1. מבוא
ממשק Private Service Connect הוא משאב שמאפשר לרשת של ענן וירטואלי פרטי (VPC) של בעל שירות ליזום חיבורים ליעדים שונים ברשת VPC של צרכן. רשתות של יצרנים וצרכנים יכולות להיות בפרויקטים ובארגונים שונים.
אם קובץ מצורף עם הרשת מקבל חיבור מממשק Private Service Connect, מערכת Google Cloud מקצה לממשק כתובת IP מרשת משנה של צרכן שצוינה על ידי הקובץ המצורף עם הרשת. הרשתות של הצרכנים והיצרנים מחוברות ויכולות לתקשר באמצעות כתובות IP פנימיות.
חיבור בין קובץ מצורף עם הרשת לבין ממשק Private Service Connect דומה לחיבור בין נקודת קצה של Private Service Connect לבין קובץ מצורף עם שירות, אבל יש שני הבדלים עיקריים:
- צירוף רשת מאפשר לרשת של ספק ליזום חיבורים לרשת של צרכן (תעבורת נתונים יוצאת (egress) של שירות מנוהל), ואילו נקודת קצה (endpoint) מאפשרת לרשת של צרכן ליזום חיבורים לרשת של ספק (תעבורת נתונים נכנסת (ingress) של שירות מנוהל).
- חיבור ממשק Private Service Connect הוא טרנזיטיבי. המשמעות היא שרשת יצרן יכולה לתקשר עם רשתות אחרות שמחוברות לרשת הצרכן.
מה תפַתחו
במדריך הזה תבנו ארכיטקטורה מקיפה של ממשק Private Service Connect (PSC) שמשתמשת בכללי Cloud Firewall כדי לאפשר ולחסום קישוריות מהספק למשאבי המחשוב של הצרכן, כמו שמוצג באיור 1.
איור 1
תיצרו קובץ יחיד של psc-network-attachment ב-VPC של הצרכן, וכתוצאה מכך יתקבלו תרחישי השימוש הבאים:
- יצירת כלל חומת אש ב-Cloud Firewall כדי לאפשר גישה מ-bear ל-lion
- יצירת כלל חומת אש בענן שדוחה גישה מ-bear אל tiger
- יצירת כלל חומת אש ב-Cloud Firewall כדי לאפשר גישה מ-cosmo אל bear
מה תלמדו
- איך יוצרים קובץ מצורף לרשת
- איך מפיק יכול להשתמש בקובץ מצורף לרשת כדי ליצור ממשק PSC
- איך יוצרים תקשורת מהספק לצרכן
- איך מאפשרים גישה ממכונת ה-VM של היצרן (bear) למכונת ה-VM של הצרכן (lion)
- איך חוסמים גישה מהמכונה הווירטואלית של היצרן (bear) למכונה הווירטואלית של הצרכן (tiger)
- איך מאפשרים גישה ממכונת ה-VM של הצרכן (cosmo) למכונת ה-VM של היצרן (bear)
מה תצטרכו
- פרויקט ב-Google Cloud
- הרשאות IAM
- אדמין של רשת מחשוב (roles/compute.networkAdmin)
- אדמין מכונות של Compute (roles/compute.instanceAdmin)
- אדמין לענייני אבטחה ב-Compute (roles/compute.securityAdmin)
2. לפני שמתחילים
עדכון הפרויקט כדי לתמוך במדריך
במדריך הזה נעשה שימוש ב-$variables כדי לעזור בהטמעה של הגדרות gcloud ב-Cloud Shell.
ב-Cloud Shell, מבצעים את הפעולות הבאות:
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid
3. הגדרת צרכן
יצירת VPC של צרכן
ב-Cloud Shell, מבצעים את הפעולות הבאות:
gcloud compute networks create consumer-vpc --project=$projectid --subnet-mode=custom
יצירת רשתות משנה לצרכנים
ב-Cloud Shell, מבצעים את הפעולות הבאות:
gcloud compute networks subnets create lion-subnet-1 --project=$projectid --range=192.168.20.0/28 --network=consumer-vpc --region=us-central1
ב-Cloud Shell, מבצעים את הפעולות הבאות:
gcloud compute networks subnets create tiger-subnet-1 --project=$projectid --range=192.168.30.0/28 --network=consumer-vpc --region=us-central1
ב-Cloud Shell, מבצעים את הפעולות הבאות:
gcloud compute networks subnets create cosmo-subnet-1 --project=$projectid --range=192.168.40.0/28 --network=consumer-vpc --region=us-central1
יצירת תת-רשת של צירוף רשת של Private Service Connect
ב-Cloud Shell, מבצעים את הפעולות הבאות:
gcloud compute networks subnets create intf-subnet --project=$projectid --range=192.168.10.0/28 --network=consumer-vpc --region=us-central1
הגדרת Cloud Router ו-NAT
במדריך הזה נעשה שימוש ב-Cloud NAT להתקנת חבילת תוכנה, כי למכונה הווירטואלית אין כתובת IP ציבורית. שירות Cloud NAT מאפשר למכונות וירטואליות עם כתובות IP פרטיות לגשת לאינטרנט.
ב-Cloud Shell, יוצרים את Cloud Router.
gcloud compute routers create cloud-router-for-nat --network consumer-vpc --region us-central1
ב-Cloud Shell, יוצרים את שער ה-NAT.
gcloud compute routers nats create cloud-nat-us-central1 --router=cloud-router-for-nat --auto-allocate-nat-external-ips --nat-all-subnet-ip-ranges --region us-central1
4. הפעלת רכישות מתוך האפליקציה
כדי לאפשר ל-IAP להתחבר למכונות הווירטואליות, צריך ליצור כלל חומת אש ש:
- רלוונטי לכל מכונות ה-VM שרוצים לגשת אליהן באמצעות IAP.
- מאפשר תעבורת נתונים נכנסת (ingress) מטווח כתובות ה-IP 35.235.240.0/20. הטווח הזה מכיל את כל כתובות ה-IP שמשמשות את IAP להעברת TCP.
ב-Cloud Shell, יוצרים את הכלל בחומת האש של IAP.
gcloud compute firewall-rules create ssh-iap-consumer \
--network consumer-vpc \
--allow tcp:22 \
--source-ranges=35.235.240.0/20
5. יצירת מכונות וירטואליות לצרכנים
ב-Cloud Shell, יוצרים את מופע המכונה הווירטואלית של הלקוח, lion.
gcloud compute instances create lion \
--project=$projectid \
--machine-type=e2-micro \
--image-family debian-11 \
--no-address \
--image-project debian-cloud \
--zone us-central1-a \
--subnet=lion-subnet-1 \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install tcpdump
sudo apt-get install apache2 -y
sudo service apache2 restart
echo 'Welcome to the lion app server !!' | tee /var/www/html/index.html
EOF"
בתוך Cloud Shell, יוצרים את מופע המכונה הווירטואלית של הצרכן, tiger.
gcloud compute instances create tiger \
--project=$projectid \
--machine-type=e2-micro \
--image-family debian-11 \
--no-address \
--image-project debian-cloud \
--zone us-central1-a \
--subnet=tiger-subnet-1 \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install tcpdump
sudo apt-get install apache2 -y
sudo service apache2 restart
echo 'Welcome to the tiger app server !!' | tee /var/www/html/index.html
EOF"
ב-Cloud Shell, יוצרים את מופע המכונה הווירטואלית של הצרכן, cosmo.
gcloud compute instances create cosmo \
--project=$projectid \
--machine-type=e2-micro \
--image-family debian-11 \
--no-address \
--image-project debian-cloud \
--zone us-central1-a \
--subnet=cosmo-subnet-1 \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install tcpdump
sudo apt-get install apache2 -y
sudo service apache2 restart
echo 'Welcome to the cosmo app server !!' | tee /var/www/html/index.html
EOF"
משיגים ושומרים את כתובות ה-IP של המופעים:
ב-Cloud Shell, מריצים פקודת describe על מכונות וירטואליות של אריות ונמרים.
gcloud compute instances describe lion --zone=us-central1-a | grep networkIP:
gcloud compute instances describe tiger --zone=us-central1-a | grep networkIP:
gcloud compute instances describe cosmo --zone=us-central1-a | grep networkIP:
6. קובץ מצורף עם הרשת של Private Service Connect
קבצים מצורפים עם הרשת הם משאבים אזוריים שמייצגים את הצד של הצרכן בממשק Private Service Connect. משייכים תת-רשת אחת לקובץ מצורף לרשת, והבעלים של השירות המנוהל מקצה כתובות IP לממשק Private Service Connect מתוך תת-הרשת הזו. רשת המשנה צריכה להיות באותו אזור שבו נמצאת ההצמדה לרשת. קובץ מצורף לרשת חייב להיות באותו אזור כמו שירות היצרן.
יצירת קובץ מצורף לרשת
ב-Cloud Shell, יוצרים את קובץ הרשת המצורף.
gcloud compute network-attachments create psc-network-attachment \
--region=us-central1 \
--connection-preference=ACCEPT_MANUAL \
--producer-accept-list=$projectid \
--subnets=intf-subnet
הצגת הקבצים המצורפים לרשת
ב-Cloud Shell, מציגים את רשימת קבצים מצורפים לרשת.
gcloud compute network-attachments list
תיאור של הקבצים המצורפים לרשת
ב-Cloud Shell, מתארים את קובץ הרשת המצורף.
gcloud compute network-attachments describe psc-network-attachment --region=us-central1
חשוב לשים לב ל-URI של psc-network-attachment שבו ישתמש הבעלים של השירות המנוהל כשהוא ייצור את הממשק של Private Service Connect. דוגמה:
user@cloudshell$ gcloud compute network-attachments describe psc-network-attachment --region=us-central1
connectionPreference: ACCEPT_MANUAL
creationTimestamp: '2023-06-06T20:57:12.623-07:00'
fingerprint: 4Yq6xAfaRO0=
id: '3235195049527328503'
kind: compute#networkAttachment
name: psc-network-attachment
network: https://www.googleapis.com/compute/v1/projects/$projectid/global/networks/consumer-vpc
producerAcceptLists:
- $projectid
region: https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1
selfLink: https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/networkAttachments/psc-network-attachment
subnetworks:
- https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/subnetworks/intf-subnet
7. הגדרת Producer
יצירת רשת VPC של ספק
ב-Cloud Shell, מבצעים את הפעולות הבאות:
gcloud compute networks create producer-vpc --project=$projectid --subnet-mode=custom
יצירת רשתות משנה של המפיק
בתוך Cloud Shell, יוצרים את תת-הרשת שמשמשת ל-vNIC0 של ממשק ה-PSC.
gcloud compute networks subnets create prod-subnet --project=$projectid --range=10.20.1.0/28 --network=producer-vpc --region=us-central1
8. הפעלת רכישות מתוך האפליקציה
כדי לאפשר ל-IAP להתחבר למכונות הווירטואליות, צריך ליצור כלל חומת אש ש:
- רלוונטי לכל מכונות ה-VM שרוצים לגשת אליהן באמצעות IAP.
- מאפשר תעבורת נתונים נכנסת (ingress) מטווח כתובות ה-IP 35.235.240.0/20. הטווח הזה מכיל את כל כתובות ה-IP שמשמשות את IAP להעברת TCP.
ב-Cloud Shell, יוצרים את הכלל בחומת האש של IAP.
gcloud compute firewall-rules create ssh-iap-producer \
--network producer-vpc \
--allow tcp:22 \
--source-ranges=35.235.240.0/20
9. יצירת ממשק Private Service Connect
ממשק Private Service Connect הוא משאב שמאפשר לרשת של ענן וירטואלי פרטי (VPC) של בעל שירות ליזום חיבורים ליעדים שונים ברשת VPC של צרכן. רשתות של יצרנים וצרכנים יכולות להיות בפרויקטים ובארגונים שונים.
אם קובץ מצורף עם הרשת מקבל חיבור מממשק Private Service Connect, מערכת Google Cloud מקצה לממשק כתובת IP מרשת משנה של צרכן שצוינה על ידי הקובץ המצורף עם הרשת. הרשתות של הצרכנים והיצרנים מחוברות ויכולות לתקשר באמצעות כתובות IP פנימיות.
ב-Cloud Shell, יוצרים את הממשק של Private Service Connect (bear) ומזינים את מזהה ה-URI של קובץ מצורף עם הרשת של PSC שזוהה קודם מתוך הפלט של תיאור קובץ מצורף עם הרשת.
gcloud compute instances create bear --zone us-central1-a --machine-type=f1-micro --can-ip-forward --network-interface subnet=prod-subnet,network=producer-vpc,no-address --network-interface network-attachment=https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/networkAttachments/psc-network-attachment
אימות של כמה כרטיסי רשת
מוודאים שממשק ה-PSC מוגדר עם כתובת ה-IP המתאימה. vNIC0 ישתמש בתת-הרשת של היצרן prod-subnet (10.20.1.0/28) ו-vNIC1 ישתמש בתת-הרשת של הצרכן intf-subnet (192.168.10.0/28).
gcloud compute instances describe bear --zone=us-central1-a | grep networkIP:
דוגמה:
user$ gcloud compute instances describe bear --zone=us-central1-a | grep networkIP:
networkIP: 10.20.1.2
networkIP: 192.168.10.2
10. עדכון כללים לחומת אש לצרכנים
יצירת כלל חומת אש ב-Cloud Firewall כדי לאפשר גישה מ-bear ל-lion
ב-Cloud Shell, יוצרים כלל עם עדיפות גבוהה יותר שמאפשר יציאה מטווח כתובות ה-IP של attachment-subnet (intf-subnet) ליעדים בטווח הכתובות של lion-subnet-1.
gcloud compute firewall-rules create allow-limited-egress-to-lion \
--network=consumer-vpc \
--action=ALLOW \
--rules=ALL \
--direction=EGRESS \
--priority=1000 \
--source-ranges="192.168.10.0/28" \
--destination-ranges="192.168.20.0/28" \
--enable-logging
ב-Cloud Shell, יוצרים כלל תעבורת נתונים נכנסת (ingress) שמאפשר תעבורת נתונים, ומבטל את כלל תעבורת הנתונים הנכנסת (ingress) שמוגדר כברירת מחדל לחסימת תעבורת נתונים מתת-הרשת psc-network-attachment.
gcloud compute firewall-rules create allow-ingress \
--network=consumer-vpc \
--action=ALLOW \
--rules=ALL \
--direction=INGRESS \
--priority=1000 \
--source-ranges="192.168.10.0/28" \
--enable-logging
יצירת כלל חומת אש של Cloud Firewall שחוסם את הגישה מ-bear לכל הטווחים (כולל tiger)
ב-Cloud Shell, יוצרים כלל בעדיפות נמוכה שחוסם את כל תעבורת היציאה מטווח כתובות ה-IP של רשת המשנה של קובץ הרשת המצורף, intf-subnet.
gcloud compute firewall-rules create deny-all-egress \
--network=consumer-vpc \
--action=DENY \
--rules=ALL \
--direction=EGRESS \
--priority=65534 \
--source-ranges="192.168.10.0/28" \
--destination-ranges="0.0.0.0/0" \
--enable-logging
יצירת כלל חומת אש ב-Cloud Firewall כדי לאפשר גישה מ-cosmo אל bear
ב-Cloud Shell, יוצרים כלל תעבורת נתונים נכנסת (ingress) שמאפשר תעבורת נתונים, ומבטל את כלל תעבורת הנתונים הנכנסת (ingress) שמוגדר כברירת מחדל לחסימת תעבורת נתונים מתת-הרשת psc-network-attachment.
gcloud compute firewall-rules create vm-subnet-allow-ingress \
--network=consumer-vpc \
--action=ALLOW \
--rules=ALL \
--direction=INGRESS \
--priority=1000 \
--source-ranges="192.168.40.0/28" \
--destination-ranges="192.168.10.0/28" \
--enable-logging
11. יצירת מסלולי לינוקס לממשק PSC
ממופע ממשק ה-PSC, מגדירים מסלולי לינוקס כדי לאפשר תקשורת בין רשתות המשנה של היצרן לבין רשתות המשנה של הצרכן.
איך מאתרים את שם מערכת ההפעלה של האורח בממשק Private Service Connect
כדי להגדיר ניתוב, צריך לדעת את שם מערכת ההפעלה של האורח בממשק Private Service Connect, שהוא שונה מהשם של הממשק ב-Google Cloud.
ב-Cloud Shell, פותחים כרטיסייה חדשה ומבצעים את הפעולות הבאות:
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid
מתחברים ל-VM של ממשק psc, bear, באמצעות IAP ב-Cloud Shell.
gcloud compute ssh bear --project=$projectid --zone=us-central1-a --tunnel-through-iap
ב-Cloud Shell, מקבלים את כתובת ה-IP של מכונת psc-interface.
ip a
דוגמה:
user@bear:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc pfifo_fast state UP group default qlen 1000
link/ether 42:01:0a:14:01:02 brd ff:ff:ff:ff:ff:ff
altname enp0s4
inet 10.20.1.2/32 brd 10.20.1.2 scope global dynamic ens4
valid_lft 85991sec preferred_lft 85991sec
inet6 fe80::4001:aff:fe14:102/64 scope link
valid_lft forever preferred_lft forever
3: ens5: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc pfifo_fast state UP group default qlen 1000
link/ether 42:01:c0:a8:0a:02 brd ff:ff:ff:ff:ff:ff
altname enp0s5
inet 192.168.10.2/32 brd 192.168.10.2 scope global dynamic ens5
valid_lft 85991sec preferred_lft 85991sec
inet6 fe80::4001:c0ff:fea8:a02/64 scope link
valid_lft forever preferred_lft forever
איתור כתובת ה-IP של השער של ממשק ה-PSC
ברשימת ממשקי הרשת, מוצאים את שם הממשק שמשויך לכתובת ה-IP של ממשק Private Service Connect ושומרים אותו – לדוגמה, ens5 (vNIC1).
כדי להגדיר ניתוב, צריך לדעת את כתובת ה-IP של שער ברירת המחדל של הממשק של Private Service Connect
ב-Cloud Shell נשתמש ב-1 כי ממשק ה-PSC משויך ל-vNIC1.
curl http://metadata.google.internal/computeMetadata/v1/instance/network-interfaces/1/gateway -H "Metadata-Flavor: Google" && echo
הדוגמה יוצרת את שער ברירת המחדל 192.168.10.1
user@bear:~$ curl http://metadata.google.internal/computeMetadata/v1/instance/network-interfaces/1/gateway -H "Metadata-Flavor: Google" && echo
192.168.10.1
הוספת נתיבים לתת-רשתות של צרכנים
צריך להוסיף נתיב לשער ברירת המחדל של ממשק Private Service Connect לכל רשת משנה של צרכן שמתחברת לממשק Private Service Connect. כך מוודאים שתעבורת נתונים שמיועדת לרשת הצרכנים יוצאת מממשק Private Service Connect.
במופע של ה-bear, מוסיפים את המסלולים לרשתות המשנה של הצרכן.
sudo ip route add 192.168.20.0/28 via 192.168.10.1 dev ens5
sudo ip route add 192.168.30.0/28 via 192.168.10.1 dev ens5
sudo ip route add 192.168.40.0/28 via 192.168.10.1 dev ens5
אימות של טבלת ניתוב
ב-Cloud Shell, מאמתים את המסלולים החדשים שהוספתם.
ip route show
דוגמה:
user@bear:~$ ip route show
default via 10.20.1.1 dev ens4
10.20.1.0/28 via 10.20.1.1 dev ens4
10.20.1.1 dev ens4 scope link
192.168.10.0/28 via 192.168.10.1 dev ens5
192.168.10.1 dev ens5 scope link
192.168.20.0/28 via 192.168.10.1 dev ens5
192.168.30.0/28 via 192.168.10.1 dev ens5
192.168.40.0/28 via 192.168.10.1 dev ens5
12. אימות של קישוריות מוצלחת בין דוב לאריה
כדי לוודא שמופע ה-VM של היצרן, bear, יכול לתקשר עם מופע הצרכן, lion, מבצעים curl.
מהמכונה bear, מריצים פקודת curl נגד כתובת ה-IP של lion שזוהתה קודם במדריך מהמכונה bear.
curl -v <lions IP Address>
דוגמה:
user@bear:~$ curl -v 192.168.20.2
* Trying 192.168.20.2:80...
* Connected to 192.168.20.2 (192.168.20.2) port 80 (#0)
> GET / HTTP/1.1
> Host: 192.168.20.2
> User-Agent: curl/7.74.0
> Accept: */*
>
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< Date: Tue, 06 Jun 2023 03:53:08 GMT
< Server: Apache/2.4.56 (Debian)
< Last-Modified: Mon, 05 Jun 2023 19:41:26 GMT
< ETag: "1e-5fd6716a1e11b"
< Accept-Ranges: bytes
< Content-Length: 30
< Content-Type: text/html
<
Welcome to lion app server !!
* Connection #0 to host 192.168.20.2 left intact
13. בדיקה שהחיבור בין bear ל-tiger חסום
כדי לוודא שכלל חומת האש ליציאה חוסם את הגישה מ-bear ל-tiger, נצפה ביומני חומת האש.
מתוך סשן חדש במסוף Cloud, עוברים אל Logging (רישום ביומן) → Logs Explorer (כלי לבדיקת יומנים) → Select Show query (בחירה באפשרות הצגת השאילתה)
מדביקים את מחרוזת השאילתה שבהמשך בשדה החיפוש ובוחרים באפשרות stream.
jsonPayload.rule_details.reference="network:consumer-vpc/firewall:deny-all-egress"
ממכונת ה-bear, מריצים פקודת curl מול כתובת ה-IP של tiger שזוהתה קודם במדריך ממכונת ה-bear. בסופו של דבר, יפוג הזמן הקצוב לתהליך curl.
curl -v <tiger's IP Address>
דוגמה:
user@bear:~$ curl -v 192.168.30.2
* Trying 192.168.30.2:80...
* connect to 192.168.30.2 port 80 failed: Connection timed out
* Failed to connect to 192.168.30.2 port 80: Connection timed out
* Closing connection 0
curl: (28) Failed to connect to 192.168.30.2 port 80: Connection timed out
מוודאים שיומני חומת האש שנדחו נרשמו ב-Log Explorer. בוחרים רשומה ביומן ומרחיבים שדות מקוננים כדי לראות את המטא-נתונים.
14. אימות החיבור בין Cosmo ל-Bear
פותחים כרטיסייה חדשה ב-Cloud Shell ומעדכנים את הגדרות הפרויקט.
ב-Cloud Shell, מבצעים את הפעולות הבאות:
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid
מתחברים למופע של cosmo באמצעות IAP ב-Cloud Shell.
gcloud compute ssh cosmo --project=$projectid --zone=us-central1-a --tunnel-through-iap
ב-Cloud Shell, מבצעים פינג לכתובת ה-IP של bear vNIV1 שזוהתה קודם במדריך
ping <bears vNIC1 IP Address>
דוגמה:
user@cosmo:~$ ping 192.168.10.2 -c 5
PING 192.168.10.2 (192.168.10.2) 56(84) bytes of data.
64 bytes from 192.168.10.2: icmp_seq=1 ttl=64 time=0.277 ms
64 bytes from 192.168.10.2: icmp_seq=2 ttl=64 time=0.288 ms
64 bytes from 192.168.10.2: icmp_seq=3 ttl=64 time=0.265 ms
64 bytes from 192.168.10.2: icmp_seq=4 ttl=64 time=0.264 ms
64 bytes from 192.168.10.2: icmp_seq=5 ttl=64 time=0.366 ms
15. הסרת המשאבים
ב-Cloud Shell, מוחקים את רכיבי ההדרכה.
gcloud compute instances delete bear --zone=us-central1-a --quiet
gcloud compute instances delete lion --zone=us-central1-a --quiet
gcloud compute instances delete tiger --zone=us-central1-a --quiet
gcloud compute instances delete cosmo --zone=us-central1-a --quiet
gcloud compute network-attachments delete psc-network-attachment --region=us-central1 --quiet
gcloud compute firewall-rules delete allow-ingress allow-limited-egress-to-lion deny-all-egress ssh-iap-consumer ssh-iap-producer vm-subnet-allow-ingress --quiet
gcloud compute networks subnets delete cosmo-subnet-1 intf-subnet lion-subnet-1 prod-subnet tiger-subnet-1 --region=us-central1 --quiet
gcloud compute routers delete cloud-router-for-nat --region=us-central1 --quiet
gcloud compute networks delete consumer-vpc --quiet
gcloud compute networks delete producer-vpc --quiet
16. מזל טוב
נהדר, הגדרתם ואימתתם בהצלחה ממשק Private Service Connect וקישוריות של צרכן ובעלים של שירות מנוהל באמצעות הטמעה של כללים של חומת אש.
יצרתם את התשתית של הצרכן והוספתם קובץ מצורף לרשת שמאפשר ליצרן ליצור מכונת VM עם כמה כרטיסי NIC כדי לגשר על התקשורת בין הצרכן ליצרן. למדתם איך ליצור כללי חומת אש ברשת ה-VPC של הצרכן, שמאפשרים קישוריות למופעים ב-VPC של הצרכן וב-VPC של היצרן.
Cosmopup חושב שסרטוני הדרכה הם מדהימים!!
מה השלב הבא?
כדאי לצפות בסרטוני ההדרכה האלה…
- שימוש ב-Private Service Connect לפרסום ולצריכה של שירותים ב-GKE
- שימוש ב-Private Service Connect לפרסום ולצריכה של שירותים
- התחברות לשירותים מקומיים דרך רשת היברידית באמצעות Private Service Connect ומאזן עומסים פנימי של TCP Proxy