Private Service Connect-Schnittstelle

1. Einführung

Eine Private Service Connect-Schnittstelle ist eine Ressource, mit der ein Ersteller-VPC-Netzwerk (Virtual Private Cloud) Verbindungen zu verschiedenen Zielen in einem Nutzer-VPC-Netzwerk initiieren kann. Ersteller- und Nutzernetzwerke können sich in verschiedenen Projekten und Organisationen befinden.

Wenn ein Netzwerkanhang eine Verbindung von einer Private Service Connect-Schnittstelle akzeptiert, weist Google Cloud der Schnittstelle eine IP-Adresse aus einem Nutzersubnetz zu, das im Netzwerkanhang angegeben ist. Die Nutzer- und Erstellernetzwerke sind verbunden und können über interne IP-Adressen kommunizieren.

Eine Verbindung zwischen einem Netzwerkanhang und einer Private Service Connect-Schnittstelle ähnelt der Verbindung zwischen einem Private Service Connect-Endpunkt und einem Dienstanhang, weist aber zwei wesentliche Unterschiede auf:

• Mit einem Netzwerkanhang kann ein Produzentennetzwerk Verbindungen zu einem Nutzernetzwerk initiieren (ausgehender Traffic eines verwalteten Dienstes), während ein Nutzernetzwerk über einen Endpunkt Verbindungen zu einem Produzentennetzwerk initiieren kann (eingehender Traffic eines verwalteten Dienstes).
• Private Service Connect-Schnittstellenverbindungen sind transitiv. Das bedeutet, dass ein Produzentennetzwerk mit anderen Netzwerken kommunizieren kann, die mit dem Nutzernetzwerk verbunden sind.

Aufgaben

In dieser Anleitung erstellen Sie eine umfassende Architektur der Private Service Connect-Schnittstelle (PSC), die mithilfe von Cloud-Firewallregeln die Verbindung vom Ersteller zum Computer des Nutzers zulässt oder ablehnt (siehe Abbildung 1).

Abbildung 1

Sie erstellen einen einzelnen psc-network-attachment in der Nutzer-VPC, was zu folgenden Anwendungsfällen führt:

1. Erstellen Sie eine Cloud-Firewall-Regel, um den Zugriff vom Bären zu einem Löwen zu erlauben
2. Cloud-Firewall-Regel erstellen, um den Zugriff von Bär zu Tiger zu verweigern
3. Cloud-Firewall-Regel erstellen, um den Zugriff von Cosmo auf Bären zu erlauben

Aufgaben in diesem Lab

• So erstellen Sie einen Netzwerkanhang
• Wie ein Ersteller einen Netzwerkanhang zum Erstellen einer PSC-Schnittstelle verwenden kann
• Kommunikation zwischen Ersteller und Nutzer einrichten
• Zugriff von der Producer-VM (Bear) auf die Nutzer-VM (Lion) zulassen
• Blockieren des Zugriffs von der Producer-VM (Bear) auf die Nutzer-VM (Tiger)
• Zugriff von der Nutzer-VM (Cosmo) auf die Produzenten-VM (Bear) zulassen

Voraussetzungen

• Google Cloud-Projekt
• IAM-Berechtigungen
• Compute-Netzwerkadministrator (roles/compute.networkAdmin)
• Compute-Instanzadministrator (roles/compute.instanceAdmin)
• Compute-Sicherheitsadministrator (roles/compute.securityAdmin)

2. Hinweis

Projekt zur Unterstützung der Anleitung aktualisieren

In dieser Anleitung wird mithilfe von $variables die Implementierung der gcloud-Konfiguration in Cloud Shell unterstützt.

Führen Sie in Cloud Shell die folgenden Schritte aus:

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid

3. Nutzereinrichtung

Nutzer-VPC erstellen

Führen Sie in Cloud Shell die folgenden Schritte aus:

gcloud compute networks create consumer-vpc --project=$projectid --subnet-mode=custom

Nutzersubnetze erstellen

Führen Sie in Cloud Shell die folgenden Schritte aus:

gcloud compute networks subnets create lion-subnet-1 --project=$projectid --range=192.168.20.0/28 --network=consumer-vpc --region=us-central1

Führen Sie in Cloud Shell die folgenden Schritte aus:

gcloud compute networks subnets create tiger-subnet-1 --project=$projectid --range=192.168.30.0/28 --network=consumer-vpc --region=us-central1

Führen Sie in Cloud Shell die folgenden Schritte aus:

gcloud compute networks subnets create cosmo-subnet-1 --project=$projectid --range=192.168.40.0/28 --network=consumer-vpc --region=us-central1

Subnetz des Private Service Connect-Netzwerkanhangs erstellen

Führen Sie in Cloud Shell die folgenden Schritte aus:

gcloud compute networks subnets create intf-subnet --project=$projectid --range=192.168.10.0/28 --network=consumer-vpc --region=us-central1

Cloud Router und NAT-Konfiguration

In der Anleitung wird Cloud NAT für die Installation von Softwarepaketen verwendet, da die VM-Instanz keine öffentliche IP-Adresse hat. Cloud NAT ermöglicht VMs mit privaten IP-Adressen den Zugriff auf das Internet.

Erstellen Sie den Cloud Router in Cloud Shell.

gcloud compute routers create cloud-router-for-nat --network consumer-vpc --region us-central1

Erstellen Sie das NAT-Gateway in Cloud Shell.

gcloud compute routers nats create cloud-nat-us-central1 --router=cloud-router-for-nat --auto-allocate-nat-external-ips --nat-all-subnet-ip-ranges --region us-central1

4. IAP aktivieren

Damit IAP eine Verbindung zu Ihren VM-Instanzen herstellen kann, müssen Sie eine Firewallregel erstellen, die:

• Gilt für alle VM-Instanzen, die mit IAP zugänglich sein sollen.
• Lässt eingehenden Traffic aus dem IP-Bereich 35.235.240.0/20 zu. Dieser Bereich enthält alle IP-Adressen, die IAP für die TCP-Weiterleitung verwendet.

Erstellen Sie in Cloud Shell die IAP-Firewallregel.

gcloud compute firewall-rules create ssh-iap-consumer \
    --network consumer-vpc \
    --allow tcp:22 \
    --source-ranges=35.235.240.0/20

5. Nutzer-VM-Instanzen erstellen

Erstellen Sie in Cloud Shell die Nutzer-VM-Instanz lion.

gcloud compute instances create lion \
    --project=$projectid \
    --machine-type=e2-micro \
    --image-family debian-11 \
    --no-address \
    --image-project debian-cloud \
    --zone us-central1-a \
    --subnet=lion-subnet-1 \
    --metadata startup-script="#! /bin/bash
      sudo apt-get update
      sudo apt-get install tcpdump
      sudo apt-get install apache2 -y
      sudo service apache2 restart
      echo 'Welcome to the lion app server !!' | tee /var/www/html/index.html
      EOF"

Erstellen Sie in Cloud Shell die Nutzer-VM-Instanz, tiger.

gcloud compute instances create tiger \
    --project=$projectid \
    --machine-type=e2-micro \
    --image-family debian-11 \
    --no-address \
    --image-project debian-cloud \
    --zone us-central1-a \
    --subnet=tiger-subnet-1 \
    --metadata startup-script="#! /bin/bash
      sudo apt-get update
      sudo apt-get install tcpdump
      sudo apt-get install apache2 -y
      sudo service apache2 restart
      echo 'Welcome to the tiger app server !!' | tee /var/www/html/index.html
      EOF"

Erstellen Sie in Cloud Shell die Nutzer-VM-Instanz "cosmo".

gcloud compute instances create cosmo \
    --project=$projectid \
    --machine-type=e2-micro \
    --image-family debian-11 \
    --no-address \
    --image-project debian-cloud \
    --zone us-central1-a \
    --subnet=cosmo-subnet-1 \
    --metadata startup-script="#! /bin/bash
      sudo apt-get update
      sudo apt-get install tcpdump
      sudo apt-get install apache2 -y
      sudo service apache2 restart
      echo 'Welcome to the cosmo app server !!' | tee /var/www/html/index.html
      EOF"

Rufen Sie die IP-Adressen der Instanzen ab und speichern Sie sie:

Führen Sie in Cloud Shell eine Beschreibung für die Löwen- und Tiger-VM-Instanzen aus.

gcloud compute instances describe lion --zone=us-central1-a | grep  networkIP:

gcloud compute instances describe tiger --zone=us-central1-a | grep  networkIP:

gcloud compute instances describe cosmo --zone=us-central1-a | grep  networkIP:

6. Private Service Connect-Netzwerkanhang

Netzwerkanhänge sind regionale Ressourcen, die die Nutzerseite einer Private Service Connect-Schnittstelle darstellen. Sie verknüpfen ein einzelnes Subnetz mit einem Netzwerkanhang und der Ersteller weist der Private Service Connect-Schnittstelle aus diesem Subnetz IP-Adressen zu. Das Subnetz muss sich in derselben Region wie der Netzwerkanhang befinden. Ein Netzwerkanhang muss sich in derselben Region wie der Producer-Dienst befinden.

Netzwerkanhang erstellen

Erstellen Sie den Netzwerkanhang in Cloud Shell.

gcloud compute network-attachments create psc-network-attachment \
    --region=us-central1 \
    --connection-preference=ACCEPT_MANUAL \
    --producer-accept-list=$projectid \
    --subnets=intf-subnet

Netzwerkanhänge auflisten

Listen Sie den Netzwerkanhang in Cloud Shell auf.

gcloud compute network-attachments list

Netzwerkanhänge beschreiben

Beschreiben Sie in Cloud Shell den Netzwerkanhang.

gcloud compute network-attachments describe psc-network-attachment --region=us-central1

Notieren Sie sich den URI „psc-network-attachment“, der vom Producer beim Erstellen der Private Service Connect-Schnittstelle verwendet wird. Beispiel:

user@cloudshell$ gcloud compute network-attachments describe psc-network-attachment --region=us-central1 
connectionPreference: ACCEPT_MANUAL
creationTimestamp: '2023-06-06T20:57:12.623-07:00'
fingerprint: 4Yq6xAfaRO0=
id: '3235195049527328503'
kind: compute#networkAttachment
name: psc-network-attachment
network: https://www.googleapis.com/compute/v1/projects/$projectid/global/networks/consumer-vpc
producerAcceptLists:
- $projectid
region: https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1
selfLink: https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/networkAttachments/psc-network-attachment
subnetworks:
- https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/subnetworks/intf-subnet

7. Producer-Einrichtung

VPC-Netzwerk des Erstellers erstellen

Führen Sie in Cloud Shell die folgenden Schritte aus:

gcloud compute networks create producer-vpc --project=$projectid --subnet-mode=custom

Producer-Subnetze erstellen

Erstellen Sie in Cloud Shell das Subnetz, das für die vNIC0 der PSC-Schnittstelle verwendet wird.

gcloud compute networks subnets create prod-subnet --project=$projectid --range=10.20.1.0/28 --network=producer-vpc --region=us-central1

8. IAP aktivieren

Damit IAP eine Verbindung zu Ihren VM-Instanzen herstellen kann, müssen Sie eine Firewallregel erstellen, die:

• Gilt für alle VM-Instanzen, die mit IAP zugänglich sein sollen.
• Lässt eingehenden Traffic aus dem IP-Bereich 35.235.240.0/20 zu. Dieser Bereich enthält alle IP-Adressen, die IAP für die TCP-Weiterleitung verwendet.

Erstellen Sie in Cloud Shell die IAP-Firewallregel.

gcloud compute firewall-rules create ssh-iap-producer \
    --network producer-vpc \
    --allow tcp:22 \
    --source-ranges=35.235.240.0/20

9. Private Service Connect-Schnittstelle erstellen

Eine Private Service Connect-Schnittstelle ist eine Ressource, mit der ein Ersteller-VPC-Netzwerk (Virtual Private Cloud) Verbindungen zu verschiedenen Zielen in einem Nutzer-VPC-Netzwerk initiieren kann. Ersteller- und Nutzernetzwerke können sich in verschiedenen Projekten und Organisationen befinden.

Wenn ein Netzwerkanhang eine Verbindung von einer Private Service Connect-Schnittstelle akzeptiert, weist Google Cloud der Schnittstelle eine IP-Adresse aus einem Nutzersubnetz zu, das im Netzwerkanhang angegeben ist. Die Nutzer- und Erstellernetzwerke sind verbunden und können über interne IP-Adressen kommunizieren.

Erstellen Sie in Cloud Shell die Private Service Connect-Schnittstelle (Bear) und fügen Sie die zuvor identifizierte psc-network-attachment UR aus der Beschreibungsausgabe des Netzwerkanhangs ein.

gcloud compute instances create bear --zone us-central1-a --machine-type=f1-micro --can-ip-forward --network-interface subnet=prod-subnet,network=producer-vpc,no-address --network-interface network-attachment=https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/networkAttachments/psc-network-attachment

Multi-NIC-Validierung

Prüfen Sie, ob die PSC-Schnittstelle mit der entsprechenden IP-Adresse konfiguriert ist. vNIC0 verwendet das Producer-Subnetz (10.20.1.0/28) und vNIC1 verwendet das intf-Subnetz des Nutzers (192.168.10.0/28).

gcloud compute instances describe bear --zone=us-central1-a | grep networkIP:

Beispiel:

user$ gcloud compute instances describe bear --zone=us-central1-a | grep networkIP:
  networkIP: 10.20.1.2
  networkIP: 192.168.10.2

10. Firewallregeln für Nutzer aktualisieren

Cloud-Firewall-Regel erstellen, um den Zugriff von Bären zu Löwen zu ermöglichen

Erstellen Sie in Cloud Shell eine Regel mit höherer Priorität, die ausgehenden Traffic vom IP-Adressbereich des Anhangssubnetzes (intf-subnet) an Ziele im Adressbereich von lion-subnet-1 zulässt.

gcloud compute firewall-rules create allow-limited-egress-to-lion \
    --network=consumer-vpc \
    --action=ALLOW \
    --rules=ALL \
    --direction=EGRESS \
    --priority=1000 \
    --source-ranges="192.168.10.0/28" \
    --destination-ranges="192.168.20.0/28" \
    --enable-logging

Erstellen Sie in Cloud Shell eine Regel zum Zulassen von eingehendem Traffic, die die implizite Regel zum Ablehnen von eingehendem Traffic für Traffic aus dem Subnetz "psc-network-attachment" überschreibt.

gcloud compute firewall-rules create allow-ingress \
--network=consumer-vpc \
--action=ALLOW \
--rules=ALL \
--direction=INGRESS \
--priority=1000 \
--source-ranges="192.168.10.0/28" \
--enable-logging

Cloud-Firewall-Regel erstellen, um den Zugriff von Bären auf alle Bereiche zu verweigern (einschließlich Tiger)

Erstellen Sie in Cloud Shell eine Regel mit niedriger Priorität, die den gesamten ausgehenden Traffic aus dem IP-Adressbereich des Subnetzes intf-subnet des Netzwerkanhangs ablehnt.

gcloud compute firewall-rules create deny-all-egress \
    --network=consumer-vpc \
    --action=DENY \
    --rules=ALL \
    --direction=EGRESS \
    --priority=65534 \
    --source-ranges="192.168.10.0/28" \
    --destination-ranges="0.0.0.0/0" \
    --enable-logging

Cloud-Firewall-Regel erstellen, um den Zugriff von Cosmo auf Bären zu erlauben

Erstellen Sie in Cloud Shell eine Regel zum Zulassen von eingehendem Traffic, die die implizite Regel zum Ablehnen von eingehendem Traffic für Traffic aus dem Subnetz "psc-network-attachment" überschreibt.

gcloud compute firewall-rules create vm-subnet-allow-ingress \
    --network=consumer-vpc \
    --action=ALLOW \
    --rules=ALL \
    --direction=INGRESS \
    --priority=1000 \
    --source-ranges="192.168.40.0/28" \
    --destination-ranges="192.168.10.0/28" \
    --enable-logging

11. Linux-Routen für die PSC-Schnittstelle erstellen

Konfigurieren Sie in der Instanz für die PSC-Schnittstelle Linux-Routen, um die Kommunikation des Erstellers mit den Subnetzen der Nutzer zu ermöglichen.

Name des Gastbetriebssystems der Private Service Connect-Schnittstelle ermitteln

Zum Konfigurieren des Routings müssen Sie den Namen des Gastbetriebssystems Ihrer Private Service Connect-Schnittstelle kennen. Dieser unterscheidet sich vom Namen der Schnittstelle in Google Cloud.

Öffnen Sie in Cloud Shell einen neuen Tab und führen Sie die folgenden Schritte aus:

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid

Melden Sie sich mit IAP in Cloud Shell bei der VM "psc-interface", Bär, an.

gcloud compute ssh bear --project=$projectid --zone=us-central1-a --tunnel-through-iap

Rufen Sie in Cloud Shell die IP-Adresse der Instanz „psc-interface“ ab

ip a

Beispiel:

user@bear:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: ens4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 42:01:0a:14:01:02 brd ff:ff:ff:ff:ff:ff
    altname enp0s4
    inet 10.20.1.2/32 brd 10.20.1.2 scope global dynamic ens4
       valid_lft 85991sec preferred_lft 85991sec
    inet6 fe80::4001:aff:fe14:102/64 scope link 
       valid_lft forever preferred_lft forever
3: ens5: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 42:01:c0:a8:0a:02 brd ff:ff:ff:ff:ff:ff
    altname enp0s5
    inet 192.168.10.2/32 brd 192.168.10.2 scope global dynamic ens5
       valid_lft 85991sec preferred_lft 85991sec
    inet6 fe80::4001:c0ff:fea8:a02/64 scope link 
       valid_lft forever preferred_lft forever

Gateway-IP-Adresse der PSC-Schnittstelle ermitteln

Suchen und speichern Sie in der Liste der Netzwerkschnittstellen den Schnittstellennamen, der der IP-Adresse Ihrer Private Service Connect-Schnittstelle zugeordnet ist, z. B. ens5 (vNIC1).

Zum Konfigurieren des Routings müssen Sie die IP-Adresse des Standardgateways Ihrer Private Service Connect-Schnittstelle kennen

In Cloud Shell verwenden wir 1, da die PSC-Schnittstelle mit vNIC1 verknüpft ist.

curl http://metadata.google.internal/computeMetadata/v1/instance/network-interfaces/1/gateway -H "Metadata-Flavor: Google" && echo

Im Beispiel wird der Standard-gw 192.168.10.1 erstellt.

user@bear:~$ curl http://metadata.google.internal/computeMetadata/v1/instance/network-interfaces/1/gateway -H "Metadata-Flavor: Google" && echo
192.168.10.1

Routen für Nutzersubnetze hinzufügen

Sie müssen dem Standardgateway Ihrer Private Service Connect-Schnittstelle für jedes Nutzersubnetz, das eine Verbindung zu Ihrer Private Service Connect-Schnittstelle herstellt, eine Route hinzufügen. Dadurch wird sichergestellt, dass der für das Nutzernetzwerk gebundene Traffic von der Private Service Connect-Schnittstelle ausgeht.

Fügen Sie die Routen in der Bären-Instanz den Nutzersubnetzen hinzu.

sudo ip route add 192.168.20.0/28 via 192.168.10.1 dev ens5
sudo ip route add 192.168.30.0/28 via 192.168.10.1 dev ens5
sudo ip route add 192.168.40.0/28 via 192.168.10.1 dev ens5

Routingtabelle validieren

Validieren Sie in Cloud Shell die neu hinzugefügten Routen.

ip route show

Example.

user@bear:~$ ip route show
default via 10.20.1.1 dev ens4 
10.20.1.0/28 via 10.20.1.1 dev ens4 
10.20.1.1 dev ens4 scope link 
192.168.10.0/28 via 192.168.10.1 dev ens5 
192.168.10.1 dev ens5 scope link 
192.168.20.0/28 via 192.168.10.1 dev ens5 
192.168.30.0/28 via 192.168.10.1 dev ens5 
192.168.40.0/28 via 192.168.10.1 dev ens5 

12. Erfolgreiche Verbindung zwischen Bären und Löwen validieren

Überprüfen Sie nun, ob die Producer-VM-Instanz Bär mit der Nutzerinstanz kommunizieren kann, indem sie einen curl-Befehl ausführen.

Führen Sie in der Bären-Instanz einen curl-Vorgang für die IP-Adresse des Löwen aus, die zuvor in der Anleitung von der Bären-Instanz ermittelt wurde.

curl -v <lions IP Address>

Beispiel:

user@bear:~$ curl -v 192.168.20.2
*   Trying 192.168.20.2:80...
* Connected to 192.168.20.2 (192.168.20.2) port 80 (#0)
> GET / HTTP/1.1
> Host: 192.168.20.2
> User-Agent: curl/7.74.0
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< Date: Tue, 06 Jun 2023 03:53:08 GMT
< Server: Apache/2.4.56 (Debian)
< Last-Modified: Mon, 05 Jun 2023 19:41:26 GMT
< ETag: "1e-5fd6716a1e11b"
< Accept-Ranges: bytes
< Content-Length: 30
< Content-Type: text/html
< 
Welcome to lion app server !!
* Connection #0 to host 192.168.20.2 left intact

13. Prüfen, ob Verbindung von Bär zu Tiger blockiert ist

Prüfen Sie anhand der Firewalllogs, ob die Firewallregel für ausgehenden Traffic den Zugriff von Bären auf Tiger blockiert.

Gehen Sie in einer neuen Cloud Console-Sitzung zu Logging → Log-Explorer → Wählen Sie „Abfrage anzeigen“ aus.

Fügen Sie den Abfragestring unten in das Suchfeld ein und wählen Sie dann Stream aus.

jsonPayload.rule_details.reference="network:consumer-vpc/firewall:deny-all-egress"

Führen Sie in der Bären-Instanz einen curl-Befehl für die IP-Adresse des Tigers aus, die zuvor in der Anleitung von der Bären-Instanz ermittelt wurde. Irgendwann kommt es zu einer Zeitüberschreitung beim curl.

curl -v <tiger's IP Address>

Beispiel:

user@bear:~$ curl -v 192.168.30.2 
*   Trying 192.168.30.2:80...
* connect to 192.168.30.2 port 80 failed: Connection timed out
* Failed to connect to 192.168.30.2 port 80: Connection timed out
* Closing connection 0
curl: (28) Failed to connect to 192.168.30.2 port 80: Connection timed out

Prüfen Sie, ob der Log-Explorer abgelehnte Firewalllogs erfasst hat. Wählen Sie einen Logeintrag aus und maximieren Sie die verschachtelten Felder, um die Metadaten anzusehen.

14. Erfolgreiche Konnektivität zwischen Cosmo und Bären validieren

Öffnen Sie einen neuen Cloud Shell-Tab und aktualisieren Sie Ihre Projekteinstellungen.

Führen Sie in Cloud Shell die folgenden Schritte aus:

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid

Melden Sie sich mit IAP in Cloud Shell bei der Cosmo-Instanz an.

gcloud compute ssh cosmo --project=$projectid --zone=us-central1-a --tunnel-through-iap

Führen Sie in Cloud Shell einen Ping für die vNIV1-IP-Adresse des Bären aus, die zuvor in der Anleitung ermittelt wurde.

ping <bears vNIC1 IP Address>

Beispiel:

user@cosmo:~$ ping 192.168.10.2 -c 5
PING 192.168.10.2 (192.168.10.2) 56(84) bytes of data.
64 bytes from 192.168.10.2: icmp_seq=1 ttl=64 time=0.277 ms
64 bytes from 192.168.10.2: icmp_seq=2 ttl=64 time=0.288 ms
64 bytes from 192.168.10.2: icmp_seq=3 ttl=64 time=0.265 ms
64 bytes from 192.168.10.2: icmp_seq=4 ttl=64 time=0.264 ms
64 bytes from 192.168.10.2: icmp_seq=5 ttl=64 time=0.366 ms

15. Bereinigen

Löschen Sie in Cloud Shell die Komponenten der Anleitung.

gcloud compute instances delete bear --zone=us-central1-a --quiet

gcloud compute instances delete lion --zone=us-central1-a --quiet

gcloud compute instances delete tiger --zone=us-central1-a --quiet

gcloud compute instances delete cosmo --zone=us-central1-a --quiet

gcloud compute network-attachments delete psc-network-attachment --region=us-central1 --quiet

gcloud compute firewall-rules delete allow-ingress allow-limited-egress-to-lion deny-all-egress ssh-iap-consumer ssh-iap-producer vm-subnet-allow-ingress --quiet

gcloud compute networks subnets delete cosmo-subnet-1 intf-subnet lion-subnet-1 prod-subnet tiger-subnet-1 --region=us-central1 --quiet

gcloud compute routers delete cloud-router-for-nat --region=us-central1 --quiet 

gcloud compute networks delete consumer-vpc --quiet

gcloud compute networks delete producer-vpc --quiet

16. Glückwunsch

Glückwunsch! Sie haben eine Private Service Connect-Schnittstelle sowie Nutzer- und Producer-Konnektivität erfolgreich konfiguriert und validiert. Dafür haben Sie Firewallregeln implementiert.

Sie haben die Consumer-Infrastruktur erstellt und einen Netzwerkanhang hinzugefügt, mit dem der Producer eine Multi-NIC-VM erstellen konnte, um die Nutzer- und Producer-Kommunikation zu verbinden. Sie haben gelernt, wie Sie im Nutzer-VPC-Netzwerk Firewallregeln erstellen, die Verbindungen zu den Instanzen in der Nutzer- und Producer-VPC zulassen.

Cosmopup findet die Anleitungen super!

Was liegt als Nächstes an?

Sehen Sie sich einige dieser Anleitungen an...

• Private Service Connect zum Veröffentlichen und Nutzen von Diensten mit GKE verwenden
• Private Service Connect zum Veröffentlichen und Nutzen von Diensten verwenden
• Mit Private Service Connect und einem internen TCP-Proxy-Load-Balancer über ein Hybridnetzwerk eine Verbindung zu lokalen Diensten herstellen

Weitere Informationen und Videos

• Private Service Connect – Übersicht
• Was ist Private Service Connect?
• Unterstützte Load-Balancer-Typen

Referenzdokumente

• Übersicht über den internen HTTP(S)-Load-Balancer
• Systemdiagnosen – Übersicht
• So veröffentlichen Sie einen Dienst mit Private Service Connect
• Private Service Connect – automatisches DNS