Private Service Connect-Schnittstelle

1. Einführung

Eine Private Service Connect-Schnittstelle ist eine Ressource, mit der das VPC-Netzwerk (Virtual Private Cloud) eines Erstellers Verbindungen zu verschiedenen Zielen in einem Nutzer-VPC-Netzwerk initiieren kann. Ersteller- und Nutzernetzwerke können sich in verschiedenen Projekten und Organisationen befinden.

Wenn ein Netzwerkanhang eine Verbindung von einer Private Service Connect-Schnittstelle akzeptiert, weist Google Cloud der Schnittstelle eine IP-Adresse aus einem vom Netzwerkanhang bestimmten Nutzersubnetz zu. Die Nutzer- und Erstellernetzwerke sind verbunden und können über interne IP-Adressen kommunizieren.

Eine Verbindung zwischen einem Netzwerkanhang und einer Private Service Connect-Schnittstelle ähnelt der Verbindung zwischen einem Private Service Connect-Endpunkt und einem Dienstanhang, weist aber zwei wichtige Unterschiede auf:

• Mit einem Netzwerkanhang kann ein Erstellernetzwerk Verbindungen zu einem Nutzernetzwerk initiieren (verwalteter ausgehender Dienst), während ein Endpunkt es einem Nutzernetzwerk ermöglicht, Verbindungen zu einem Erstellernetzwerk zu initiieren (verwalteter Dienst).
• Private Service Connect-Schnittstellenverbindungen sind transitiv. Dies bedeutet, dass ein Erstellernetzwerk mit anderen Netzwerken kommunizieren kann, die mit dem Nutzernetzwerk verbunden sind.

Aufgaben

In dieser Anleitung erstellen Sie eine umfassende Private Service Connect-Schnittstellenarchitektur (PSC), in der Cloud Firewall-Regeln verwendet werden, um die Verbindung vom Producer zur Compute-Instanz des Nutzers zuzulassen und zu verweigern, wie in Abbildung 1 dargestellt.

Abbildung 1

Sie erstellen einen einzelnen psc-network-attachment in der Consumer-VPC, was zu den folgenden Anwendungsfällen führt:

1. Cloud Firewall-Regel erstellen, um den Zugriff von „bear“ auf „lion“ zuzulassen
2. Cloud Firewall-Regel erstellen, um den Zugriff von Bär auf Tiger zu verweigern
3. Cloud Firewall-Regel erstellen, um den Zugriff von Cosmo auf Bear zuzulassen

Lerninhalte

• Netzwerkanhang erstellen
• So kann ein Produzent einen Netzwerkanhang verwenden, um eine PSC-Schnittstelle zu erstellen
• Kommunikation vom Ersteller zum Nutzer herstellen
• Zugriff von der Ersteller-VM (bear) auf die Nutzer-VM (lion) zulassen
• Zugriff von der Ersteller-VM (bear) auf die Nutzer-VM (tiger) blockieren
• Zugriff von der Nutzer-VM (cosmo) auf die Ersteller-VM (bear) zulassen

Voraussetzungen

• Google Cloud-Projekt
• IAM-Berechtigungen
• Compute-Netzwerkadministrator (roles/compute.networkAdmin)
• Compute-Instanzadministrator (roles/compute.instanceAdmin)
• Compute-Sicherheitsadministrator (roles/compute.securityAdmin)

2. Hinweis

Projekt für das Tutorial aktualisieren

In dieser Anleitung werden $variables verwendet, um die Implementierung der gcloud-Konfiguration in Cloud Shell zu erleichtern.

Führen Sie in Cloud Shell folgende Schritte aus:

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid

3. Einrichtung durch Nutzer

Consumer-VPC erstellen

Führen Sie in Cloud Shell folgende Schritte aus:

gcloud compute networks create consumer-vpc --project=$projectid --subnet-mode=custom

Nutzer-Subnetze erstellen

Führen Sie in Cloud Shell folgende Schritte aus:

gcloud compute networks subnets create lion-subnet-1 --project=$projectid --range=192.168.20.0/28 --network=consumer-vpc --region=us-central1

Führen Sie in Cloud Shell folgende Schritte aus:

gcloud compute networks subnets create tiger-subnet-1 --project=$projectid --range=192.168.30.0/28 --network=consumer-vpc --region=us-central1

Führen Sie in Cloud Shell folgende Schritte aus:

gcloud compute networks subnets create cosmo-subnet-1 --project=$projectid --range=192.168.40.0/28 --network=consumer-vpc --region=us-central1

Subnetz für den Private Service Connect-Netzwerkanhang erstellen

Führen Sie in Cloud Shell folgende Schritte aus:

gcloud compute networks subnets create intf-subnet --project=$projectid --range=192.168.10.0/28 --network=consumer-vpc --region=us-central1

Cloud Router- und NAT-Konfiguration

Cloud NAT wird in der Anleitung für die Installation von Softwarepaketen verwendet, da die VM-Instanz keine öffentliche IP-Adresse hat. Cloud NAT ermöglicht VMs mit privaten IP-Adressen den Zugriff auf das Internet.

Erstellen Sie den Cloud Router in Cloud Shell.

gcloud compute routers create cloud-router-for-nat --network consumer-vpc --region us-central1

Erstellen Sie das NAT-Gateway in Cloud Shell.

gcloud compute routers nats create cloud-nat-us-central1 --router=cloud-router-for-nat --auto-allocate-nat-external-ips --nat-all-subnet-ip-ranges --region us-central1

4. IAP aktivieren

Damit IAP eine Verbindung zu Ihren VM-Instanzen herstellen kann, erstellen Sie eine Firewallregel, die:

• Gilt für alle VM-Instanzen, die über IAP zugänglich sein sollen.
• Lässt eingehenden Traffic aus dem IP-Bereich 35.235.240.0/20 zu. Dieser Bereich enthält alle IP-Adressen, die IAP für die TCP-Weiterleitung verwendet.

Erstellen Sie in Cloud Shell die IAP-Firewallregel.

gcloud compute firewall-rules create ssh-iap-consumer \
    --network consumer-vpc \
    --allow tcp:22 \
    --source-ranges=35.235.240.0/20

5. Consumer-VM-Instanzen erstellen

Erstellen Sie in Cloud Shell die VM-Instanz „lion“ für den Verbraucher.

gcloud compute instances create lion \
    --project=$projectid \
    --machine-type=e2-micro \
    --image-family debian-11 \
    --no-address \
    --image-project debian-cloud \
    --zone us-central1-a \
    --subnet=lion-subnet-1 \
    --metadata startup-script="#! /bin/bash
      sudo apt-get update
      sudo apt-get install tcpdump
      sudo apt-get install apache2 -y
      sudo service apache2 restart
      echo 'Welcome to the lion app server !!' | tee /var/www/html/index.html
      EOF"

Erstellen Sie in Cloud Shell die Consumer-VM-Instanz „tiger“.

gcloud compute instances create tiger \
    --project=$projectid \
    --machine-type=e2-micro \
    --image-family debian-11 \
    --no-address \
    --image-project debian-cloud \
    --zone us-central1-a \
    --subnet=tiger-subnet-1 \
    --metadata startup-script="#! /bin/bash
      sudo apt-get update
      sudo apt-get install tcpdump
      sudo apt-get install apache2 -y
      sudo service apache2 restart
      echo 'Welcome to the tiger app server !!' | tee /var/www/html/index.html
      EOF"

Erstellen Sie in Cloud Shell die Consumer-VM-Instanz „cosmo“.

gcloud compute instances create cosmo \
    --project=$projectid \
    --machine-type=e2-micro \
    --image-family debian-11 \
    --no-address \
    --image-project debian-cloud \
    --zone us-central1-a \
    --subnet=cosmo-subnet-1 \
    --metadata startup-script="#! /bin/bash
      sudo apt-get update
      sudo apt-get install tcpdump
      sudo apt-get install apache2 -y
      sudo service apache2 restart
      echo 'Welcome to the cosmo app server !!' | tee /var/www/html/index.html
      EOF"

Rufen Sie die IP-Adressen der Instanzen ab und speichern Sie sie:

Führen Sie in Cloud Shell einen „describe“-Befehl für die VM-Instanzen „lion“ und „tiger“ aus.

gcloud compute instances describe lion --zone=us-central1-a | grep  networkIP:

gcloud compute instances describe tiger --zone=us-central1-a | grep  networkIP:

gcloud compute instances describe cosmo --zone=us-central1-a | grep  networkIP:

6. Private Service Connect-Netzwerkanhang

Netzwerkanhänge sind regionale Ressourcen, die die Nutzerseite einer Private Service Connect-Schnittstelle darstellen. Sie verknüpfen ein einzelnes Subnetz mit einem Netzwerkanhang und der Ersteller weist der Private Service Connect-Schnittstelle IP-Adressen aus diesem Subnetz zu. Das Subnetz muss sich in derselben Region wie der Netzwerkanhang befinden. Netzwerkanhänge müssen sich in derselben Region wie deren Produzentendienst befinden.

Netzwerkanhang erstellen

Erstellen Sie den Netzwerkanhang in Cloud Shell.

gcloud compute network-attachments create psc-network-attachment \
    --region=us-central1 \
    --connection-preference=ACCEPT_MANUAL \
    --producer-accept-list=$projectid \
    --subnets=intf-subnet

Netzwerkanhänge auflisten

Listen Sie die Netzwerkverbindung in Cloud Shell auf.

gcloud compute network-attachments list

Netzwerkanhänge beschreiben

Beschreiben Sie den Netzwerkanhang in Cloud Shell.

gcloud compute network-attachments describe psc-network-attachment --region=us-central1

Notieren Sie sich den URI des PSC-Netzwerk-Anhangs, der vom Dienstersteller beim Erstellen der Private Service Connect-Schnittstelle verwendet wird. Beispiel:

user@cloudshell$ gcloud compute network-attachments describe psc-network-attachment --region=us-central1 
connectionPreference: ACCEPT_MANUAL
creationTimestamp: '2023-06-06T20:57:12.623-07:00'
fingerprint: 4Yq6xAfaRO0=
id: '3235195049527328503'
kind: compute#networkAttachment
name: psc-network-attachment
network: https://www.googleapis.com/compute/v1/projects/$projectid/global/networks/consumer-vpc
producerAcceptLists:
- $projectid
region: https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1
selfLink: https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/networkAttachments/psc-network-attachment
subnetworks:
- https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/subnetworks/intf-subnet

7. Einrichtung für Ersteller

Ersteller-VPC-Netzwerk erstellen

Führen Sie in Cloud Shell folgende Schritte aus:

gcloud compute networks create producer-vpc --project=$projectid --subnet-mode=custom

Producer-Subnetze erstellen

Erstellen Sie in Cloud Shell das Subnetz, das für die vNIC0 der PSC-Schnittstelle verwendet wird.

gcloud compute networks subnets create prod-subnet --project=$projectid --range=10.20.1.0/28 --network=producer-vpc --region=us-central1

8. IAP aktivieren

Damit IAP eine Verbindung zu Ihren VM-Instanzen herstellen kann, erstellen Sie eine Firewallregel, die:

• Gilt für alle VM-Instanzen, die über IAP zugänglich sein sollen.
• Lässt eingehenden Traffic aus dem IP-Bereich 35.235.240.0/20 zu. Dieser Bereich enthält alle IP-Adressen, die IAP für die TCP-Weiterleitung verwendet.

Erstellen Sie in Cloud Shell die IAP-Firewallregel.

gcloud compute firewall-rules create ssh-iap-producer \
    --network producer-vpc \
    --allow tcp:22 \
    --source-ranges=35.235.240.0/20

9. Private Service Connect-Schnittstelle erstellen

Eine Private Service Connect-Schnittstelle ist eine Ressource, mit der das VPC-Netzwerk (Virtual Private Cloud) eines Erstellers Verbindungen zu verschiedenen Zielen in einem Nutzer-VPC-Netzwerk initiieren kann. Ersteller- und Nutzernetzwerke können sich in verschiedenen Projekten und Organisationen befinden.

Wenn ein Netzwerkanhang eine Verbindung von einer Private Service Connect-Schnittstelle akzeptiert, weist Google Cloud der Schnittstelle eine IP-Adresse aus einem vom Netzwerkanhang bestimmten Nutzersubnetz zu. Die Nutzer- und Erstellernetzwerke sind verbunden und können über interne IP-Adressen kommunizieren.

Erstellen Sie in Cloud Shell die Private Service Connect-Schnittstelle (bear) und fügen Sie den zuvor ermittelten psc-network-attachment URI aus der Ausgabe von „network attachment describe“ ein.

gcloud compute instances create bear --zone us-central1-a --machine-type=f1-micro --can-ip-forward --network-interface subnet=prod-subnet,network=producer-vpc,no-address --network-interface network-attachment=https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/networkAttachments/psc-network-attachment

Multi-NIC-Validierung

Prüfen Sie, ob die PSC-Schnittstelle mit der entsprechenden IP-Adresse konfiguriert ist. vNIC0 verwendet das Producer-Subnetz (10.20.1.0/28) und vNIC1 das Consumer-Subnetz (192.168.10.0/28).

gcloud compute instances describe bear --zone=us-central1-a | grep networkIP:

Beispiel:

user$ gcloud compute instances describe bear --zone=us-central1-a | grep networkIP:
  networkIP: 10.20.1.2
  networkIP: 192.168.10.2

10. Firewallregeln für Verbraucher aktualisieren

Cloud Firewall-Regel erstellen, um den Zugriff von „bear“ auf „lion“ zuzulassen

Erstellen Sie in Cloud Shell eine Regel mit höherer Priorität, die ausgehenden Traffic vom IP-Adressbereich des Anhangssubnetzes (intf-subnet) zu Zielen im Adressbereich von lion-subnet-1 zulässt.

gcloud compute firewall-rules create allow-limited-egress-to-lion \
    --network=consumer-vpc \
    --action=ALLOW \
    --rules=ALL \
    --direction=EGRESS \
    --priority=1000 \
    --source-ranges="192.168.10.0/28" \
    --destination-ranges="192.168.20.0/28" \
    --enable-logging

Erstellen Sie in Cloud Shell eine Regel zum Zulassen von eingehendem Traffic, die die implizite Regel zum Ablehnen von eingehendem Traffic für Traffic aus dem Subnetz „psc-network-attachment“ überschreibt.

gcloud compute firewall-rules create allow-ingress \
--network=consumer-vpc \
--action=ALLOW \
--rules=ALL \
--direction=INGRESS \
--priority=1000 \
--source-ranges="192.168.10.0/28" \
--enable-logging

Cloud-Firewallregel erstellen, um den Zugriff von „bear“ auf alle Bereiche (einschließlich „tiger“) zu verweigern

Erstellen Sie in Cloud Shell eine Regel mit niedriger Priorität, die den gesamten ausgehenden Traffic aus dem IP-Adressbereich des Subnetzes des Netzwerkanhangs, intf-subnet, ablehnt.

gcloud compute firewall-rules create deny-all-egress \
    --network=consumer-vpc \
    --action=DENY \
    --rules=ALL \
    --direction=EGRESS \
    --priority=65534 \
    --source-ranges="192.168.10.0/28" \
    --destination-ranges="0.0.0.0/0" \
    --enable-logging

Cloud Firewall-Regel erstellen, um den Zugriff von „cosmo“ auf „bear“ zuzulassen

Erstellen Sie in Cloud Shell eine Regel zum Zulassen von eingehendem Traffic, die die implizite Regel zum Ablehnen von eingehendem Traffic für Traffic aus dem Subnetz „psc-network-attachment“ überschreibt.

gcloud compute firewall-rules create vm-subnet-allow-ingress \
    --network=consumer-vpc \
    --action=ALLOW \
    --rules=ALL \
    --direction=INGRESS \
    --priority=1000 \
    --source-ranges="192.168.40.0/28" \
    --destination-ranges="192.168.10.0/28" \
    --enable-logging

11. Linux-Routen für die PSC-Schnittstelle erstellen

Konfigurieren Sie über die PSC-Schnittstelleninstanz Linux-Routen, um die Kommunikation des Produzenten mit den Nutzer-Subnetzen zu ermöglichen.

Namen des Gastbetriebssystems der Private Service Connect-Schnittstelle ermitteln

Zum Konfigurieren des Routings benötigen Sie den Namen des Gastbetriebssystems Ihrer Private Service Connect-Schnittstelle. Dieser Name unterscheidet sich vom Namen der Schnittstelle in Google Cloud.

Öffnen Sie in Cloud Shell einen neuen Tab und führen Sie Folgendes aus:

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid

Melden Sie sich mit IAP in Cloud Shell bei der VM „bear“ mit der PSC-Schnittstelle an.

gcloud compute ssh bear --project=$projectid --zone=us-central1-a --tunnel-through-iap

Rufen Sie in Cloud Shell die IP-Adresse der psc-interface-Instanz ab.

ip a

Beispiel:

user@bear:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: ens4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 42:01:0a:14:01:02 brd ff:ff:ff:ff:ff:ff
    altname enp0s4
    inet 10.20.1.2/32 brd 10.20.1.2 scope global dynamic ens4
       valid_lft 85991sec preferred_lft 85991sec
    inet6 fe80::4001:aff:fe14:102/64 scope link 
       valid_lft forever preferred_lft forever
3: ens5: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 42:01:c0:a8:0a:02 brd ff:ff:ff:ff:ff:ff
    altname enp0s5
    inet 192.168.10.2/32 brd 192.168.10.2 scope global dynamic ens5
       valid_lft 85991sec preferred_lft 85991sec
    inet6 fe80::4001:c0ff:fea8:a02/64 scope link 
       valid_lft forever preferred_lft forever

IP-Adresse des Gateways Ihrer PSC-Schnittstelle ermitteln

Suchen Sie in der Liste der Netzwerkschnittstellen den Namen der Schnittstelle, der der IP-Adresse Ihrer Private Service Connect-Schnittstelle zugeordnet ist, z. B. ens5 (vNIC1).

Zum Konfigurieren des Routings benötigen Sie die IP-Adresse des Standardgateways Ihrer Private Service Connect-Schnittstelle.

In Cloud Shell verwenden wir 1, da die PSC-Schnittstelle mit vNIC1 verknüpft ist.

curl http://metadata.google.internal/computeMetadata/v1/instance/network-interfaces/1/gateway -H "Metadata-Flavor: Google" && echo

Das Beispiel erzeugt das Standardgateway 192.168.10.1.

user@bear:~$ curl http://metadata.google.internal/computeMetadata/v1/instance/network-interfaces/1/gateway -H "Metadata-Flavor: Google" && echo
192.168.10.1

Routen für Consumer-Subnetze hinzufügen

Sie müssen für jedes Nutzer-Subnetz, das eine Verbindung zu Ihrer Private Service Connect-Schnittstelle herstellt, eine Route zum Standardgateway der Private Service Connect-Schnittstelle hinzufügen. So wird sichergestellt, dass Traffic, der für das Nutzernetzwerk bestimmt ist, über die Private Service Connect-Schnittstelle ausgeht.

Fügen Sie in der Bear-Instanz die Routen den Nutzer-Subnetzen hinzu.

sudo ip route add 192.168.20.0/28 via 192.168.10.1 dev ens5
sudo ip route add 192.168.30.0/28 via 192.168.10.1 dev ens5
sudo ip route add 192.168.40.0/28 via 192.168.10.1 dev ens5

Routentabelle prüfen

Prüfen Sie in Cloud Shell die neu hinzugefügten Routen.

ip route show

Example.

user@bear:~$ ip route show
default via 10.20.1.1 dev ens4 
10.20.1.0/28 via 10.20.1.1 dev ens4 
10.20.1.1 dev ens4 scope link 
192.168.10.0/28 via 192.168.10.1 dev ens5 
192.168.10.1 dev ens5 scope link 
192.168.20.0/28 via 192.168.10.1 dev ens5 
192.168.30.0/28 via 192.168.10.1 dev ens5 
192.168.40.0/28 via 192.168.10.1 dev ens5 

12. Erfolgreiche Verbindung zwischen Bär und Löwe prüfen

Wir prüfen, ob die Ersteller-VM-Instanz „bear“ mit der Nutzerinstanz „lion“ kommunizieren kann, indem wir einen curl-Befehl ausführen.

Führen Sie von der Bäreninstanz aus einen Curl-Befehl für die IP-Adresse der Löweninstanz aus, die Sie zuvor in der Anleitung ermittelt haben.

curl -v <lions IP Address>

Beispiel:

user@bear:~$ curl -v 192.168.20.2
*   Trying 192.168.20.2:80...
* Connected to 192.168.20.2 (192.168.20.2) port 80 (#0)
> GET / HTTP/1.1
> Host: 192.168.20.2
> User-Agent: curl/7.74.0
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< Date: Tue, 06 Jun 2023 03:53:08 GMT
< Server: Apache/2.4.56 (Debian)
< Last-Modified: Mon, 05 Jun 2023 19:41:26 GMT
< ETag: "1e-5fd6716a1e11b"
< Accept-Ranges: bytes
< Content-Length: 30
< Content-Type: text/html
< 
Welcome to lion app server !!
* Connection #0 to host 192.168.20.2 left intact

13. Prüfen, ob die Verbindung zwischen Bär und Tiger blockiert ist

Wir prüfen anhand der Firewall-Logs, ob die Firewallregel für ausgehenden Traffic den Zugriff von „bear“ auf „tiger“ blockiert.

Starten Sie eine neue Cloud Console-Sitzung und rufen Sie „Logging“ → „Log-Explorer“ auf → wählen Sie „Abfrage anzeigen“ aus.

Fügen Sie den folgenden Abfragestring in das Suchfeld ein und wählen Sie dann Stream aus.

jsonPayload.rule_details.reference="network:consumer-vpc/firewall:deny-all-egress"

Führen Sie von der Instanz „bear“ aus einen Curl-Befehl für die IP-Adresse von „tiger“ aus, die Sie zuvor in dieser Anleitung ermittelt haben. Der curl-Befehl wird nach einer gewissen Zeit beendet.

curl -v <tiger's IP Address>

Beispiel:

user@bear:~$ curl -v 192.168.30.2 
*   Trying 192.168.30.2:80...
* connect to 192.168.30.2 port 80 failed: Connection timed out
* Failed to connect to 192.168.30.2 port 80: Connection timed out
* Closing connection 0
curl: (28) Failed to connect to 192.168.30.2 port 80: Connection timed out

Prüfen Sie, ob der Log-Explorer abgelehnte Firewall-Logs erfasst hat. Wählen Sie einen Logeintrag aus und maximieren Sie verschachtelte Felder, um Metadaten aufzurufen.

14. Prüfen, ob die Verbindung zwischen Cosmo und dem Bären erfolgreich hergestellt wurde

Öffnen Sie einen neuen Tab in Cloud Shell und aktualisieren Sie die Projekteinstellungen.

Führen Sie in Cloud Shell folgende Schritte aus:

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid

Melden Sie sich in Cloud Shell mit IAP bei der Cosmo-Instanz an.

gcloud compute ssh cosmo --project=$projectid --zone=us-central1-a --tunnel-through-iap

Führen Sie in Cloud Shell einen Ping an die IP-Adresse von bear's IP vNIV1 aus, die zuvor in der Anleitung ermittelt wurde.

ping <bears vNIC1 IP Address>

Beispiel:

user@cosmo:~$ ping 192.168.10.2 -c 5
PING 192.168.10.2 (192.168.10.2) 56(84) bytes of data.
64 bytes from 192.168.10.2: icmp_seq=1 ttl=64 time=0.277 ms
64 bytes from 192.168.10.2: icmp_seq=2 ttl=64 time=0.288 ms
64 bytes from 192.168.10.2: icmp_seq=3 ttl=64 time=0.265 ms
64 bytes from 192.168.10.2: icmp_seq=4 ttl=64 time=0.264 ms
64 bytes from 192.168.10.2: icmp_seq=5 ttl=64 time=0.366 ms

15. Bereinigen

Löschen Sie die Komponenten der Anleitung in Cloud Shell.

gcloud compute instances delete bear --zone=us-central1-a --quiet

gcloud compute instances delete lion --zone=us-central1-a --quiet

gcloud compute instances delete tiger --zone=us-central1-a --quiet

gcloud compute instances delete cosmo --zone=us-central1-a --quiet

gcloud compute network-attachments delete psc-network-attachment --region=us-central1 --quiet

gcloud compute firewall-rules delete allow-ingress allow-limited-egress-to-lion deny-all-egress ssh-iap-consumer ssh-iap-producer vm-subnet-allow-ingress --quiet

gcloud compute networks subnets delete cosmo-subnet-1 intf-subnet lion-subnet-1 prod-subnet tiger-subnet-1 --region=us-central1 --quiet

gcloud compute routers delete cloud-router-for-nat --region=us-central1 --quiet 

gcloud compute networks delete consumer-vpc --quiet

gcloud compute networks delete producer-vpc --quiet

16. Glückwunsch

Sie haben eine Private Service Connect-Schnittstelle sowie die Verbindung zwischen Nutzer und Ersteller erfolgreich konfiguriert und validiert, indem Sie Firewallregeln implementiert haben.

Sie haben die Infrastruktur des Nutzers erstellt und einen Netzwerkanhang hinzugefügt, der es dem Produzenten ermöglicht, eine VM mit mehreren NICs zu erstellen, um die Kommunikation zwischen Nutzer und Produzent zu ermöglichen. Sie haben gelernt, wie Sie Firewallregeln im Nutzer-VPC-Netzwerk erstellen, die Verbindungen zu den Instanzen in der Nutzer- und Produzenten-VPC zulassen.

Cosmopup findet Tutorials toll!!

Nächste Schritte

Hier findest du einige Tutorials:

• Private Service Connect zum Veröffentlichen und Nutzen von Diensten mit GKE verwenden
• Private Service Connect zum Veröffentlichen und Nutzen von Diensten verwenden
• Über Hybrid Networking mit Private Service Connect und einem internen TCP-Proxy-Load-Balancer mit lokalen Diensten verbinden

Weitere Informationen und Videos

• Private Service Connect – Übersicht
• Was ist Private Service Connect?
• Unterstützte Load-Balancer-Typen

Referenzdokumente

• Übersicht über den internen HTTP(S)-Load-Balancer
• Übersicht über Systemdiagnosen
• Dienste mit Private Service Connect veröffentlichen
• Private Service Connect – automatische DNS-Konfiguration