -
apt install flexiwan-router -y

Bereiten Sie die VM für die Registrierung der FlexiWAN-Steuerungsebene vor.

Führen Sie nach Abschluss der FlexiWAN-Installation den Befehl fwsystem_checker aus, um Ihre Systemkonfiguration zu überprüfen. Dieser Befehl prüft die Systemanforderungen und hilft Ihnen, Konfigurationsfehler in Ihrem System zu beheben.

• Wählen Sie für die schnelle und lautlose Konfiguration die Option 2 aus.
• Geben Sie anschließend 0 an.
• Schließen Sie das Cloud Shell-Fenster nicht.

root@site-1-nva-1:/home/user# fwsystem_checker
 
<output snipped>

        [0] - quit and use fixed parameters
         1  - check system configuration
         2  - configure system silently
         3  - configure system interactively
         4  - restore system checker settings to default
        ------------------------------------------------
Choose: 2

<output snipped>

        [0] - quit and use fixed parameters
         1  - check system configuration
         2  - configure system silently
         3  - configure system interactively
         4  - restore system checker settings to default
        ------------------------------------------------
Choose: 0
Please wait..
Done.
=== system checker ended ====

Lass die Sitzung für die folgenden Schritte geöffnet

6. site1-nva mit SD-WAN-Controller registrieren

Diese Schritte sind erforderlich, um die Bereitstellung der flexiWAN NVA über die flexiManage Console abzuschließen. Achten Sie darauf, dass die FlexiWAN-Organisation eingerichtet ist, bevor Sie fortfahren.

Authentifizieren Sie die neu bereitgestellte FlexiWAN-NVA mit flexiManage mithilfe eines Sicherheitstokens. Melden Sie sich dazu im flexiManage-Konto an. Dasselbe Token kann für alle Router-Appliances wiederverwendet werden.

Wählen Sie Inventar → Tokens aus,erstellen Sie ein Token und Kopie auswählen

Kehren Sie zu Cloud Shell (site1-nva) zurück und fügen Sie das Token in das Verzeichnis /etc/flexiwan/agent/token.txt ein. Gehen Sie dazu so vor:

nano /etc/flexiwan/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter

Site Router in der flexiManage-Konsole aktivieren

In der flexiManage Console anmelden, um site1-nva auf dem Controller zu aktivieren

Klicken Sie im linken Bereich auf Inventar → Geräte und dann auf das Gerät Unbekannt.

Geben Sie den Hostnamen von site1-nva ein und bewegen Sie den Schieberegler nach rechts, um das Gerät zu genehmigen.

Wählen Sie den Tab Schnittstellen aus.

Suchen Sie die Spalte Zugewiesen. Spalte und klicken Sie auf Nein. und ändere die Einstellung zu Ja.

Wählen Sie den Tab „Firewall“ aus und klicken Sie auf das Pluszeichen +, um eine Firewallregel für eingehenden Traffic hinzuzufügen.

Wählen Sie die WAN-Schnittstelle aus, um die SSH-Regel wie unten beschrieben anzuwenden

Klicke auf Gerät aktualisieren.

Starten Sie „site1-nva“ über den FlexiWAN-Controller. Kehren Sie zu Inventar → Geräte → site1-nva zurück und wählen Sie Gerät starten aus.

Status: Synchronisierung läuft

Status: Synchronisiert

Die Warnung wird unter Fehlerbehebung → Benachrichtigungen angezeigt. Nach dem Ansehen „Alle“ auswählen und dann als gelesen markieren

7. FlexiWAN auf site2-nva installieren

Öffnen Sie einen neuen Tab und erstellen Sie eine Cloud Shell-Sitzung. Aktualisieren Sie $variables, um die Implementierung der gcloud-Konfiguration zu unterstützen.

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname

Stellen Sie eine SSH-Verbindung zu site2-nva her und versuchen Sie es bei einer Zeitüberschreitung noch einmal.

gcloud compute ssh site2-nva --zone=us-east4-b

FlexiWAN auf site2-nva installieren

sudo su 

sudo curl -sL https://deb.flexiwan.com/setup | sudo bash -
apt install flexiwan-router -y

Bereiten Sie die VM für die Registrierung der FlexiWAN-Steuerungsebene vor.

Führen Sie nach Abschluss der FlexiWAN-Installation den Befehl fwsystem_checker aus, um Ihre Systemkonfiguration zu überprüfen. Dieser Befehl prüft die Systemanforderungen und hilft Ihnen, Konfigurationsfehler in Ihrem System zu beheben.

• Wählen Sie für die schnelle und lautlose Konfiguration die Option 2 aus.
• Geben Sie anschließend 0 an.
• Schließen Sie das Cloud Shell-Fenster nicht.

root@site2-nva:/home/user# fwsystem_checker
 
<output snipped>

        [0] - quit and use fixed parameters
         1  - check system configuration
         2  - configure system silently
         3  - configure system interactively
         4  - restore system checker settings to default
        ------------------------------------------------
Choose: 2

<output snipped>

        [0] - quit and use fixed parameters
         1  - check system configuration
         2  - configure system silently
         3  - configure system interactively
         4  - restore system checker settings to default
        ------------------------------------------------
Choose: 0
Please wait..
Done.
=== system checker ended ====

8. site2-nva mit SD-WAN-Controller registrieren

Diese Schritte sind erforderlich, um die Bereitstellung der flexiWAN NVA über die flexiManage Console abzuschließen. Achten Sie darauf, dass die FlexiWAN-Organisation eingerichtet ist, bevor Sie fortfahren.

Authentifizieren Sie die neu bereitgestellte FlexiWAN-NVA mit flexiManage mithilfe eines Sicherheitstokens. Melden Sie sich dazu im flexiManage-Konto an. Dasselbe Token kann für alle Router-Appliances wiederverwendet werden.

Wählen Sie Inventar → Tokens aus, erstellen Sie ein Token und wählen Sie Kopieren aus.

Kehren Sie zu Cloud Shell (site2-nva) zurück und fügen Sie das Token in das Verzeichnis /etc/flexiwan/agent/token.txt ein. Gehen Sie dazu so vor:

nano /etc/flexiwan/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter

Site Router in der flexiManage-Konsole aktivieren

Melden Sie sich in der flexiManage Console an, um site2-nva auf dem Controller zu aktivieren

Klicken Sie im linken Bereich auf Inventar → Geräte und dann auf das Gerät Unbekannt.

Geben Sie den Hostnamen von site2-nva ein und bewegen Sie den Schieberegler nach rechts, um das Gerät zu genehmigen.

Wählen Sie den Tab Schnittstellen aus.

Suchen Sie die Spalte Zugewiesen. Spalte und klicken Sie auf Nein. und ändere die Einstellung zu Ja.

Wählen Sie den Firewall-Tab aus und klicken Sie auf das Pluszeichen, um eine Firewallregel für eingehenden Traffic hinzuzufügen. Wählen Sie die WAN-Schnittstelle aus, um die SSH-Regel wie unten beschrieben anzuwenden

Klicke auf Gerät aktualisieren.

Starten Sie „site2-nva“ über den FlexiWAN-Controller. Kehren Sie zu Inventar → Geräte → site2-nva zurück und wählen Sie Gerät starten aus.

Satus – Synchronisierung läuft

Status: Synchronisiert

Die Warnung wird unter Fehlerbehebung → Benachrichtigungen angezeigt. Nach dem Ansehen „Alle“ auswählen und dann als gelesen markieren

9. Hub-SDWAN-Appliances einrichten

Im folgenden Abschnitt erstellen Sie die Hub-Router (hub-r1 undhub-r2) und registrieren sie mit dem FlexiWAN-Controller, so wie sie zuvor mit den Standortrouten ausgeführt wurden.

Öffnen Sie einen neuen Tab und erstellen Sie eine Cloud Shell-Sitzung. Aktualisieren Sie $variables, um die Implementierung der gcloud-Konfiguration zu unterstützen.

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname

Hub-NVA-Instanzen erstellen

Erstellen Sie die hub-r1-Appliance:

gcloud compute instances create hub-r1 \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=hub-subnet1 \
--network-interface subnet=workload-subnet1,no-address \
--can-ip-forward \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any

Erstellen Sie die hub-r2-Appliance:

gcloud compute instances create hub-r2 \
--zone=us-east4-b \
--machine-type=e2-medium \
--network-interface subnet=hub-subnet2 \
--network-interface subnet=workload-subnet2,no-address \
--can-ip-forward \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-east4-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any

10. FlexiWAN auf Hub-Instanzen für Hub-r1 installieren

SSH-Verbindung zu Hub-r1 herstellen

gcloud compute ssh hub-r1 --zone=us-central1-a

FlexiWAN-Agent auf Hub-r1 installieren

sudo su
sudo curl -sL https://deb.flexiwan.com/setup | sudo bash -
apt install flexiwan-router -y

Hub-r1-VMs für die FlexiWAN-Registrierung vorbereiten.

Führen Sie nach Abschluss der FlexiWAN-Installation den Befehl fwsystem_checker aus, um Ihre Systemkonfiguration zu überprüfen. Dieser Befehl prüft die Systemanforderungen und hilft Ihnen, Konfigurationsfehler in Ihrem System zu beheben.

root@hub-r1:/home/user# fwsystem_checker

• Wählen Sie für die schnelle und lautlose Konfiguration die Option 2 aus.
• Geben Sie anschließend 0 an.
• Schließen Sie das Cloud Shell-Fenster nicht.

11. Hub-r1-VMs auf dem FlexiManage-Controller registrieren

Authentifizieren Sie die neu bereitgestellte FlexiWAN-NVA mit flexiManage mithilfe eines Sicherheitstokens. Melden Sie sich dazu im flexiManage-Konto an.

• Wählen Sie Inventar → Tokens aus und kopieren Sie das Token.

Kehren Sie zu Cloud Shell (hub-r1) zurück und fügen Sie das Token in das Verzeichnis /etc/flexiwan/agent/token.txt ein. Gehen Sie dazu so vor:

nano /etc/flexiwan/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter

12. FlexiWAN auf Hub-Instanzen für Hub-r2 installieren

SSH-Verbindung zu Hub-r2 herstellen

gcloud compute ssh hub-r2 --zone=us-east4-b

FlexiWAN-Agent auf Hub-r2 installieren

sudo su
sudo curl -sL https://deb.flexiwan.com/setup | sudo bash -
apt install flexiwan-router -y

Hub-r2-VMs für die FlexiWAN-Registrierung vorbereiten.

Führen Sie nach Abschluss der FlexiWAN-Installation den Befehl fwsystem_checker aus, um Ihre Systemkonfiguration zu überprüfen. Dieser Befehl prüft die Systemanforderungen und hilft Ihnen, Konfigurationsfehler in Ihrem System zu beheben.

root@hub-r2:/home/user# fwsystem_checker

• Wählen Sie für die schnelle und lautlose Konfiguration die Option 2 aus.
• Geben Sie anschließend 0 an.
• Schließen Sie das Cloud Shell-Fenster nicht.

13. Hub-r2-VMs auf dem FlexiManage-Controller registrieren

Authentifizieren Sie die neu bereitgestellte FlexiWAN-NVA mit flexiManage mithilfe eines Sicherheitstokens. Melden Sie sich dazu im flexiManage-Konto an.

• Wählen Sie Inventar → Tokens aus und kopieren Sie das Token.

Kehren Sie zu Cloud Shell (hub-r2) zurück und fügen Sie das Token in das Verzeichnis /etc/flexiwan/agent/token.txt ein. Gehen Sie dazu so vor:

nano /etc/flexiwan/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter

Hub-Router „hub-r1“ in der flexiManage Console aktivieren

In der flexiManage-Konsole anmelden

• Wählen Sie Inventar → Geräte aus.
• Suchen und notieren Sie den Hostnamen für hub-r1 und hub-r2 beide "unknown"

Wählen Sie das unbekannte Gerät mit dem Hostnamen hub-r1 aus.

• Geben Sie den Hostnamen von hub-r1 ein
• Genehmigen Sie das Gerät und ziehen Sie den Regler nach rechts.

Wählen Sie den Tab Schnittstellen aus.

• Suchen Sie nach der Spalte Zugewiesen.
• Klicken Sie neben der Zeile „Benutzeroberfläche“ auf Nein, um die Einstellung in Ja zu ändern.

Wählen Sie den Tab Firewall aus.

• Klicken Sie auf +. zum Hinzufügen einer Firewallregel für eingehenden Traffic
• Wählen Sie die WAN-Schnittstelle aus, um die Regel zu übernehmen
• SSH-Port 22 mit TCP-Protokoll zulassen
• Klicke auf Gerät aktualisieren.

hub-r1-Appliance für SD-WAN über den Controller von FlexiWAN starten

• Kehren Sie zu Inventar → Geräte → Hub-r1 zurück.

Wählen Sie Gerät starten aus.

• Warten Sie, bis die Synchronisierung abgeschlossen ist, und stellen Sie fest, dass die Meldung Wird ausgeführt angezeigt wird. Status

Hub-Router „hub-r2“ in der flexiManage Console aktivieren

Wählen Sie das unbekannte Gerät mit dem Hostnamen hub-r2 aus.

• Geben Sie den Hostnamen von hub-r2 ein
• Nehmen Sie sich das Gerät an und schieben Sie den Regler nach rechts.

Wählen Sie den Tab „Schnittstellen“ aus.

• Suchen Sie nach der Spalte Zugewiesen.
• Klicken Sie neben der Zeile „Benutzeroberfläche“ auf Nein, um die Einstellung in Ja zu ändern.

Wählen Sie den Tab Firewall aus.

• Klicken Sie auf +. zum Hinzufügen einer Firewallregel für eingehenden Traffic
• Wählen Sie die WAN-Schnittstelle aus, um die Regel zu übernehmen
• SSH-Port 22 mit TCP-Protokoll zulassen
• Klicken Sie auf Regel hinzufügen.
• Klicke auf Gerät aktualisieren.

hub-r2-Appliance für SD-WAN über den Controller von FlexiWAN starten

• Kehren Sie zu Inventar → Geräte → Hub-r2 zurück und wählen Sie Gerät starten aus.
• Warten Sie, bis die Synchronisierung abgeschlossen ist, und stellen Sie fest, dass die Meldung Wird ausgeführt angezeigt wird. Status

14. Network Connectivity Center im GCP-Hub

API-Dienste aktivieren

Aktivieren Sie die Netzwerkkonnektivitäts-API, falls sie noch nicht aktiviert ist:

gcloud services enable networkconnectivity.googleapis.com

NCC-Hub erstellen

gcloud network-connectivity hubs create ncc-hub

Create request issued for: [ncc-hub]
Waiting for operation [projects/user-3p-dev/locations/global/operations/operation-1668793629598-5edc24b7ee3ce-dd4c765b-5ca79556] to complete...done.     
Created hub [ncc-hub]

Beide Router-Appliances als NCC-Spoke konfigurieren

Suchen Sie den URI und die IP-Adresse für „hub-r1“ und „hub-r2“ und notieren Sie sich die Ausgabe. Sie benötigen diese Informationen im nächsten Schritt.

Notieren Sie sich die IP-Adresse (192.168.x.x) der Instanz „hub-r1“ und „hub-r2“.

gcloud compute instances describe hub-r1 \
--zone=us-central1-a \
--format="value(selfLink.scope(projects))"

gcloud compute instances describe hub-r1 --zone=us-central1-a | grep "networkIP"

gcloud compute instances describe hub-r2 \
--zone=us-east4-b \
--format="value(selfLink.scope(projects))"

gcloud compute instances describe hub-r2 --zone=us-east4-b | grep "networkIP"

Fügen Sie die VPC networkIP von „hub-r1“ (192.168.x.x) als Spoke hinzu und aktivieren Sie die Datenübertragung von Website zu Website.

gcloud network-connectivity spokes linked-router-appliances create s2s-wrk-cr1 \
--hub=ncc-hub \
--router-appliance=instance="https://www.googleapis.com/compute/projects/$projectname/zones/us-central1-a/instances/hub-r1",ip=192.168.235.4 \
--region=us-central1 \
--site-to-site-data-transfer

Die Hub-R2-Version networkIP (192.168.x.x) als Spoke hinzufügen und die Datenübertragung von Website zu Website aktivieren

gcloud network-connectivity spokes linked-router-appliances create s2s-wrk-cr2 \
--hub=ncc-hub \
--router-appliance=instance=/projects/$projectname/zones/us-east4-b/instances/hub-r2,ip=192.168.236.101 \
--region=us-east4 \
--site-to-site-data-transfer

Cloud Router konfigurieren, um BGP mit Hub-R1 einzurichten

Erstellen Sie im folgenden Schritt den Cloud Router und geben Sie das VPC-Subnetz 192.168.235.0/24 der Arbeitslast an

Erstellen Sie den Cloud Router in us-central1, der mit BGP mit Hub-r1 kommuniziert

gcloud compute routers create wrk-cr1 \
--region=us-central1 \
--network=workload-vpc \
--asn=65002 \
--set-advertisement-groups=all_subnets \
--advertisement-mode=custom

Wenn Sie die Router-Appliances als NCC-Spoke konfigurieren, kann der Cloud Router BGP auf virtuellen Schnittstellen aushandeln.

Erstellen Sie auf dem Cloud Router zwei Schnittstellen, die BGP-Nachrichten mit Hub-r1 austauschen.

IP-Adressen werden aus dem Arbeitslast-Subnetz ausgewählt und & kann bei Bedarf geändert werden.

gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int0 \
--ip-address=192.168.235.101 

gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int1 \
--ip-address=192.168.235.102 \
--redundant-interface=int0

Konfigurieren Sie die Cloud Router-Schnittstelle, um das BGP mit der vNIC-1 von Hub-r1 einzurichten, und aktualisieren Sie die Peer-IP-Adresse mit der IP-Adresse von Hub-r1 networkIP . Hinweis: Dieselbe IP-Adresse wird für int0 & int1.

gcloud compute routers add-bgp-peer wrk-cr1 \
    --peer-name=hub-cr1-bgp-peer-0 \
    --interface=int0 \
    --peer-ip-address=192.168.235.4 \
    --peer-asn=64111 \
    --instance=hub-r1 \
    --instance-zone=us-central1-a \
    --region=us-central1

gcloud compute routers add-bgp-peer wrk-cr1 \
    --peer-name=hub-cr1-bgp-peer-1 \
    --interface=int1 \
    --peer-ip-address=192.168.235.4 \
    --peer-asn=64111 \
    --instance=hub-r1 \
    --instance-zone=us-central1-a \
    --region=us-central1

Prüfen Sie den BGP-Status. An dieser Stelle im Code-Lab befindet sich das BGP im Status „Verbindungsstatus“. da die Appliance des Netzwerkrouters nicht für BGP konfiguriert wurde.

gcloud compute routers get-status wrk-cr1 --region=us-central1

Konfigurieren Sie Workload-cr2, um ein BGP mit Hub-R2 einzurichten

Erstellen Sie im folgenden Schritt den Cloud Router und geben Sie das VPC-Subnetz 192.168.236.0/24 der Arbeitslast an

Erstellen Sie den Cloud Router in us-east4, der mit BGP mit Hub-r2 kommuniziert

gcloud compute routers create wrk-cr2 \
--region=us-east4 \
--network=workload-vpc \
--asn=65002 \
--set-advertisement-groups=all_subnets \
--advertisement-mode=custom

Erstellen Sie ein Paar Schnittstellen auf dem Cloud Router, die BGP-Nachrichten mit Hub-r2 austauschen. IP-Adressen werden aus dem Arbeitslast-Subnetz ausgewählt. kann bei Bedarf geändert werden.

gcloud compute routers add-interface wrk-cr2 \
--region=us-east4 \
--subnetwork=workload-subnet2 \
--interface-name=int0 \
--ip-address=192.168.236.5 


gcloud compute routers add-interface wrk-cr2 \
--region=us-east4 \
--subnetwork=workload-subnet2 \
--interface-name=int1 \
--ip-address=192.168.236.6 \
--redundant-interface=int0

Konfigurieren Sie die Cloud Router-Schnittstelle, um das BGP mit der vNIC-1 von Hub-r2 einzurichten, und aktualisieren Sie die Peer-IP-Adresse mit der IP-Adresse von Hub-r1 networkIP . Hinweis: Dieselbe IP-Adresse wird für int0 & int1.

gcloud compute routers add-bgp-peer wrk-cr2 \
    --peer-name=hub-cr2-bgp-peer-0 \
    --interface=int0 \
    --peer-ip-address=192.168.236.101 \
    --peer-asn=64112 \
    --instance=hub-r2 \
    --instance-zone=us-east4-b \
    --region=us-east4

gcloud compute routers add-bgp-peer wrk-cr2 \
    --peer-name=hub-cr2-bgp-peer-1 \
    --interface=int1 \
    --peer-ip-address=192.168.236.101 \
    --peer-asn=64112 \
    --instance=hub-r2 \
    --instance-zone=us-east4-b \
    --region=us-east4

Prüfen Sie den BGP-Status. An dieser Stelle im Code-Lab befindet sich das BGP im Status „Verbindungsstatus“. da die Appliance des Netzwerkrouters nicht für BGP konfiguriert wurde.

gcloud compute routers get-status wrk-cr2 --region=us-east4

15. Hub-Router-Appliances für BGP konfigurieren

Hub-r1 für BGP konfigurieren

Melden Sie sich in der flexiManage Console an.

Gehen Sie zu Inventar → Geräte → hub-r1 und wählen Sie das Gerät mit HostName:hub-r1 aus.

• Klicken Sie auf den Tab Routing.
• Klicken Sie auf BGP-Konfiguration.
• Deaktivieren Sie die Option OSPF-Routen neu verteilen.
• Konfigurieren Sie hub-r1 für BGP mit diesen Parametern und klicken Sie auf Speichern.

Wählen Sie Schnittstellen aus. Suchen Sie die LAN-Schnittstelle und suchen Sie die Spalte Routing.

• Klicken Sie auf none (keine). um das Menü zu öffnen, in dem Sie BGP als Routingprotokoll auswählen können

• Klicke oben auf der Seite auf „Gerät aktualisieren“.

Hub-r2 für BGP konfigurieren

Melden Sie sich in der flexiManage Console an.

Gehen Sie zu Inventar → Geräte → hub-r2 und wählen Sie das Gerät mit HostName:hub-r2 aus.

• Klicken Sie auf den Tab Routing.
• Klicken Sie auf BGP-Konfiguration.
• Deaktivieren Sie die Option OSPF-Routen neu verteilen.
• Konfigurieren Sie hub-r2 für BGP mit diesen Parametern und klicken Sie auf Speichern.

Wählen Sie Schnittstellen aus. suchen Sie nach der LAN-Schnittstelle und finden die Spalte „Routing“.

• Klicken Sie auf „Keine“. , um ein Drop-down-Menü zu öffnen und BGP als Routing-Protokoll auszuwählen

• Klicke oben auf der Seite auf Gerät aktualisieren.

Wählen Sie Routing aus. Tabulatorzeichen

• Prüfen Sie, ob Hub-r2 eine BGP-Route von wrk-cr2 erkannt hat

16. BGP-Routenaustausch zwischen Router-Appliances

Lokale ASN für Remote-Standorte einrichten

Konfigurieren Sie eine lokale BGP-ASN für „site1-nva“ und „site2-nva“. Nach der Konfiguration richten wir einen IPSEC-Tunnel zwischen den Remote-Standorten und Hub-Routern ein.

Wählen Sie das Gerät mit HostName:site1-nva aus.

• Klicken Sie auf den Tab Routing.
• Klicken Sie auf BGP-Konfiguration.
• Deaktivieren Sie die Option OSPF-Routen neu verteilen.
• BGP aktiviert
• Lokale ASN 7269 → Speichern
• Gerät aktualisieren
• Schnittstellen-Tab → LAN → Routing → BGP
• Gerät aktualisieren

Wählen Sie das Gerät mit HostName:site2-nva aus.

• Klicken Sie auf den Tab Routing.
• Klicken Sie auf BGP-Konfiguration.
• Deaktivieren Sie die Option OSPF-Routen neu verteilen.
• BGP aktiviert
• Lokale ASN 7270 → Speichern
• Gerät aktualisieren
• Schnittstellen-Tab → LAN → Routing → BGP
• Gerät aktualisieren

VPN-Tunnel zwischen Standort- und Hub-Appliances konfigurieren

Melden Sie sich in der flexiManage Console an.

• Wählen Sie Inventar → Geräte aus.
• Klicken Sie das Kästchen neben den Hostnamen site1-nva und hub-r1 an, um einen VPN-Tunnel zwischen diesen NVAs-Paaren zu erstellen.
• Klicken Sie auf Actions → Create Tunnels (Aktionen → Tunnel erstellen) und konfigurieren Sie Folgendes:

• Wählen Sie Tunnel erstellen aus.
• Entfernen Sie die Häkchen von site1-nva und ub-r1.

Wiederholen Sie die Schritte zum Erstellen eines Tunnels zwischen site2-nva und Hub-r2 durch Auswahl der entsprechenden Parameter.

Prüfen Sie, ob das Tunnelpaar zwischen den NVA-Paaren eingerichtet wurde.

• Wählen Sie in der linken Seitenleiste Inventar aus. und klicken Sie auf Tunnel. und suchen Sie die Spalte „Status“.

Überprüfen Sie, ob „site1-nva“ erkannte Routen zum Subnetz 192.168.235.0/24 und 192.168.236.0/24

• Wählen Sie Inventar → Geräte → site1-nva aus und klicken Sie auf den Tab Routing.

In der Beispielausgabe unten wurde der Tunnel von flexiWAN automatisch mit der Host-IP-Adresse 10.100.0.6 erstellt.

17. Datenpfadverbindung prüfen

Verbindung von lokaler Umgebung zur Cloud prüfen

Sehen Sie im Diagramm nach, ob der Datenpfad zwischen s1-vm und workload1-vm vorhanden ist.

Statische VPC-Routen für Standort zur Cloud konfigurieren

Das lokale Site1-VPC und Site2-VPC simuliert das Netzwerk eines lokalen Rechenzentrums.

Sowohl Site-1-nva- als auch Site-2-nva-Router-Appliances verwenden eine VPN-Verbindung, um das Hub-Netzwerk zu erreichen.

Erstellen Sie für den Anwendungsfall „Site to Cloud“** statische Routen zum Ziel 192.168.0.0/16 und verwenden Sie dabei die Router-Appliance als nächsten Hop, um Netzwerke im GCP-Cloud-Netzwerk zu erreichen.

Erstellen Sie auf s1-inside-vpc eine statische Route für das Cloud-Ziel (192.168.0.0/16):

gcloud compute routes create site1-subnet-route  \
--network=s1-inside-vpc \
--destination-range=192.168.0.0/16  \
--next-hop-instance=site1-nva \
--next-hop-instance-zone=us-central1-a

Erstellen Sie auf s2-inside-vpc eine statische Route für das Cloud-Ziel (192.168.0.0/16):

gcloud compute routes create site2-subnet-route  \
--network=s2-inside-vpc \
--destination-range=192.168.0.0/16  \
--next-hop-instance=site2-nva \
--next-hop-instance-zone=us-east4-b

Suchen Sie in Cloud Shell nach der IP-Adresse von "workload1-vm." Sie benötigen ihn, um die Verbindung von s1-vm zu testen.

gcloud compute instances describe workload1-vm --zone=us-central1-a | grep "networkIP"

Stellen Sie eine SSH-Verbindung zu s1-vm her und versuchen Sie es nach einer Zeitüberschreitung noch einmal.

gcloud compute ssh s1-vm --zone=us-central1-a

Stellen Sie eine SSH-Verbindung zu s1-vm her und richten Sie mit dem Befehl curl eine TCP-Sitzung für die IP-Adresse der Arbeitslast1-VM ein.

s1-vm:~$ curl 192.168.235.3 -vv
*   Trying 192.168.235.3:80...
* Connected to 192.168.235.3 (192.168.235.3) port 80 (#0)
> GET / HTTP/1.1
> Host: 192.168.235.3
> User-Agent: curl/7.74.0
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< Date: Wed, 07 Dec 2022 15:12:08 GMT
< Server: Apache/2.4.54 (Debian)
< Last-Modified: Tue, 06 Dec 2022 00:57:46 GMT
< ETag: "1f-5ef1e4acfa1d9"
< Accept-Ranges: bytes
< Content-Length: 31
< Content-Type: text/html
< 
Page served from: workload1-vm
* Connection #0 to host 192.168.235.3 left intact

Konnektivität von Website zu Site überprüfen

Sehen Sie im Diagramm nach, ob der Datenpfad zwischen s1-vm und s2-vm vorhanden ist.

Statische VPC-Routen von Standort zu Standort konfigurieren

Um Site-to-Site-Traffic zwischen Standort 1 und Standort 2 über das globale GCP-Netzwerk weiterzuleiten, erstellen Sie statische Routen zu Remote-Standort-Subnetzzielen mit der lokalen Router-Appliance als nächsten Hop.

In einem späteren Schritt wird die Arbeitslast-VPC mit NCC konfiguriert, um die Datenübertragung von einem Standort zu einem anderen Ort zu unterstützen.

Erstellen Sie auf s1-inside-vpc eine statische Route,um "site2-subnet" (10.20.1.0/24) zu erreichen:

gcloud compute routes create site1-sn1-route  \
--network=s1-inside-vpc \
--destination-range=10.20.1.0/24  \
--next-hop-instance=site1-nva \
--next-hop-instance-zone=us-central1-a

Erstellen Sie auf s2-inside-vpc eine statische Route,um "site1-subnet" (10.10.1.0/24) zu erreichen:

gcloud compute routes create site2-sn1-route  \
--network=s2-inside-vpc \
--destination-range=10.10.1.0/24  \
--next-hop-instance=site2-nva \
--next-hop-instance-zone=us-east4-b

Suchen Sie in Cloud Shell die IP-Adresse von s2-vm. Sie benötigen sie, um die Verbindung von S1-vm zu testen.

gcloud compute instances describe s2-vm --zone=us-east4-b | grep networkIP

Stellen Sie eine SSH-Verbindung zu s1-vm her und versuchen Sie es nach einer Zeitüberschreitung noch einmal.

gcloud compute ssh s1-vm --zone=us-central1-a

SSH-Verbindung zu s1-vm und Ping herstellen die IP-Adresse von "s2-vm"

s1-vm:~$ ping 10.20.1.3
PING 10.20.1.3 (10.20.1.3) 56(84) bytes of data.
64 bytes from 10.20.1.3: icmp_seq=1 ttl=60 time=99.1 ms
64 bytes from 10.20.1.3: icmp_seq=2 ttl=60 time=94.3 ms
64 bytes from 10.20.1.3: icmp_seq=3 ttl=60 time=92.4 ms
64 bytes from 10.20.1.3: icmp_seq=4 ttl=60 time=90.9 ms
64 bytes from 10.20.1.3: icmp_seq=5 ttl=60 time=89.7 ms

18. Bereinigen

Bei Cloud Shell anmelden und VM-Instanzen im Hub- und Zweigstandortnetzwerk löschen

#on prem instances
gcloud compute instances delete s1-vm --zone=us-central1-a --quiet
gcloud compute instances delete s2-vm --zone=us-east4-b --quiet

#delete on prem firewall rules
gcloud compute firewall-rules delete site1-ssh --quiet
gcloud compute firewall-rules delete site1-internal --quiet
gcloud compute firewall-rules delete site1-cloud --quiet
gcloud compute firewall-rules delete site1-vpn  --quiet
gcloud compute firewall-rules delete site1-iap --quiet
gcloud compute firewall-rules delete site2-ssh --quiet
gcloud compute firewall-rules delete site2-internal --quiet
gcloud compute firewall-rules delete site2-cloud --quiet
gcloud compute firewall-rules delete site2-vpn  --quiet
gcloud compute firewall-rules delete site2-iap --quiet
gcloud compute firewall-rules delete allow-from-site-1-2 --quiet
gcloud compute firewall-rules delete s2-inside-cloud s2-inside-internal s2-inside-ssh --quiet
gcloud compute firewall-rules delete s1-inside-cloud s1-inside-iap s1-inside-internal s1-inside-ssh s2-inside-cloud s2-inside-iap s2-inside-internal s2-inside-ssh --quiet


#delete ncc spokes
gcloud network-connectivity spokes delete s2s-wrk-cr1 --region us-central1 --quiet
gcloud network-connectivity spokes delete s2s-wrk-cr2 --region us-east4 --quiet

#delete ncc hub
gcloud network-connectivity hubs delete ncc-hub --quiet

#delete the cloud router
gcloud compute routers delete wrk-cr1 --region=us-central1 --quiet
gcloud compute routers delete wrk-cr2 --region=us-east4 --quiet

#delete the instances

gcloud compute instances delete hub-r1 --zone=us-central1-a --quiet
gcloud compute instances delete hub-r2 --zone=us-east4-b --quiet
gcloud compute instances delete workload1-vm --zone=us-central1-a --quiet
gcloud compute instances delete site1-nva --zone=us-central1-a --quiet
gcloud compute instances delete site2-nva --zone=us-east4-b --quiet

#delete on prem subnets

gcloud compute networks subnets delete hub-subnet1 s1-inside-subnet site1-subnet workload-subnet1 --region=us-central1 --quiet

gcloud compute networks subnets delete hub-subnet2 s2-inside-subnet  site2-subnet workload-subnet2 --region=us-east4 --quiet 

#delete hub firewall rule
gcloud compute firewall-rules delete hub-ssh --quiet
gcloud compute firewall-rules delete hub-vpn --quiet
gcloud compute firewall-rules delete hub-internal --quiet
gcloud compute firewall-rules delete hub-iap --quiet

gcloud compute firewall-rules delete workload-ssh --quiet
gcloud compute firewall-rules delete workload-internal --quiet
gcloud compute firewall-rules delete workload-onprem --quiet
gcloud compute firewall-rules delete workload-iap --quiet

#delete on vpcs
gcloud compute networks delete hub-vpc s1-inside-vpc s2-inside-vpc site2-vpc workload-vpc --quiet 

19. Glückwunsch!

Sie haben das Network Connectivity Center-Lab abgeschlossen.

Behandelte Themen

• Konfigurierte softwarebasierte WAN-Integration für den NCC-Standort in die Cloud
• Konfigurierte softwaredefinierte WAN-Integration für NCC-Website-zu-Standort

Nächste Schritte

• Network Connectivity Center – Übersicht
• Dokumentation zum Network Connectivity Center
• FlexiWAN-Ressourcen
• flexiWAN-GitLab-Repository

© Google, LLC oder deren Tochtergesellschaften. Alle Rechte vorbehalten. Do not distribute.