1. Giới thiệu
Giao diện Private Service Connect là một tài nguyên cho phép mạng đám mây riêng tư ảo (VPC) của nhà sản xuất bắt đầu kết nối đến nhiều đích đến trong mạng VPC của người tiêu dùng. Mạng lưới nhà sản xuất và mạng người tiêu dùng có thể thuộc các dự án và tổ chức khác nhau.
Nếu một tệp đính kèm mạng chấp nhận kết nối từ giao diện Private Service Connect, Google Cloud sẽ phân bổ cho giao diện đó một địa chỉ IP từ một mạng con của người dùng được chỉ định theo tệp đính kèm mạng. Mạng người tiêu dùng và nhà sản xuất được kết nối và có thể giao tiếp bằng cách sử dụng địa chỉ IP nội bộ.
Kết nối giữa tệp đính kèm mạng và giao diện Private Service Connect cũng tương tự như kết nối giữa điểm cuối Private Service Connect và tệp đính kèm dịch vụ, nhưng có 2 điểm khác biệt chính:
- Tệp đính kèm mạng cho phép mạng của nhà sản xuất bắt đầu kết nối với mạng của người tiêu dùng (vào đầu ra dịch vụ được quản lý), trong khi điểm cuối cho phép mạng tiêu dùng bắt đầu kết nối với mạng của nhà sản xuất (vào của dịch vụ được quản lý).
- Kết nối giao diện của Private Service Connect mang tính bắc cầu. Tức là một mạng của nhà sản xuất có thể giao tiếp với các mạng khác được kết nối với mạng của người tiêu dùng.
Sản phẩm bạn sẽ tạo ra
Trong hướng dẫn này, bạn sẽ xây dựng một cấu trúc Giao diện Private Service Connect (PSC) toàn diện sử dụng các quy tắc Cloud Firewall để cho phép và từ chối kết nối từ nhà sản xuất đến máy tính của người tiêu dùng như minh hoạ trong Hình 1.
Hình 1
Bạn sẽ tạo một tệp đính kèm mạng psc duy nhất trong VPC của người tiêu dùng để tạo ra các trường hợp sử dụng sau đây:
- Tạo quy tắc Tường lửa trên đám mây để cho phép truy cập từ gấu sang sư tử
- Tạo quy tắc Tường lửa trên đám mây từ chối quyền truy cập từ gấu sang hổ
- Tạo quy tắc Tường lửa trên đám mây để cho phép truy cập từ vũ trụ
Kiến thức bạn sẽ học được
- Cách tạo tệp đính kèm mạng
- Cách nhà sản xuất có thể sử dụng tệp đính kèm mạng để tạo giao diện PSC
- Cách thiết lập thông tin giao tiếp giữa nhà sản xuất với người tiêu dùng
- Cách cấp quyền truy cập từ máy ảo của nhà sản xuất (gấu) sang máy ảo của người tiêu dùng (sư tử)
- Cách chặn quyền truy cập từ máy ảo của nhà sản xuất (gấu) đến máy ảo của người tiêu dùng (tiger)
- Cách cho phép truy cập từ máy ảo người tiêu dùng (cosmo) đến máy ảo của nhà sản xuất (gấu)
Bạn cần có
- Dự án trong Google Cloud
- Quyền quản lý danh tính và quyền truy cập (IAM)
- Quản trị viên mạng điện toán (roles/compute.networkAdmin)
- Quản trị viên của phiên bản điện toán (roles/compute.instanceAdmin)
- Quản trị viên tính toán bảo mật (roles/compute.securityAdmin)
2. Trước khi bắt đầu
Cập nhật dự án để hỗ trợ hướng dẫn
Hướng dẫn này sử dụng $variables để hỗ trợ việc triển khai cấu hình gcloud trong Cloud Shell.
Bên trong Cloud Shell, hãy thực hiện như sau:
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid
3. Thiết lập dành cho người tiêu dùng
Tạo VPC của người tiêu dùng
Bên trong Cloud Shell, hãy thực hiện như sau:
gcloud compute networks create consumer-vpc --project=$projectid --subnet-mode=custom
Tạo mạng con của người tiêu dùng
Bên trong Cloud Shell, hãy thực hiện như sau:
gcloud compute networks subnets create lion-subnet-1 --project=$projectid --range=192.168.20.0/28 --network=consumer-vpc --region=us-central1
Bên trong Cloud Shell, hãy thực hiện như sau:
gcloud compute networks subnets create tiger-subnet-1 --project=$projectid --range=192.168.30.0/28 --network=consumer-vpc --region=us-central1
Bên trong Cloud Shell, hãy thực hiện như sau:
gcloud compute networks subnets create cosmo-subnet-1 --project=$projectid --range=192.168.40.0/28 --network=consumer-vpc --region=us-central1
Tạo mạng con Tệp đính kèm mạng kết nối dịch vụ riêng tư
Bên trong Cloud Shell, hãy thực hiện như sau:
gcloud compute networks subnets create intf-subnet --project=$projectid --range=192.168.10.0/28 --network=consumer-vpc --region=us-central1
Cấu hình Cloud Router và NAT
Cloud NAT được dùng trong hướng dẫn cài đặt gói phần mềm vì phiên bản VM không có địa chỉ IP công khai. Cloud NAT cho phép các VM có địa chỉ IP riêng tư truy cập Internet.
Bên trong Cloud Shell, hãy tạo bộ định tuyến trên đám mây.
gcloud compute routers create cloud-router-for-nat --network consumer-vpc --region us-central1
Bên trong Cloud Shell, hãy tạo cổng NAT.
gcloud compute routers nats create cloud-nat-us-central1 --router=cloud-router-for-nat --auto-allocate-nat-external-ips --nat-all-subnet-ip-ranges --region us-central1
4. Bật IAP
Để cho phép IAP kết nối với các phiên bản máy ảo của bạn, hãy tạo một quy tắc tường lửa:
- Áp dụng cho tất cả các thực thể máy ảo mà bạn muốn truy cập được bằng cách sử dụng IAP.
- Cho phép lưu lượng truy cập vào từ dải IP 35.235.240.0/20. Dải ô này chứa tất cả địa chỉ IP mà IAP sử dụng để chuyển tiếp TCP.
Bên trong Cloud Shell, hãy tạo quy tắc tường lửa cho IAP.
gcloud compute firewall-rules create ssh-iap-consumer \
--network consumer-vpc \
--allow tcp:22 \
--source-ranges=35.235.240.0/20
5. Tạo thực thể máy ảo của người dùng thông thường
Bên trong Cloud Shell, hãy tạo thực thể vm dành cho người tiêu dùng, lion.
gcloud compute instances create lion \
--project=$projectid \
--machine-type=e2-micro \
--image-family debian-11 \
--no-address \
--image-project debian-cloud \
--zone us-central1-a \
--subnet=lion-subnet-1 \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install tcpdump
sudo apt-get install apache2 -y
sudo service apache2 restart
echo 'Welcome to the lion app server !!' | tee /var/www/html/index.html
EOF"
Bên trong Cloud Shell, hãy tạo thực thể vm dành cho người tiêu dùng, con hổ.
gcloud compute instances create tiger \
--project=$projectid \
--machine-type=e2-micro \
--image-family debian-11 \
--no-address \
--image-project debian-cloud \
--zone us-central1-a \
--subnet=tiger-subnet-1 \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install tcpdump
sudo apt-get install apache2 -y
sudo service apache2 restart
echo 'Welcome to the tiger app server !!' | tee /var/www/html/index.html
EOF"
Bên trong Cloud Shell, hãy tạo thực thể vm dành cho người tiêu dùng, cosmo.
gcloud compute instances create cosmo \
--project=$projectid \
--machine-type=e2-micro \
--image-family debian-11 \
--no-address \
--image-project debian-cloud \
--zone us-central1-a \
--subnet=cosmo-subnet-1 \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install tcpdump
sudo apt-get install apache2 -y
sudo service apache2 restart
echo 'Welcome to the cosmo app server !!' | tee /var/www/html/index.html
EOF"
Lấy và lưu trữ Địa chỉ IP của các thực thể:
Bên trong Cloud Shell, hãy mô tả dựa trên các thực thể máy ảo sư tử và hổ.
gcloud compute instances describe lion --zone=us-central1-a | grep networkIP:
gcloud compute instances describe tiger --zone=us-central1-a | grep networkIP:
gcloud compute instances describe cosmo --zone=us-central1-a | grep networkIP:
6. Tệp đính kèm mạng của Kết nối dịch vụ riêng tư
Tệp đính kèm mạng là các tài nguyên theo khu vực đại diện cho phía người dùng của giao diện Private Service Connect. Bạn liên kết một mạng con với một tệp đính kèm mạng và nhà sản xuất chỉ định IP cho giao diện Private Service Connect từ mạng con đó. Mạng con phải nằm trong cùng một khu vực với tệp đính kèm mạng. Một tệp đính kèm mạng phải ở cùng một khu vực với dịch vụ của nhà sản xuất.
Tạo tệp đính kèm mạng
Bên trong Cloud Shell, hãy tạo tệp đính kèm mạng.
gcloud compute network-attachments create psc-network-attachment \
--region=us-central1 \
--connection-preference=ACCEPT_MANUAL \
--producer-accept-list=$projectid \
--subnets=intf-subnet
Liệt kê các tệp đính kèm mạng
Bên trong Cloud Shell, hãy liệt kê tệp đính kèm mạng.
gcloud compute network-attachments list
Mô tả các tệp đính kèm mạng
Bên trong Cloud Shell, hãy mô tả tệp đính kèm mạng.
gcloud compute network-attachments describe psc-network-attachment --region=us-central1
Hãy ghi lại URI tệp đính kèm psc-network- xấu mà nhà sản xuất sẽ sử dụng khi tạo Giao diện kết nối dịch vụ riêng tư. Ví dụ bên dưới:
user@cloudshell$ gcloud compute network-attachments describe psc-network-attachment --region=us-central1
connectionPreference: ACCEPT_MANUAL
creationTimestamp: '2023-06-06T20:57:12.623-07:00'
fingerprint: 4Yq6xAfaRO0=
id: '3235195049527328503'
kind: compute#networkAttachment
name: psc-network-attachment
network: https://www.googleapis.com/compute/v1/projects/$projectid/global/networks/consumer-vpc
producerAcceptLists:
- $projectid
region: https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1
selfLink: https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/networkAttachments/psc-network-attachment
subnetworks:
- https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/subnetworks/intf-subnet
7. Thiết lập Producer
Tạo mạng VPC của nhà sản xuất
Bên trong Cloud Shell, hãy thực hiện như sau:
gcloud compute networks create producer-vpc --project=$projectid --subnet-mode=custom
Tạo mạng con cho nhà sản xuất
Bên trong Cloud Shell, hãy tạo mạng con dùng cho vNI0 của giao diện psc.
gcloud compute networks subnets create prod-subnet --project=$projectid --range=10.20.1.0/28 --network=producer-vpc --region=us-central1
8. Bật IAP
Để cho phép IAP kết nối với các phiên bản máy ảo của bạn, hãy tạo một quy tắc tường lửa:
- Áp dụng cho tất cả các thực thể máy ảo mà bạn muốn truy cập được bằng cách sử dụng IAP.
- Cho phép lưu lượng truy cập vào từ dải IP 35.235.240.0/20. Dải ô này chứa tất cả địa chỉ IP mà IAP sử dụng để chuyển tiếp TCP.
Bên trong Cloud Shell, hãy tạo quy tắc tường lửa cho IAP.
gcloud compute firewall-rules create ssh-iap-producer \
--network producer-vpc \
--allow tcp:22 \
--source-ranges=35.235.240.0/20
9. Tạo giao diện Kết nối dịch vụ riêng tư
Giao diện Private Service Connect là một tài nguyên cho phép mạng đám mây riêng tư ảo (VPC) của nhà sản xuất bắt đầu kết nối đến nhiều đích đến trong mạng VPC của người tiêu dùng. Mạng lưới nhà sản xuất và mạng người tiêu dùng có thể thuộc các dự án và tổ chức khác nhau.
Nếu một tệp đính kèm mạng chấp nhận kết nối từ giao diện Private Service Connect, Google Cloud sẽ phân bổ cho giao diện đó một địa chỉ IP từ một mạng con của người dùng được chỉ định theo tệp đính kèm mạng. Mạng người tiêu dùng và nhà sản xuất được kết nối và có thể giao tiếp bằng cách sử dụng địa chỉ IP nội bộ.
Bên trong Cloud Shell, hãy tạo giao diện Kết nối dịch vụ riêng tư (hình gấu) rồi chèn URI đã xác định trước đó từ tệp đính kèm mạng mô tả đầu ra.
gcloud compute instances create bear --zone us-central1-a --machine-type=f1-micro --can-ip-forward --network-interface subnet=prod-subnet,network=producer-vpc,no-address --network-interface network-attachment=https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/networkAttachments/psc-network-attachment
Xác thực đa nic
Kiểm tra để đảm bảo rằng giao diện PSC đã được định cấu hình bằng Địa chỉ IP phù hợp. vnic0 sẽ sử dụng mạng con prod-subnet của nhà sản xuất (10.20.1.0/28) và v nữa sẽ sử dụng mạng con intf-subnet của người tiêu dùng (192.168.10.0/28).
gcloud compute instances describe bear --zone=us-central1-a | grep networkIP:
Ví dụ:
user$ gcloud compute instances describe bear --zone=us-central1-a | grep networkIP:
networkIP: 10.20.1.2
networkIP: 192.168.10.2
10. Cập nhật quy tắc về tường lửa của người dùng
Tạo quy tắc Tường lửa trên đám mây để cho phép truy cập từ gấu sang sư tử
Trong Cloud Shell, hãy tạo một quy tắc có mức độ ưu tiên cao hơn cho phép đầu ra từ dải địa chỉ IP của mạng con tệp đính kèm (intf-subnet) đến các đích đến trong dải địa chỉ lion-subnet-1.
gcloud compute firewall-rules create allow-limited-egress-to-lion \
--network=consumer-vpc \
--action=ALLOW \
--rules=ALL \
--direction=EGRESS \
--priority=1000 \
--source-ranges="192.168.10.0/28" \
--destination-ranges="192.168.20.0/28" \
--enable-logging
Trong Cloud Shell, hãy tạo một quy tắc cho phép lưu lượng vào sẽ ghi đè quy tắc lưu lượng vào từ chối ngầm định cho lưu lượng truy cập từ mạng con psc-network-Links.
gcloud compute firewall-rules create allow-ingress \
--network=consumer-vpc \
--action=ALLOW \
--rules=ALL \
--direction=INGRESS \
--priority=1000 \
--source-ranges="192.168.10.0/28" \
--enable-logging
Tạo quy tắc Tường lửa trên đám mây từ chối cấp quyền truy cập từ con gấu đến tất cả các dải (bao gồm mã đánh dấu)
Trong Cloud Shell, hãy tạo một quy tắc có mức độ ưu tiên thấp để từ chối mọi lưu lượng ra từ dải địa chỉ IP của mạng con intf-subnet trong tệp đính kèm mạng.
gcloud compute firewall-rules create deny-all-egress \
--network=consumer-vpc \
--action=DENY \
--rules=ALL \
--direction=EGRESS \
--priority=65534 \
--source-ranges="192.168.10.0/28" \
--destination-ranges="0.0.0.0/0" \
--enable-logging
Tạo quy tắc Tường lửa trên đám mây để cho phép hoạt động truy cập từ vũ trụ
Trong Cloud Shell, hãy tạo một quy tắc cho phép lưu lượng vào sẽ ghi đè quy tắc lưu lượng vào từ chối ngầm định cho lưu lượng truy cập từ mạng con psc-network-Links.
gcloud compute firewall-rules create vm-subnet-allow-ingress \
--network=consumer-vpc \
--action=ALLOW \
--rules=ALL \
--direction=INGRESS \
--priority=1000 \
--source-ranges="192.168.40.0/28" \
--destination-ranges="192.168.10.0/28" \
--enable-logging
11. Tạo tuyến linux cho giao diện PSC
Từ thực thể giao diện PSC, hãy định cấu hình các tuyến linux để cho phép nhà sản xuất giao tiếp với mạng con của người tiêu dùng.
Tìm tên hệ điều hành khách trên giao diện Private Service Connect
Để định cấu hình việc định tuyến, bạn cần biết tên hệ điều hành khách trên giao diện Private Service Connect của mình, tên này khác với tên giao diện trong Google Cloud.
Bên trong Cloud Shell, mở một thẻ mới và thực hiện các thao tác sau:
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid
Đăng nhập vào vm giao diện psc, gấu, sử dụng IAP trong Cloud Shell.
gcloud compute ssh bear --project=$projectid --zone=us-central1-a --tunnel-through-iap
Trong Cloud Shell, lấy địa chỉ IP của phiên bản giao diện psc
ip a
Ví dụ:
user@bear:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc pfifo_fast state UP group default qlen 1000
link/ether 42:01:0a:14:01:02 brd ff:ff:ff:ff:ff:ff
altname enp0s4
inet 10.20.1.2/32 brd 10.20.1.2 scope global dynamic ens4
valid_lft 85991sec preferred_lft 85991sec
inet6 fe80::4001:aff:fe14:102/64 scope link
valid_lft forever preferred_lft forever
3: ens5: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc pfifo_fast state UP group default qlen 1000
link/ether 42:01:c0:a8:0a:02 brd ff:ff:ff:ff:ff:ff
altname enp0s5
inet 192.168.10.2/32 brd 192.168.10.2 scope global dynamic ens5
valid_lft 85991sec preferred_lft 85991sec
inet6 fe80::4001:c0ff:fea8:a02/64 scope link
valid_lft forever preferred_lft forever
Tìm IP cổng vào của giao diện PSC
Trong danh sách giao diện mạng, hãy tìm và lưu trữ tên giao diện được liên kết với địa chỉ IP của giao diện Private Service Connect (ví dụ: ens5 (vNI1)
Để định cấu hình định tuyến, bạn cần biết địa chỉ IP của cổng mặc định của giao diện Private Service Connect
Trong Cloud Shell, chúng ta sẽ sử dụng 1 vì giao diện PSC được liên kết với vNI1.
curl http://metadata.google.internal/computeMetadata/v1/instance/network-interfaces/1/gateway -H "Metadata-Flavor: Google" && echo
Ví dụ tạo ra mặc định gw 192.168.10.1
user@bear:~$ curl http://metadata.google.internal/computeMetadata/v1/instance/network-interfaces/1/gateway -H "Metadata-Flavor: Google" && echo
192.168.10.1
Thêm các tuyến cho mạng con của người tiêu dùng
Bạn phải thêm một tuyến đến cổng mặc định của giao diện Private Service Connect cho mỗi mạng con của người dùng thông thường kết nối với giao diện Private Service Connect của bạn. Điều này đảm bảo rằng lưu lượng truy cập được liên kết với mạng người dùng đầu ra từ giao diện Private Service Connect.
Trong phiên bản con gấu, hãy thêm các tuyến đến mạng con của người tiêu dùng.
sudo ip route add 192.168.20.0/28 via 192.168.10.1 dev ens5
sudo ip route add 192.168.30.0/28 via 192.168.10.1 dev ens5
sudo ip route add 192.168.40.0/28 via 192.168.10.1 dev ens5
Xác thực bảng lộ trình
Trong Cloud Shell, xác thực các tuyến mới được thêm vào.
ip route show
Ví dụ:
user@bear:~$ ip route show
default via 10.20.1.1 dev ens4
10.20.1.0/28 via 10.20.1.1 dev ens4
10.20.1.1 dev ens4 scope link
192.168.10.0/28 via 192.168.10.1 dev ens5
192.168.10.1 dev ens5 scope link
192.168.20.0/28 via 192.168.10.1 dev ens5
192.168.30.0/28 via 192.168.10.1 dev ens5
192.168.40.0/28 via 192.168.10.1 dev ens5
12. Xác thực khả năng kết nối giữa gấu và sư tử thành công
Hãy xác nhận rằng thực thể máy ảo của nhà sản xuất là gấu, có thể giao tiếp với thực thể của người tiêu dùng là sư tử bằng cách cuộn tròn.
Trong thực thể con gấu, hãy cuộn so với Địa chỉ IP của con sư tử đã xác định trước đó trong hướng dẫn từ thực thể con gấu.
curl -v <lions IP Address>
Ví dụ:
user@bear:~$ curl -v 192.168.20.2
* Trying 192.168.20.2:80...
* Connected to 192.168.20.2 (192.168.20.2) port 80 (#0)
> GET / HTTP/1.1
> Host: 192.168.20.2
> User-Agent: curl/7.74.0
> Accept: */*
>
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< Date: Tue, 06 Jun 2023 03:53:08 GMT
< Server: Apache/2.4.56 (Debian)
< Last-Modified: Mon, 05 Jun 2023 19:41:26 GMT
< ETag: "1e-5fd6716a1e11b"
< Accept-Ranges: bytes
< Content-Length: 30
< Content-Type: text/html
<
Welcome to lion app server !!
* Connection #0 to host 192.168.20.2 left intact
13. Xác thực kết nối giữa gấu và hổ bị chặn
Hãy xác nhận quy tắc về tường lửa đi ra đang chặn quyền truy cập từ con gấu sang hổ bằng cách xem nhật ký tường lửa.
Từ một phiên mới trên Cloud Console rồi chuyển đến phần Ghi nhật ký → Trình khám phá nhật ký → Chọn Hiển thị truy vấn
Dán chuỗi truy vấn bên dưới vào trường tìm kiếm rồi chọn stream
jsonPayload.rule_details.reference="network:consumer-vpc/firewall:deny-all-egress"
Trong phiên bản con gấu, thực hiện thao tác cuộn tròn dựa trên Địa chỉ IP của con hổ đã xác định trước đó trong hướng dẫn về phiên bản con gấu. Cuộn tròn cuối cùng sẽ hết thời gian chờ.
curl -v <tiger's IP Address>
Ví dụ:
user@bear:~$ curl -v 192.168.30.2
* Trying 192.168.30.2:80...
* connect to 192.168.30.2 port 80 failed: Connection timed out
* Failed to connect to 192.168.30.2 port 80: Connection timed out
* Closing connection 0
curl: (28) Failed to connect to 192.168.30.2 port 80: Connection timed out
Kiểm tra để đảm bảo rằng Trình khám phá nhật ký đã ghi lại nhật ký tường lửa bị từ chối. Chọn một mục nhập nhật ký và mở rộng các trường lồng nhau để xem siêu dữ liệu.
14. Xác thực vũ trụ để chịu kết nối thành công
Mở một thẻ Cloud Shell mới và cập nhật các chế độ cài đặt dự án.
Bên trong Cloud Shell, hãy thực hiện như sau:
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid
Đăng nhập vào phiên bản vũ trụ bằng cách sử dụng IAP trong Cloud Shell.
gcloud compute ssh cosmo --project=$projectid --zone=us-central1-a --tunnel-through-iap
Trong Cloud Shell, thực hiện lệnh ping đối với Địa chỉ IP IP vNIV1 của con gấu được xác định trước đó trong phần hướng dẫn
ping <bears vNIC1 IP Address>
Ví dụ:
user@cosmo:~$ ping 192.168.10.2 -c 5
PING 192.168.10.2 (192.168.10.2) 56(84) bytes of data.
64 bytes from 192.168.10.2: icmp_seq=1 ttl=64 time=0.277 ms
64 bytes from 192.168.10.2: icmp_seq=2 ttl=64 time=0.288 ms
64 bytes from 192.168.10.2: icmp_seq=3 ttl=64 time=0.265 ms
64 bytes from 192.168.10.2: icmp_seq=4 ttl=64 time=0.264 ms
64 bytes from 192.168.10.2: icmp_seq=5 ttl=64 time=0.366 ms
15. Dọn dẹp
Trên Cloud Shell, hãy xoá các thành phần hướng dẫn.
gcloud compute instances delete bear --zone=us-central1-a --quiet
gcloud compute instances delete lion --zone=us-central1-a --quiet
gcloud compute instances delete tiger --zone=us-central1-a --quiet
gcloud compute instances delete cosmo --zone=us-central1-a --quiet
gcloud compute network-attachments delete psc-network-attachment --region=us-central1 --quiet
gcloud compute firewall-rules delete allow-ingress allow-limited-egress-to-lion deny-all-egress ssh-iap-consumer ssh-iap-producer vm-subnet-allow-ingress --quiet
gcloud compute networks subnets delete cosmo-subnet-1 intf-subnet lion-subnet-1 prod-subnet tiger-subnet-1 --region=us-central1 --quiet
gcloud compute routers delete cloud-router-for-nat --region=us-central1 --quiet
gcloud compute networks delete consumer-vpc --quiet
gcloud compute networks delete producer-vpc --quiet
16. Xin chúc mừng
Xin chúc mừng, bạn đã định cấu hình và xác thực thành công Giao diện kết nối dịch vụ riêng tư cũng như kết nối người tiêu dùng và nhà sản xuất bằng cách triển khai các quy tắc tường lửa.
Bạn đã tạo cơ sở hạ tầng dành cho người tiêu dùng và thêm một tệp đính kèm mạng cho phép nhà sản xuất tạo vm đa nic để làm cầu nối cho hoạt động giao tiếp giữa nhà sản xuất và người tiêu dùng. Bạn đã tìm hiểu cách tạo quy tắc tường lửa trong mạng VPC của người tiêu dùng để cho phép kết nối với các thực thể trong VPC của người tiêu dùng và nhà sản xuất.
Cosmopup cho rằng các video hướng dẫn rất tuyệt vời!!
Tiếp theo là gì?
Hãy xem một số hướng dẫn trong số này...
- Sử dụng Private Service Connect để xuất bản và sử dụng các dịch vụ bằng GKE
- Sử dụng Private Service Connect để xuất bản và sử dụng các dịch vụ
- Kết nối với các dịch vụ tại chỗ qua mạng kết hợp bằng cách sử dụng Private Service Connect và trình cân bằng tải Proxy TCP nội bộ
Tài liệu đọc thêm & Video
- Tổng quan về Private Service Connect
- Private Service Connect là gì?
- Các loại trình cân bằng tải được hỗ trợ