1. مقدمة
نظرة عامة
في هذا التمرين العملي، ستستكشف بعض ميزات Network Connectivity Center.
Network Connectivity Center (NCC) هو نموذج مستوى تحكّم مركزي وموزّع لإدارة اتصال الشبكة في Google Cloud. يوفر مورد المحور نموذجًا مركزيًا لإدارة الاتصال من أجل ربط الشبكات الفرعية. تتيح "مركزية الشبكة" حاليًا موارد الشبكة التالية كشبكات فرعية:
- مرفقات VLAN
- أجهزة التوجيه
- HA VPN
تتطلّب الدروس التطبيقية حول الترميز استخدام حلول SD-WAN من flexiWAN SaaS التي تسهّل عملية نشر شبكة WAN وإدارتها.
ما ستنشئه
في هذا الدرس التطبيقي حول الترميز، ستنشئ بنية SD-WAN على شكل محور ونقاط اتصال لمحاكاة المواقع الفرعية البعيدة التي ستنتقل عبر شبكة Google الأساسية لإجراء عمليات التواصل بين المواقع والسحابة الإلكترونية.
- ستنشر زوجًا من الأجهزة الافتراضية في "محرك حساب Google" (GCE) تم إعدادهما لوكيل flexiWAN SD-WAN في شبكة VPC المحورية التي تمثّل نقاط النهاية الرئيسية لحركة البيانات الواردة والصادرة إلى Google Cloud Platform.
- نشر جهازَي توجيه flexiWAN SD-WAN عن بُعد لتمثيل شبكتَي VPC مختلفتَين في موقعَين فرعيَين
- بالنسبة إلى اختبار مسار البيانات، عليك ضبط ثلاثة أجهزة افتراضية على Google Compute Engine لمحاكاة العملاء المحليين والخادم المستضاف على Google Cloud Platform.
ما ستتعلمه
- استخدام NCC لربط المكاتب الفرعية البعيدة ببعضها البعض باستخدام حلّ شبكة WAN محدّدة بالبرامج مفتوح المصدر
- خبرة عملية في استخدام حلول شبكات WAN المحدّدة بالبرامج المفتوحة المصدر
المتطلبات
- معرفة شبكة VPC في Google Cloud
- معرفة Cloud Router وتوجيه بروتوكول BGP
2. الأهداف
- إعداد بيئة GCP
- نشر مثيلات flexiWAN Edge في GCP
- إنشاء مركز NCC وNVA Edge flexiWAN كعقدة فرعية
- إعداد وإدارة مثيلات flexiWAN باستخدام flexiManage
- ضبط تبادل مسارات BGP بين vpc-app-svcs وNVA من flexiWAN
- إنشاء موقع جغرافي بعيد يحاكي فرعًا بعيدًا للعميل أو مركز بيانات
- إنشاء نفق IPSEC بين الموقع البعيد وNVA
- التأكّد من نشر الأجهزة بنجاح
- التحقّق من صحة عملية نقل البيانات من الموقع الإلكتروني إلى السحابة الإلكترونية
- تنظيف الموارد المستخدَمة
يتطلّب هذا البرنامج التعليمي إنشاء حساب flexiManage مجاني للمصادقة والإعداد والإدارة لنسخ flexiEdge.
قبل البدء
استخدام Google Cloud Console وCloud Shell
للتفاعل مع Google Cloud Platform، سنستخدم كلاً من Google Cloud Console وCloud Shell خلال هذا الدرس التطبيقي.
Google Cloud Console
يمكن الوصول إلى Cloud Console على https://console.cloud.google.com.
اضبط العناصر التالية في Google Cloud لتسهيل إعداد Network Connectivity Center:
في Google Cloud Console، في صفحة اختيار المشروع، اختَر مشروعًا على Google Cloud أو أنشِئ مشروعًا.
شغِّل Cloud Shell. يستخدِم هذا الدرس التطبيقي حول الترميز $variables للمساعدة في تنفيذ عملية إعداد gcloud في Cloud Shell.
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname
أدوار "إدارة الهوية وإمكانية الوصول"
تتطلّب "مركز إدارة العملاء" أدوار IAM للوصول إلى واجهات برمجة تطبيقات معيّنة. احرص على ضبط المستخدم باستخدام أدوار NCC IAM حسب الحاجة.
اسم الدور | الوصف | الأذونات |
networkconnectivity.networkAdmin | يسمح هذا الدور لمشرفي الشبكة بإدارة المحاور والفروع. | networkconnectivity.hubs.networkconnectivity.spokes. |
networkconnectivity.networkSpokeManager | يسمح بإضافة وإدارة أجهزة تابعة في جهاز مركزي. يجب استخدامه في شبكة VPC مشتركة يملك فيها المشروع المضيف "مركز التبادل"، ولكن يمكن للمشرفين الآخرين في المشاريع الأخرى إضافة "عُقد" إلى "مركز التبادل" من أجل المرفقات. | networkconnectivity.spokes.** |
networkconnectivity.networkUsernetworkconnectivity.networkViewer | تسمح لمستخدمي الشبكة بعرض سمات مختلفة للمركز والفروع. | networkconnectivity.hubs.getnetworkconnectivity.hubs.listnetworkconnectivity.spokes.getnetworkconnectivity.spokes.listnetworkconnectivity.spokes.aggregatedList |
3- إعداد بيئة مختبر الشبكة
نظرة عامة
في هذا القسم، سننفّذ شبكات VPC وقواعد جدار الحماية.
محاكاة شبكات المواقع الفرعية المحلية
تحتوي شبكة السحابة الإلكترونية الافتراضية (VPC) هذه على شبكات فرعية للأجهزة الافتراضية المحلية.
أنشئ شبكات الموقع الفرعية والشبكات المحلية:
gcloud compute networks create site1-vpc \
--subnet-mode custom
gcloud compute networks create s1-inside-vpc \
--subnet-mode custom
gcloud compute networks subnets create site1-subnet \
--network site1-vpc \
--range 10.10.0.0/24 \
--region us-central1
gcloud compute networks subnets create s1-inside-subnet \
--network s1-inside-vpc \
--range 10.10.1.0/24 \
--region us-central1
أنشئ قواعد جدار الحماية site1-vpc للسماح بما يلي:
- بروتوكول النقل الآمن (SSH)، داخلي، بروتوكول IAP
- ESP وUDP/500 وUDP/4500
- النطاق 10.0.0.0/8
- النطاق 192.168.0.0/16
gcloud compute firewall-rules create site1-ssh \--network site1-vpc \
--allow tcp:22
gcloud compute firewall-rules create site1-internal \
--network site1-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create site1-cloud \
--network site1-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create site1-vpn \
--network site1-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router
gcloud compute firewall-rules create site1-iap \
--network site1-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
أنشئ قواعد جدار الحماية s1-inside-vpc للسماح بما يلي:
- بروتوكول النقل الآمن (SSH)، داخلي، بروتوكول IAP
- النطاق 10.0.0.0/8
- النطاق 192.168.0.0/16
gcloud compute firewall-rules create s1-inside-ssh \
--network s1-inside-vpc \
--allow tcp:22
gcloud compute firewall-rules create s1-inside-internal \
--network s1-inside-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create s1-inside-cloud \
--network s1-inside-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create s1-inside-iap \
--network site2-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
لأغراض الاختبار، أنشئ مثيلَي s1-inside-vm وs2-inside-vm
gcloud compute instances create s1-vm \
--zone=us-central1-a \
--machine-type=e2-micro \
--network-interface subnet=s1-inside-subnet,private-network-ip=10.10.1.3,no-address
محاكاة بيئة شبكة السحابة الإلكترونية في Google Cloud Platform
لتفعيل حركة المرور بين المواقع الجغرافية المختلفة من خلال شبكة hub-vpc والشبكات الفرعية، عليك تفعيل التوجيه العام في شبكة hub-vpc. يمكنك الاطّلاع على مزيد من المعلومات في مقالة تبادُل المسارات ضمن NCC.
- أنشئ
hub-vpcشبكة وشبكات فرعية:
gcloud compute networks create hub-vpc \
--subnet-mode custom \
--bgp-routing-mode=global
gcloud compute networks subnets create hub-subnet1 \
--network hub-vpc \
--range 10.1.0.0/24 \
--region us-central1
gcloud compute networks subnets create hub-subnet2 \
--network hub-vpc \
--range 10.2.0.0/24 \
--region us-east4
- أنشئ
workload-vpcشبكة وشبكات فرعية:
gcloud compute networks create workload-vpc \
--subnet-mode custom \
--bgp-routing-mode=global
gcloud compute networks subnets create workload-subnet1 \
--network workload-vpc \
--range 192.168.235.0/24 \
--region us-central1
- أنشئ قواعد جدار حماية Hub-VPC للسماح بما يلي:
- بروتوكول النقل الآمن (SSH)
- ESP وUDP/500 وUDP/4500
- النطاق الداخلي 10.0.0.0/8 (الذي يغطي منفذ TCP رقم 179 المطلوب لجلسة BGP من موجّه السحابة الإلكترونية إلى جهاز التوجيه)
gcloud compute firewall-rules create hub-ssh \
--network hub-vpc \
--allow tcp:22
gcloud compute firewall-rules create hub-vpn \
--network hub-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router
gcloud compute firewall-rules create hub-internal \
--network hub-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create hub-iap \
--network hub-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
- أنشئ قواعد جدار حماية Workload-VPC للسماح بما يلي:
- بروتوكول النقل الآمن (SSH)
- النطاق الداخلي 192.168.0.0/16 (الذي يغطي منفذ TCP 179 المطلوب لجلسة BGP من موجه السحابة الإلكترونية إلى جهاز التوجيه)
gcloud compute firewall-rules create workload-ssh \
--network workload-vpc \
--allow tcp:22
gcloud compute firewall-rules create workload-internal \
--network workload-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create workload-onprem \
--network hub-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create workload-iap \
--network workload-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
- تفعيل Cloud NAT في شبكة VPC الخاصة بعبء العمل للسماح للجهاز الظاهري workload1 بتنزيل الحِزم من خلال إنشاء Cloud Router وNAT Gateway
gcloud compute routers create cloud-router-usc-central-1-nat \
--network workload-vpc \
--region us-central1
gcloud compute routers nats create cloudnat-us-central1 \
--router=cloud-router-usc-central-1-nat \
--auto-allocate-nat-external-ips \
--nat-all-subnet-ip-ranges \
--region us-central1
- أنشئ
workload1-vmin "us-central1-a" inworkload-VPC، وستستخدم هذا المضيف لإثبات إمكانية الاتصال بين الموقع الإلكتروني والسحابة الإلكترونية.
gcloud compute instances create workload1-vm \
--project=$projectname \
--machine-type=e2-micro \
--image-family debian-10 \
--image-project debian-cloud \
--zone us-central1-a \
--private-network-ip 192.168.235.3 \
--no-address \
--subnet=workload-subnet1 \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install apache2 -y
sudo service apache2 restart
echo 'Welcome to Workload VM1 !!' | tee /var/www/html/index.html
EOF"
4. إعداد الأجهزة المحلية لشبكة SD-WAN
إنشاء جهاز افتراضي محلي لشبكة SDWAN (الأجهزة)
في القسم التالي، سننشئ site1-nva لتعمل كأجهزة توجيه محلية.
إنشاء مثيلات
أنشئ جهاز site1-router باسم site1-nva
gcloud compute instances create site1-nva \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=site1-subnet \
--network-interface subnet=s1-inside-subnet,no-address \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any \
--can-ip-forward
5- تثبيت flexiWAN على site1-nva
افتح اتصال SSH بموقع site1-nva، وإذا انتهت المهلة، حاوِل مرة أخرى
gcloud compute ssh site1-nva --zone=us-central1-a
تثبيت flexiWAN على site1-nva
sudo su
sudo curl -sL https://deb.flexiWAN.com/setup | sudo bash -
apt install flexiWAN-router -y
جهِّز الجهاز الافتراضي لتسجيل مستوى التحكّم في flexiWAN.
بعد اكتمال عملية تثبيت flexiWAN، شغِّل الأمر fwsystem_checker لإعداد الجهاز الافتراضي لتشغيل flexiWAN. يتحقّق هذا الأمر من متطلبات النظام ويساعد في إصلاح أخطاء الإعداد في نظامك.
- اختَر الخيار
2لإجراء عملية ضبط سريعة بدون إصدار أي صوت - يمكنك الخروج بعد ذلك باستخدام الرمز 0.
- لا تغلق نافذة Cloud Shell.
root@site-1-nva-1:/home/user# fwsystem_checker
<output snipped>
[0] - quit and use fixed parameters
1 - check system configuration
2 - configure system silently
3 - configure system interactively
4 - restore system checker settings to default
------------------------------------------------
Choose: 2
<output snipped>
[0] - quit and use fixed parameters
1 - check system configuration
2 - configure system silently
3 - configure system interactively
4 - restore system checker settings to default
------------------------------------------------
Choose: 0
Please wait..
Done.
=== system checker ended ====
اترك الجلسة مفتوحة لتنفيذ الخطوات التالية
6. تسجيل site1-nva باستخدام وحدة التحكّم في SD-WAN
هذه الخطوات مطلوبة لإكمال عملية توفير جهاز NVA من flexiWAN، ويتم إدارته من وحدة تحكّم flexiManage. يُرجى التأكّد من إعداد مؤسسة flexiWAN قبل المتابعة.
يمكنك مصادقة جهاز NVA الجديد الذي تم تفعيله في flexiWAN باستخدام flexiManage من خلال رمز مميز للأمان عن طريق تسجيل الدخول إلى حساب flexiManage. يمكن إعادة استخدام الرمز المميز نفسه على جميع أجهزة التوجيه.
انقر على المستودع الإعلاني → الرموز المميّزة، وأنشئ رمزًا مميّزًا وانقر على "نسخ".
ارجع إلى Cloud Shell (site1-nva) والصِق الرمز المميّز في الدليل /etc/flexiWAN/agent/token.txt من خلال تنفيذ ما يلي:
nano /etc/flexiWAN/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter
تفعيل "أجهزة توجيه المواقع الإلكترونية" على flexiManage Console
سجِّل الدخول إلى وحدة تحكّم flexiManage لتفعيل site1-nva على وحدة التحكّم
في اللوحة اليمنى، اختَر "المستودع" (Inventory) → "الأجهزة" (Devices)، ثم انقر على الجهاز "غير معروف" (Unknown).
أدخِل اسم مضيف site1-nva ووافِق على الجهاز من خلال تحريك القرص إلى اليسار.
اختَر علامة التبويب الواجهات"
ابحث عن العمود "تم التعيين" وانقر على "لا" وغيِّر الإعداد إلى "نعم".
انقر على علامة التبويب "جدار الحماية" (Firewall) ثم على رمز "+" لإضافة قاعدة جدار حماية وارد
اختَر واجهة شبكة المنطقة الواسعة (WAN) لتطبيق قاعدة ssh كما هو موضّح أدناه
انقر على تعديل الجهاز
ابدأ site1-nva من وحدة تحكّم flexiWAN. ارجع إلى المستودع → الأجهزة → site1-nva واختَر بدء الجهاز
الحالة - جارٍ المزامنة
الحالة - تمت المزامنة
يمكن الاطّلاع على مؤشر التحذير ضمن تحديد المشاكل وحلّها → الإشعارات. بعد عرضها، اختَر الكل ثم ضَع علامة "مقروءة"
7. إعداد أجهزة SDWAN في مركز البيانات
في القسم التالي، ستنشئ مسارات Hub (hub-r1) وتسجّلها في flexiWAN Controller كما تمّ تنفيذه سابقًا مع مسارات الموقع.
افتح علامة تبويب جديدة وأنشئ جلسة Cloud Shell، وعدِّل المتغيرات $للمساعدة في تنفيذ إعدادات gcloud.
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname
إنشاء مثيلات NVA في "مركز"
أنشئ جهاز hub-r1:
gcloud compute instances create hub-r1 \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=hub-subnet1 \
--network-interface subnet=workload-subnet1,no-address \
--can-ip-forward \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any
8. تثبيت flexiWAN على مثيلات المحور لـ hub-r1
فتح اتصال SSH بـ hub-r1
gcloud compute ssh hub-r1 --zone=us-central1-a
تثبيت وكيل flexiWAN على كل من hub-r1
sudo su
sudo curl -sL https://deb.flexiWAN.com/setup | sudo bash -
apt install flexiWAN-router -y
إعداد الأجهزة الافتراضية hub-r1 للتسجيل في flexiWAN
بعد اكتمال عملية تثبيت flexiWAN، شغِّل الأمر fwsystem_checker لإعداد الجهاز الظاهري لتشغيل flexiWAN. يتحقّق هذا الأمر من متطلبات النظام ويساعد في إصلاح أخطاء الإعداد في نظامك.
root@hub-r1:/home/user# fwsystem_checker
- اختَر الخيار
2لإجراء عملية ضبط سريعة بدون إصدار أي صوت - يمكنك الخروج بعد ذلك باستخدام الرمز 0.
- لا تغلق نافذة Cloud Shell.
9- تسجيل الأجهزة الافتراضية hub-r1 على وحدة التحكّم FlexManage
يمكنك مصادقة جهاز NVA الجديد الذي تم تفعيله في flexiWAN باستخدام flexiManage من خلال رمز مميز للأمان عن طريق تسجيل الدخول إلى حساب flexiManage.
- اختَر المستودع الإعلاني → الرموز المميزة وانسخ الرمز المميز.
ارجع إلى Cloud Shell (hub-r1) وألصِق الرمز المميّز في الدليل /etc/flexiWAN/agent/token.txt من خلال تنفيذ ما يلي:
nano /etc/flexiWAN/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter
تفعيل أجهزة توجيه Hub (hub-r1) على وحدة تحكّم flexiManage
تسجيل الدخول إلى وحدة تحكّم flexiManage
- انتقِل إلى المساحة الإعلانية → الأجهزة
- ابحث عن اسم المضيف hub-r1 ولاحِظ أنّه "غير معروف"
اختَر الجهاز غير المعروف الذي يحمل اسم المضيف hub-r1
- أدخِل اسم مضيف hub-r1
- وافِق على الجهاز من خلال تحريك زر الاتصال إلى اليسار.
اختَر علامة التبويب واجهات
- ابحث عن العمود "تم التعيين"
- بجانب صف الواجهة، انقر على "لا" لتغيير الإعداد إلى "نعم".
انقر على علامة التبويب جدار الحماية
- انقر على "+" لإضافة قاعدة جدار الحماية الواردة
- اختَر واجهة شبكة WAN التي سيتم تطبيق القاعدة عليها.
- السماح بمنفذ SSH 22 باستخدام بروتوكول TCP
- انقر على تعديل الجهاز
ابدأ تشغيل جهاز hub-r1 لشبكة SD-WAN من وحدة تحكّم flexiWAN
- ارجع إلى المستودع → الأجهزة → hub-r1
انقر على بدء تشغيل الجهاز.
- انتظِر إلى أن تكتمل عملية المزامنة، ولاحِظ الحالة "قيد التشغيل".
10. Network Connectivity Center على GCP Hub
تفعيل خدمات واجهة برمجة التطبيقات
فعِّل واجهة برمجة التطبيقات الخاصة باتصال الشبكة في حال لم يتم تفعيلها بعد:
gcloud services enable networkconnectivity.googleapis.com
إنشاء "مركز NCC"
gcloud network-connectivity hubs create ncc-hub
Create request issued for: [ncc-hub]
Waiting for operation [projects/user-3p-dev/locations/global/operations/operation-1668793629598-5edc24b7ee3ce-dd4c765b-5ca79556] to complete...done.
Created hub [ncc-hub]
ضبط كلا جهازي التوجيه كشبكة فرعية في NCC
ابحث عن معرّف الموارد الموحّد (URI) وعنوان IP لكل من hub-r1 ودوِّن الناتج. ستحتاج إلى هذه المعلومات في الخطوة التالية.
احرص على تدوين عنوان IP الخاص بمثيل hub-r1.
gcloud compute instances describe hub-r1 \
--zone=us-central1-a \
--format="value(selfLink.scope(projects))"
gcloud compute instances describe hub-r1 --zone=us-central1-a | grep "networkIP"
أضِف بطاقة واجهة الشبكة الافتراضية (vnic) الخاصة بـ hub-r1 networkIP كشبكة فرعية. يكون نقل بيانات الموقع الإلكتروني من موقع إلى آخر غير مفعّل تلقائيًا.
gcloud network-connectivity spokes linked-router-appliances create s2c-wrk-cr1 \
--hub=ncc-hub \
--router-appliance=instance="https://www.googleapis.com/compute/projects/$projectname/zones/us-central1-a/instances/hub-r1",ip=192.168.235.4 \
--region=us-central1 \
--site-to-site-data-transfer
إعداد Cloud Router لإنشاء بروتوكول BGP مع Hub-R1
في الخطوة التالية، أنشئ Cloud Router وأعلِن عن الشبكة الفرعية 192.168.235.0/24 لشبكة VPC الخاصة بعبء العمل.
أنشئ موجّه السحابة الإلكترونية في us-central1 الذي سيتواصل مع BGP باستخدام hub-r1
gcloud compute routers create wrk-cr1 \
--region=us-central1 \
--network=workload-vpc \
--asn=65002 \
--set-advertisement-groups=all_subnets
من خلال ضبط أجهزة التوجيه كجهاز NCC Spoke، يمكن لجهاز التوجيه السحابي التفاوض على بروتوكول BGP على الواجهات الافتراضية.
أنشئ واجهتَين على جهاز التوجيه السحابي لتبادل رسائل BGP مع hub-r1.
يتم اختيار عناوين IP من الشبكة الفرعية الخاصة بعبء العمل ويمكن تغييرها إذا لزم الأمر.
gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int0 \
--ip-address=192.168.235.101
gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int1 \
--ip-address=192.168.235.102 \
--redundant-interface=int0
اضبط واجهة Cloud Router لإنشاء BGP باستخدام vNIC-1 في hub-r1، وعدِّل peer-ip-address باستخدام عنوان IP لشبكة hub-r1. يُرجى العِلم أنّه يتم استخدام عنوان IP نفسه لكل من int0 وint1.
gcloud compute routers add-bgp-peer wrk-cr1 \
--peer-name=hub-cr1-bgp-peer-0 \
--interface=int0 \
--peer-ip-address=192.168.235.4 \
--peer-asn=64111 \
--instance=hub-r1 \
--instance-zone=us-central1-a \
--region=us-central1
gcloud compute routers add-bgp-peer wrk-cr1 \
--peer-name=hub-cr1-bgp-peer-1 \
--interface=int1 \
--peer-ip-address=192.168.235.4 \
--peer-asn=64111 \
--instance=hub-r1 \
--instance-zone=us-central1-a \
--region=us-central1
تحقَّق من حالة BGP. في هذه المرحلة من المختبر العملي، تكون BGP في "حالة الاتصال" لأنّه لم يتم إعداد جهاز توجيه الشبكة لبروتوكول BGP.
gcloud compute routers get-status wrk-cr1 --region=us-central1
11. ضبط أجهزة توجيه Hub لبروتوكول BGP
ضبط hub-r1 لبروتوكول BGP
يُرجى التأكّد من تسجيل الدخول إلى وحدة تحكّم flexiManage
انتقِل إلى المستودع → الأجهزة → hub-r1 واختَر الجهاز الذي يحمل اسم المضيف:hub-r1
- انقر على علامة التبويب "التوجيه"
- انقر على "إعدادات BGP".
- إيقاف "إعادة توزيع مسارات OSPF"
- اضبط hub-r1 لبروتوكول BGP باستخدام هذه المَعلمات، ثم انقر على حفظ.
انقر على علامة التبويب "الواجهات"، وحدِّد موقع واجهة الشبكة المحلية (LAN)، ثم ابحث عن العمود "التوجيه".
- انقر على none لفتح القائمة من أجل اختيار BGP كبروتوكول التوجيه
- في أعلى الصفحة، انقر على "تعديل الجهاز".
12. تبادل مسارات بروتوكول BGP بين أجهزة التوجيه
إنشاء رقم نظام مستقل محلي للمواقع البعيدة
اضبط رقم النظام المستقل (ASN) المحلي لبروتوكول البوابة الحدودية (BGP) في site1-nva، وبعد ضبطه، سننشئ اتصال نفَقي لأمان بروتوكول الإنترنت (IPsec) بين المواقع البعيدة وأجهزة توجيه الموزّع.
اختَر الجهاز الذي يحمل HostName:site1-nva
- انقر على علامة التبويب "التوجيه"
- انقر على "إعدادات BGP".
- إيقاف "إعادة توزيع مسارات OSPF"
- نظام ASN المحلي 7269 → حفظ
- تحديث الجهاز
- علامة التبويب "الواجهات" → التوجيه → بروتوكول BGP
- تحديث الجهاز
ضبط أنفاق VPN بين أجهزة Site1 وHub1
يُرجى التأكّد من تسجيل الدخول إلى وحدة تحكّم flexiManage
- انتقِل إلى المساحة الإعلانية → الأجهزة
- ضَع علامة في المربّع بجانب اسم المضيف site1-nva وhub-r1 لإنشاء نفق VPN بين هذا الزوج من الأجهزة الظاهرية للشبكة (NVA).
- انقر على الإجراءات→ إنشاء أنفاق واضبط ما يلي
- انقر على إنشاء أنفاق.
تأكَّد من أنّ "site1-nva" تعلّم مسارات إلى الشبكة الفرعية 192.168.235.0/24 و192.168.236.0/24
- اختَر المستودع → الأجهزة → site1-nva وانقر على علامة التبويب التوجيه
في مثال الناتج أدناه، أنشأت flexiWAN النفق تلقائيًا باستخدام عنوان IP للمضيف 10.100.0.6 
13. التأكّد من إمكانية الوصول إلى مسار البيانات
التحقّق من إمكانية الاتصال من الموقع الإلكتروني إلى السحابة الإلكترونية
راجِع الرسم البياني، وتأكَّد من مسار البيانات بين s1-vm وworkload1-vm
ضبط مسارات VPC الثابتة من الموقع إلى السحابة
تحاكي شبكة Site1-VPC المحلية شبكة مركز بيانات محلية.
تستخدم كلتا أجهزتي توجيه Site-1-nva اتصال VPN للوصول إلى شبكة المحور.
بالنسبة إلى حالة استخدام الموقع الإلكتروني على السحابة الإلكترونية**،** أنشئ مسارات ثابتة إلى الوجهة 192.168.0.0/16 باستخدام جهاز التوجيه كقفزة تالية للوصول إلى الشبكات في شبكة السحابة الإلكترونية على Google Cloud Platform.
في s1-inside-vpc، أنشئ مسارًا ثابتًا لوجهة السحابة الإلكترونية (192.168.0.0/16):
gcloud compute routes create site1-subnet-route \
--network=s1-inside-vpc \
--destination-range=192.168.0.0/16 \
--next-hop-instance=site1-nva \
--next-hop-instance-zone=us-central1-a
في Cloud Shell، ابحث عن عنوان IP الخاص بالجهاز الظاهري workload1-vmnee". ستحتاج إلى ذلك لاختبار الاتصال من "s1-vm".
gcloud compute instances describe workload1-vm --zone=us-central1-a | grep "networkIP"
استخدِم بروتوكول SSH للوصول إلى s1-vm واستخدِم الأمر curl لإنشاء جلسة TCP لعنوان IP الخاص بالجهاز الافتراضي workload1-VM.
s1-vm:~$ curl 192.168.235.3 -vv * Trying 192.168.235.3:80... * Connected to 192.168.235.3 (192.168.235.3) port 80 (#0) > GET / HTTP/1.1 > Host: 192.168.235.3 > User-Agent: curl/7.74.0 > Accept: */* > * Mark bundle as not supporting multiuse < HTTP/1.1 200 OK < Date: Wed, 07 Dec 2022 15:12:08 GMT < Server: Apache/2.4.54 (Debian) < Last-Modified: Tue, 06 Dec 2022 00:57:46 GMT < ETag: "1f-5ef1e4acfa1d9" < Accept-Ranges: bytes < Content-Length: 31 < Content-Type: text/html < Page served from: workload1-vm * Connection #0 to host 192.168.235.3 left intact
14. تنظيف
حذف موارد "في الموقع"
تسجيل الدخول إلى Cloud Shell وحذف مثيلات الأجهزة الافتراضية في شبكات الموقع المركزي والمواقع الفرعية
#onprem instances
gcloud compute instances delete s1-vm --zone=us-central1-a --quiet
#delete on prem firewall rules
gcloud compute firewall-rules delete site1-ssh --quiet
gcloud compute firewall-rules delete site1-internal --quiet
gcloud compute firewall-rules delete site1-cloud --quiet
gcloud compute firewall-rules delete site1-vpn --quiet
gcloud compute firewall-rules delete site1-iap --quiet
#delete on prem subnets
gcloud compute networks subnets delete site1-subnet --quiet
gcloud compute networks subnets delete s1-inside-subnet --quiet
gcloud compute networks subnets delete s1-inside-subnet --quiet
#delete on prem vpcs
gcloud compute networks delete site1-vpc --quiet
gcloud compute networks delete s1-inside-vpc --quiet
حذف موارد Cloud Hub
تسجيل الدخول إلى Cloud Shell وحذف مثيلات الأجهزة الافتراضية في شبكات الموقع المركزي والمواقع الفرعية
#delete ncc spokes
gcloud network-connectivity spokes delete s2c-wrk-cr1 --region us-central1 --quiet
#delete ncc hub
gcloud network-connectivity hubs delete ncc-hub --quiet
#delete hub instances
gcloud compute instances delete hub-r1 --zone=us-central1-a --quiet
#delete hub firewall rule
gcloud compute firewall-rules delete hub-ssh --quiet
gcloud compute firewall-rules delete hub-vpn --quiet
gcloud compute firewall-rules delete hub-internal --quiet
gcloud compute firewall-rules delete hub-iap --quiet
gcloud compute firewall-rules create workload-ssh --quiet
gcloud compute firewall-rules create workload-internal --quiet
gcloud compute firewall-rules create workload-onprem --quiet
gcloud compute firewall-rules create workload-iap --quiet
#delete hub subnets
gcloud compute networks subnets delete workload-subnet1 --quiet
gcloud compute networks subnets delete hub-subnet1 --quiet
#delete hub vpcs
gcloud compute networks delete workload-vpc --quiet
gcloud compute networks delete hub-vpc --quiet
15. تهانينا!
لقد أكملت الدرس التطبيقي حول Network Connectivity Center.
المواضيع التي تناولتها
- تم ضبط عملية الدمج مع شبكة WAN المعرَّفة بالبرامج لربط شبكة المؤسسة بـ Google Cloud من خلال NCC
الخطوات التالية
- نظرة عامة على Network Connectivity Center
- مستندات Network Connectivity Center
- مَراجع flexiWAN
- مستودع flexiWAN GitLab
©Google, LLC أو الشركات التابعة لها. جميع الحقوق محفوظة. يُرجى عدم توزيعها.