1. Giới thiệu
Bộ cân bằng tải proxy TCP theo khu vực nội bộ có khả năng kết nối kết hợp cho phép bạn cung cấp một dịch vụ được lưu trữ tại chỗ hoặc trong các môi trường đám mây khác cho các máy khách trong mạng VPC của bạn.
Nếu muốn cung cấp dịch vụ kết hợp trong các mạng VPC khác, bạn có thể sử dụng Private Service Connect để xuất bản dịch vụ. Bằng cách đặt một tệp đính kèm dịch vụ ở phía trước bộ cân bằng tải proxy TCP theo khu vực nội bộ, bạn có thể cho phép các máy khách trong các mạng VPC khác truy cập vào các dịch vụ kết hợp đang chạy trong môi trường tại chỗ hoặc môi trường đám mây khác.
Sản phẩm bạn sẽ tạo ra
Trong lớp học lập trình này, bạn sẽ tạo một bộ cân bằng tải Proxy TCP nội bộ có tính năng Kết nối kết hợp với một dịch vụ tại chỗ bằng cách sử dụng Nhóm điểm cuối mạng. Từ VPC của người tiêu dùng, bạn có thể giao tiếp với dịch vụ tại chỗ.
Kiến thức bạn sẽ học được
- Cách tạo ILB proxy TCP bằng dịch vụ phụ trợ NEG kết hợp
- Cách thiết lập Nhà sản xuất Private Service Connect (Service Attachment) và Người tiêu dùng (Forwarding Rule)
- Cách kiểm thử và xác thực thông tin liên lạc giữa dịch vụ của người tiêu dùng và nhà sản xuất
Bạn cần có
- Thiết lập mạng kết hợp, ví dụ: HA VPN, Interconnect, SW-WAN
- Dự án trên Google Cloud
Thiết lập kết nối kết hợp
Google Cloud và môi trường tại cơ sở hoặc môi trường đám mây khác của bạn phải được kết nối thông qua khả năng kết nối kết hợp, bằng cách sử dụng các tệp đính kèm VLAN Cloud Interconnect hoặc các đường hầm Cloud VPN có Cloud Router. Bạn nên sử dụng kết nối có tính sẵn sàng cao.
Cloud Router được bật tính năng Định tuyến động toàn cầu sẽ tìm hiểu về điểm cuối cụ thể thông qua BGP và lập trình điểm cuối đó vào mạng VPC của Google Cloud. Không hỗ trợ định tuyến động theo khu vực. Hệ thống cũng không hỗ trợ các tuyến tĩnh.
Mạng VPC của Google Cloud mà bạn dùng để định cấu hình Cloud Interconnect hoặc Cloud VPN cũng chính là mạng mà bạn dùng để định cấu hình việc triển khai tính năng cân bằng tải kết hợp. Đảm bảo rằng dải CIDR của mạng con trong mạng VPC không xung đột với dải CIDR từ xa. Khi địa chỉ IP trùng lặp, các tuyến mạng con sẽ được ưu tiên hơn so với khả năng kết nối từ xa.
Để biết hướng dẫn, hãy xem:
Quảng cáo trên tuyến đường tuỳ chỉnh
Các mạng con bên dưới yêu cầu quảng cáo tuỳ chỉnh từ Cloud Router đến mạng tại chỗ, đảm bảo các quy tắc tường lửa tại chỗ được cập nhật.
Mạng con | Mô tả |
172.16.0.0/23 | Mạng con Proxy TCP dùng để giao tiếp trực tiếp với dịch vụ tại chỗ |
130.211.0.0/22, 35.191.0.0/16 |
2. Trước khi bắt đầu
Cập nhật dự án để hỗ trợ lớp học lập trình
Lớp học lập trình này sử dụng $variables để hỗ trợ việc triển khai cấu hình gcloud trong Cloud Shell.
Trong Cloud Shell, hãy thực hiện các thao tác sau
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
psclab=YOUR-PROJECT-NAME
echo $psclab
3. Thiết lập Producer
Tạo VPC của Nhà sản xuất
Trong Cloud Shell, hãy thực hiện các thao tác sau
gcloud compute networks create producer-vpc --project=$psclab --subnet-mode=custom
Tạo mạng con Producer
Trong Cloud Shell, hãy thực hiện các thao tác sau
gcloud compute networks subnets create subnet-201 --project=$psclab --range=10.10.1.0/24 --network=producer-vpc --region=us-central1
Tạo mạng con Proxy TCP
Việc phân bổ proxy là ở cấp VPC, chứ không phải cấp bộ cân bằng tải. Bạn phải tạo một mạng con chỉ dành cho proxy trong mỗi khu vực của một mạng ảo (VPC) mà bạn sử dụng bộ cân bằng tải dựa trên Envoy. Nếu bạn triển khai nhiều trình cân bằng tải trong cùng một khu vực và cùng một mạng VPC, thì các trình cân bằng tải đó sẽ dùng chung một mạng con chỉ dành cho proxy để cân bằng tải.
- Một ứng dụng kết nối với địa chỉ IP và cổng của quy tắc chuyển tiếp của bộ cân bằng tải.
- Mỗi proxy sẽ theo dõi địa chỉ IP và cổng do quy tắc chuyển tiếp của bộ cân bằng tải tương ứng chỉ định. Một trong các proxy nhận và chấm dứt kết nối mạng của ứng dụng.
- Proxy thiết lập kết nối đến VM hoặc điểm cuối phụ trợ thích hợp trong một NEG, theo quyết định của bản đồ URL và các dịch vụ phụ trợ của bộ cân bằng tải.
Bạn phải tạo mạng con chỉ dành cho proxy, bất kể mạng của bạn ở chế độ tự động hay tuỳ chỉnh. Một mạng con chỉ có proxy phải cung cấp từ 64 địa chỉ IP trở lên. Giá trị này tương ứng với độ dài phần đầu là /26 trở xuống. Kích thước mạng con được đề xuất là /23 (512 địa chỉ chỉ dành cho proxy).
Trong Cloud Shell, hãy thực hiện các thao tác sau
gcloud compute networks subnets create proxy-subnet-us-central \
--purpose=REGIONAL_MANAGED_PROXY \
--role=ACTIVE \
--region=us-central1 \
--network=producer-vpc \
--range=172.16.0.0/23
Tạo các mạng con NAT của Private Service Connect
Tạo một hoặc nhiều mạng con chuyên dụng để sử dụng với Private Service Connect. Nếu đang sử dụng bảng điều khiển Cloud để xuất bản một dịch vụ, bạn có thể tạo các mạng con trong quy trình đó. Tạo mạng con trong cùng khu vực với trình cân bằng tải của dịch vụ. Bạn không thể chuyển đổi một mạng con thông thường thành một mạng con Private Service Connect.
Trong Cloud Shell, hãy thực hiện các thao tác sau
gcloud compute networks subnets create psc-nat-subnet --network=producer-vpc --region=us-central1 --range=100.100.10.0/24 --purpose=private-service-connect
Tạo quy tắc tường lửa của nhà sản xuất
Định cấu hình các quy tắc tường lửa để cho phép lưu lượng truy cập giữa các điểm cuối Private Service Connect và tệp đính kèm dịch vụ. Trong lớp học lập trình, bạn đã tạo một Quy tắc tường lửa đầu vào cho phép mạng con NAT 100.100.10.0/24 truy cập vào Tệp đính kèm dịch vụ Private Service Connect (trình cân bằng tải nội bộ).
Trong Cloud Shell, hãy thực hiện các thao tác sau
gcloud compute --project=$psclab firewall-rules create allow-to-ingress-nat-subnet --direction=INGRESS --priority=1000 --network=producer-vpc --action=ALLOW --rules=all --source-ranges=100.100.10.0/24
Trong Cloud Shell, hãy tạo quy tắc fw-allow-health-check để cho phép các quy trình kiểm tra tình trạng của Google Cloud tiếp cận dịch vụ tại cơ sở (dịch vụ phụ trợ) trên cổng TCP 80
gcloud compute firewall-rules create fw-allow-health-check \
--network=producer-vpc \
--action=allow \
--direction=ingress \
--source-ranges=130.211.0.0/22,35.191.0.0/16 \
--rules=tcp:80
Tạo một quy tắc tường lửa cho phép các dịch vụ tại cơ sở giao tiếp với mạng con proxy trên cổng 80
gcloud compute firewall-rules create fw-allow-proxy-only-subnet \
--network=producer-vpc \
--action=allow \
--direction=ingress \
--source-ranges=172.16.0.0/23 \
--rules=tcp:80
Thiết lập NEG kết nối kết hợp
Khi tạo NEG,hãy sử dụng một VÙNG giúp giảm thiểu khoảng cách địa lý giữa Google Cloud và môi trường tại cơ sở riêng hoặc môi trường trên đám mây khác của bạn. Ví dụ: nếu đang lưu trữ một dịch vụ trong môi trường tại cơ sở ở Frankfurt, Đức, bạn có thể chỉ định vùng europe-west3-a của Google Cloud khi tạo NEG.
Ngoài ra, nếu đang sử dụng Cloud Interconnect, thì ZONE dùng để tạo NEG phải nằm trong cùng một khu vực nơi bạn đã định cấu hình tệp đính kèm Cloud Interconnect.
Để biết các khu vực và vùng có sẵn, hãy xem tài liệu Compute Engine: Các khu vực và vùng có sẵn.
Trong Cloud Shell, hãy tạo một NEG kết nối kết hợp bằng lệnh gcloud compute network-endpoint-groups create
gcloud compute network-endpoint-groups create on-prem-service-neg \
--network-endpoint-type=NON_GCP_PRIVATE_IP_PORT \
--zone=us-central1-a \
--network=producer-vpc
Trong Cloud Shell, hãy thêm điểm cuối IP:Port tại chỗ vào NEG kết hợp.
gcloud compute network-endpoint-groups update on-prem-service-neg \
--zone=us-central1-a \
--add-endpoint="ip=192.168.1.5,port=80"
Định cấu hình bộ cân bằng tải
Trong các bước sau, bạn sẽ định cấu hình bộ cân bằng tải (quy tắc chuyển tiếp) và liên kết với nhóm điểm cuối mạng
Trong Cloud Shell, hãy tạo chế độ kiểm tra tình trạng theo khu vực được truyền đến dịch vụ tại chỗ
gcloud compute health-checks create tcp on-prem-service-hc \
--region=us-central1 \
--use-serving-port
Trong Cloud Shell, hãy tạo dịch vụ phụ trợ cho phụ trợ tại chỗ
gcloud compute backend-services create on-premise-service-backend \
--load-balancing-scheme=INTERNAL_MANAGED \
--protocol=TCP \
--region=us-central1 \
--health-checks=on-prem-service-hc \
--health-checks-region=us-central1
Trong Cloud Shell, hãy thêm phụ trợ NEG kết hợp vào dịch vụ phụ trợ. Đối với MAX_CONNECTIONS, hãy nhập số lượng kết nối đồng thời tối đa mà phần phụ trợ sẽ xử lý.
gcloud compute backend-services add-backend on-premise-service-backend \
--network-endpoint-group=on-prem-service-neg \
--network-endpoint-group-zone=us-central1-a \
--region=us-central1 \
--balancing-mode=CONNECTION \
--max-connections=100
Trong Cloud Shell, hãy tạo Target Proxy
gcloud compute target-tcp-proxies create on-premise-svc-tcpproxy \
--backend-service=on-premise-service-backend \
--region=us-central1
Trong Cloud Shell, hãy tạo quy tắc chuyển tiếp (ILB)
Tạo quy tắc chuyển tiếp bằng lệnh gcloud compute forwarding-rules create.
Thay thế FWD_RULE_PORT bằng một số cổng duy nhất từ 1 đến 65535. Quy tắc chuyển tiếp chỉ chuyển tiếp các gói có cổng đích trùng khớp.
gcloud compute forwarding-rules create tcp-ilb-psc \
--load-balancing-scheme=INTERNAL_MANAGED \
--network=producer-vpc \
--subnet=subnet-201 \
--ports=80 \
--region=us-central1 \
--target-tcp-proxy=on-premise-svc-tcpproxy \
--target-tcp-proxy-region=us-central1
Lấy địa chỉ IP của trình cân bằng tải nội bộ
gcloud compute forwarding-rules describe tcp-ilb-psc --region=us-central1 | grep -i IPAddress:
Example output:
gcloud compute forwarding-rules describe tcp-ilb-psc --region=us-central1 | grep -i IPAddress:
IPAddress: 10.10.1.2
4. Xác thực trình cân bằng tải
Trong Cloud Console, hãy chuyển đến Network Services (Dịch vụ mạng) → Load Balancing (Cân bằng tải) → Load Balancers (Bộ cân bằng tải). Xin lưu ý rằng 1 NEG là "Xanh lục", cho biết quá trình kiểm tra tình trạng của dịch vụ tại cơ sở đã thành công
Việc chọn ‘on-premise-service-backend' sẽ cho ra Địa chỉ IP của Giao diện người dùng
5. Xem các tuyến đường đã học được từ cơ sở tại chỗ
Chuyển đến Mạng VPC → Tuyến đường. Lưu ý, mạng con dịch vụ tại chỗ đã học được là 192.168.1.0/27
6. Xác thực khả năng kết nối với dịch vụ tại chỗ
Từ VPC của Nhà sản xuất, chúng ta sẽ tạo một VM để kiểm tra khả năng kết nối với dịch vụ tại chỗ, sau đó sẽ đến phần Cấu hình tệp đính kèm dịch vụ.
Trong Cloud Shell, hãy tạo phiên bản kiểm thử trong vpc của nhà sản xuất
gcloud compute instances create test-box-us-central1 \
--zone=us-central1-a \
--image-family=debian-10 \
--image-project=debian-cloud \
--subnet=subnet-201 \
--no-address
Để cho phép IAP kết nối với các phiên bản máy ảo, hãy tạo một quy tắc tường lửa có:
- Áp dụng cho tất cả các phiên bản máy ảo mà bạn muốn có thể truy cập bằng IAP.
- Cho phép lưu lượng truy cập vào từ dải IP 35.235.240.0/20. Dải này chứa tất cả địa chỉ IP mà IAP sử dụng để chuyển tiếp TCP.
Trong Cloud Shell, hãy tạo phiên bản kiểm thử trong vpc của nhà sản xuất
gcloud compute firewall-rules create ssh-iap \
--network producer-vpc \
--allow tcp:22 \
--source-ranges=35.235.240.0/20
Đăng nhập vào test-box-us-central1 bằng IAP trong Cloud Shell để xác thực khả năng kết nối với dịch vụ tại cơ sở bằng cách thực hiện một lệnh curl đối với địa chỉ IP cân bằng tải. Thử lại nếu có thời gian chờ.
gcloud compute ssh test-box-us-central1 --project=$psclab --zone=us-central1-a --tunnel-through-iap
Thực hiện một lệnh curl để xác thực khả năng kết nối với dịch vụ tại chỗ. Sau khi xác thực, hãy thoát khỏi máy ảo và quay lại dấu nhắc Cloud Shell. Thay thế IP của Bộ cân bằng tải nội bộ dựa trên đầu ra mà bạn xác định được ở bước 3 và 4.
deepakmichael@test-box-us-central1:~$ curl -v 10.10.1.2
* Expire in 0 ms for 6 (transfer 0x55b9a6b2f0f0)
* Trying 10.10.1.2...
* TCP_NODELAY set
* Expire in 200 ms for 4 (transfer 0x55b9a6b2f0f0)
* Connected to 10.10.1.2 (10.10.1.2) port 80 (#0)
> GET / HTTP/1.1
> Host: 10.10.1.2
> User-Agent: curl/7.64.0
> Accept: */*
>
< HTTP/1.1 200 OK
< Content-Type: text/html; charset=utf-8
< Accept-Ranges: bytes
< ETag: "3380914763"
< Last-Modified: Mon, 05 Dec 2022 15:10:56 GMT
< Expires: Mon, 05 Dec 2022 15:42:38 GMT
< Cache-Control: max-age=0
< Content-Length: 37
< Date: Mon, 05 Dec 2022 15:42:38 GMT
< Server: lighttpd/1.4.53
<
Welcome to my on-premise service!!
7. Tạo Private Service Connect Service Attachment
Trong các bước sau, chúng ta sẽ tạo Service Attachment. Sau khi được ghép nối với Consumer Endpoint, bạn sẽ có quyền truy cập vào dịch vụ tại cơ sở mà không cần kết nối ngang hàng VPC.
Tạo Service Attachment
Tạo Service Attachment trong Cloud Shell
gcloud compute service-attachments create service-1 --region=us-central1 --producer-forwarding-rule=tcp-ilb-psc --connection-preference=ACCEPT_AUTOMATIC --nat-subnets=psc-nat-subnet
Không bắt buộc: Nếu đang sử dụng VPC dùng chung, hãy tạo Service Attachment trong Dự án dịch vụ
gcloud compute service-attachments create service-1 --region=us-central1 --producer-forwarding-rule=tcp-ilb-psc --connection-preference=ACCEPT_AUTOMATIC --nat-subnets=projects/<hostproject>/regions/<region>/subnetworks/<natsubnet>
Xác thực tệp đính kèm dịch vụ TCP
gcloud compute service-attachments describe service-1 --region us-central1
8. Không bắt buộc: Chuyển đến Network Services (Dịch vụ mạng) → Private Service Connect (Kết nối dịch vụ riêng tư) để xem Service Attachment (Tệp đính kèm dịch vụ) mới được thiết lập
Khi bạn chọn Service-1, thông tin chi tiết sẽ xuất hiện, bao gồm cả URI của Tệp đính kèm dịch vụ mà người dùng sử dụng để thiết lập Kết nối dịch vụ riêng tư. Hãy ghi lại URI này vì bạn sẽ dùng nó trong một bước sau.
Thông tin chi tiết về tệp đính kèm dịch vụ: projects/<projectname>/regions/us-central1/serviceAttachments/service-1
9. Thiết lập người tiêu dùng
Tạo VPC người dùng
Trong Cloud Shell, hãy thực hiện các thao tác sau
gcloud compute networks create consumer-vpc --project=$psclab --subnet-mode=custom
Tạo mạng con Người tiêu dùng
Tạo mạng con GCE trong Cloud Shell
gcloud compute networks subnets create subnet-101 --project=$psclab --range=10.100.1.0/24 --network=consumer-vpc --region=us-central1
Trong Cloud Shell, hãy tạo Mạng con điểm cuối của người dùng
gcloud compute networks subnets create subnet-102 --project=$psclab --range=10.100.2.0/24 --network=consumer-vpc --region=us-central1
Tạo Điểm cuối của người dùng (quy tắc chuyển tiếp)
Trong Cloud Shell, hãy tạo địa chỉ IP tĩnh sẽ được dùng làm Điểm cuối của người dùng
gcloud compute addresses create psc-consumer-ip-1 --region=us-central1 --subnet=subnet-102 --addresses 10.100.2.10
Hãy sử dụng URI của Service Attachment đã tạo trước đó để tạo Consumer Endpoint
Trong Cloud Shell, hãy tạo Điểm cuối của người dùng
gcloud compute forwarding-rules create psc-consumer-1 --region=us-central1 --network=consumer-vpc --address=psc-consumer-ip-1 --target-service-attachment=projects/$psclab/regions/us-central1/serviceAttachments/service-1
10. Xác thực Kết nối dịch vụ riêng tư của người tiêu dùng – VPC của người tiêu dùng
Từ VPC của Người tiêu dùng, hãy xác minh rằng Kết nối dịch vụ riêng tư đã thành công bằng cách chuyển đến Network Services (Dịch vụ mạng) → Private Service Connect (Kết nối dịch vụ riêng tư) → Connected Endpoints (Điểm cuối được kết nối). Ghi lại kết nối psc-consumer-1 đã thiết lập và địa chỉ IP tương ứng mà chúng ta đã tạo trước đó.
Khi chọn psc-consumer-1, thông tin bổ sung sẽ được cung cấp, bao gồm cả URI của Service Attachment
11. Xác thực Private Service Connect của người tiêu dùng – VPC của nhà sản xuất
Từ VPC của Nhà sản xuất, hãy xác minh rằng Kết nối dịch vụ riêng tư đã thành công bằng cách chuyển đến Network Services (Dịch vụ mạng) → Private Service Connect (Kết nối dịch vụ riêng tư) →Published Service (Dịch vụ đã xuất bản). Xin lưu ý rằng kết nối service-1 đã xuất bản hiện cho biết 1 quy tắc chuyển tiếp (điểm cuối kết nối).
12. Tạo vùng DNS riêng tư và bản ghi A
Tạo Vùng DNS riêng tư được liên kết với Điểm cuối kết nối PSC, cho phép truy cập liền mạch vào Nhà sản xuất từ mọi máy chủ lưu trữ trong VPC.
Từ Cloud Shell
gcloud dns --project=$psclab managed-zones create codelab-zone --description="" --dns-name="codelab.net." --visibility="private" --networks="consumer-vpc"
gcloud dns --project=$psclab record-sets create service1.codelab.net. --zone="codelab-zone" --type="A" --ttl="300" --rrdatas="10.100.2.10"
13. Xác thực quyền truy cập của Người tiêu dùng vào dịch vụ của Nhà sản xuất bằng VM
Từ VPC của Người dùng, chúng ta sẽ tạo một máy ảo để kiểm thử khả năng kết nối với dịch vụ tại cơ sở bằng cách truy cập vào consumer endpoint service1.codelabs.net
Trong Cloud Shell, hãy tạo phiên bản kiểm thử trong vpc của người dùng
gcloud compute instances create consumer-vm \
--zone=us-central1-a \
--image-family=debian-10 \
--image-project=debian-cloud \
--subnet=subnet-101 \
--no-address
Để cho phép IAP kết nối với các phiên bản máy ảo, hãy tạo một quy tắc tường lửa có:
- Áp dụng cho tất cả các phiên bản máy ảo mà bạn muốn có thể truy cập bằng IAP.
- Cho phép lưu lượng truy cập vào từ dải IP 35.235.240.0/20. Dải này chứa tất cả địa chỉ IP mà IAP sử dụng để chuyển tiếp TCP.
Trong Cloud Shell, hãy tạo phiên bản kiểm thử trong vpc của người dùng
gcloud compute firewall-rules create ssh-iap-consumer \
--network consumer-vpc \
--allow tcp:22 \
--source-ranges=35.235.240.0/20
Đăng nhập vào consumer-vm bằng IAP trong Cloud Shell để xác thực khả năng kết nối với dịch vụ tại chỗ bằng cách thực hiện một lệnh curl đối với dịch vụ FQDN dns service1.codelab.net. Thử lại nếu có thời gian chờ.
gcloud compute ssh consumer-vm --project=$psclab --zone=us-central1-a --tunnel-through-iap
Thực hiện một lệnh curl để xác thực khả năng kết nối với dịch vụ tại chỗ. Sau khi xác thực, hãy thoát khỏi máy ảo và quay lại dấu nhắc Cloud Shell
Thực hiện một lệnh curl trong Cloud Shell
$ curl -v service1.codelab.net
* Trying 10.100.2.10...
* TCP_NODELAY set
* Expire in 200 ms for 4 (transfer 0x5650fc3390f0)
* Connected to service1.codelab.net (10.100.2.10) port 80 (#0)
> GET / HTTP/1.1
> Host: service1.codelab.net
> User-Agent: curl/7.64.0
> Accept: */*
>
< HTTP/1.1 200 OK
< Content-Type: text/html; charset=utf-8
< Accept-Ranges: bytes
< ETag: "3380914763"
< Last-Modified: Mon, 05 Dec 2022 15:10:56 GMT
< Expires: Mon, 05 Dec 2022 15:15:41 GMT
< Cache-Control: max-age=0
< Content-Length: 37
< Date: Mon, 05 Dec 2022 15:15:41 GMT
< Server: lighttpd/1.4.53
<
Welcome to my on-premise service!!
Dưới đây là ví dụ về dữ liệu được ghi lại từ dịch vụ tại cơ sở, lưu ý rằng Địa chỉ IP nguồn 172.16.0.2 nằm trong dải Mạng con của proxy TCP 172.16.0.0/23
14. Dọn dẹp Producer
Xoá các thành phần của Producer
Trong Cloud Shell, hãy xoá các thành phần của nhà sản xuất
gcloud compute instances delete test-box-us-central1 --zone=us-central1-a --quiet
gcloud compute service-attachments delete service-1 --region=us-central1 --quiet
gcloud compute forwarding-rules delete tcp-ilb-psc --region=us-central1 --quiet
gcloud compute target-tcp-proxies delete on-premise-svc-tcpproxy --region=us-central1 --quiet
gcloud compute backend-services delete on-premise-service-backend --region=us-central1 --quiet
gcloud compute network-endpoint-groups delete on-prem-service-neg --zone=us-central1-a --quiet
gcloud compute networks subnets delete psc-nat-subnet subnet-201 proxy-subnet-us-central --region=us-central1 --quiet
gcloud compute firewall-rules delete ssh-iap fw-allow-proxy-only-subnet allow-to-ingress-nat-subnet fw-allow-health-check --quiet
gcloud compute health-checks delete on-prem-service-hc --region=us-central1 --quiet
gcloud compute networks delete producer-vpc --quiet
15. Dọn dẹp cho người tiêu dùng
Xoá các thành phần Consumer
Trong Cloud Shell, hãy xoá các thành phần người dùng
gcloud compute instances delete consumer-vm --zone=us-central1-a --quiet
gcloud compute forwarding-rules delete psc-consumer-1 --region=us-central1 --quiet
gcloud compute addresses delete psc-consumer-ip-1 --region=us-central1 --quiet
gcloud compute networks subnets delete subnet-101 subnet-102 --region=us-central1 --quiet
gcloud compute firewall-rules delete ssh-iap-consumer --quiet
gcloud dns record-sets delete service1.codelab.net --type=A --zone=codelab-zone --quiet
gcloud dns managed-zones delete codelab-zone --quiet
gcloud compute networks delete consumer-vpc --quiet
16. Xin chúc mừng
Xin chúc mừng! Bạn đã định cấu hình và xác thực thành công Private Service Connect bằng TCP Proxy.
Bạn đã tạo cơ sở hạ tầng nhà sản xuất và thêm một tệp đính kèm dịch vụ trong VPC của nhà sản xuất, trỏ đến một dịch vụ tại cơ sở. Bạn đã tìm hiểu cách tạo một điểm cuối của người dùng trong VPC của người dùng, cho phép kết nối với dịch vụ tại cơ sở.
Tiếp theo là gì?
Hãy xem một số lớp học lập trình này...
- Sử dụng Private Service để xuất bản và sử dụng các dịch vụ bằng GKE
- Sử dụng Private Service Connect để xuất bản và sử dụng các dịch vụ