1. מבוא
ממשק Private Service Connect הוא משאב שמאפשר לרשת ענן וירטואלי פרטי (VPC) של מפיק ליזום חיבורים ליעדים שונים ברשת VPC לצרכנים. הרשתות של יצרני התוכן והצרכנים יכולות להיות חלק מפרויקטים ומארגונים שונים.
אם קובץ מצורף לרשת מקבל חיבור מממשק של Private Service Connect, Google Cloud מקצה לממשק כתובת IP מרשת משנה לצרכנים שמצוינת בקובץ המצורף לרשת. הרשתות של הצרכנים והפלטפורמות של המפיקה מחוברות, והן יכולות לתקשר באמצעות כתובות IP פנימיות.
חיבור בין קובץ מצורף לרשת לבין ממשק Private Service Connect דומה לחיבור בין נקודת קצה של Private Service Connect לקובץ מצורף של שירות, אבל יש לו שני הבדלים עיקריים:
- קובץ מצורף לרשת מאפשר לרשת של היצרן ליזום חיבורים לרשת של צרכנים (תעבורת נתונים יוצאת (egress) של שירות מנוהל), בעוד שנקודת קצה מאפשרת לרשת של לקוח ליצור חיבורים לרשת של הבעלים (תעבורת נתונים נכנסת (ingress) של שירות מנוהל).
- חיבור של ממשק Private Service Connect הוא טרנזיטיבי. המשמעות היא שרשת של בעלים יכולה לתקשר עם רשתות אחרות שמחוברות לרשת הצרכנים.
מה תפַתחו
במדריך הזה תלמדו לפתח ארכיטקטורה מקיפה של ממשק Private Service Connect (PSC) שמשתמשת בכללי חומת אש של Cloud כדי לאפשר ולסרב קישוריות מהמפיק למחשוב של הצרכן, כפי שמתואר באיור 1.
איור 1
יוצרים קובץ psc-network-attachment יחיד ב-VPC לצרכן, וכתוצאה מכך נוצרים תרחישים לדוגמה הבאים:
- יצירת כלל חומת אש ב-Cloud כדי לאפשר גישה מדוב לאיה
- יצירת כלל של חומת אש ב-Cloud לדחיית הגישה מדוב לטיגריס
- יצירת כלל חומת אש ב-Cloud כדי לאפשר גישה מ-cosmo לשאת
מה תלמדו
- איך ליצור קובץ מצורף לרשת
- איך מפיק יכול להשתמש בקובץ מצורף לרשת כדי ליצור ממשק PSC
- איך ליצור את התקשורת בין היצרן לצרכן
- איך מאפשרים גישה מהמכונה הווירטואלית של היצרן (דובאי) למכונה הווירטואלית לצרכנים (אריה)
- איך לחסום את הגישה מהמכונה הווירטואלית של היצרן (דובאי) למכונה הווירטואלית לצרכנים (טיגריס)
- איך מאפשרים גישה מהמכונה הווירטואלית לצרכנים (cosmo) למכונה הווירטואלית של היצרן (דובאי)
מה צריך להכין
- פרויקט ב-Google Cloud
- הרשאות IAM
- אדמין רשת של Compute (roles/compute.networkAdmin)
- אדמין מכונות של Compute (roles/compute.instanceAdmin)
- אדמין Security של Compute (roles/compute.securityAdmin)
2. לפני שמתחילים
צריך לעדכן את הפרויקט כך שיתמוך במדריך הזה
המדריך הזה משתמש ב-$variables כדי לעזור בהטמעת ההגדרות של gcloud ב-Cloud Shell.
Inside Cloud Shell מבצעים את הפעולות הבאות:
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid
3. הגדרת הצרכן
יצירת ה-VPC לצרכנים
Inside Cloud Shell מבצעים את הפעולות הבאות:
gcloud compute networks create consumer-vpc --project=$projectid --subnet-mode=custom
יצירת רשתות המשנה לצרכנים
Inside Cloud Shell מבצעים את הפעולות הבאות:
gcloud compute networks subnets create lion-subnet-1 --project=$projectid --range=192.168.20.0/28 --network=consumer-vpc --region=us-central1
Inside Cloud Shell מבצעים את הפעולות הבאות:
gcloud compute networks subnets create tiger-subnet-1 --project=$projectid --range=192.168.30.0/28 --network=consumer-vpc --region=us-central1
Inside Cloud Shell מבצעים את הפעולות הבאות:
gcloud compute networks subnets create cosmo-subnet-1 --project=$projectid --range=192.168.40.0/28 --network=consumer-vpc --region=us-central1
יצירת תת-רשת של קבצים מצורפים מסוג Private Service Connect
Inside Cloud Shell מבצעים את הפעולות הבאות:
gcloud compute networks subnets create intf-subnet --project=$projectid --range=192.168.10.0/28 --network=consumer-vpc --region=us-central1
הגדרת Cloud Router ו-NAT
נעשה שימוש ב-Cloud NAT במדריך להתקנת חבילת תוכנה כי למכונה הווירטואלית אין כתובת IP ציבורית. Cloud NAT מאפשר למכונות וירטואליות עם כתובות IP פרטיות לגשת לאינטרנט.
יוצרים את הנתב Cloud Shell בתוך Cloud Shell.
gcloud compute routers create cloud-router-for-nat --network consumer-vpc --region us-central1
יוצרים את שער NAT בתוך Cloud Shell.
gcloud compute routers nats create cloud-nat-us-central1 --router=cloud-router-for-nat --auto-allocate-nat-external-ips --nat-all-subnet-ip-ranges --region us-central1
4. הפעלת IAP
כדי לאפשר ל-IAP להתחבר למכונות הווירטואליות, יוצרים כלל של חומת אש:
- המדיניות חלה על כל מכונות וירטואליות שרוצים לגשת אליהן באמצעות IAP.
- תעבורת נתונים נכנסת (ingress) מטווח ה-IP 35.235.240.0/20. הטווח הזה מכיל את כל כתובות ה-IP שמשמשות להעברת TCP באמצעות IAP.
בתוך Cloud Shell, יוצרים את כלל חומת האש IAP.
gcloud compute firewall-rules create ssh-iap-consumer \
--network consumer-vpc \
--allow tcp:22 \
--source-ranges=35.235.240.0/20
5. יצירת מכונות וירטואליות לצרכנים
Inside Cloud Shell, יוצרים מכונת vm לצרכנים, lion.
gcloud compute instances create lion \
--project=$projectid \
--machine-type=e2-micro \
--image-family debian-11 \
--no-address \
--image-project debian-cloud \
--zone us-central1-a \
--subnet=lion-subnet-1 \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install tcpdump
sudo apt-get install apache2 -y
sudo service apache2 restart
echo 'Welcome to the lion app server !!' | tee /var/www/html/index.html
EOF"
בתוך Cloud Shell, יוצרים מכונת vm לצרכנים, tiger.
gcloud compute instances create tiger \
--project=$projectid \
--machine-type=e2-micro \
--image-family debian-11 \
--no-address \
--image-project debian-cloud \
--zone us-central1-a \
--subnet=tiger-subnet-1 \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install tcpdump
sudo apt-get install apache2 -y
sudo service apache2 restart
echo 'Welcome to the tiger app server !!' | tee /var/www/html/index.html
EOF"
Inside Cloud Shell, יוצרים cosmo, מכונת vm לצרכנים.
gcloud compute instances create cosmo \
--project=$projectid \
--machine-type=e2-micro \
--image-family debian-11 \
--no-address \
--image-project debian-cloud \
--zone us-central1-a \
--subnet=cosmo-subnet-1 \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install tcpdump
sudo apt-get install apache2 -y
sudo service apache2 restart
echo 'Welcome to the cosmo app server !!' | tee /var/www/html/index.html
EOF"
משיגים ומאחסנים את כתובות ה-IP של המכונות:
Inside Cloud Shell, מתארים את המכונות הווירטואליות של האריה והטיגריס.
gcloud compute instances describe lion --zone=us-central1-a | grep networkIP:
gcloud compute instances describe tiger --zone=us-central1-a | grep networkIP:
gcloud compute instances describe cosmo --zone=us-central1-a | grep networkIP:
6. קובץ מצורף לרשת של שירות פרטי
קבצים מצורפים לרשת הם משאבים אזוריים שמייצגים את הצד הצרכן של ממשק Private Service Connect. אתם משייכים רשת משנה יחידה לקובץ מצורף לרשת, והמפיק מקצה כתובות IP לממשק Private Service Connect מאותה רשת משנה. רשת המשנה חייבת להיות באותו אזור שבו נמצא הקובץ המצורף לרשת. קובץ מצורף של רשת חייב להיות באותו אזור שבו נמצא השירות של היצרן.
יצירת הקובץ המצורף לרשת
Inside Cloud Shell יוצרים את קובץ הרשת המצורף.
gcloud compute network-attachments create psc-network-attachment \
--region=us-central1 \
--connection-preference=ACCEPT_MANUAL \
--producer-accept-list=$projectid \
--subnets=intf-subnet
הצגת רשימת הקבצים המצורפים לרשת
בתוך Cloud Shell, מציגים את רשימת הקבצים המצורפים של הרשת.
gcloud compute network-attachments list
תיאור הקבצים המצורפים לרשת
בתוך Cloud Shell, מתארים את הקובץ המצורף של הרשת.
gcloud compute network-attachments describe psc-network-attachment --region=us-central1
יש לשים לב ל-URI psc-network-attachment שיהיה בשימוש על ידי המפיק במהלך יצירת ממשק החיבור לשירות פרטי. דוגמה:
user@cloudshell$ gcloud compute network-attachments describe psc-network-attachment --region=us-central1
connectionPreference: ACCEPT_MANUAL
creationTimestamp: '2023-06-06T20:57:12.623-07:00'
fingerprint: 4Yq6xAfaRO0=
id: '3235195049527328503'
kind: compute#networkAttachment
name: psc-network-attachment
network: https://www.googleapis.com/compute/v1/projects/$projectid/global/networks/consumer-vpc
producerAcceptLists:
- $projectid
region: https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1
selfLink: https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/networkAttachments/psc-network-attachment
subnetworks:
- https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/subnetworks/intf-subnet
7. הגדרה של הכלי להפקת חדשות
יצירת רשת ה-VPC המופקת
Inside Cloud Shell מבצעים את הפעולות הבאות:
gcloud compute networks create producer-vpc --project=$projectid --subnet-mode=custom
יצירת רשתות המשנה של המפיק
בתוך Cloud Shell, יוצרים את רשת המשנה שמשמשת את vNIC0 של ממשק ה-psc.
gcloud compute networks subnets create prod-subnet --project=$projectid --range=10.20.1.0/28 --network=producer-vpc --region=us-central1
8. הפעלת IAP
כדי לאפשר ל-IAP להתחבר למכונות הווירטואליות, יוצרים כלל של חומת אש:
- המדיניות חלה על כל מכונות וירטואליות שרוצים לגשת אליהן באמצעות IAP.
- תעבורת נתונים נכנסת (ingress) מטווח ה-IP 35.235.240.0/20. הטווח הזה מכיל את כל כתובות ה-IP שמשמשות להעברת TCP באמצעות IAP.
בתוך Cloud Shell, יוצרים את כלל חומת האש IAP.
gcloud compute firewall-rules create ssh-iap-producer \
--network producer-vpc \
--allow tcp:22 \
--source-ranges=35.235.240.0/20
9. יצירת הממשק Private Service Connect
ממשק Private Service Connect הוא משאב שמאפשר לרשת ענן וירטואלי פרטי (VPC) של מפיק ליזום חיבורים ליעדים שונים ברשת VPC לצרכנים. הרשתות של יצרני התוכן והצרכנים יכולות להיות חלק מפרויקטים ומארגונים שונים.
אם קובץ מצורף לרשת מקבל חיבור מממשק של Private Service Connect, Google Cloud מקצה לממשק כתובת IP מרשת משנה לצרכנים שמצוינת בקובץ המצורף לרשת. הרשתות של הצרכנים והפלטפורמות של המפיקה מחוברות, והן יכולות לתקשר באמצעות כתובות IP פנימיות.
בתוך Cloud Shell, יוצרים את הממשק של Private Service Connect (דובים) ומכניסים את ה-psc-network-attachment URI שצוין קודם לכן מהקובץ המצורף לרשת, שמתארים את הפלט.
gcloud compute instances create bear --zone us-central1-a --machine-type=f1-micro --can-ip-forward --network-interface subnet=prod-subnet,network=producer-vpc,no-address --network-interface network-attachment=https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/networkAttachments/psc-network-attachment
אימות Multi-nic
בדיקה שממשק PSC מוגדר עם כתובת ה-IP המתאימה. vNIC0 תשתמש בתת-רשת המוצרים של היצרן (10.20.1.0/28) ו-vNIC1 תשתמש ב-intf-subnet לצרכנים (192.168.10.0/28).
gcloud compute instances describe bear --zone=us-central1-a | grep networkIP:
דוגמה:
user$ gcloud compute instances describe bear --zone=us-central1-a | grep networkIP:
networkIP: 10.20.1.2
networkIP: 192.168.10.2
10. עדכון של כללי חומת האש לצרכנים
יצירת כלל של חומת אש ב-Cloud כדי לאפשר גישה מדוב לאיה
ב-Cloud Shell, יוצרים כלל עם עדיפות גבוהה יותר שמאפשר תעבורת נתונים יוצאת (egress) מטווח כתובות ה-IP של attachment-subnet (intf-subnet) ליעדים בטווח הכתובות lion-subnet-1.
gcloud compute firewall-rules create allow-limited-egress-to-lion \
--network=consumer-vpc \
--action=ALLOW \
--rules=ALL \
--direction=EGRESS \
--priority=1000 \
--source-ranges="192.168.10.0/28" \
--destination-ranges="192.168.20.0/28" \
--enable-logging
ב-Cloud Shell, יוצרים כלל הרשאה של תעבורת נתונים נכנסת (ingress) שמבטל את כלל הדחייה המשתמע של תעבורת נתונים נכנסת (ingress) עבור תעבורת נתונים מרשת משנה מסוג psc-network-attachment.
gcloud compute firewall-rules create allow-ingress \
--network=consumer-vpc \
--action=ALLOW \
--rules=ALL \
--direction=INGRESS \
--priority=1000 \
--source-ranges="192.168.10.0/28" \
--enable-logging
יצירת כלל של חומת אש ב-Cloud לדחיית הגישה מהדוב לכל הטווחים (כולל טיגריס)
ב-Cloud Shell, יוצרים כלל בעדיפות נמוכה שידחה את כל תעבורת הנתונים היוצאת (egress) מטווח כתובות ה-IP של רשת המשנה intf-subnet של הקובץ המצורף לרשת.
gcloud compute firewall-rules create deny-all-egress \
--network=consumer-vpc \
--action=DENY \
--rules=ALL \
--direction=EGRESS \
--priority=65534 \
--source-ranges="192.168.10.0/28" \
--destination-ranges="0.0.0.0/0" \
--enable-logging
יצירת כלל של חומת אש ב-Cloud כדי לאפשר גישה מ-cosmo נושא
ב-Cloud Shell, יוצרים כלל הרשאה של תעבורת נתונים נכנסת (ingress) שמבטל את כלל הדחייה המשתמע של תעבורת נתונים נכנסת (ingress) עבור תעבורת נתונים מרשת משנה מסוג psc-network-attachment.
gcloud compute firewall-rules create vm-subnet-allow-ingress \
--network=consumer-vpc \
--action=ALLOW \
--rules=ALL \
--direction=INGRESS \
--priority=1000 \
--source-ranges="192.168.40.0/28" \
--destination-ranges="192.168.10.0/28" \
--enable-logging
11. יצירת נתיבים של Linux לממשק PSC
ממכונת ממשק PSC, מגדירים נתיבי linux כדי לאפשר תקשורת של היצרן לרשתות המשנה של הצרכן.
איך מוצאים את השם של מערכת ההפעלה כאורח בממשק של Private Service Connect
כדי להגדיר ניתוב, צריך לדעת מה שם ה-OS כאורח בממשק של Private Service Connect, והוא שונה משם הממשק ב-Google Cloud.
פותחים כרטיסייה חדשה ב-Inside Cloud Shell ומבצעים את הפעולות הבאות:
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid
מתחברים ל-vm של ממשק psc, לדובים באמצעות IAP ב-Cloud Shell.
gcloud compute ssh bear --project=$projectid --zone=us-central1-a --tunnel-through-iap
ב-Cloud Shell, מקבלים את כתובת ה-IP של מכונת ה-psc-interface
ip a
דוגמה:
user@bear:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc pfifo_fast state UP group default qlen 1000
link/ether 42:01:0a:14:01:02 brd ff:ff:ff:ff:ff:ff
altname enp0s4
inet 10.20.1.2/32 brd 10.20.1.2 scope global dynamic ens4
valid_lft 85991sec preferred_lft 85991sec
inet6 fe80::4001:aff:fe14:102/64 scope link
valid_lft forever preferred_lft forever
3: ens5: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc pfifo_fast state UP group default qlen 1000
link/ether 42:01:c0:a8:0a:02 brd ff:ff:ff:ff:ff:ff
altname enp0s5
inet 192.168.10.2/32 brd 192.168.10.2 scope global dynamic ens5
valid_lft 85991sec preferred_lft 85991sec
inet6 fe80::4001:c0ff:fea8:a02/64 scope link
valid_lft forever preferred_lft forever
איך מוצאים את כתובת ה-IP של השער של ממשק ה-PSC
ברשימה של ממשקי הרשתות, מאתרים ומאחסנים את שם הממשק שמשויך לכתובת ה-IP של ממשק Private Service Connect. לדוגמה, ens5 (vNIC1)
כדי להגדיר ניתוב, צריך לדעת מה כתובת ה-IP של שער ברירת המחדל של ממשק Private Service Connect.
ב-Cloud Shell נשתמש בערך 1 כי ממשק PSC משויך ל-vNIC1.
curl http://metadata.google.internal/computeMetadata/v1/instance/network-interfaces/1/gateway -H "Metadata-Flavor: Google" && echo
הדוגמה יוצרת את ברירת המחדל של gw 192.168.10.1
user@bear:~$ curl http://metadata.google.internal/computeMetadata/v1/instance/network-interfaces/1/gateway -H "Metadata-Flavor: Google" && echo
192.168.10.1
הוספת מסלולים לרשתות משנה לצרכנים
צריך להוסיף נתיב לשער ברירת המחדל של ממשק Private Service Connect עבור כל רשת משנה לצרכנים שמתחברת לממשק Private Service Connect. כך ניתן להבטיח שהתנועה עוברת לתעבורת נתונים יוצאת (egresss) ברשת לצרכנים מהממשק של Private Service Connect.
במקרה של דוב, הוסיפו את המסלולים לרשתות המשנה לצרכנים.
sudo ip route add 192.168.20.0/28 via 192.168.10.1 dev ens5
sudo ip route add 192.168.30.0/28 via 192.168.10.1 dev ens5
sudo ip route add 192.168.40.0/28 via 192.168.10.1 dev ens5
אימות טבלת המסלולים
מאמתים את המסלולים החדשים שנוספו ב-Cloud Shell.
ip route show
דוגמה:
user@bear:~$ ip route show
default via 10.20.1.1 dev ens4
10.20.1.0/28 via 10.20.1.1 dev ens4
10.20.1.1 dev ens4 scope link
192.168.10.0/28 via 192.168.10.1 dev ens5
192.168.10.1 dev ens5 scope link
192.168.20.0/28 via 192.168.10.1 dev ens5
192.168.30.0/28 via 192.168.10.1 dev ens5
192.168.40.0/28 via 192.168.10.1 dev ens5
12. אימות הקישוריות המוצלחת של דוב לאריה
בואו נוודא שמכונת ה-VM של היצרן, דוב, יכולה לתקשר עם המכונה של הצרכן, אריה, על ידי ביצוע curl.
במופע של הדוב, מבצעים curl על כתובת ה-IP של האריה שזוהתה קודם לכן במדריך מהמכונה של הדוב.
curl -v <lions IP Address>
דוגמה:
user@bear:~$ curl -v 192.168.20.2
* Trying 192.168.20.2:80...
* Connected to 192.168.20.2 (192.168.20.2) port 80 (#0)
> GET / HTTP/1.1
> Host: 192.168.20.2
> User-Agent: curl/7.74.0
> Accept: */*
>
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< Date: Tue, 06 Jun 2023 03:53:08 GMT
< Server: Apache/2.4.56 (Debian)
< Last-Modified: Mon, 05 Jun 2023 19:41:26 GMT
< ETag: "1e-5fd6716a1e11b"
< Accept-Ranges: bytes
< Content-Length: 30
< Content-Type: text/html
<
Welcome to lion app server !!
* Connection #0 to host 192.168.20.2 left intact
13. אימות הקישוריות 'דוב לטיגריס' חסומה
בואו נוודא שכלל חומת האש של תעבורת הנתונים היוצאת (egress) חוסם את הגישה מדוב לטיגריס על ידי צפייה ביומני חומת האש.
מסשן חדש במסוף Cloud, עוברים ל-Logging ← Logs Explorer ← בוחרים באפשרות 'הצגת השאילתה'.
מדביקים את מחרוזת השאילתה שלמטה בשדה החיפוש ובוחרים באפשרות stream.
jsonPayload.rule_details.reference="network:consumer-vpc/firewall:deny-all-egress"
מהמופע של הדוב, מבצעים curl על כתובת ה-IP של הטגריס שזוהתה קודם לכן במדריך מהמכונה של הדוב. בסופו של דבר ה-Curl עבר את הזמן הקצוב.
curl -v <tiger's IP Address>
דוגמה:
user@bear:~$ curl -v 192.168.30.2
* Trying 192.168.30.2:80...
* connect to 192.168.30.2 port 80 failed: Connection timed out
* Failed to connect to 192.168.30.2 port 80: Connection timed out
* Closing connection 0
curl: (28) Failed to connect to 192.168.30.2 port 80: Connection timed out
מוודאים ש-Log Explorer תיעד יומני חומת אש שנדחו. צריך לבחור רשומה ביומן ולהרחיב את השדות שהוצבו כדי לצפות במטא-נתונים.
14. אימות הקישוריות 'קוסמו לדוב' בוצע בהצלחה
פותחים כרטיסייה חדשה ב-Cloud Shell ומעדכנים את הגדרות הפרויקט.
Inside Cloud Shell מבצעים את הפעולות הבאות:
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid
מתחברים למכונת ה-cosmo באמצעות IAP ב-Cloud Shell.
gcloud compute ssh cosmo --project=$projectid --zone=us-central1-a --tunnel-through-iap
ב-Cloud Shell מבצעים פינג מול כתובת ה-IP vNIV1 של הדוב שזוהתה קודם לכן במדריך
ping <bears vNIC1 IP Address>
דוגמה:
user@cosmo:~$ ping 192.168.10.2 -c 5
PING 192.168.10.2 (192.168.10.2) 56(84) bytes of data.
64 bytes from 192.168.10.2: icmp_seq=1 ttl=64 time=0.277 ms
64 bytes from 192.168.10.2: icmp_seq=2 ttl=64 time=0.288 ms
64 bytes from 192.168.10.2: icmp_seq=3 ttl=64 time=0.265 ms
64 bytes from 192.168.10.2: icmp_seq=4 ttl=64 time=0.264 ms
64 bytes from 192.168.10.2: icmp_seq=5 ttl=64 time=0.366 ms
15. הסרת המשאבים
מוחקים את רכיבי המדריך מ-Cloud Shell.
gcloud compute instances delete bear --zone=us-central1-a --quiet
gcloud compute instances delete lion --zone=us-central1-a --quiet
gcloud compute instances delete tiger --zone=us-central1-a --quiet
gcloud compute instances delete cosmo --zone=us-central1-a --quiet
gcloud compute network-attachments delete psc-network-attachment --region=us-central1 --quiet
gcloud compute firewall-rules delete allow-ingress allow-limited-egress-to-lion deny-all-egress ssh-iap-consumer ssh-iap-producer vm-subnet-allow-ingress --quiet
gcloud compute networks subnets delete cosmo-subnet-1 intf-subnet lion-subnet-1 prod-subnet tiger-subnet-1 --region=us-central1 --quiet
gcloud compute routers delete cloud-router-for-nat --region=us-central1 --quiet
gcloud compute networks delete consumer-vpc --quiet
gcloud compute networks delete producer-vpc --quiet
16. מזל טוב
מזל טוב, הגדרת בהצלחה ואימתת ממשק Private Service Connect Interface וקישוריות לקוח ומפיק על ידי הטמעת כללי חומת אש.
יצרתם את התשתית לצרכן, והוספתם קובץ מצורף לרשת שאפשר ליצרן ליצור VM רב-מצבי כדי לגשר בין התקשורת לצרכנים לבין נציגי הייצור. למדתם איך ליצור כללים של חומת אש ברשת ה-VPC לצרכנים, שאפשרו קישוריות למכונות ב-VPC הצרכן והיצרן.
ב-Cosmopup שלנו חושבים שמדריכים הם מדהימים!
מה השלב הבא?
מעיינים בכמה מהמדריכים האלה...
- שימוש ב-Private Service Connect כדי לפרסם ולצרוך שירותים באמצעות GKE
- שימוש ב-Private Service Connect כדי לפרסם ולצרוך שירותים
- התחברות לשירותים מקומיים באמצעות Networking היברידי באמצעות Private Service Connect ומאזן עומסים פנימי של TCP Proxy