Giao diện kết nối dịch vụ riêng tư

1. Giới thiệu

Giao diện Private Service Connect là một tài nguyên cho phép mạng Đám mây riêng ảo (VPC) của nhà sản xuất bắt đầu kết nối với nhiều đích đến trong mạng VPC của người dùng. Mạng nhà sản xuất và mạng người tiêu dùng có thể nằm trong các dự án và tổ chức khác nhau.

Nếu một tệp đính kèm mạng chấp nhận kết nối từ một giao diện Kết nối dịch vụ riêng tư, thì Google Cloud sẽ phân bổ cho giao diện đó một địa chỉ IP từ mạng con của người dùng do tệp đính kèm mạng chỉ định. Các mạng lưới người tiêu dùng và nhà sản xuất được kết nối và có thể giao tiếp bằng cách sử dụng địa chỉ IP nội bộ.

Mối kết nối giữa một tệp đính kèm mạng và một giao diện Private Service Connect tương tự như mối kết nối giữa một điểm cuối Private Service Connect và một tệp đính kèm dịch vụ, nhưng có 2 điểm khác biệt chính:

• Tệp đính kèm mạng cho phép mạng nhà sản xuất bắt đầu kết nối với mạng người tiêu dùng (đầu ra của dịch vụ được quản lý), trong khi điểm cuối cho phép mạng người tiêu dùng bắt đầu kết nối với mạng nhà sản xuất (đầu vào của dịch vụ được quản lý).
• Kết nối giao diện Private Service Connect là kết nối bắc cầu. Điều này có nghĩa là mạng nhà sản xuất có thể giao tiếp với các mạng khác được kết nối với mạng người tiêu dùng.

Sản phẩm bạn sẽ tạo ra

Trong hướng dẫn này, bạn sẽ xây dựng một cấu trúc Giao diện Private Service Connect (PSC) toàn diện, sử dụng các quy tắc Tường lửa đám mây để cho phép và từ chối kết nối từ nhà sản xuất đến tài nguyên điện toán của người dùng như minh hoạ trong Hình 1.

Hình 1

Bạn sẽ tạo một psc-network-attachment duy nhất trong VPC của người dùng, dẫn đến các trường hợp sử dụng sau:

1. Tạo một quy tắc Cloud Firewall để cho phép truy cập từ bear đến lion
2. Tạo quy tắc Cloud Firewall từ chối quyền truy cập từ bear đến tiger
3. Tạo một quy tắc Cloud Firewall để cho phép truy cập từ cosmo đến bear

Kiến thức bạn sẽ học được

• Cách tạo thiết bị lưu trữ mạng
• Cách nhà sản xuất có thể sử dụng tệp đính kèm mạng để tạo giao diện PSC
• Cách thiết lập thông tin liên lạc từ nhà sản xuất đến người tiêu dùng
• Cách cho phép truy cập từ máy ảo nhà sản xuất (bear) đến máy ảo người tiêu dùng (lion)
• Cách chặn quyền truy cập từ VM nhà sản xuất (bear) đến VM người dùng (tiger)
• Cách cho phép truy cập từ VM người dùng (cosmo) đến VM nhà sản xuất (bear)

Bạn cần có

• Dự án trên Google Cloud
• Quyền IAM
• Quản trị viên mạng máy tính (roles/compute.networkAdmin)
• Quản trị viên thực thể Compute (roles/compute.instanceAdmin)
• Quản trị viên bảo mật điện toán (roles/compute.securityAdmin)

2. Trước khi bắt đầu

Cập nhật dự án để hỗ trợ hướng dẫn

Hướng dẫn này sử dụng $variables để hỗ trợ việc triển khai cấu hình gcloud trong Cloud Shell.

Trong Cloud Shell, hãy thực hiện các bước sau:

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid

3. Thiết lập người tiêu dùng

Tạo VPC người tiêu dùng

Trong Cloud Shell, hãy thực hiện các bước sau:

gcloud compute networks create consumer-vpc --project=$projectid --subnet-mode=custom

Tạo mạng con của người tiêu dùng

Trong Cloud Shell, hãy thực hiện các bước sau:

gcloud compute networks subnets create lion-subnet-1 --project=$projectid --range=192.168.20.0/28 --network=consumer-vpc --region=us-central1

Trong Cloud Shell, hãy thực hiện các bước sau:

gcloud compute networks subnets create tiger-subnet-1 --project=$projectid --range=192.168.30.0/28 --network=consumer-vpc --region=us-central1

Trong Cloud Shell, hãy thực hiện các bước sau:

gcloud compute networks subnets create cosmo-subnet-1 --project=$projectid --range=192.168.40.0/28 --network=consumer-vpc --region=us-central1

Tạo mạng con Đính kèm mạng Kết nối dịch vụ riêng tư

Trong Cloud Shell, hãy thực hiện các bước sau:

gcloud compute networks subnets create intf-subnet --project=$projectid --range=192.168.10.0/28 --network=consumer-vpc --region=us-central1

Cấu hình Cloud Router và NAT

Cloud NAT được dùng trong hướng dẫn cài đặt gói phần mềm vì thực thể VM không có địa chỉ IP công khai. Cloud NAT cho phép các VM có địa chỉ IP riêng tư truy cập vào Internet.

Trong Cloud Shell, hãy tạo bộ định tuyến đám mây.

gcloud compute routers create cloud-router-for-nat --network consumer-vpc --region us-central1

Trong Cloud Shell, hãy tạo cổng NAT.

gcloud compute routers nats create cloud-nat-us-central1 --router=cloud-router-for-nat --auto-allocate-nat-external-ips --nat-all-subnet-ip-ranges --region us-central1

4. Bật IAP

Để cho phép IAP kết nối với các phiên bản máy ảo, hãy tạo một quy tắc tường lửa có:

• Áp dụng cho tất cả các phiên bản máy ảo mà bạn muốn có thể truy cập bằng IAP.
• Cho phép lưu lượng truy cập vào từ dải IP 35.235.240.0/20. Dải này chứa tất cả địa chỉ IP mà IAP sử dụng để chuyển tiếp TCP.

Trong Cloud Shell, hãy tạo quy tắc tường lửa IAP.

gcloud compute firewall-rules create ssh-iap-consumer \
    --network consumer-vpc \
    --allow tcp:22 \
    --source-ranges=35.235.240.0/20

5. Tạo phiên bản máy ảo cho người tiêu dùng

Trong Cloud Shell, hãy tạo thực thể vm người dùng, lion.

gcloud compute instances create lion \
    --project=$projectid \
    --machine-type=e2-micro \
    --image-family debian-11 \
    --no-address \
    --image-project debian-cloud \
    --zone us-central1-a \
    --subnet=lion-subnet-1 \
    --metadata startup-script="#! /bin/bash
      sudo apt-get update
      sudo apt-get install tcpdump
      sudo apt-get install apache2 -y
      sudo service apache2 restart
      echo 'Welcome to the lion app server !!' | tee /var/www/html/index.html
      EOF"

Trong Cloud Shell, hãy tạo thực thể máy ảo người dùng, tiger.

gcloud compute instances create tiger \
    --project=$projectid \
    --machine-type=e2-micro \
    --image-family debian-11 \
    --no-address \
    --image-project debian-cloud \
    --zone us-central1-a \
    --subnet=tiger-subnet-1 \
    --metadata startup-script="#! /bin/bash
      sudo apt-get update
      sudo apt-get install tcpdump
      sudo apt-get install apache2 -y
      sudo service apache2 restart
      echo 'Welcome to the tiger app server !!' | tee /var/www/html/index.html
      EOF"

Trong Cloud Shell, hãy tạo thực thể vm người dùng, cosmo.

gcloud compute instances create cosmo \
    --project=$projectid \
    --machine-type=e2-micro \
    --image-family debian-11 \
    --no-address \
    --image-project debian-cloud \
    --zone us-central1-a \
    --subnet=cosmo-subnet-1 \
    --metadata startup-script="#! /bin/bash
      sudo apt-get update
      sudo apt-get install tcpdump
      sudo apt-get install apache2 -y
      sudo service apache2 restart
      echo 'Welcome to the cosmo app server !!' | tee /var/www/html/index.html
      EOF"

Lấy và lưu trữ địa chỉ IP của các phiên bản:

Trong Cloud Shell, hãy thực hiện thao tác mô tả đối với các phiên bản máy ảo sư tử và hổ.

gcloud compute instances describe lion --zone=us-central1-a | grep  networkIP:

gcloud compute instances describe tiger --zone=us-central1-a | grep  networkIP:

gcloud compute instances describe cosmo --zone=us-central1-a | grep  networkIP:

6. Thiết bị mạng Private Service Connect

Tệp đính kèm mạng là tài nguyên theo khu vực, đại diện cho phía người dùng của một giao diện Private Service Connect. Bạn liên kết một mạng con duy nhất với một tệp đính kèm mạng và nhà sản xuất sẽ chỉ định IP cho giao diện Private Service Connect từ mạng con đó. Mạng con phải nằm trong cùng khu vực với thiết bị đính kèm mạng. Thiết bị đính kèm mạng phải ở cùng khu vực với dịch vụ nhà sản xuất.

Tạo tệp đính kèm mạng

Trong Cloud Shell, hãy tạo tệp đính kèm mạng.

gcloud compute network-attachments create psc-network-attachment \
    --region=us-central1 \
    --connection-preference=ACCEPT_MANUAL \
    --producer-accept-list=$projectid \
    --subnets=intf-subnet

Liệt kê các tệp đính kèm mạng

Trong Cloud Shell, hãy liệt kê các tệp đính kèm mạng.

gcloud compute network-attachments list

Mô tả các tệp đính kèm mạng

Trong Cloud Shell, hãy mô tả network attachment.

gcloud compute network-attachments describe psc-network-attachment --region=us-central1

Ghi lại URI psc-network-attachment mà nhà cung cấp sẽ dùng khi tạo Giao diện Private Service Connect. Ví dụ bên dưới:

user@cloudshell$ gcloud compute network-attachments describe psc-network-attachment --region=us-central1 
connectionPreference: ACCEPT_MANUAL
creationTimestamp: '2023-06-06T20:57:12.623-07:00'
fingerprint: 4Yq6xAfaRO0=
id: '3235195049527328503'
kind: compute#networkAttachment
name: psc-network-attachment
network: https://www.googleapis.com/compute/v1/projects/$projectid/global/networks/consumer-vpc
producerAcceptLists:
- $projectid
region: https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1
selfLink: https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/networkAttachments/psc-network-attachment
subnetworks:
- https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/subnetworks/intf-subnet

7. Thiết lập Producer

Tạo mạng VPC của nhà sản xuất

Trong Cloud Shell, hãy thực hiện các bước sau:

gcloud compute networks create producer-vpc --project=$projectid --subnet-mode=custom

Tạo mạng con của nhà sản xuất

Trong Cloud Shell, hãy tạo mạng con dùng cho vNIC0 của giao diện psc.

gcloud compute networks subnets create prod-subnet --project=$projectid --range=10.20.1.0/28 --network=producer-vpc --region=us-central1

8. Bật IAP

Để cho phép IAP kết nối với các phiên bản máy ảo, hãy tạo một quy tắc tường lửa có:

• Áp dụng cho tất cả các phiên bản máy ảo mà bạn muốn có thể truy cập bằng IAP.
• Cho phép lưu lượng truy cập vào từ dải IP 35.235.240.0/20. Dải này chứa tất cả địa chỉ IP mà IAP sử dụng để chuyển tiếp TCP.

Trong Cloud Shell, hãy tạo quy tắc tường lửa IAP.

gcloud compute firewall-rules create ssh-iap-producer \
    --network producer-vpc \
    --allow tcp:22 \
    --source-ranges=35.235.240.0/20

9. Tạo giao diện Private Service Connect

Giao diện Private Service Connect là một tài nguyên cho phép mạng Đám mây riêng ảo (VPC) của nhà sản xuất bắt đầu kết nối với nhiều đích đến trong mạng VPC của người dùng. Mạng nhà sản xuất và mạng người tiêu dùng có thể nằm trong các dự án và tổ chức khác nhau.

Nếu một tệp đính kèm mạng chấp nhận kết nối từ một giao diện Kết nối dịch vụ riêng tư, thì Google Cloud sẽ phân bổ cho giao diện đó một địa chỉ IP từ mạng con của người dùng do tệp đính kèm mạng chỉ định. Các mạng lưới người tiêu dùng và nhà sản xuất được kết nối và có thể giao tiếp bằng cách sử dụng địa chỉ IP nội bộ.

Trong Cloud Shell, hãy tạo giao diện Private Service Connect (bear) và chèn psc-network-attachment URI đã xác định trước đó từ đầu ra mô tả của tệp đính kèm mạng.

gcloud compute instances create bear --zone us-central1-a --machine-type=f1-micro --can-ip-forward --network-interface subnet=prod-subnet,network=producer-vpc,no-address --network-interface network-attachment=https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/networkAttachments/psc-network-attachment

Xác thực nhiều NIC

Xác thực rằng giao diện PSC được định cấu hình bằng Địa chỉ IP thích hợp. vNIC0 sẽ sử dụng mạng con của nhà sản xuất prod-subnet (10.20.1.0/28) và vNIC1 sẽ sử dụng mạng con của giao diện người dùng intf-subnet (192.168.10.0/28).

gcloud compute instances describe bear --zone=us-central1-a | grep networkIP:

Ví dụ:

user$ gcloud compute instances describe bear --zone=us-central1-a | grep networkIP:
  networkIP: 10.20.1.2
  networkIP: 192.168.10.2

10. Cập nhật các quy tắc tường lửa cho người dùng

Tạo quy tắc Cloud Firewall để cho phép truy cập từ bear đến lion

Trong Cloud Shell, hãy tạo một quy tắc có mức độ ưu tiên cao hơn cho phép lưu lượng truy cập đi ra từ dải địa chỉ IP của attachment-subnet (intf-subnet) đến các đích đến trong dải địa chỉ của lion-subnet-1.

gcloud compute firewall-rules create allow-limited-egress-to-lion \
    --network=consumer-vpc \
    --action=ALLOW \
    --rules=ALL \
    --direction=EGRESS \
    --priority=1000 \
    --source-ranges="192.168.10.0/28" \
    --destination-ranges="192.168.20.0/28" \
    --enable-logging

Trong Cloud Shell, hãy tạo một quy tắc cho phép lưu lượng truy cập đến để ghi đè quy tắc từ chối ngầm định đối với lưu lượng truy cập đến từ mạng con psc-network-attachment.

gcloud compute firewall-rules create allow-ingress \
--network=consumer-vpc \
--action=ALLOW \
--rules=ALL \
--direction=INGRESS \
--priority=1000 \
--source-ranges="192.168.10.0/28" \
--enable-logging

Tạo một quy tắc Cloud Firewall từ chối quyền truy cập từ bear đến tất cả các dải (bao gồm cả tiger)

Trong Cloud Shell, hãy tạo một quy tắc có mức độ ưu tiên thấp để từ chối tất cả lưu lượng truy cập đi ra từ dải địa chỉ IP của mạng con trong tệp đính kèm mạng, intf-subnet.

gcloud compute firewall-rules create deny-all-egress \
    --network=consumer-vpc \
    --action=DENY \
    --rules=ALL \
    --direction=EGRESS \
    --priority=65534 \
    --source-ranges="192.168.10.0/28" \
    --destination-ranges="0.0.0.0/0" \
    --enable-logging

Tạo quy tắc Cloud Firewall để cho phép truy cập từ cosmo đến bear

Trong Cloud Shell, hãy tạo một quy tắc cho phép lưu lượng truy cập đến để ghi đè quy tắc từ chối ngầm định đối với lưu lượng truy cập đến từ mạng con psc-network-attachment.

gcloud compute firewall-rules create vm-subnet-allow-ingress \
    --network=consumer-vpc \
    --action=ALLOW \
    --rules=ALL \
    --direction=INGRESS \
    --priority=1000 \
    --source-ranges="192.168.40.0/28" \
    --destination-ranges="192.168.10.0/28" \
    --enable-logging

11. Tạo các tuyến đường Linux cho giao diện PSC

Từ thực thể giao diện PSC, hãy định cấu hình định tuyến Linux để cho phép nhà sản xuất giao tiếp với các mạng con của người tiêu dùng.

Tìm tên hệ điều hành khách của giao diện Private Service Connect

Để định cấu hình hoạt động định tuyến, bạn cần biết tên hệ điều hành khách của giao diện Private Service Connect. Tên này khác với tên giao diện trong Google Cloud.

Trong Cloud Shell, hãy mở một thẻ mới và thực hiện các thao tác sau:

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid

Đăng nhập vào vm psc-interface, bear bằng IAP trong Cloud Shell.

gcloud compute ssh bear --project=$projectid --zone=us-central1-a --tunnel-through-iap

Trong Cloud Shell, hãy lấy địa chỉ IP của thực thể psc-interface

ip a

Ví dụ:

user@bear:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: ens4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 42:01:0a:14:01:02 brd ff:ff:ff:ff:ff:ff
    altname enp0s4
    inet 10.20.1.2/32 brd 10.20.1.2 scope global dynamic ens4
       valid_lft 85991sec preferred_lft 85991sec
    inet6 fe80::4001:aff:fe14:102/64 scope link 
       valid_lft forever preferred_lft forever
3: ens5: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 42:01:c0:a8:0a:02 brd ff:ff:ff:ff:ff:ff
    altname enp0s5
    inet 192.168.10.2/32 brd 192.168.10.2 scope global dynamic ens5
       valid_lft 85991sec preferred_lft 85991sec
    inet6 fe80::4001:c0ff:fea8:a02/64 scope link 
       valid_lft forever preferred_lft forever

Tìm địa chỉ IP cổng của giao diện PSC

Trong danh sách giao diện mạng, hãy tìm và lưu trữ tên giao diện được liên kết với địa chỉ IP của giao diện Private Service Connect, ví dụ: ens5 (vNIC1)

Để định cấu hình định tuyến, bạn cần biết địa chỉ IP của cổng mặc định trong giao diện Private Service Connect

Trong Cloud Shell, chúng ta sẽ sử dụng 1 vì giao diện PSC được liên kết với vNIC1.

curl http://metadata.google.internal/computeMetadata/v1/instance/network-interfaces/1/gateway -H "Metadata-Flavor: Google" && echo

Ví dụ này tạo ra gw mặc định là 192.168.10.1

user@bear:~$ curl http://metadata.google.internal/computeMetadata/v1/instance/network-interfaces/1/gateway -H "Metadata-Flavor: Google" && echo
192.168.10.1

Thêm tuyến đường cho mạng con của người tiêu dùng

Bạn phải thêm một tuyến đến cổng mặc định của giao diện Private Service Connect cho mỗi mạng con người dùng kết nối với giao diện Private Service Connect. Điều này đảm bảo rằng lưu lượng truy cập dành cho mạng người dùng sẽ thoát ra khỏi giao diện Private Service Connect.

Trong phiên bản bear, hãy thêm các tuyến đường vào mạng con của người dùng.

sudo ip route add 192.168.20.0/28 via 192.168.10.1 dev ens5
sudo ip route add 192.168.30.0/28 via 192.168.10.1 dev ens5
sudo ip route add 192.168.40.0/28 via 192.168.10.1 dev ens5

Xác thực bảng định tuyến

Trong Cloud Shell, hãy xác thực các tuyến đường mới được thêm.

ip route show

Ví dụ:

user@bear:~$ ip route show
default via 10.20.1.1 dev ens4 
10.20.1.0/28 via 10.20.1.1 dev ens4 
10.20.1.1 dev ens4 scope link 
192.168.10.0/28 via 192.168.10.1 dev ens5 
192.168.10.1 dev ens5 scope link 
192.168.20.0/28 via 192.168.10.1 dev ens5 
192.168.30.0/28 via 192.168.10.1 dev ens5 
192.168.40.0/28 via 192.168.10.1 dev ens5 

12. Xác thực khả năng kết nối thành công giữa Bear và Lion

Hãy xác nhận rằng thực thể VM của nhà sản xuất (bear) có thể giao tiếp với thực thể của người tiêu dùng (lion) bằng cách thực hiện một lệnh curl.

Từ thực thể bear, hãy thực hiện một lệnh curl đối với địa chỉ IP của lion mà bạn đã xác định trước đó trong hướng dẫn từ thực thể bear.

curl -v <lions IP Address>

Ví dụ:

user@bear:~$ curl -v 192.168.20.2
*   Trying 192.168.20.2:80...
* Connected to 192.168.20.2 (192.168.20.2) port 80 (#0)
> GET / HTTP/1.1
> Host: 192.168.20.2
> User-Agent: curl/7.74.0
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< Date: Tue, 06 Jun 2023 03:53:08 GMT
< Server: Apache/2.4.56 (Debian)
< Last-Modified: Mon, 05 Jun 2023 19:41:26 GMT
< ETag: "1e-5fd6716a1e11b"
< Accept-Ranges: bytes
< Content-Length: 30
< Content-Type: text/html
< 
Welcome to lion app server !!
* Connection #0 to host 192.168.20.2 left intact

13. Xác thực rằng kết nối từ bear đến tiger bị chặn

Hãy xác nhận rằng quy tắc tường lửa xuất đang chặn quyền truy cập từ bear đến tiger bằng cách xem nhật ký tường lửa.

Từ một phiên Cloud Console mới, hãy chuyển đến mục Logging (Ghi nhật ký) → Logs Explorer (Trình khám phá nhật ký) → Select Show query (Chọn Hiển thị truy vấn)

Dán chuỗi truy vấn bên dưới vào trường tìm kiếm rồi chọn stream

jsonPayload.rule_details.reference="network:consumer-vpc/firewall:deny-all-egress"

Từ thực thể bear, hãy thực hiện một lệnh curl đối với địa chỉ IP của tiger mà bạn đã xác định trước đó trong hướng dẫn từ thực thể bear. Curl cuối cùng sẽ hết thời gian chờ.

curl -v <tiger's IP Address>

Ví dụ:

user@bear:~$ curl -v 192.168.30.2 
*   Trying 192.168.30.2:80...
* connect to 192.168.30.2 port 80 failed: Connection timed out
* Failed to connect to 192.168.30.2 port 80: Connection timed out
* Closing connection 0
curl: (28) Failed to connect to 192.168.30.2 port 80: Connection timed out

Xác thực rằng Trình khám phá nhật ký đã ghi lại các nhật ký tường lửa bị từ chối. Chọn một mục nhập nhật ký và mở rộng các trường lồng nhau để xem siêu dữ liệu.

14. Xác thực rằng kết nối cosmo với bear đã thành công

Mở một thẻ Cloud Shell mới rồi cập nhật chế độ cài đặt dự án.

Trong Cloud Shell, hãy thực hiện các bước sau:

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid

Đăng nhập vào phiên bản cosmo bằng IAP trong Cloud Shell.

gcloud compute ssh cosmo --project=$projectid --zone=us-central1-a --tunnel-through-iap

Trong Cloud Shell, hãy thực hiện lệnh ping đối với Địa chỉ IP vNIV1 của bear mà bạn đã xác định trước đó trong hướng dẫn

ping <bears vNIC1 IP Address>

Ví dụ:

user@cosmo:~$ ping 192.168.10.2 -c 5
PING 192.168.10.2 (192.168.10.2) 56(84) bytes of data.
64 bytes from 192.168.10.2: icmp_seq=1 ttl=64 time=0.277 ms
64 bytes from 192.168.10.2: icmp_seq=2 ttl=64 time=0.288 ms
64 bytes from 192.168.10.2: icmp_seq=3 ttl=64 time=0.265 ms
64 bytes from 192.168.10.2: icmp_seq=4 ttl=64 time=0.264 ms
64 bytes from 192.168.10.2: icmp_seq=5 ttl=64 time=0.366 ms

15. Dọn dẹp

Trong Cloud Shell, hãy xoá các thành phần hướng dẫn.

gcloud compute instances delete bear --zone=us-central1-a --quiet

gcloud compute instances delete lion --zone=us-central1-a --quiet

gcloud compute instances delete tiger --zone=us-central1-a --quiet

gcloud compute instances delete cosmo --zone=us-central1-a --quiet

gcloud compute network-attachments delete psc-network-attachment --region=us-central1 --quiet

gcloud compute firewall-rules delete allow-ingress allow-limited-egress-to-lion deny-all-egress ssh-iap-consumer ssh-iap-producer vm-subnet-allow-ingress --quiet

gcloud compute networks subnets delete cosmo-subnet-1 intf-subnet lion-subnet-1 prod-subnet tiger-subnet-1 --region=us-central1 --quiet

gcloud compute routers delete cloud-router-for-nat --region=us-central1 --quiet 

gcloud compute networks delete consumer-vpc --quiet

gcloud compute networks delete producer-vpc --quiet

16. Xin chúc mừng

Xin chúc mừng, bạn đã định cấu hình và xác thực thành công Giao diện Private Service Connect cũng như khả năng kết nối của người dùng và nhà sản xuất bằng cách triển khai các quy tắc tường lửa.

Bạn đã tạo cơ sở hạ tầng người dùng và thêm một tệp đính kèm mạng cho phép nhà sản xuất tạo một máy ảo có nhiều NIC để kết nối thông tin liên lạc giữa người dùng và nhà sản xuất. Bạn đã tìm hiểu cách tạo các quy tắc tường lửa trong mạng VPC của người dùng cho phép kết nối với các phiên bản trong VPC của người dùng và nhà sản xuất.

Cosmopup cho rằng các hướng dẫn rất hữu ích!!

Tiếp theo là gì?

Hãy xem một số hướng dẫn này...

• Sử dụng Private Service Connect để xuất bản và sử dụng các dịch vụ bằng GKE
• Sử dụng Private Service Connect để xuất bản và sử dụng các dịch vụ
• Kết nối với các dịch vụ tại chỗ qua Mạng kết hợp bằng Private Service Connect và bộ cân bằng tải TCP Proxy nội bộ

Tài liệu đọc thêm và video

• Tổng quan về Private Service Connect
• Private Service Connect là gì?
• Các loại bộ cân bằng tải được hỗ trợ

Tài liệu tham khảo

• Tổng quan về trình cân bằng tải HTTP(S) nội bộ
• Tổng quan về quy trình kiểm tra tình trạng
• Cách xuất bản dịch vụ bằng Private Service Connect
• Private Service Connect – DNS tự động