1. Giới thiệu
Trình cân bằng tải proxy TCP nội bộ với kết nối kết hợp giúp bạn cung cấp dịch vụ được lưu trữ trong cơ sở hạ tầng riêng hoặc các môi trường đám mây khác cho máy khách trong mạng VPC của mình.
Nếu muốn cung cấp dịch vụ kết hợp trong các mạng VPC khác, bạn có thể sử dụng Private Service Connect để xuất bản dịch vụ. Bằng cách đặt một tệp đính kèm dịch vụ trước trình cân bằng tải proxy TCP theo khu vực nội bộ của bạn, bạn có thể cho phép khách hàng thuộc các mạng VPC khác sử dụng các dịch vụ kết hợp đang chạy trong cơ sở hạ tầng riêng hoặc các môi trường đám mây khác.
Sản phẩm bạn sẽ tạo ra
Trong lớp học lập trình này, bạn sẽ xây dựng một trình cân bằng tải Proxy TCP nội bộ có kết nối kết hợp với một dịch vụ tại chỗ bằng cách sử dụng Nhóm thiết bị đầu cuối mạng. Trong VPC của người tiêu dùng, bạn sẽ có thể giao tiếp với dịch vụ tại chỗ.
Kiến thức bạn sẽ học được
- Cách tạo ILB Proxy TCP bằng dịch vụ phụ trợ Hybrid NEG
- Cách thiết lập Nhà sản xuất kết nối dịch vụ riêng tư (Tệp đính kèm dịch vụ) và Người tiêu dùng (Quy tắc chuyển tiếp)
- Cách kiểm tra và xác thực hoạt động giao tiếp giữa dịch vụ của người tiêu dùng với nhà sản xuất
Bạn cần có
- Mạng kết hợp có uy tín, ví dụ: HA VPN, Interconnect, SW-WAN
- Dự án trong Google Cloud
Thiết lập mô hình kết nối kết hợp
Bạn phải kết nối Google Cloud với cơ sở hạ tầng riêng hoặc các môi trường trên đám mây khác thông qua kết nối kết hợp bằng các tệp đính kèm VLAN của Cloud Interconnect hoặc đường hầm Cloud VPN với Cloud Router. Bạn nên sử dụng kết nối mạng có tình trạng rảnh/bận cao.
Bộ định tuyến trên đám mây được bật tính năng Định tuyến động trên toàn cầu sẽ tìm hiểu về điểm cuối cụ thể qua BGP và lập trình điểm cuối đó vào mạng VPC của Google Cloud. Định tuyến động theo khu vực không được hỗ trợ. Đường dẫn tĩnh cũng không được hỗ trợ.
Mạng VPC của Google Cloud mà bạn dùng để định cấu hình Cloud Interconnect hoặc Cloud VPN cũng chính là mạng mà bạn sử dụng để định cấu hình việc triển khai cân bằng tải kết hợp. Đảm bảo rằng phạm vi CIDR của mạng con của mạng VPC không xung đột với phạm vi CIDR từ xa. Khi địa chỉ IP chồng chéo nhau, các tuyến của mạng con sẽ được ưu tiên hơn kết nối từ xa.
Để biết hướng dẫn, hãy xem:
Quảng cáo tuyến đường tùy chỉnh
Các mạng con dưới đây yêu cầu quảng cáo tuỳ chỉnh từ Bộ định tuyến đám mây sang mạng tại chỗ nhằm đảm bảo các quy tắc về tường lửa tại chỗ đều được cập nhật.
Mạng con | Mô tả |
172.16.0.0/23 | Mạng con proxy TCP dùng để giao tiếp trực tiếp với dịch vụ tại chỗ |
130.211.0.0/22, 35.191.0.0/16 |
2. Trước khi bắt đầu
Cập nhật dự án để hỗ trợ lớp học lập trình
Lớp học lập trình này sử dụng $variables để hỗ trợ việc triển khai cấu hình gcloud trong Cloud Shell.
Bên trong Cloud Shell, thực hiện những thao tác sau
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
psclab=YOUR-PROJECT-NAME
echo $psclab
3. Thiết lập Producer
Tạo VPC của Nhà sản xuất
Bên trong Cloud Shell, thực hiện những thao tác sau
gcloud compute networks create producer-vpc --project=$psclab --subnet-mode=custom
Tạo mạng con Producer
Bên trong Cloud Shell, thực hiện những thao tác sau
gcloud compute networks subnets create subnet-201 --project=$psclab --range=10.10.1.0/24 --network=producer-vpc --region=us-central1
Tạo mạng con Proxy TCP
Quá trình phân bổ proxy ở cấp VPC, không phải ở cấp trình cân bằng tải. Bạn phải tạo một mạng con chỉ có proxy trong mỗi khu vực của mạng ảo (VPC) mà bạn sử dụng các trình cân bằng tải dựa trên Envoy. Nếu bạn triển khai nhiều trình cân bằng tải trong cùng khu vực và cùng một mạng VPC, thì các trình này sẽ dùng chung một mạng con chỉ có proxy để cân bằng tải.
- Ứng dụng sẽ kết nối với địa chỉ IP và cổng cho quy tắc chuyển tiếp của trình cân bằng tải.
- Mỗi proxy xử lý địa chỉ IP và cổng được chỉ định bởi quy tắc chuyển tiếp của trình cân bằng tải tương ứng. Một trong các proxy nhận và chấm dứt kết nối mạng của ứng dụng.
- Proxy thiết lập kết nối với máy ảo phụ trợ hoặc điểm cuối thích hợp trong NEG, như được xác định bởi bản đồ URL và các dịch vụ phụ trợ của trình cân bằng tải.
Bạn phải tạo mạng con chỉ proxy bất kể mạng của bạn là mạng tự động hay tuỳ chỉnh. Mạng con chỉ có proxy phải cung cấp 64 địa chỉ IP trở lên. Số này tương ứng với độ dài tiền tố là /26 trở xuống. Kích thước mạng con được đề xuất là /23 (512 địa chỉ chỉ proxy).
Bên trong Cloud Shell, thực hiện những thao tác sau
gcloud compute networks subnets create proxy-subnet-us-central \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=us-central1 \
--network=producer-vpc \
--range=172.16.0.0/23
Tạo mạng con NAT Private Service Connect
Tạo một hoặc nhiều mạng con chuyên dụng để sử dụng với Private Service Connect. Nếu đang sử dụng bảng điều khiển Google Cloud để xuất bản một dịch vụ, thì bạn có thể tạo mạng con trong quy trình đó. Tạo mạng con trong cùng khu vực với trình cân bằng tải của dịch vụ. Bạn không thể chuyển đổi mạng con thông thường thành mạng con Private Service Connect.
Bên trong Cloud Shell, thực hiện những thao tác sau
gcloud compute networks subnets create psc-nat-subnet --network=producer-vpc --region=us-central1 --range=100.100.10.0/24 --purpose=private-service-connect
Tạo quy tắc về tường lửa của Producer
Định cấu hình quy tắc tường lửa để cho phép lưu lượng truy cập giữa điểm cuối Private Service Connect và tệp đính kèm dịch vụ. Trong lớp học lập trình này, đã tạo một Ingress Firewall Rule cho phép mạng con NAT 100.100.10.0/24 truy cập vào Private Service Connect Service Attachment (trình cân bằng tải nội bộ).
Bên trong Cloud Shell, thực hiện những thao tác sau
gcloud compute --project=$psclab firewall-rules create allow-to-ingress-nat-subnet --direction=INGRESS --priority=1000 --network=producer-vpc --action=ALLOW --rules=all --source-ranges=100.100.10.0/24
Bên trong Cloud Shell Tạo quy tắc fw-allow-health-check để cho phép quy trình kiểm tra tình trạng của Google Cloud kết nối với dịch vụ tại chỗ (dịch vụ phụ trợ) trên cổng TCP 80
gcloud compute firewall-rules create fw-allow-health-check \
--network=producer-vpc \
--action=allow \
--direction=ingress \
--source-ranges=130.211.0.0/22,35.191.0.0/16 \
--rules=tcp:80
Tạo quy tắc tường lửa cho lưu lượng vào cho phép các dịch vụ tại chỗ giao tiếp với mạng con proxy trên cổng 80
gcloud compute firewall-rules create fw-allow-proxy-only-subnet \
--network=producer-vpc \
--action=allow \
--direction=ingress \
--source-ranges=172.16.0.0/23 \
--rules=tcp:80
Thiết lập NEG kết nối kết hợp
Khi tạo NEG, hãy sử dụng ZONE để giảm thiểu khoảng cách địa lý giữa Google Cloud và môi trường tại cơ sở riêng hoặc môi trường đám mây khác của bạn. Ví dụ: nếu đang lưu trữ một dịch vụ trong môi trường tại chỗ ở Frankfurt, Đức, bạn có thể chỉ định vùng Google Cloud europe-west3-a khi tạo NEG.
Hơn nữa, nếu bạn đang sử dụng Cloud Interconnect, ZONE dùng để tạo NEG phải nằm trong cùng khu vực mà tệp đính kèm Cloud Interconnect được định cấu hình.
Để biết các khu vực và khu vực được hỗ trợ, hãy xem Tài liệu về Compute Engine: Các khu vực và khu vực được hỗ trợ.
Bên trong Cloud Shell, tạo một NEG kết nối kết hợp bằng lệnh gcloud Compute network-endpoint-groups create
gcloud compute network-endpoint-groups create on-prem-service-neg \
--network-endpoint-type=NON_GCP_PRIVATE_IP_PORT \
--zone=us-central1-a \
--network=producer-vpc
Bên trong Cloud Shell, hãy thêm điểm cuối IP:Port tại chỗ vào NEG kết hợp.
gcloud compute network-endpoint-groups update on-prem-service-neg \
--zone=us-central1-a \
--add-endpoint="ip=192.168.1.5,port=80"
Định cấu hình trình cân bằng tải
Trong các bước sau, bạn sẽ định cấu hình trình cân bằng tải (quy tắc chuyển tiếp) và liên kết với nhóm thiết bị đầu cuối mạng
Bên trong Cloud Shell tạo yêu cầu kiểm tra tình trạng theo khu vực và chuyển đến dịch vụ tại chỗ
gcloud compute health-checks create tcp on-prem-service-hc \
--region=us-central1 \
--use-serving-port
Bên trong Cloud Shell tạo dịch vụ phụ trợ cho phần phụ trợ tại chỗ
gcloud compute backend-services create on-premise-service-backend \
--load-balancing-scheme=INTERNAL_MANAGED \
--protocol=TCP \
--region=us-central1 \
--health-checks=on-prem-service-hc \
--health-checks-region=us-central1
Bên trong Cloud Shell, hãy thêm phần phụ trợ NEG kết hợp vào dịch vụ phụ trợ. Đối với MAX_CONNECTIONS, hãy nhập số lượt kết nối đồng thời tối đa mà phần phụ trợ sẽ xử lý.
gcloud compute backend-services add-backend on-premise-service-backend \
--network-endpoint-group=on-prem-service-neg \
--network-endpoint-group-zone=us-central1-a \
--region=us-central1 \
--balancing-mode=CONNECTION \
--max-connections=100
Bên trong Cloud Shell, tạo Proxy mục tiêu
gcloud compute target-tcp-proxies create on-premise-svc-tcpproxy \
--backend-service=on-premise-service-backend \
--region=us-central1
Tạo quy tắc chuyển tiếp (ILB) bên trong Cloud Shell
Tạo quy tắc chuyển tiếp bằng lệnh gcloud tính chuyển tiếp-tạo quy tắc.
Thay thế FWD_QU_PORT bằng một số cổng duy nhất từ 1-65535. Quy tắc chuyển tiếp chỉ chuyển tiếp các gói có cổng đích phù hợp.
gcloud compute forwarding-rules create tcp-ilb-psc \
--load-balancing-scheme=INTERNAL_MANAGED \
--network=producer-vpc \
--subnet=subnet-201 \
--ports=80 \
--region=us-central1 \
--target-tcp-proxy=on-premise-svc-tcpproxy \
--target-tcp-proxy-region=us-central1
Lấy địa chỉ IP của trình cân bằng tải nội bộ
gcloud compute forwarding-rules describe tcp-ilb-psc --region=us-central1 | grep -i IPAddress:
Example output:
gcloud compute forwarding-rules describe tcp-ilb-psc --region=us-central1 | grep -i IPAddress:
IPAddress: 10.10.1.2
4. Xác thực trình cân bằng tải
Từ Cloud Console, hãy chuyển đến Dịch vụ mạng → Cân bằng tải → Trình cân bằng tải. Lưu ý: 1 NEG có "Màu xanh lục", tức là đã kiểm tra tình trạng thành công đối với dịch vụ tại chỗ
Khi chọn ‘on-premise-service-backend', bạn sẽ nhận được Địa chỉ IP của giao diện người dùng
5. Xem các tuyến đã tìm hiểu từ tại chỗ
Chuyển đến Mạng VPC → Tuyến. Lưu ý, mạng con dịch vụ tại chỗ đã học 192.168.1.0/27
6. Xác thực khả năng kết nối với dịch vụ tại chỗ
Trong VPC của Nhà sản xuất, chúng tôi sẽ tạo một máy ảo để kiểm tra khả năng kết nối với dịch vụ tại chỗ, sau đó là Tệp đính kèm dịch vụ tiếp theo để định cấu hình.
Bên trong Cloud Shell, tạo thực thể kiểm thử trong vpc nhà sản xuất
gcloud compute instances create test-box-us-central1 \
--zone=us-central1-a \
--image-family=debian-10 \
--image-project=debian-cloud \
--subnet=subnet-201 \
--no-address
Để cho phép IAP kết nối với các phiên bản máy ảo của bạn, hãy tạo một quy tắc tường lửa:
- Áp dụng cho tất cả các thực thể máy ảo mà bạn muốn truy cập được bằng cách sử dụng IAP.
- Cho phép lưu lượng truy cập vào từ dải IP 35.235.240.0/20. Dải ô này chứa tất cả địa chỉ IP mà IAP sử dụng để chuyển tiếp TCP.
Bên trong Cloud Shell, tạo thực thể kiểm thử trong vpc nhà sản xuất
gcloud compute firewall-rules create ssh-iap \
--network producer-vpc \
--allow tcp:22 \
--source-ranges=35.235.240.0/20
Đăng nhập vào test-box-us-central1 bằng IAP trong Cloud Shell để xác thực khả năng kết nối với dịch vụ tại chỗ bằng cách kiểm tra địa chỉ IP trong tính năng cân bằng tải. Hãy thử lại nếu hết thời gian chờ.
gcloud compute ssh test-box-us-central1 --project=$psclab --zone=us-central1-a --tunnel-through-iap
Thực hiện việc xác thực kết nối cuộn tròn với dịch vụ tại chỗ. Sau khi xác thực lượt thoát khỏi máy ảo, hãy quay lại lời nhắc của Cloud Shell. Thay thế IP của Trình cân bằng tải nội bộ dựa trên dữ liệu đầu ra đã xác định được trong bước 3 và 4.
deepakmichael@test-box-us-central1:~$ curl -v 10.10.1.2
* Expire in 0 ms for 6 (transfer 0x55b9a6b2f0f0)
* Trying 10.10.1.2...
* TCP_NODELAY set
* Expire in 200 ms for 4 (transfer 0x55b9a6b2f0f0)
* Connected to 10.10.1.2 (10.10.1.2) port 80 (#0)
> GET / HTTP/1.1
> Host: 10.10.1.2
> User-Agent: curl/7.64.0
> Accept: */*
>
< HTTP/1.1 200 OK
< Content-Type: text/html; charset=utf-8
< Accept-Ranges: bytes
< ETag: "3380914763"
< Last-Modified: Mon, 05 Dec 2022 15:10:56 GMT
< Expires: Mon, 05 Dec 2022 15:42:38 GMT
< Cache-Control: max-age=0
< Content-Length: 37
< Date: Mon, 05 Dec 2022 15:42:38 GMT
< Server: lighttpd/1.4.53
<
Welcome to my on-premise service!!
7. Tạo tệp đính kèm cho dịch vụ Kết nối dịch vụ riêng tư
Trong các bước sau, chúng ta sẽ tạo Tệp đính kèm dịch vụ sau khi ghép nối với một Thiết bị đầu cuối của người tiêu dùng có quyền truy cập vào dịch vụ tại chỗ mà không cần kết nối ngang hàng VPC.
Tạo tệp đính kèm về dịch vụ
Bên trong Cloud Shell tạo Tệp đính kèm dịch vụ
gcloud compute service-attachments create service-1 --region=us-central1 --producer-forwarding-rule=tcp-ilb-psc --connection-preference=ACCEPT_AUTOMATIC --nat-subnets=psc-nat-subnet
Không bắt buộc: Nếu sử dụng VPC dùng chung, hãy tạo Tệp đính kèm dịch vụ trong Dự án dịch vụ
gcloud compute service-attachments create service-1 --region=us-central1 --producer-forwarding-rule=tcp-ilb-psc --connection-preference=ACCEPT_AUTOMATIC --nat-subnets=projects/<hostproject>/regions/<region>/subnetworks/<natsubnet>
Xác thực tệp đính kèm dịch vụ TCP
gcloud compute service-attachments describe service-1 --region us-central1
8. Không bắt buộc: Chuyển đến phần Dịch vụ mạng → Kết nối dịch vụ riêng tư để xem Tệp đính kèm dịch vụ mới thiết lập
Khi chọn Service-1, bạn sẽ nhận được thông tin chi tiết hơn, bao gồm cả URI tệp đính kèm dịch vụ mà người dùng sử dụng để thiết lập Kết nối dịch vụ riêng tư. Ghi lại URI vì URI này sẽ được dùng trong bước sau.
Thông tin chi tiết về tệp đính kèm dịch vụ: dự án/<projectname>/sites/us-central1/serviceAttach/service-1
9. Thiết lập dành cho người tiêu dùng
Tạo VPC của người tiêu dùng
Bên trong Cloud Shell, thực hiện những thao tác sau
gcloud compute networks create consumer-vpc --project=$psclab --subnet-mode=custom
Tạo mạng con Người tiêu dùng
Tạo mạng con GCE bên trong Cloud Shell
gcloud compute networks subnets create subnet-101 --project=$psclab --range=10.100.1.0/24 --network=consumer-vpc --region=us-central1
Bên trong Cloud Shell tạo Mạng con điểm cuối của người tiêu dùng
gcloud compute networks subnets create subnet-102 --project=$psclab --range=10.100.2.0/24 --network=consumer-vpc --region=us-central1
Tạo Điểm cuối của người tiêu dùng (quy tắc chuyển tiếp)
Bên trong Cloud Shell, hãy tạo Địa chỉ IP tĩnh sẽ được dùng làm Điểm cuối của người tiêu dùng
gcloud compute addresses create psc-consumer-ip-1 --region=us-central1 --subnet=subnet-102 --addresses 10.100.2.10
Cho phép sử dụng URI đính kèm dịch vụ đã tạo trước đó để tạo Điểm cuối của người dùng
Bên trong Cloud Shell tạo Điểm cuối của người tiêu dùng
gcloud compute forwarding-rules create psc-consumer-1 --region=us-central1 --network=consumer-vpc --address=psc-consumer-ip-1 --target-service-attachment=projects/$psclab/regions/us-central1/serviceAttachments/service-1
10. Xác thực Kết nối dịch vụ riêng tư của người tiêu dùng – VPC của người tiêu dùng
Từ VPC của người tiêu dùng, hãy xác minh việc Kết nối dịch vụ riêng tư thành công bằng cách chuyển đến Network Services → Private Service Connect→ Điểm cuối được kết nối. Vui lòng lưu ý kết nối psc-consumer-1 đã thiết lập và Địa chỉ IP tương ứng mà chúng ta đã tạo trước đây.
Khi chọn, chúng tôi cung cấp thông tin chi tiết về việc bổ sung psc-consumer-1, bao gồm cả URI đính kèm dịch vụ
11. Xác thực Kết nối dịch vụ riêng tư của người tiêu dùng – VPC của nhà sản xuất
Từ VPC của nhà sản xuất, hãy xác minh một Kết nối dịch vụ riêng tư thành công bằng cách chuyển đến Dịch vụ mạng → Kết nối dịch vụ riêng tư→Dịch vụ đã xuất bản. Xin lưu ý rằng kết nối dịch vụ 1 đã xuất bản hiện cho biết có 1 quy tắc chuyển tiếp (điểm cuối kết nối).
12. Tạo vùng DNS riêng và Bản ghi A
Tạo Vùng DNS riêng được liên kết với Điểm cuối kết nối PSC để cho phép mọi máy chủ lưu trữ trong VPC truy cập liền mạch vào Producer.
Của Cloud Shell
gcloud dns --project=$psclab managed-zones create codelab-zone --description="" --dns-name="codelab.net." --visibility="private" --networks="consumer-vpc"
gcloud dns --project=$psclab record-sets create service1.codelab.net. --zone="codelab-zone" --type="A" --ttl="300" --rrdatas="10.100.2.10"
13. Xác thực quyền truy cập của người tiêu dùng vào dịch vụ Nhà sản xuất bằng máy ảo
Trong VPC của người tiêu dùng, chúng tôi sẽ tạo một máy ảo để kiểm tra khả năng kết nối với dịch vụ tại chỗ bằng cách truy cập vào dịch vụ thiết bị đầu cuối dành cho người tiêu dùng1.codelabs.net
Bên trong Cloud Shell, tạo một thực thể kiểm thử trong vpc dành cho người tiêu dùng
gcloud compute instances create consumer-vm \
--zone=us-central1-a \
--image-family=debian-10 \
--image-project=debian-cloud \
--subnet=subnet-101 \
--no-address
Để cho phép IAP kết nối với các phiên bản máy ảo của bạn, hãy tạo một quy tắc tường lửa:
- Áp dụng cho tất cả các thực thể máy ảo mà bạn muốn truy cập được bằng cách sử dụng IAP.
- Cho phép lưu lượng truy cập vào từ dải IP 35.235.240.0/20. Dải ô này chứa tất cả địa chỉ IP mà IAP sử dụng để chuyển tiếp TCP.
Bên trong Cloud Shell, tạo một thực thể kiểm thử trong vpc dành cho người tiêu dùng
gcloud compute firewall-rules create ssh-iap-consumer \
--network consumer-vpc \
--allow tcp:22 \
--source-ranges=35.235.240.0/20
Đăng nhập vào tài khoản người tiêu dùng vm bằng IAP trong Cloud Shell để xác thực khả năng kết nối với dịch vụ tại chỗ bằng cách cuộn tròn dựa trên dns FQDN service1.codelab.net. Hãy thử lại nếu hết thời gian chờ.
gcloud compute ssh consumer-vm --project=$psclab --zone=us-central1-a --tunnel-through-iap
Thực hiện việc xác thực kết nối cuộn tròn với dịch vụ tại chỗ. Sau khi xác thực lượt thoát khỏi máy ảo, hãy quay lại lời nhắc của Cloud Shell
Bên trong Cloud Shell thực hiện động tác cuộn tròn
$ curl -v service1.codelab.net
* Trying 10.100.2.10...
* TCP_NODELAY set
* Expire in 200 ms for 4 (transfer 0x5650fc3390f0)
* Connected to service1.codelab.net (10.100.2.10) port 80 (#0)
> GET / HTTP/1.1
> Host: service1.codelab.net
> User-Agent: curl/7.64.0
> Accept: */*
>
< HTTP/1.1 200 OK
< Content-Type: text/html; charset=utf-8
< Accept-Ranges: bytes
< ETag: "3380914763"
< Last-Modified: Mon, 05 Dec 2022 15:10:56 GMT
< Expires: Mon, 05 Dec 2022 15:15:41 GMT
< Cache-Control: max-age=0
< Content-Length: 37
< Date: Mon, 05 Dec 2022 15:15:41 GMT
< Server: lighttpd/1.4.53
<
Welcome to my on-premise service!!
Dưới đây là ví dụ lấy từ dịch vụ tại chỗ, lưu ý Địa chỉ IP nguồn 172.16.0.2 là từ phạm vi Mạng con proxy TCP 172.16.0.0/23
14. Dọn dẹp nhà sản xuất
Xoá các thành phần của Producer
Bên trong Cloud Shell, xoá các thành phần của nhà sản xuất
gcloud compute instances delete test-box-us-central1 --zone=us-central1-a --quiet
gcloud compute service-attachments delete service-1 --region=us-central1 --quiet
gcloud compute forwarding-rules delete tcp-ilb-psc --region=us-central1 --quiet
gcloud compute target-tcp-proxies delete on-premise-svc-tcpproxy --region=us-central1 --quiet
gcloud compute backend-services delete on-premise-service-backend --region=us-central1 --quiet
gcloud compute network-endpoint-groups delete on-prem-service-neg --zone=us-central1-a --quiet
gcloud compute networks subnets delete psc-nat-subnet subnet-201 proxy-subnet-us-central --region=us-central1 --quiet
gcloud compute firewall-rules delete ssh-iap fw-allow-proxy-only-subnet allow-to-ingress-nat-subnet fw-allow-health-check --quiet
gcloud compute health-checks delete on-prem-service-hc --region=us-central1 --quiet
gcloud compute networks delete producer-vpc --quiet
15. Dọn dẹp người tiêu dùng
Xoá thành phần Người tiêu dùng
Bên trong Cloud Shell, xoá các thành phần của đối tượng sử dụng
gcloud compute instances delete consumer-vm --zone=us-central1-a --quiet
gcloud compute forwarding-rules delete psc-consumer-1 --region=us-central1 --quiet
gcloud compute addresses delete psc-consumer-ip-1 --region=us-central1 --quiet
gcloud compute networks subnets delete subnet-101 subnet-102 --region=us-central1 --quiet
gcloud compute firewall-rules delete ssh-iap-consumer --quiet
gcloud dns record-sets delete service1.codelab.net --type=A --zone=codelab-zone --quiet
gcloud dns managed-zones delete codelab-zone --quiet
gcloud compute networks delete consumer-vpc --quiet
16. Xin chúc mừng
Xin chúc mừng, bạn đã định cấu hình và xác thực thành công Kết nối dịch vụ riêng tư bằng TCP Proxy.
Bạn đã tạo cơ sở hạ tầng cho nhà sản xuất và thêm một tệp đính kèm dịch vụ vào VPC của nhà sản xuất để trỏ đến một dịch vụ tại chỗ. Bạn đã tìm hiểu cách tạo điểm cuối của người tiêu dùng trong VPC của người tiêu dùng để cho phép kết nối với dịch vụ tại chỗ.
Tiếp theo là gì?
Hãy xem một số lớp học lập trình này...
- Sử dụng Dịch vụ riêng tư để xuất bản và sử dụng các dịch vụ bằng GKE
- Sử dụng Private Service Connect để xuất bản và sử dụng các dịch vụ