1. مقدمه
رابط Private Service Connect منبعی است که به یک شبکه Virtual Private Cloud (VPC) تولید کننده اجازه می دهد تا اتصالات را به مقاصد مختلف در یک شبکه VPC مصرف کننده آغاز کند. شبکه های تولید کننده و مصرف کننده می توانند در پروژه ها و سازمان های مختلف باشند.
اگر پیوست شبکه اتصالی را از رابط Private Service Connect بپذیرد، Google Cloud یک آدرس IP از یک زیرشبکه مصرف کننده که توسط پیوست شبکه مشخص شده است، به رابط اختصاص می دهد. شبکه های مصرف کننده و تولید کننده به هم متصل هستند و می توانند با استفاده از آدرس های IP داخلی ارتباط برقرار کنند.
اتصال بین یک پیوست شبکه و یک رابط Private Service Connect مشابه اتصال بین یک نقطه پایانی Private Service Connect و یک پیوست سرویس است، اما دو تفاوت اساسی دارد:
- یک پیوست شبکه به یک شبکه تولید کننده اجازه می دهد تا اتصالات را به یک شبکه مصرف کننده آغاز کند (خروج سرویس مدیریت شده)، در حالی که یک نقطه پایانی به یک شبکه مصرف کننده اجازه می دهد تا اتصال به یک شبکه تولید کننده را آغاز کند (ورود سرویس مدیریت شده).
- اتصال رابط Private Service Connect انتقالی است. این بدان معناست که یک شبکه تولید کننده می تواند با شبکه های دیگری که به شبکه مصرف کننده متصل هستند ارتباط برقرار کند.
چیزی که خواهی ساخت
شما یک پیوست شبکه psc را در VPC مصرف کننده ایجاد خواهید کرد که منجر به دو رابط PSC به عنوان پشتیبان برای متعادل کننده بار داخلی L4 می شود. از سازنده VPC tiger یک حلقه به cosmo در backend-vpc ارسال می کند. در VPC تولیدکننده، یک مسیر ثابت به سمت ترافیک مقصد ایجاد میکنید 192.168.20.0/28 hop بعدی به عنوان متعادلکننده بار داخلی که از رابطهای باطنی و PSC بعدی برای هدایت ترافیک به cosmo استفاده میکند. برای یک نمای کلی به شکل 1 مراجعه کنید.
همین رویکرد را میتوان با سرویسهای مدیریتشده Google که VPC به VPC مشتری در هنگام استفاده از دسترسی به سرویس خصوصی متصل میشوند، استفاده کرد.
شکل 1
چیزی که یاد خواهید گرفت
- نحوه ایجاد پیوست شبکه
- چگونه یک تولید کننده می تواند از یک پیوست شبکه برای ایجاد یک رابط PSC به عنوان backend استفاده کند
- نحوه برقراری ارتباط از تولید کننده با مصرف کننده با استفاده از ILB به عنوان هاپ بعدی
- نحوه اجازه دسترسی از VM تولید کننده (ببر) به VM مصرف کننده (cosmo) از طریق همتاسازی VPC
آنچه شما نیاز دارید
- پروژه Google Cloud
- مجوزهای IAM
- مدیر شبکه محاسبه (roles/compute.networkAdmin)
- Compute Instance Admin (roles/compute.instanceAdmin)
- مدیریت امنیت محاسبه (roles/compute.securityAdmin)
2. قبل از شروع
برای پشتیبانی از آموزش، پروژه را به روز کنید
این آموزش از $variables برای کمک به پیاده سازی پیکربندی gcloud در Cloud Shell استفاده می کند.
در داخل Cloud Shell موارد زیر را انجام دهید:
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid
3. راه اندازی مصرف کننده
Consumer VPC را ایجاد کنید
در داخل Cloud Shell موارد زیر را انجام دهید:
gcloud compute networks create consumer-vpc --project=$projectid --subnet-mode=custom
زیرشبکه Private Service Connect Network Attachment را ایجاد کنید
در داخل Cloud Shell موارد زیر را انجام دهید:
gcloud compute networks subnets create intf-subnet --project=$projectid --range=192.168.10.0/28 --network=consumer-vpc --region=us-central1
Backend VPC را ایجاد کنید
در داخل Cloud Shell موارد زیر را انجام دهید:
gcloud compute networks create backend-vpc --project=$projectid --subnet-mode=custom
زیر شبکه های VPC باطن را ایجاد کنید
در داخل Cloud Shell موارد زیر را انجام دهید:
gcloud compute networks subnets create cosmo-subnet-1 --project=$projectid --range=192.168.20.0/28 --network=backend-vpc --region=us-central1
قوانین فایروال backend-vpc را ایجاد کنید
در پوسته ابری، یک قانون ورود برای ترافیک از زیر شبکه psc-network-attachment به cosmo ایجاد کنید.
gcloud compute firewall-rules create allow-ingress-to-cosmo \
--network=backend-vpc \
--action=ALLOW \
--rules=ALL \
--direction=INGRESS \
--priority=1000 \
--source-ranges="192.168.10.0/28" \
--destination-ranges="192.168.20.0/28" \
--enable-logging
روتر ابری و پیکربندی NAT
Cloud NAT در آموزش نصب بسته نرم افزاری استفاده می شود زیرا نمونه VM آدرس IP عمومی ندارد. Cloud NAT به ماشینهای مجازی با آدرس IP خصوصی امکان دسترسی به اینترنت را میدهد.
در داخل Cloud Shell، روتر ابری را ایجاد کنید.
gcloud compute routers create cloud-router-for-nat --network backend-vpc --region us-central1
در داخل Cloud Shell، دروازه NAT را ایجاد کنید.
gcloud compute routers nats create cloud-nat-us-central1 --router=cloud-router-for-nat --auto-allocate-nat-external-ips --nat-all-subnet-ip-ranges --region us-central1
4. IAP را فعال کنید
برای اینکه به IAP اجازه دهید به نمونه های VM شما متصل شود، یک قانون فایروال ایجاد کنید که:
- برای تمام نمونه های VM که می خواهید با استفاده از IAP در دسترس باشند، اعمال می شود.
- به ترافیک ورودی از محدوده IP 35.235.240.0/20 اجازه می دهد. این محدوده شامل تمام آدرس های IP است که IAP برای ارسال TCP استفاده می کند.
در داخل Cloud Shell، قانون فایروال IAP را ایجاد کنید.
gcloud compute firewall-rules create ssh-iap-consumer \
--network backend-vpc \
--allow tcp:22 \
--source-ranges=35.235.240.0/20
5. نمونه های VM مصرف کننده ایجاد کنید
در داخل Cloud Shell، نمونه vm مصرف کننده، cosmo را ایجاد کنید
gcloud compute instances create cosmo \
--project=$projectid \
--machine-type=e2-micro \
--image-family debian-11 \
--no-address \
--image-project debian-cloud \
--zone us-central1-a \
--subnet=cosmo-subnet-1 \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install tcpdump
sudo apt-get install apache2 -y
sudo service apache2 restart
echo 'Welcome to cosmo's backend server !!' | tee /var/www/html/index.html
EOF"
آدرس های IP نمونه ها را دریافت و ذخیره کنید:
در داخل Cloud Shell، یک توصیف در برابر نمونههای cosmo VM انجام دهید.
gcloud compute instances describe cosmo --zone=us-central1-a | grep networkIP:
6. پیوست شبکه Private Service Connect
پیوست های شبکه منابع منطقه ای هستند که نمایانگر سمت مصرف کننده رابط Private Service Connect هستند. شما یک زیرشبکه منفرد را با یک پیوست شبکه مرتبط میکنید، و سازنده IPها را از آن زیرشبکه به رابط Private Service Connect اختصاص میدهد. زیرشبکه باید در همان ناحیه پیوست شبکه باشد. یک پیوست شبکه باید در همان منطقه ای باشد که سرویس تولیدکننده است.
پیوست شبکه را ایجاد کنید
در داخل Cloud Shell، پیوست شبکه را ایجاد کنید.
gcloud compute network-attachments create psc-network-attachment \
--region=us-central1 \
--connection-preference=ACCEPT_MANUAL \
--producer-accept-list=$projectid \
--subnets=intf-subnet
پیوست های شبکه را فهرست کنید
در داخل Cloud Shell، پیوست شبکه را فهرست کنید.
gcloud compute network-attachments list
پیوست های شبکه را شرح دهید
در داخل Cloud Shell، پیوست شبکه را شرح دهید.
gcloud compute network-attachments describe psc-network-attachment --region=us-central1
URI پیوست شبکه psc را که توسط سازنده هنگام ایجاد رابط(های) اتصال سرویس خصوصی استفاده می شود، یادداشت کنید. مثال زیر:
user$ gcloud compute network-attachments describe psc-network-attachment --region=us-central1
connectionPreference: ACCEPT_MANUAL
creationTimestamp: '2023-06-07T11:27:33.116-07:00'
fingerprint: 8SDsvG6TfYQ=
id: '5014253525248340730'
kind: compute#networkAttachment
name: psc-network-attachment
network: https://www.googleapis.com/compute/v1/projects/$projectid/global/networks/consumer-vpc
producerAcceptLists:
- $projectid
region: https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1
selfLink: https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/networkAttachments/psc-network-attachment
subnetworks:
- https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/subnetworks/intf-subnet
7. همتاسازی VPC را بین مصرف کننده و پشتیبان vpc ایجاد کنید
شما یک اتصال همتا VPC بین VPC مصرف کننده و باطن ایجاد خواهید کرد. این نشان میدهد که چگونه Google برای سرویسهای مدیریتشده، علاوه بر همتاسازی بین سازمانی برای اتصال شبکه، اتصال به VPCهای مشتری برقرار میکند. همتاسازی VPC باید از هر VPC پیکربندی شود.
VPC مصرف کننده برای همتاسازی VPC پشتیبان
اتصال همتا VPC از مصرف کننده به پشتیبان vpc ایجاد کنید
در داخل Cloud Shell موارد زیر را انجام دهید:
gcloud compute networks peerings create consumer-to-backend-vpc \
--network=consumer-vpc \
--peer-project=$projectid \
--peer-network=backend-vpc \
--stack-type=IPV4_ONLY
اتصال همتا VPC را از backend به vpc مصرف کننده ایجاد کنید
در داخل Cloud Shell موارد زیر را انجام دهید:
gcloud compute networks peerings create backend-to-consumer-vpc \
--network=backend-vpc \
--peer-project=$projectid \
--peer-network=consumer-vpc \
--stack-type=IPV4_ONLY
جزئیات وضعیت همتا VPC را اعتبار سنجی کنید
در داخل Cloud Shell، بررسی کنید که همتاسازی VPC در حالت «فعال» و «متصل» باشد.
gcloud compute networks peerings list
مثال:
user@cloudshell$ gcloud compute networks peerings list
NAME: backend-to-consumer-vpc
NETWORK: backend-vpc
PEER_PROJECT: $projectid
PEER_NETWORK: consumer-vpc
STACK_TYPE: IPV4_ONLY
PEER_MTU:
IMPORT_CUSTOM_ROUTES: False
EXPORT_CUSTOM_ROUTES: False
STATE: ACTIVE
STATE_DETAILS: [2023-06-07T11:42:27.634-07:00]: Connected.
NAME: consumer-to-backend-vpc
NETWORK: consumer-vpc
PEER_PROJECT: $projectid
PEER_NETWORK: backend-vpc
STACK_TYPE: IPV4_ONLY
PEER_MTU:
IMPORT_CUSTOM_ROUTES: False
EXPORT_CUSTOM_ROUTES: False
STATE: ACTIVE
STATE_DETAILS: [2023-06-07T11:42:27.634-07:00]: Connected.
8. راه اندازی تولید کننده
VPC سازنده را ایجاد کنید
در داخل Cloud Shell موارد زیر را انجام دهید:
gcloud compute networks create producer-vpc --project=$projectid --subnet-mode=custom
زیر شبکه های تولید کننده را ایجاد کنید
در داخل Cloud Shell، زیرشبکه مورد استفاده برای vNIC0 رابط(های) psc را ایجاد کنید.
gcloud compute networks subnets create prod-subnet --project=$projectid --range=10.20.1.0/28 --network=producer-vpc --region=us-central1
در داخل Cloud Shell، زیرشبکه مورد استفاده برای نمونه ببر را ایجاد کنید.
gcloud compute networks subnets create prod-subnet-2 --project=$projectid --range=10.30.1.0/28 --network=producer-vpc --region=us-central1
در داخل Cloud Shell، زیرشبکه مورد استفاده برای متعادل کننده بار داخلی ایجاد کنید.
gcloud compute networks subnets create prod-subnet-3 --project=$projectid --range=172.16.10.0/28 --network=producer-vpc --region=us-central1
روتر ابری و پیکربندی NAT
Cloud NAT در آموزش نصب بسته نرم افزاری استفاده می شود زیرا نمونه VM آدرس IP عمومی ندارد. Cloud NAT به ماشینهای مجازی با آدرس IP خصوصی امکان دسترسی به اینترنت را میدهد.
در داخل Cloud Shell، روتر ابری را ایجاد کنید.
gcloud compute routers create cloud-router-for-nat-producer --network producer-vpc --region us-central1
در داخل Cloud Shell، دروازه NAT را ایجاد کنید.
gcloud compute routers nats create cloud-nat-us-central1-producer --router=cloud-router-for-nat-producer --auto-allocate-nat-external-ips --nat-all-subnet-ip-ranges --region us-central1
IAP را فعال کنید
برای اینکه به IAP اجازه دهید به نمونه های VM شما متصل شود، یک قانون فایروال ایجاد کنید که:
- برای تمام نمونه های VM که می خواهید با استفاده از IAP در دسترس باشند، اعمال می شود.
- به ترافیک ورودی از محدوده IP 35.235.240.0/20 اجازه می دهد. این محدوده شامل تمام آدرس های IP است که IAP برای ارسال TCP استفاده می کند.
در داخل Cloud Shell، قانون فایروال IAP را ایجاد کنید.
gcloud compute firewall-rules create ssh-iap-producer \
--network producer-vpc \
--allow tcp:22 \
--source-ranges=35.235.240.0/20
نمونه های VM تولید کننده ایجاد کنید
در داخل Cloud Shell، نمونه مصرف کننده vm، tiger را ایجاد کنید
gcloud compute instances create tiger \
--project=$projectid \
--machine-type=e2-micro \
--image-family debian-11 \
--no-address \
--image-project debian-cloud \
--zone us-central1-a \
--subnet=prod-subnet-2 \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install tcpdump"
9. قوانین فایروال تولید کننده را ایجاد کنید
در تولیدکننده VPC یک قانون فایروال ورودی ایجاد کنید که امکان ارتباط از prod-subnet-2 را به همه نمونهها در producer-vpc میدهد.
در داخل Cloud Shell، قانون فایروال تولیدکننده را ایجاد کنید.
gcloud compute --project=$projectid firewall-rules create allow-tiger-ingress --direction=INGRESS --priority=1000 --network=producer-vpc --action=ALLOW --rules=all --source-ranges=10.30.1.0/28 --enable-logging
10. رابط اتصال سرویس خصوصی را ایجاد کنید
رابط Private Service Connect منبعی است که به یک شبکه Virtual Private Cloud (VPC) تولید کننده اجازه می دهد تا اتصالات را به مقاصد مختلف در یک شبکه VPC مصرف کننده آغاز کند. شبکه های تولید کننده و مصرف کننده می توانند در پروژه ها و سازمان های مختلف باشند.
اگر پیوست شبکه اتصالی را از رابط Private Service Connect بپذیرد، Google Cloud یک آدرس IP از یک زیرشبکه مصرف کننده که توسط پیوست شبکه مشخص شده است، به رابط اختصاص می دهد. شبکه های مصرف کننده و تولید کننده به هم متصل هستند و می توانند با استفاده از آدرس های IP داخلی ارتباط برقرار کنند.
در این آموزش شما دو نمونه با پیوست شبکه اتصال سرویس خصوصی ایجاد خواهید کرد که پشتیبان متعادل کننده بار داخلی خواهد بود.
در داخل Cloud Shell، رابط Private Service Connect (خرگوش) را ایجاد کنید و UR I را که قبلاً psc-network-attachment شناسایی شده بود، از خروجی توصیف پیوست شبکه وارد کنید.
gcloud compute instances create rabbit --zone us-central1-a --machine-type=f1-micro --can-ip-forward --network-interface subnet=prod-subnet,network=producer-vpc,no-address --network-interface network-attachment=https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/networkAttachments/psc-network-attachment --metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install tcpdump
sudo apt-get install apache2 -y
sudo service apache2 restart"
در داخل Cloud Shell، رابط Private Service Connect (روباه) را ایجاد کنید و UR I پیوست شبکه psc را که قبلاً شناسایی شده بود از خروجی توصیف پیوست شبکه وارد کنید.
gcloud compute instances create fox --zone us-central1-a --machine-type=f1-micro --can-ip-forward --network-interface subnet=prod-subnet,network=producer-vpc,no-address --network-interface network-attachment=https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/networkAttachments/psc-network-attachment --metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install tcpdump
sudo apt-get install apache2 -y
sudo service apache2 restart"
اعتبارسنجی چندنیک
اعتبار سنجی رابط PSC با آدرس IP مناسب پیکربندی شده است. vNIC0 از prod-subnet تولید کننده (10.20.1.0/28) و vNIC1 از زیرشبکه intf مصرف کننده (192.168.10.0/28) استفاده خواهد کرد.
gcloud compute instances describe rabbit --zone=us-central1-a | grep networkIP:
gcloud compute instances describe fox --zone=us-central1-a | grep networkIP:
مثال:
user$ gcloud compute instances describe rabbit --zone=us-central1-a | grep networkIP:
networkIP: 10.20.1.2
networkIP: 192.168.10.2
user$ gcloud compute instances describe fox --zone=us-central1-a | grep networkIP:
networkIP: 10.20.1.3
networkIP: 192.168.10.3
11. خرگوش و روباه را ایجاد و به یک گروه نمونه مدیریت نشده اضافه کنید
در بخش بعدی، یک گروه نمونه مدیریت نشده ایجاد خواهید کرد که از نمونه های رابط PSC rabbit و fox تشکیل شده است.
در داخل Cloud Shell، گروه نمونه مدیریت نشده را ایجاد کنید.
gcloud compute instance-groups unmanaged create psc-interface-instances-ig --project=$projectid --zone=us-central1-a
در داخل Cloud Shell، نمونههای fox و rabbit را به گروه نمونه اضافه کنید.
gcloud compute instance-groups unmanaged add-instances psc-interface-instances-ig --project=$projectid --zone=us-central1-a --instances=fox,rabbit
12. بررسی سلامت TCP، خدمات باطن، قانون حمل و نقل و دیوار آتش ایجاد کنید
در داخل Cloud Shell، بررسی سلامت Backend را ایجاد کنید.
gcloud compute health-checks create http hc-http-80 --port=80
در داخل Cloud Shell سرویس Backend را ایجاد کنید
gcloud compute backend-services create psc-interface-backend --load-balancing-scheme=internal --protocol=tcp --region=us-central1 --health-checks=hc-http-80
gcloud compute backend-services add-backend psc-interface-backend --region=us-central1 --instance-group=psc-interface-instances-ig --instance-group-zone=us-central1-a
در داخل Cloud Shell قانون ارسال را ایجاد کنید
gcloud compute forwarding-rules create psc-ilb --region=us-central1 --load-balancing-scheme=internal --network=producer-vpc --subnet=prod-subnet-3 --address=172.16.10.10 --ip-protocol=TCP --ports=all --backend-service=psc-interface-backend --backend-service-region=us-central1
از Cloud Shell یک قانون فایروال ایجاد کنید تا بررسی های سلامت باطن را فعال کنید
gcloud compute firewall-rules create ilb-health-checks --allow tcp:80,tcp:443 --network producer-vpc --source-ranges 130.211.0.0/22,35.191.0.0/16
13. جداول IP لینوکس را برای رابط(های) PSC - rabbit ایجاد کنید
از نمونه رابط PSC، جداول IP لینوکس را پیکربندی کنید تا امکان ارتباط تولیدکننده با زیرشبکه های مصرف کننده را فراهم کند.
نام سیستم عامل مهمان رابط Private Service Connect خود را پیدا کنید
برای پیکربندی مسیریابی، باید نام سیستم عامل مهمان رابط Private Service Connect خود را بدانید که با نام رابط در Google Cloud متفاوت است.
با استفاده از IAP در Cloud Shell وارد psc-interface vm شوید.
gcloud compute ssh rabbit --project=$projectid --zone=us-central1-a --tunnel-through-iap
در Cloud Shell آدرس IP نمونه psc-interface را بدست آورید
ip a
مثال:
user@rabbit:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc pfifo_fast state UP group default qlen 1000
link/ether 42:01:0a:14:01:02 brd ff:ff:ff:ff:ff:ff
altname enp0s4
inet 10.20.1.2/32 brd 10.20.1.2 scope global dynamic ens4
valid_lft 59396sec preferred_lft 59396sec
inet6 fe80::4001:aff:fe14:102/64 scope link
valid_lft forever preferred_lft forever
3: ens5: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc pfifo_fast state UP group default qlen 1000
link/ether 42:01:c0:a8:0a:02 brd ff:ff:ff:ff:ff:ff
altname enp0s5
inet 192.168.10.2/32 brd 192.168.10.2 scope global dynamic ens5
valid_lft 66782sec preferred_lft 66782sec
inet6 fe80::4001:c0ff:fea8:a02/64 scope link
valid_lft forever preferred_lft forever
IP دروازه رابط PSC خود را پیدا کنید
در لیست رابط های شبکه، نام رابطی را که با آدرس IP رابط Private Service Connect شما مرتبط است، پیدا کرده و ذخیره کنید - به عنوان مثال، ens5 (vNIC1)
برای پیکربندی مسیریابی، باید آدرس IP دروازه پیشفرض رابط Private Service Connect خود را بدانید.
در Cloud Shell از 1 استفاده خواهیم کرد زیرا رابط PSC با vNIC1 مرتبط است.
curl http://metadata.google.internal/computeMetadata/v1/instance/network-interfaces/1/gateway -H "Metadata-Flavor: Google" && echo
به عنوان مثال، gw 192.168.10.1 پیش فرض تولید می شود
user@rabbit:~$ curl http://metadata.google.internal/computeMetadata/v1/instance/network-interfaces/1/gateway -H "Metadata-Flavor: Google" && echo
192.168.10.1
مسیرهایی را برای زیرشبکه های مصرف کننده اضافه کنید
برای هر زیرشبکه مصرف کننده که به رابط Private Service Connect شما متصل می شود، باید یک مسیر به دروازه پیش فرض رابط Private Service Connect اضافه کنید. این تضمین می کند که ترافیک محدود به شبکه مصرف کننده از رابط Private Service Connect خارج می شود.
اعتبار سنجی جدول مسیر
در Cloud Shell مسیرهای فعلی را اعتبارسنجی کنید.
ip route show
مثال.
user@rabbit:~$ ip route show
default via 10.20.1.1 dev ens4
10.20.1.0/28 via 10.20.1.1 dev ens4
10.20.1.1 dev ens4 scope link
192.168.10.0/28 via 192.168.10.1 dev ens5
192.168.10.1 dev ens5 scope link
در Cloud Shell مسیر را به cosmo-subnet-1 اضافه کنید
sudo ip route add 192.168.20.0/28 via 192.168.10.1 dev ens5
اعتبار سنجی جدول مسیر
در Cloud Shell مسیرهای اضافه شده به روز شده را اعتبارسنجی کنید.
ip route show
مثال.
user@rabbit:~$ ip route show
default via 10.20.1.1 dev ens4
10.20.1.0/28 via 10.20.1.1 dev ens4
10.20.1.1 dev ens4 scope link
192.168.10.0/28 via 192.168.10.1 dev ens5
192.168.10.1 dev ens5 scope link
192.168.20.0/28 via 192.168.10.1 dev ens5
قوانین جداول IP را ایجاد کنید
در Cloud Shell جداول IP فعلی را اعتبارسنجی کنید.
sudo iptables -t nat -L -n -v
مثال:
user@rabbit:~$ sudo iptables -t nat -L -n -v
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
در Cloud Shell جداول IP را به روز کنید
sudo iptables -t nat -A POSTROUTING -o ens5 -j MASQUERADE
sudo sysctl net.ipv4.ip_forward=1
در Cloud Shell جداول IP به روز شده را اعتبارسنجی کنید.
sudo iptables -t nat -L -n -v
مثال:
user@rabbit:~$ sudo iptables -t nat -L -n -v
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 MASQUERADE all -- * ens5 0.0.0.0/0 0.0.0.0/0
14. جداول IP لینوکس را برای رابط(های) PSC - fox ایجاد کنید
از نمونه رابط PSC، جداول IP لینوکس را پیکربندی کنید تا امکان ارتباط تولیدکننده با زیرشبکه های مصرف کننده را فراهم کند.
نام سیستم عامل مهمان رابط Private Service Connect خود را پیدا کنید
برای پیکربندی مسیریابی، باید نام سیستم عامل مهمان رابط Private Service Connect خود را بدانید که با نام رابط در Google Cloud متفاوت است.
یک تب جدید Cloud Shell باز کنید و تنظیمات پروژه خود را به روز کنید.
در داخل Cloud Shell موارد زیر را انجام دهید:
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid
با استفاده از IAP در Cloud Shell وارد psc-interface vm, fox شوید.
gcloud compute ssh fox --project=$projectid --zone=us-central1-a --tunnel-through-iap
در Cloud Shell آدرس IP نمونه psc-interface را بدست آورید
ip a
مثال:
user@fox:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc pfifo_fast state UP group default qlen 1000
link/ether 42:01:0a:14:01:03 brd ff:ff:ff:ff:ff:ff
altname enp0s4
inet 10.20.1.3/32 brd 10.20.1.3 scope global dynamic ens4
valid_lft 65601sec preferred_lft 65601sec
inet6 fe80::4001:aff:fe14:103/64 scope link
valid_lft forever preferred_lft forever
3: ens5: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc pfifo_fast state UP group default qlen 1000
link/ether 42:01:c0:a8:0a:03 brd ff:ff:ff:ff:ff:ff
altname enp0s5
inet 192.168.10.3/32 brd 192.168.10.3 scope global dynamic ens5
valid_lft 63910sec preferred_lft 63910sec
inet6 fe80::4001:c0ff:fea8:a03/64 scope link
valid_lft forever preferred_lft forever
IP دروازه رابط PSC خود را پیدا کنید
در لیست رابط های شبکه، نام رابطی را که با آدرس IP رابط Private Service Connect شما مرتبط است، پیدا کرده و ذخیره کنید - به عنوان مثال، ens5 (vNIC1)
برای پیکربندی مسیریابی، باید آدرس IP دروازه پیشفرض رابط Private Service Connect خود را بدانید.
در Cloud Shell از 1 استفاده خواهیم کرد زیرا رابط PSC با vNIC1 مرتبط است.
curl http://metadata.google.internal/computeMetadata/v1/instance/network-interfaces/1/gateway -H "Metadata-Flavor: Google" && echo
به عنوان مثال، gw 192.168.10.1 پیش فرض تولید می شود
user@fox:~$ curl http://metadata.google.internal/computeMetadata/v1/instance/network-interfaces/1/gateway -H "Metadata-Flavor: Google" && echo
192.168.10.1
مسیرهایی را برای زیرشبکه های مصرف کننده اضافه کنید
برای هر زیرشبکه مصرف کننده که به رابط Private Service Connect شما متصل می شود، باید یک مسیر به دروازه پیش فرض رابط Private Service Connect اضافه کنید. این تضمین می کند که ترافیک محدود به شبکه مصرف کننده از رابط Private Service Connect خارج می شود.
اعتبار سنجی جدول مسیر
در Cloud Shell مسیرهای فعلی را اعتبارسنجی کنید.
ip route show
مثال.
user@fox:~$ ip route show
default via 10.20.1.1 dev ens4
10.20.1.0/28 via 10.20.1.1 dev ens4
10.20.1.1 dev ens4 scope link
192.168.10.0/28 via 192.168.10.1 dev ens5
192.168.10.1 dev ens5 scope link
در Cloud Shell مسیر را به cosmo-subnet-1 اضافه کنید
sudo ip route add 192.168.20.0/28 via 192.168.10.1 dev ens5
اعتبار سنجی جدول مسیر
در Cloud Shell مسیرهای اضافه شده به روز شده را اعتبارسنجی کنید.
ip route show
مثال.
user@fox:~$ ip route show
default via 10.20.1.1 dev ens4
10.20.1.0/28 via 10.20.1.1 dev ens4
10.20.1.1 dev ens4 scope link
192.168.10.0/28 via 192.168.10.1 dev ens5
192.168.10.1 dev ens5 scope link
192.168.20.0/28 via 192.168.10.1 dev ens5
قوانین جداول IP را ایجاد کنید
در Cloud Shell جداول IP فعلی را اعتبارسنجی کنید.
sudo iptables -t nat -L -n -v
مثال:
user@fox:~$ sudo iptables -t nat -L -n -v
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
در Cloud Shell جداول IP را به روز کنید.
sudo iptables -t nat -A POSTROUTING -o ens5 -j MASQUERADE
sudo sysctl net.ipv4.ip_forward=1
در Cloud Shell جداول IP به روز شده را اعتبارسنجی کنید.
sudo iptables -t nat -L -n -v
مثال:
user@fox:~$ sudo iptables -t nat -L -n -v
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 MASQUERADE all -- * ens5 0.0.0.0/0 0.0.0.0/0
15. جدول مسیر را به روز کنید
در تولیدکننده-vpc یک مسیر ثابت به زیرشبکه مصرف کنندگان 192.168.20.0/28 ایجاد کنید، سپس به عنوان متعادل کننده بار داخلی پرش کنید. پس از ایجاد، هر بسته (در داخل تولیدکننده-vpc) به مقصد 192.168.20.0/28 به متعادل کننده بار داخلی هدایت می شود.
یک تب جدید Cloud Shell باز کنید و تنظیمات پروژه خود را به روز کنید.
در داخل Cloud Shell موارد زیر را انجام دهید:
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid
در Cloud Shell جدول مسیر producer-vpc را با یک مسیر ثابت به روز کنید.
gcloud beta compute routes create producer-to-cosmo-subnet-1 --project=$projectid --network=producer-vpc --priority=1000 --destination-range=192.168.20.0/28 --next-hop-ilb=psc-ilb --next-hop-ilb-region=us-central1
16. اعتبار اتصال موفق از ببر به کیهان
اعتبار سنجی کرل
بیایید تأیید کنیم که نمونه VM تولید کننده، ببر، میتواند با انجام یک حلقه با نمونه مصرفکننده، cosmo ارتباط برقرار کند.
یک تب جدید Cloud Shell باز کنید و تنظیمات پروژه خود را به روز کنید.
در داخل Cloud Shell موارد زیر را انجام دهید:
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid
با استفاده از IAP در Cloud Shell وارد نمونه ببر شوید.
gcloud compute ssh tiger --project=$projectid --zone=us-central1-a --tunnel-through-iap
در برابر آدرس IP cosmo که قبلاً در آموزش از نمونه ببر شناسایی شده بود، یک حلقه انجام دهید.
curl -v <cosmo's IP Address>
مثال:
user@tiger:~$ curl -v 192.168.20.2
* Trying 192.168.20.2:80...
* Connected to 192.168.20.2 (192.168.20.2) port 80 (#0)
> GET / HTTP/1.1
> Host: 192.168.20.2
> User-Agent: curl/7.74.0
> Accept: */*
>
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< Date: Fri, 09 Jun 2023 03:49:42 GMT
< Server: Apache/2.4.56 (Debian)
< Last-Modified: Fri, 09 Jun 2023 03:28:37 GMT
< ETag: "27-5fda9f6ea060e"
< Accept-Ranges: bytes
< Content-Length: 39
< Content-Type: text/html
<
Welcome to cosmo's backend server !!
تبریک میگم!! با اجرای دستور curl، اتصال از producer-vpc به backend-vpc را با موفقیت تأیید کردید.
17. پاکسازی کنید
از Cloud Shell، اجزای آموزشی را حذف کنید.
gcloud compute instances delete cosmo --zone=us-central1-a --quiet
gcloud compute instances delete rabbit --zone=us-central1-a --quiet
gcloud compute instances delete fox --zone=us-central1-a --quiet
gcloud compute instances delete tiger --zone=us-central1-a --quiet
gcloud compute network-attachments delete psc-network-attachment --region=us-central1 --quiet
gcloud compute firewall-rules delete allow-ingress-to-cosmo allow-tiger-ingress ilb-health-checks ssh-iap-consumer ssh-iap-producer --quiet
gcloud beta compute routes delete producer-to-cosmo-subnet-1 --quiet
gcloud compute forwarding-rules delete psc-ilb --region=us-central1 --quiet
gcloud compute backend-services delete psc-interface-backend --region=us-central1 --quiet
gcloud compute instance-groups unmanaged delete psc-interface-instances-ig --zone=us-central1-a --quiet
gcloud compute health-checks delete hc-http-80 --quiet
gcloud compute networks subnets delete cosmo-subnet-1 prod-subnet prod-subnet-2 prod-subnet-3 intf-subnet --region=us-central1 --quiet
gcloud compute routers delete cloud-router-for-nat --region=us-central1 --quiet
gcloud compute routers delete cloud-router-for-nat-producer --region=us-central1 --quiet
gcloud compute networks delete consumer-vpc --quiet
gcloud compute networks delete producer-vpc --quiet
gcloud compute networks delete backend-vpc --quiet
18. تبریک می گویم
تبریک میگوییم، شما با موفقیت یک رابط اتصال سرویس خصوصی را پیکربندی و تأیید کردهاید و اتصال مصرفکننده و تولیدکننده را از طریق همتاسازی VPC تأیید کردهاید.
شما زیرساخت مصرف کننده را ایجاد کردید، و یک پیوست شبکه اضافه کردید که به تولید کننده اجازه می داد یک VM چندنیک برای ایجاد پل ارتباطی بین مصرف کننده و تولید کننده ایجاد کند. شما یاد گرفتید که چگونه می توان از رابط PSC برای برقراری ارتباط با سرویس های 1P/3P از طریق همتاسازی VPC با استفاده از یک متعادل کننده بار داخلی و یک مسیر ثابت در vpc سازنده استفاده کرد.
Cosmopup فکر می کند آموزش ها عالی هستند!!
بعدش چی؟
برخی از این آموزش ها را ببینید...
- استفاده از Private Service Connect برای انتشار و مصرف خدمات با GKE
- استفاده از Private Service Connect برای انتشار و مصرف خدمات
- با استفاده از Private Service Connect و یک متعادل کننده بار داخلی TCP Proxy از طریق شبکه هیبریدی به سرویس های اولیه متصل شوید.