رابط اتصال سرویس خصوصی

۱. مقدمه

رابط اتصال سرویس خصوصی منبعی است که به یک شبکه ابر خصوصی مجازی (VPC) تولیدکننده اجازه می‌دهد تا اتصالاتی را به مقاصد مختلف در یک شبکه VPC مصرف‌کننده آغاز کند. شبکه‌های تولیدکننده و مصرف‌کننده می‌توانند در پروژه‌ها و سازمان‌های مختلف باشند.

اگر یک اتصال شبکه، اتصالی را از رابط Private Service Connect بپذیرد، Google Cloud یک آدرس IP از زیرشبکه مصرف‌کننده که توسط اتصال شبکه مشخص شده است، به رابط اختصاص می‌دهد. شبکه‌های مصرف‌کننده و تولیدکننده به هم متصل هستند و می‌توانند با استفاده از آدرس‌های IP داخلی ارتباط برقرار کنند.

اتصال بین یک اتصال شبکه و یک رابط Private Service Connect مشابه اتصال بین یک نقطه پایانی Private Service Connect و یک اتصال سرویس است، اما دو تفاوت کلیدی دارد:

• یک اتصال شبکه به شبکه تولیدکننده اجازه می‌دهد تا اتصالاتی را به شبکه مصرف‌کننده آغاز کند (خروجی سرویس مدیریت‌شده)، در حالی که یک نقطه پایانی به شبکه مصرف‌کننده اجازه می‌دهد تا اتصالاتی را به شبکه تولیدکننده آغاز کند (ورودی سرویس مدیریت‌شده).
• اتصال رابط Private Service Connect از نوع انتقالی است. این بدان معناست که یک شبکه تولیدکننده می‌تواند با شبکه‌های دیگری که به شبکه مصرف‌کننده متصل هستند، ارتباط برقرار کند.

آنچه خواهید ساخت

در این آموزش، شما قصد دارید یک معماری جامع رابط کاربری Private Service Connect (PSC) بسازید که از قوانین فایروال ابری برای اجازه دادن و رد کردن اتصال از تولیدکننده به رایانه مصرف‌کننده، همانطور که در شکل 1 نشان داده شده است، استفاده می‌کند.

شکل ۱

شما یک psc-network-attachment واحد در VPC مصرف‌کننده ایجاد خواهید کرد که منجر به موارد استفاده زیر می‌شود:

1. یک قانون فایروال ابری ایجاد کنید تا دسترسی از خرس به شیر امکان‌پذیر باشد
2. یک قانون فایروال ابری ایجاد کنید که دسترسی از خرس به ببر را مسدود کند
3. یک قانون فایروال ابری ایجاد کنید تا دسترسی از cosmo به bear امکان‌پذیر باشد.

آنچه یاد خواهید گرفت

• نحوه ایجاد پیوست شبکه
• چگونه یک تولیدکننده می‌تواند از یک اتصال شبکه برای ایجاد رابط PSC استفاده کند
• نحوه برقراری ارتباط از تولیدکننده به مصرف کننده
• نحوه‌ی دسترسی از ماشین مجازی تولیدکننده (bear) به ماشین مجازی مصرف‌کننده (lion)
• نحوه مسدود کردن دسترسی از ماشین مجازی تولیدکننده (bear) به ماشین مجازی مصرف‌کننده (tiger)
• نحوه‌ی دسترسی از ماشین مجازی مصرف‌کننده (cosmo) به ماشین مجازی تولیدکننده (bear)

آنچه نیاز دارید

• پروژه ابری گوگل
• مجوزهای IAM
• مدیر شبکه محاسباتی (roles/compute.networkAdmin)
• مدیر نمونه محاسباتی (roles/compute.instanceAdmin)
• مدیر امنیت محاسبات (roles/compute.securityAdmin)

۲. قبل از شروع

پروژه را برای پشتیبانی از آموزش به‌روزرسانی کنید

این آموزش از متغیرها (variables) برای کمک به پیاده‌سازی پیکربندی gcloud در Cloud Shell استفاده می‌کند.

درون Cloud Shell، موارد زیر را انجام دهید:

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid

۳. تنظیمات مصرف‌کننده

ایجاد VPC مصرف‌کننده

درون Cloud Shell، موارد زیر را انجام دهید:

gcloud compute networks create consumer-vpc --project=$projectid --subnet-mode=custom

زیرشبکه‌های مصرف‌کننده را ایجاد کنید

درون Cloud Shell، موارد زیر را انجام دهید:

gcloud compute networks subnets create lion-subnet-1 --project=$projectid --range=192.168.20.0/28 --network=consumer-vpc --region=us-central1

درون Cloud Shell، موارد زیر را انجام دهید:

gcloud compute networks subnets create tiger-subnet-1 --project=$projectid --range=192.168.30.0/28 --network=consumer-vpc --region=us-central1

درون Cloud Shell، موارد زیر را انجام دهید:

gcloud compute networks subnets create cosmo-subnet-1 --project=$projectid --range=192.168.40.0/28 --network=consumer-vpc --region=us-central1

زیرشبکه اتصال شبکه خصوصی (Private Service Connect Network Attachment subnet) را ایجاد کنید.

درون Cloud Shell، موارد زیر را انجام دهید:

gcloud compute networks subnets create intf-subnet --project=$projectid --range=192.168.10.0/28 --network=consumer-vpc --region=us-central1

پیکربندی روتر ابری و NAT

در آموزش نصب بسته نرم‌افزاری، از Cloud NAT استفاده شده است، زیرا ماشین مجازی آدرس IP عمومی ندارد. Cloud NAT به ماشین‌های مجازی با آدرس‌های IP خصوصی امکان دسترسی به اینترنت را می‌دهد.

درون Cloud Shell، روتر ابری را ایجاد کنید.

gcloud compute routers create cloud-router-for-nat --network consumer-vpc --region us-central1

درون Cloud Shell، دروازه NAT را ایجاد کنید.

gcloud compute routers nats create cloud-nat-us-central1 --router=cloud-router-for-nat --auto-allocate-nat-external-ips --nat-all-subnet-ip-ranges --region us-central1

۴. فعال کردن پرداخت درون برنامه‌ای (IAP)

برای اینکه به IAP اجازه دهید به ماشین‌های مجازی شما متصل شود، یک قانون فایروال ایجاد کنید که:

• برای تمام نمونه‌های ماشین مجازی که می‌خواهید با استفاده از IAP به آنها دسترسی داشته باشید، اعمال می‌شود.
• اجازه ورود ترافیک از محدوده IP 35.235.240.0/20 را می‌دهد. این محدوده شامل تمام آدرس‌های IP است که IAP برای ارسال TCP استفاده می‌کند.

در داخل Cloud Shell، قانون فایروال IAP را ایجاد کنید.

gcloud compute firewall-rules create ssh-iap-consumer \
    --network consumer-vpc \
    --allow tcp:22 \
    --source-ranges=35.235.240.0/20

۵. ایجاد نمونه‌های ماشین مجازی مصرف‌کننده

درون Cloud Shell، نمونه ماشین مجازی مصرف‌کننده، یعنی lion، را ایجاد کنید.

gcloud compute instances create lion \
    --project=$projectid \
    --machine-type=e2-micro \
    --image-family debian-11 \
    --no-address \
    --image-project debian-cloud \
    --zone us-central1-a \
    --subnet=lion-subnet-1 \
    --metadata startup-script="#! /bin/bash
      sudo apt-get update
      sudo apt-get install tcpdump
      sudo apt-get install apache2 -y
      sudo service apache2 restart
      echo 'Welcome to the lion app server !!' | tee /var/www/html/index.html
      EOF"

درون Cloud Shell، نمونه ماشین مجازی مصرف‌کننده، یعنی tiger، را ایجاد کنید.

gcloud compute instances create tiger \
    --project=$projectid \
    --machine-type=e2-micro \
    --image-family debian-11 \
    --no-address \
    --image-project debian-cloud \
    --zone us-central1-a \
    --subnet=tiger-subnet-1 \
    --metadata startup-script="#! /bin/bash
      sudo apt-get update
      sudo apt-get install tcpdump
      sudo apt-get install apache2 -y
      sudo service apache2 restart
      echo 'Welcome to the tiger app server !!' | tee /var/www/html/index.html
      EOF"

درون Cloud Shell، نمونه ماشین مجازی مصرف‌کننده، cosmo، را ایجاد کنید.

gcloud compute instances create cosmo \
    --project=$projectid \
    --machine-type=e2-micro \
    --image-family debian-11 \
    --no-address \
    --image-project debian-cloud \
    --zone us-central1-a \
    --subnet=cosmo-subnet-1 \
    --metadata startup-script="#! /bin/bash
      sudo apt-get update
      sudo apt-get install tcpdump
      sudo apt-get install apache2 -y
      sudo service apache2 restart
      echo 'Welcome to the cosmo app server !!' | tee /var/www/html/index.html
      EOF"

آدرس‌های IP نمونه‌ها را دریافت و ذخیره کنید:

درون Cloud Shell، یک توصیف روی نمونه‌های ماشین مجازی lion و tiger انجام دهید.

gcloud compute instances describe lion --zone=us-central1-a | grep  networkIP:

gcloud compute instances describe tiger --zone=us-central1-a | grep  networkIP:

gcloud compute instances describe cosmo --zone=us-central1-a | grep  networkIP:

۶. اتصال شبکه سرویس خصوصی

پیوست‌های شبکه، منابع منطقه‌ای هستند که نمایانگر سمت مصرف‌کننده‌ی یک رابط Private Service Connect می‌باشند. شما یک زیرشبکه‌ی واحد را با یک پیوست شبکه مرتبط می‌کنید و تولیدکننده، IPها را از آن زیرشبکه به رابط Private Service Connect اختصاص می‌دهد. زیرشبکه باید در همان منطقه‌ی پیوست شبکه باشد. یک پیوست شبکه باید در همان منطقه‌ی سرویس تولیدکننده باشد.

پیوست شبکه را ایجاد کنید

درون Cloud Shell، پیوست شبکه را ایجاد کنید.

gcloud compute network-attachments create psc-network-attachment \
    --region=us-central1 \
    --connection-preference=ACCEPT_MANUAL \
    --producer-accept-list=$projectid \
    --subnets=intf-subnet

فهرست کردن پیوست‌های شبکه

درون Cloud Shell، پیوست شبکه را فهرست کنید.

gcloud compute network-attachments list

پیوست‌های شبکه را شرح دهید

درون Cloud Shell، پیوست شبکه را شرح دهید.

gcloud compute network-attachments describe psc-network-attachment --region=us-central1

به آدرس اینترنتی psc-network-attachment که توسط تولیدکننده هنگام ایجاد رابط اتصال سرویس خصوصی استفاده خواهد شد، توجه کنید. مثال زیر:

user@cloudshell$ gcloud compute network-attachments describe psc-network-attachment --region=us-central1 
connectionPreference: ACCEPT_MANUAL
creationTimestamp: '2023-06-06T20:57:12.623-07:00'
fingerprint: 4Yq6xAfaRO0=
id: '3235195049527328503'
kind: compute#networkAttachment
name: psc-network-attachment
network: https://www.googleapis.com/compute/v1/projects/$projectid/global/networks/consumer-vpc
producerAcceptLists:
- $projectid
region: https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1
selfLink: https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/networkAttachments/psc-network-attachment
subnetworks:
- https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/subnetworks/intf-subnet

۷. تنظیمات تولیدکننده

ایجاد شبکه VPC تولیدکننده

درون Cloud Shell، موارد زیر را انجام دهید:

gcloud compute networks create producer-vpc --project=$projectid --subnet-mode=custom

زیرشبکه‌های تولیدکننده را ایجاد کنید

درون Cloud Shell، زیرشبکه‌ای که برای vNIC0 رابط psc استفاده می‌شود را ایجاد کنید.

gcloud compute networks subnets create prod-subnet --project=$projectid --range=10.20.1.0/28 --network=producer-vpc --region=us-central1

۸. فعال کردن پرداخت درون برنامه‌ای (IAP)

برای اینکه به IAP اجازه دهید به ماشین‌های مجازی شما متصل شود، یک قانون فایروال ایجاد کنید که:

• برای تمام نمونه‌های ماشین مجازی که می‌خواهید با استفاده از IAP به آنها دسترسی داشته باشید، اعمال می‌شود.
• اجازه ورود ترافیک از محدوده IP 35.235.240.0/20 را می‌دهد. این محدوده شامل تمام آدرس‌های IP است که IAP برای ارسال TCP استفاده می‌کند.

در داخل Cloud Shell، قانون فایروال IAP را ایجاد کنید.

gcloud compute firewall-rules create ssh-iap-producer \
    --network producer-vpc \
    --allow tcp:22 \
    --source-ranges=35.235.240.0/20

۹. ایجاد رابط اتصال سرویس خصوصی

رابط اتصال سرویس خصوصی منبعی است که به یک شبکه ابر خصوصی مجازی (VPC) تولیدکننده اجازه می‌دهد تا اتصالاتی را به مقاصد مختلف در یک شبکه VPC مصرف‌کننده آغاز کند. شبکه‌های تولیدکننده و مصرف‌کننده می‌توانند در پروژه‌ها و سازمان‌های مختلف باشند.

اگر یک اتصال شبکه، اتصالی را از رابط Private Service Connect بپذیرد، Google Cloud یک آدرس IP از زیرشبکه مصرف‌کننده که توسط اتصال شبکه مشخص شده است، به رابط اختصاص می‌دهد. شبکه‌های مصرف‌کننده و تولیدکننده به هم متصل هستند و می‌توانند با استفاده از آدرس‌های IP داخلی ارتباط برقرار کنند.

درون Cloud Shell، رابط Private Service Connect (bear) را ایجاد کنید و UR I مربوط به psc-network-attachment که قبلاً از خروجی توضیحات پیوست شبکه شناسایی شده بود را وارد کنید.

gcloud compute instances create bear --zone us-central1-a --machine-type=f1-micro --can-ip-forward --network-interface subnet=prod-subnet,network=producer-vpc,no-address --network-interface network-attachment=https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/networkAttachments/psc-network-attachment

اعتبارسنجی چند نیک

تأیید کنید که رابط PSC با آدرس IP مناسب پیکربندی شده است. vNIC0 از زیرشبکه تولیدکننده (10.20.1.0/28) و vNIC1 از زیرشبکه مصرف‌کننده intf (192.168.10.0/28) استفاده خواهد کرد.

gcloud compute instances describe bear --zone=us-central1-a | grep networkIP:

مثال:

user$ gcloud compute instances describe bear --zone=us-central1-a | grep networkIP:
  networkIP: 10.20.1.2
  networkIP: 192.168.10.2

۱۰. قوانین فایروال مصرف‌کننده را به‌روزرسانی کنید

یک قانون فایروال ابری ایجاد کنید تا دسترسی از خرس به شیر امکان‌پذیر باشد

در cloud Shell، یک قانون با اولویت بالاتر ایجاد کنید که امکان خروج از محدوده آدرس IP مربوط به attachment-subnet (intf-subnet) به مقاصدی در محدوده آدرس lion-subnet-1 را فراهم کند.

gcloud compute firewall-rules create allow-limited-egress-to-lion \
    --network=consumer-vpc \
    --action=ALLOW \
    --rules=ALL \
    --direction=EGRESS \
    --priority=1000 \
    --source-ranges="192.168.10.0/28" \
    --destination-ranges="192.168.20.0/28" \
    --enable-logging

در cloud Shell، یک قانون اجازه ورود ایجاد کنید که قانون ضمنی عدم ورود را برای ترافیک از زیرشبکه psc-network-attachment لغو کند.

gcloud compute firewall-rules create allow-ingress \
--network=consumer-vpc \
--action=ALLOW \
--rules=ALL \
--direction=INGRESS \
--priority=1000 \
--source-ranges="192.168.10.0/28" \
--enable-logging

یک قانون فایروال ابری ایجاد کنید که دسترسی از bear به تمام محدوده‌ها (شامل tiger) را مسدود کند.

در cloud Shell، یک قانون با اولویت پایین ایجاد کنید که تمام ترافیک خروجی از محدوده آدرس IP زیرشبکه پیوست شبکه، intf-subnet، را مسدود کند.

gcloud compute firewall-rules create deny-all-egress \
    --network=consumer-vpc \
    --action=DENY \
    --rules=ALL \
    --direction=EGRESS \
    --priority=65534 \
    --source-ranges="192.168.10.0/28" \
    --destination-ranges="0.0.0.0/0" \
    --enable-logging

یک قانون فایروال ابری ایجاد کنید تا دسترسی از cosmo به bear امکان‌پذیر باشد.

در cloud Shell، یک قانون اجازه ورود ایجاد کنید که قانون ضمنی عدم ورود را برای ترافیک از زیرشبکه psc-network-attachment لغو کند.

gcloud compute firewall-rules create vm-subnet-allow-ingress \
    --network=consumer-vpc \
    --action=ALLOW \
    --rules=ALL \
    --direction=INGRESS \
    --priority=1000 \
    --source-ranges="192.168.40.0/28" \
    --destination-ranges="192.168.10.0/28" \
    --enable-logging

۱۱. ایجاد مسیرهای لینوکس برای رابط PSC

از نمونه رابط PSC، مسیرهای لینوکس را پیکربندی کنید تا امکان ارتباط تولیدکننده با زیرشبکه‌های مصرف‌کننده فراهم شود.

نام سیستم عامل مهمان رابط Private Service Connect خود را پیدا کنید

برای پیکربندی مسیریابی، باید نام سیستم عامل مهمان رابط Private Service Connect خود را بدانید، که با نام رابط در Google Cloud متفاوت است.

در داخل Cloud Shell یک تب جدید باز کنید و موارد زیر را انجام دهید:

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid

با استفاده از IAP در Cloud Shell، وارد رابط psc ماشین مجازی bear شوید.

gcloud compute ssh bear --project=$projectid --zone=us-central1-a --tunnel-through-iap

در پوسته ابری، آدرس IP نمونه رابط psc را بدست آورید

ip a

مثال:

user@bear:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: ens4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 42:01:0a:14:01:02 brd ff:ff:ff:ff:ff:ff
    altname enp0s4
    inet 10.20.1.2/32 brd 10.20.1.2 scope global dynamic ens4
       valid_lft 85991sec preferred_lft 85991sec
    inet6 fe80::4001:aff:fe14:102/64 scope link 
       valid_lft forever preferred_lft forever
3: ens5: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 42:01:c0:a8:0a:02 brd ff:ff:ff:ff:ff:ff
    altname enp0s5
    inet 192.168.10.2/32 brd 192.168.10.2 scope global dynamic ens5
       valid_lft 85991sec preferred_lft 85991sec
    inet6 fe80::4001:c0ff:fea8:a02/64 scope link 
       valid_lft forever preferred_lft forever

IP دروازه رابط PSC خود را پیدا کنید

در فهرست رابط‌های شبکه، نام رابطی را که با آدرس IP رابط Private Service Connect شما مرتبط است، پیدا کرده و ذخیره کنید - برای مثال، ens5 (vNIC1)

برای پیکربندی مسیریابی، باید آدرس IP دروازه پیش‌فرض رابط Private Service Connect خود را بدانید.

در cloud Shell از عدد ۱ استفاده خواهیم کرد زیرا رابط PSC با vNIC1 مرتبط است.

curl http://metadata.google.internal/computeMetadata/v1/instance/network-interfaces/1/gateway -H "Metadata-Flavor: Google" && echo

مثال، gw پیش‌فرض 192.168.10.1 را تولید می‌کند.

user@bear:~$ curl http://metadata.google.internal/computeMetadata/v1/instance/network-interfaces/1/gateway -H "Metadata-Flavor: Google" && echo
192.168.10.1

اضافه کردن مسیر برای زیرشبکه‌های مصرف‌کننده

شما باید برای هر زیرشبکه مصرف‌کننده که به رابط Private Service Connect شما متصل می‌شود، یک مسیر به دروازه پیش‌فرض رابط Private Service Connect خود اضافه کنید. این کار تضمین می‌کند که ترافیکی که به شبکه مصرف‌کننده محدود شده است، از رابط Private Service Connect خارج می‌شود.

در نمونه bear، مسیرها را به زیرشبکه‌های مصرف‌کننده اضافه کنید.

sudo ip route add 192.168.20.0/28 via 192.168.10.1 dev ens5
sudo ip route add 192.168.30.0/28 via 192.168.10.1 dev ens5
sudo ip route add 192.168.40.0/28 via 192.168.10.1 dev ens5

اعتبارسنجی جدول مسیر

در Cloud Shell، مسیرهای تازه اضافه شده را اعتبارسنجی کنید.

ip route show

مثال.

user@bear:~$ ip route show
default via 10.20.1.1 dev ens4 
10.20.1.0/28 via 10.20.1.1 dev ens4 
10.20.1.1 dev ens4 scope link 
192.168.10.0/28 via 192.168.10.1 dev ens5 
192.168.10.1 dev ens5 scope link 
192.168.20.0/28 via 192.168.10.1 dev ens5 
192.168.30.0/28 via 192.168.10.1 dev ens5 
192.168.40.0/28 via 192.168.10.1 dev ens5 

۱۲. اعتبارسنجی اتصال موفق خرس به شیر

بیایید با انجام یک curl تأیید کنیم که نمونه ماشین مجازی تولیدکننده، bear، می‌تواند با نمونه مصرف‌کننده، lion، ارتباط برقرار کند.

از نمونه bear، یک curl روی آدرس IP lion که قبلاً در آموزش از نمونه bear شناسایی شده است، انجام دهید.

curl -v <lions IP Address>

مثال:

user@bear:~$ curl -v 192.168.20.2
*   Trying 192.168.20.2:80...
* Connected to 192.168.20.2 (192.168.20.2) port 80 (#0)
> GET / HTTP/1.1
> Host: 192.168.20.2
> User-Agent: curl/7.74.0
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< Date: Tue, 06 Jun 2023 03:53:08 GMT
< Server: Apache/2.4.56 (Debian)
< Last-Modified: Mon, 05 Jun 2023 19:41:26 GMT
< ETag: "1e-5fd6716a1e11b"
< Accept-Ranges: bytes
< Content-Length: 30
< Content-Type: text/html
< 
Welcome to lion app server !!
* Connection #0 to host 192.168.20.2 left intact

۱۳. اعتبارسنجی اتصال bear به tiger مسدود شده است.

بیایید با مشاهده گزارش‌های فایروال، تأیید کنیم که قانون فایروال خروجی، دسترسی از bear به tiger را مسدود می‌کند.

از یک جلسه جدید Cloud Console و رفتن به Logging → Logs Explorer → انتخاب Show query

عبارت زیر را در فیلد جستجو وارد کنید و سپس stream را انتخاب کنید.

jsonPayload.rule_details.reference="شبکه:consumer-vpc/firewall:deny-all-egress"

از نمونه bear، یک curl روی آدرس IP tiger که قبلاً در آموزش از نمونه bear شناسایی شده است، انجام دهید. curl در نهایت منقضی می‌شود.

curl -v <tiger's IP Address>

مثال:

user@bear:~$ curl -v 192.168.30.2 
*   Trying 192.168.30.2:80...
* connect to 192.168.30.2 port 80 failed: Connection timed out
* Failed to connect to 192.168.30.2 port 80: Connection timed out
* Closing connection 0
curl: (28) Failed to connect to 192.168.30.2 port 80: Connection timed out

تأیید کنید که Log Explorer، لاگ‌های رد شده‌ی فایروال را ضبط کرده است. یک ورودی لاگ را انتخاب کنید و فیلدهای تو در تو را برای مشاهده‌ی فراداده‌ها باز کنید.

۱۴. اعتبارسنجی اتصال موفقیت‌آمیز cosmo

یک تب جدید Cloud Shell باز کنید و تنظیمات پروژه خود را به‌روزرسانی کنید.

درون Cloud Shell، موارد زیر را انجام دهید:

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid

با استفاده از IAP در Cloud Shell وارد نمونه کازمو شوید.

gcloud compute ssh cosmo --project=$projectid --zone=us-central1-a --tunnel-through-iap

در Cloud Shell، یک پینگ علیه آدرس IP vNIV1 خرس که قبلاً در آموزش مشخص شده است، انجام دهید.

ping <bears vNIC1 IP Address>

مثال:

user@cosmo:~$ ping 192.168.10.2 -c 5
PING 192.168.10.2 (192.168.10.2) 56(84) bytes of data.
64 bytes from 192.168.10.2: icmp_seq=1 ttl=64 time=0.277 ms
64 bytes from 192.168.10.2: icmp_seq=2 ttl=64 time=0.288 ms
64 bytes from 192.168.10.2: icmp_seq=3 ttl=64 time=0.265 ms
64 bytes from 192.168.10.2: icmp_seq=4 ttl=64 time=0.264 ms
64 bytes from 192.168.10.2: icmp_seq=5 ttl=64 time=0.366 ms

۱۵. تمیز کردن

از Cloud Shell، اجزای آموزشی را حذف کنید.

gcloud compute instances delete bear --zone=us-central1-a --quiet

gcloud compute instances delete lion --zone=us-central1-a --quiet

gcloud compute instances delete tiger --zone=us-central1-a --quiet

gcloud compute instances delete cosmo --zone=us-central1-a --quiet

gcloud compute network-attachments delete psc-network-attachment --region=us-central1 --quiet

gcloud compute firewall-rules delete allow-ingress allow-limited-egress-to-lion deny-all-egress ssh-iap-consumer ssh-iap-producer vm-subnet-allow-ingress --quiet

gcloud compute networks subnets delete cosmo-subnet-1 intf-subnet lion-subnet-1 prod-subnet tiger-subnet-1 --region=us-central1 --quiet

gcloud compute routers delete cloud-router-for-nat --region=us-central1 --quiet 

gcloud compute networks delete consumer-vpc --quiet

gcloud compute networks delete producer-vpc --quiet

۱۶. تبریک

تبریک می‌گوییم، شما با موفقیت یک رابط اتصال سرویس خصوصی و اتصال مصرف‌کننده و تولیدکننده را با پیاده‌سازی قوانین فایروال پیکربندی و اعتبارسنجی کردید.

شما زیرساخت مصرف‌کننده را ایجاد کردید و یک پیوست شبکه اضافه کردید که به تولیدکننده اجازه می‌داد یک ماشین مجازی چندکاره برای ایجاد پل ارتباطی بین مصرف‌کننده و تولیدکننده ایجاد کند. یاد گرفتید که چگونه قوانین فایروال را در شبکه VPC مصرف‌کننده ایجاد کنید که امکان اتصال به نمونه‌های موجود در VPC مصرف‌کننده و تولیدکننده را فراهم کند.

کازموپاپ فکر می‌کند آموزش‌ها فوق‌العاده هستند!!

بعدش چی؟

به برخی از این آموزش‌ها نگاهی بیندازید...

• استفاده از Private Service Connect برای انتشار و مصرف سرویس‌ها با GKE
• استفاده از Private Service Connect برای انتشار و مصرف سرویس‌ها
• با استفاده از Private Service Connect و یک متعادل‌کننده بار داخلی TCP Proxy، از طریق شبکه ترکیبی به سرویس‌های On-Premium متصل شوید.

مطالعه بیشتر و ویدیوها

• نمای کلی اتصال سرویس خصوصی
• سرویس خصوصی کانکت چیست؟
• انواع متعادل‌کننده بار پشتیبانی‌شده

اسناد مرجع

• مرور کلی متعادل‌کننده بار HTTP(s) داخلی
• بررسی اجمالی سلامت
• نحوه انتشار یک سرویس با استفاده از Private Service Connect
• اتصال سرویس خصوصی - DNS خودکار