1. Introduction
Présentation
Dans cet atelier, vous allez découvrir certaines des fonctionnalités de Network Connectivity Center.
Network Connectivity Center (NCC) est un modèle de plan de contrôle en étoile pour la gestion de la connectivité réseau dans Google Cloud. La ressource hub fournit un modèle de gestion de la connectivité centralisée pour connecter les spokes. NCC est actuellement compatible avec les ressources réseau suivantes en tant que spokes:
- Rattachements de VLAN
- Appareils de routeur
- VPN haute disponibilité
Les ateliers de programmation nécessitent l'utilisation de la solution SD-WAN SaaS flexiWAN qui simplifie le déploiement et la gestion du WAN.
Objectifs de l'atelier
Dans cet atelier de programmation, vous allez créer une topologie SD-WAN en étoile pour simuler des sites distants qui traverseront le réseau backbone de Google pour la communication site-cloud.
- Vous allez déployer une paire de VM GCE configurées pour l'agent SD-WAN flexiWAN dans le VPC du hub, qui représente les terminaux pour le trafic entrant et sortant vers GCP.
- Déploiement de deux routeurs SD-WAN flexiWAN distants pour représenter deux VPC de sites distants différents
- Pour tester le chemin de données, vous allez configurer trois VM GCE afin de simuler des clients sur site et un serveur hébergé sur GCP.
Points abordés
- Utiliser NCC pour interconnecter des succursales distantes à l'aide d'une solution SD-WAN Open Source
- Expérience pratique avec une solution SD-WAN Open Source
Prérequis
- Connaissances du réseau VPC GCP
- Connaissances du routage Cloud Router et BGP
2. Objectifs
- Configurer l'environnement GCP
- Déployer des instances flexiWAN Edge dans GCP
- Établir un hub NCC et un NVA flexiWAN Edge en tant que spoke
- Configurer et gérer des instances flexiWAN à l'aide de flexiManage
- Configurer l'échange de routes BGP entre vpc-app-svcs et le NVA flexiWAN
- Créer un site distant simulant une branche distante ou un centre de données client
- Établir un tunnel IPsec entre le site distant et le NVA
- Vérifier que les appliances ont bien été déployées
- Valider le transfert de données du site vers le cloud
- Nettoyer les ressources utilisées
Pour suivre ce tutoriel, vous devez créer un compte flexiManage sans frais afin d'authentifier, d'intégrer et de gérer des instances flexiEdge.
Avant de commencer
Utiliser la console Google Cloud et Cloud Shell
Pour interagir avec GCP, nous utiliserons à la fois Google Cloud Console et Cloud Shell tout au long de cet atelier.
Console Google Cloud
La console Cloud est accessible à l'adresse https://console.cloud.google.com.
Configurez les éléments suivants dans Google Cloud pour faciliter la configuration de Network Connectivity Center:
Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.
Lancez le Cloud Shell. Cet atelier de programmation utilise des $variables pour faciliter l'implémentation de la configuration gcloud dans Cloud Shell.
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname
Rôles IAM
NCC nécessite des rôles IAM pour accéder à des API spécifiques. Veillez à configurer votre utilisateur avec les rôles IAM NCC requis.
Nom du rôle | Description | Autorisations |
networkconnectivity.networkAdmin | Permet aux administrateurs réseau de gérer les hubs et les spokes. | networkconnectivity.hubs.networkconnectivity.spokes. |
networkconnectivity.networkSpokeManager | Permet d'ajouter et de gérer des spokes dans un hub. À utiliser dans un VPC partagé où le projet hôte est propriétaire du hub, mais que d'autres administrateurs d'autres projets peuvent ajouter des spokes pour leurs associations au hub. | networkconnectivity.spokes.** |
networkconnectivity.networkUsernetworkconnectivity.networkViewer | Permet aux utilisateurs du réseau d'afficher différents attributs du hub et des spokes. | networkconnectivity.hubs.getnetworkconnectivity.hubs.listnetworkconnectivity.spokes.getnetworkconnectivity.spokes.listnetworkconnectivity.spokes.aggregatedList |
3. Configurer l'environnement de l'atelier réseau
Présentation
Dans cette section, nous allons déployer les réseaux VPC et les règles de pare-feu.
Simuler les réseaux des sites de périphérie sur site
Ce réseau VPC contient des sous-réseaux pour les instances de VM sur site.
Créez les réseaux et sous-réseaux du site sur site:
gcloud compute networks create site1-vpc \
--subnet-mode custom
gcloud compute networks create s1-inside-vpc \
--subnet-mode custom
gcloud compute networks subnets create site1-subnet \
--network site1-vpc \
--range 10.10.0.0/24 \
--region us-central1
gcloud compute networks subnets create s1-inside-subnet \
--network s1-inside-vpc \
--range 10.10.1.0/24 \
--region us-central1
Créez des règles de pare-feu site1-vpc pour autoriser:
- SSH, interne, IAP
- ESP, UDP/500, UDP/4500
- Plage 10.0.0.0/8
- Plage 192.168.0.0/16
gcloud compute firewall-rules create site1-ssh \--network site1-vpc \
--allow tcp:22
gcloud compute firewall-rules create site1-internal \
--network site1-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create site1-cloud \
--network site1-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create site1-vpn \
--network site1-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router
gcloud compute firewall-rules create site1-iap \
--network site1-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
Créez des règles de pare-feu s1-inside-vpc pour autoriser:
- SSH, interne, IAP
- Plage 10.0.0.0/8
- Plage 192.168.0.0/16
gcloud compute firewall-rules create s1-inside-ssh \
--network s1-inside-vpc \
--allow tcp:22
gcloud compute firewall-rules create s1-inside-internal \
--network s1-inside-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create s1-inside-cloud \
--network s1-inside-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create s1-inside-iap \
--network site2-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
À des fins de test, créez les instances s1-inside-vm et s2-inside-vm.
gcloud compute instances create s1-vm \
--zone=us-central1-a \
--machine-type=e2-micro \
--network-interface subnet=s1-inside-subnet,private-network-ip=10.10.1.3,no-address
Simuler l'environnement réseau cloud GCP
Pour activer le trafic de site à site interrégional via le réseau hub-vpc et les spokes, vous devez activer le routage global sur le réseau hub-vpc. Pour en savoir plus, consultez la section Échange de routes du NCC.
- Créez un réseau et des sous-réseaux
hub-vpc:
gcloud compute networks create hub-vpc \
--subnet-mode custom \
--bgp-routing-mode=global
gcloud compute networks subnets create hub-subnet1 \
--network hub-vpc \
--range 10.1.0.0/24 \
--region us-central1
gcloud compute networks subnets create hub-subnet2 \
--network hub-vpc \
--range 10.2.0.0/24 \
--region us-east4
- Créez un réseau et des sous-réseaux
workload-vpc:
gcloud compute networks create workload-vpc \
--subnet-mode custom \
--bgp-routing-mode=global
gcloud compute networks subnets create workload-subnet1 \
--network workload-vpc \
--range 192.168.235.0/24 \
--region us-central1
- Créez des règles de pare-feu Hub-VPC pour autoriser:
- SSH
- ESP, UDP/500, UDP/4500
- Plage interne 10.0.0.0/8 (qui couvre le port TCP 179 requis pour la session BGP du routeur cloud à l'appareil de routeur)
gcloud compute firewall-rules create hub-ssh \
--network hub-vpc \
--allow tcp:22
gcloud compute firewall-rules create hub-vpn \
--network hub-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router
gcloud compute firewall-rules create hub-internal \
--network hub-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create hub-iap \
--network hub-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
- Créez des règles de pare-feu Workload-VPC pour autoriser:
- SSH
- Plage interne 192.168.0.0/16 (qui couvre le port TCP 179 requis pour la session BGP du routeur cloud à l'appareil de routeur)
gcloud compute firewall-rules create workload-ssh \
--network workload-vpc \
--allow tcp:22
gcloud compute firewall-rules create workload-internal \
--network workload-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create workload-onprem \
--network hub-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create workload-iap \
--network workload-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
- Activez Cloud NAT dans le VPC de la charge de travail pour permettre à workload1-vm de télécharger des paquets en créant un routeur Cloud et une passerelle NAT.
gcloud compute routers create cloud-router-usc-central-1-nat \
--network workload-vpc \
--region us-central1
gcloud compute routers nats create cloudnat-us-central1 \
--router=cloud-router-usc-central-1-nat \
--auto-allocate-nat-external-ips \
--nat-all-subnet-ip-ranges \
--region us-central1
- Créez l'hôte
workload1-vmin "us-central1-a" inworkload-VPC. Vous l'utiliserez pour vérifier la connectivité entre le site et le cloud.
gcloud compute instances create workload1-vm \
--project=$projectname \
--machine-type=e2-micro \
--image-family debian-10 \
--image-project debian-cloud \
--zone us-central1-a \
--private-network-ip 192.168.235.3 \
--no-address \
--subnet=workload-subnet1 \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install apache2 -y
sudo service apache2 restart
echo 'Welcome to Workload VM1 !!' | tee /var/www/html/index.html
EOF"
4. Configurer des appareils sur site pour le SD-WAN
Créer la VM sur site pour SDWAN (appliances)
Dans la section suivante, nous allons créer site1-nva qui jouera le rôle de routeur sur site.
Créer des instances
Créez l'appliance site1-router nommée site1-nva.
gcloud compute instances create site1-nva \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=site1-subnet \
--network-interface subnet=s1-inside-subnet,no-address \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any \
--can-ip-forward
5. Installer flexiWAN sur site1-nva
Ouvrez une connexion SSH à site1-nva. Si le délai d'expiration est dépassé, réessayez.
gcloud compute ssh site1-nva --zone=us-central1-a
Installer flexiWAN sur site1-nva
sudo su
sudo curl -sL https://deb.flexiWAN.com/setup | sudo bash -
apt install flexiWAN-router -y
Préparez la VM à l'enregistrement du plan de contrôle flexiWAN.
Une fois l'installation de flexiWAN terminée, exécutez la commande fwsystem_checker pour préparer la VM à l'opération flexiWAN. Cette commande vérifie les exigences système et aide à corriger les erreurs de configuration de votre système.
- Sélectionnez l'option
2pour une configuration rapide et silencieuse. - Quittez ensuite avec 0.
- Ne fermez pas la fenêtre Cloud Shell.
root@site-1-nva-1:/home/user# fwsystem_checker
<output snipped>
[0] - quit and use fixed parameters
1 - check system configuration
2 - configure system silently
3 - configure system interactively
4 - restore system checker settings to default
------------------------------------------------
Choose: 2
<output snipped>
[0] - quit and use fixed parameters
1 - check system configuration
2 - configure system silently
3 - configure system interactively
4 - restore system checker settings to default
------------------------------------------------
Choose: 0
Please wait..
Done.
=== system checker ended ====
Laissez la session ouverte pour les étapes suivantes.
6. Enregistrer site1-nva auprès du contrôleur SD-WAN
Ces étapes sont nécessaires pour terminer le provisionnement du NVA flexiWAN, qui est administré à partir de la console flexiManage. Assurez-vous que l'organisation flexiWAN est configurée avant de continuer.
Authentifiez le NVA flexiWAN nouvellement déployé avec flexiManage à l'aide d'un jeton de sécurité en vous connectant au compte flexiManage. Le même jeton peut être réutilisé pour tous les routeurs.
Sélectionnez Inventaire → Jetons, créez un jeton, puis sélectionnez "Copier".
Revenez à Cloud Shell (site1-nva) et collez le jeton dans le répertoire /etc/flexiWAN/agent/token.txt en procédant comme suit :
nano /etc/flexiWAN/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter
Activer les routeurs de site dans la console flexiManage
Connectez-vous à la console flexiManage pour activer site1-nva sur le contrôleur.
Dans le panneau de gauche, sélectionnez Inventory → Devices (Inventaire → Appareils), puis cliquez sur l'appareil "Unknown" (Inconnu).
Saisissez le nom d'hôte de site1-nva, puis approuvez l'appareil en faisant glisser le curseur vers la droite.
Sélectionnez l'onglet Interfaces.
Recherchez la colonne Attribué, cliquez sur Non, puis définissez le paramètre sur Oui.
Sélectionnez l'onglet "Pare-feu", puis cliquez sur le signe + pour ajouter une règle de pare-feu entrant.
Sélectionnez l'interface WAN pour appliquer la règle SSH, comme décrit ci-dessous.
Cliquez sur Mettre à jour l'appareil.
Démarrez le site1-nva à partir du contrôleur flexiWAN. Revenez à Inventory → Devices → site1-nva (Inventaire → Appareils → site1-nva), puis sélectionnez Start Device (Démarrer l'appareil).
État : Synchronisation
État : Synchronisé
L'indicateur d'avertissement s'affiche sous Dépannage → Notifications. Une fois la vidéo visionnée, sélectionnez-la, puis marquez-la comme lue.
7. Configurer les appareils SD-WAN du hub
Dans la section suivante, vous allez créer et enregistrer les routeurs de hub (hub-r1) auprès du contrôleur flexiWAN, comme vous l'avez fait précédemment avec les routes de site.
Ouvrez un nouvel onglet et créez une session Cloud Shell. Mettez à jour les variables $pour faciliter l'implémentation de la configuration gcloud.
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname
Créer des instances de NVA de hub
Créez l'appliance hub-r1:
gcloud compute instances create hub-r1 \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=hub-subnet1 \
--network-interface subnet=workload-subnet1,no-address \
--can-ip-forward \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any
8. Installer flexiWAN sur les instances de hub pour hub-r1
Ouvrez une connexion SSH à hub-r1.
gcloud compute ssh hub-r1 --zone=us-central1-a
Installer l'agent flexiWAN sur les deux hubs-r1
sudo su
sudo curl -sL https://deb.flexiWAN.com/setup | sudo bash -
apt install flexiWAN-router -y
Préparer les VM hub-r1 à l'enregistrement flexiWAN
Une fois l'installation de flexiWAN terminée, exécutez la commande fwsystem_checker pour préparer la VM à l'opération flexiWAN. Cette commande vérifie les exigences système et aide à corriger les erreurs de configuration de votre système.
root@hub-r1:/home/user# fwsystem_checker
- Sélectionnez l'option
2pour une configuration rapide et silencieuse. - Quittez ensuite avec 0.
- Ne fermez pas la fenêtre Cloud Shell.
9. Enregistrer les VM hub-r1 sur le contrôleur FlexManage
Authentifiez le NVA flexiWAN nouvellement déployé avec flexiManage à l'aide d'un jeton de sécurité en vous connectant au compte flexiManage.
- Sélectionnez Inventaire → Jetons, puis copiez le jeton.
Revenez à Cloud Shell (hub-r1) et collez le jeton dans le répertoire /etc/flexiWAN/agent/token.txt en procédant comme suit :
nano /etc/flexiWAN/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter
Activer les routeurs hub-r1 dans la console flexiManage
Se connecter à la console flexiManage
- Accédez à Inventaire → Appareils.
- Le nom d'hôte de hub-r1 est "unknown" (inconnu).
Sélectionnez l'appareil inconnu avec le nom d'hôte hub-r1.
- Saisissez le nom d'hôte du hub-r1.
- Approuvez l'appareil en faisant glisser le curseur vers la droite.
Sélectionnez l'onglet Interfaces.
- Recherchez la colonne "Attribué".
- À côté de la ligne de l'interface, cliquez sur Non pour définir le paramètre sur Oui.
Sélectionnez l'onglet Pare-feu.
- Cliquez sur + pour ajouter une règle de pare-feu entrante.
- Sélectionnez l'interface WAN à hériter de la règle
- Autoriser le port SSH 22 avec le protocole TCP
- Cliquez sur Mettre à jour l'appareil.
Démarrer l'appliance hub-r1 pour le SD-WAN à partir du contrôleur de flexiWAN
- Revenez à Inventaire → Appareils → hub-r1.
Sélectionnez Démarrer l'appareil.
- Attendez que la synchronisation soit terminée et notez l'état Running (En cours).
10. Network Connectivity Center sur GCP Hub
Activer les services d'API
Activez l'API Network Connectivity si elle n'est pas encore activée:
gcloud services enable networkconnectivity.googleapis.com
Créer le hub NCC
gcloud network-connectivity hubs create ncc-hub
Create request issued for: [ncc-hub]
Waiting for operation [projects/user-3p-dev/locations/global/operations/operation-1668793629598-5edc24b7ee3ce-dd4c765b-5ca79556] to complete...done.
Created hub [ncc-hub]
Configurer les deux appliances de routeur en tant que spoke du NCC
Recherchez l'URI et l'adresse IP de hub-r1, puis notez la sortie. Vous en aurez besoin à l'étape suivante.
Veillez à noter l'adresse IP de l'instance hub-r1.
gcloud compute instances describe hub-r1 \
--zone=us-central1-a \
--format="value(selfLink.scope(projects))"
gcloud compute instances describe hub-r1 --zone=us-central1-a | grep "networkIP"
Ajoutez le vnic networkIP de hub-r1 en tant que spoke. Par défaut, le transfert de données de site à site est désactivé.
gcloud network-connectivity spokes linked-router-appliances create s2c-wrk-cr1 \
--hub=ncc-hub \
--router-appliance=instance="https://www.googleapis.com/compute/projects/$projectname/zones/us-central1-a/instances/hub-r1",ip=192.168.235.4 \
--region=us-central1 \
--site-to-site-data-transfer
Configurer Cloud Router pour établir BGP avec Hub-R1
À l'étape suivante, créez le routeur cloud et annoncez le sous-réseau VPC de la charge de travail 192.168.235.0/24.
Créez le routeur cloud dans us-central1 qui communiquera avec BGP avec hub-r1.
gcloud compute routers create wrk-cr1 \
--region=us-central1 \
--network=workload-vpc \
--asn=65002 \
--set-advertisement-groups=all_subnets
En configurant les appliances de routeur en tant que spoke NCC, le routeur cloud peut négocier BGP sur les interfaces virtuelles.
Créez deux interfaces sur le routeur cloud qui échangeront des messages BGP avec hub-r1.
Les adresses IP sont sélectionnées dans le sous-réseau de la charge de travail et peuvent être modifiées si nécessaire.
gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int0 \
--ip-address=192.168.235.101
gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int1 \
--ip-address=192.168.235.102 \
--redundant-interface=int0
Configurez l'interface du routeur cloud pour établir un routage BGP avec le vNIC-1 de hub-r1, puis mettez à jour l'adresse IP du pair avec l'adresse IP du réseau hub-r1. Notez que la même adresse IP est utilisée pour int0 et int1.
gcloud compute routers add-bgp-peer wrk-cr1 \
--peer-name=hub-cr1-bgp-peer-0 \
--interface=int0 \
--peer-ip-address=192.168.235.4 \
--peer-asn=64111 \
--instance=hub-r1 \
--instance-zone=us-central1-a \
--region=us-central1
gcloud compute routers add-bgp-peer wrk-cr1 \
--peer-name=hub-cr1-bgp-peer-1 \
--interface=int1 \
--peer-ip-address=192.168.235.4 \
--peer-asn=64111 \
--instance=hub-r1 \
--instance-zone=us-central1-a \
--region=us-central1
Vérifiez l'état BGP. À ce stade de l'atelier de programmation, BGP est "connect state", car l'appliance de routeur réseau n'a pas été configurée pour BGP.
gcloud compute routers get-status wrk-cr1 --region=us-central1
11. Configurer les appareils de routeur Hub pour BGP
Configurer hub-r1 pour BGP
Veillez à vous connecter à la console flexiManage.
Accédez à Inventory (Inventaire) → Devices (Appareils) → hub-r1 (hub-r1), puis sélectionnez l'appareil avec HostName:hub-r1 (Nom d'hôte : hub-r1).
- Cliquez sur l'onglet Routage.
- Cliquez sur "Configuration BGP".
- Désactiver "Redistribute OSPF Routes" (Redistribuer les routes OSPF)
- Configurez hub-r1 pour BGP avec ces paramètres, puis cliquez sur "Save" (Enregistrer).
Sélectionnez l'onglet Interfaces, recherchez l'interface LAN, puis la colonne Routing (Routage).
- Cliquez sur Aucun pour ouvrir le menu et sélectionner BGP comme protocole de routage.
- En haut de la page, cliquez sur "Mettre à jour l'appareil".
12. Échange de routes BGP entre les appareils de routeur
Définir un ASN local pour les sites distants
Configurez un numéro ASN BGP local pour site1-nva. Une fois la configuration terminée, nous établirons un tunnel IPsec entre les sites distants et les routeurs de hub.
Sélectionnez l'appareil avec HostName:site1-nva
- Cliquez sur l'onglet Routage.
- Cliquez sur "Configuration BGP".
- Désactiver "Redistribute OSPF Routes" (Redistribuer les routes OSPF)
- Numéro ASN local 7269 → Enregistrer
- Mettre à jour l'appareil
- Onglet "Interfaces" → "Routage" → "BGP"
- Mettre à jour l'appareil
Configurer des tunnels VPN entre les appareils Site1 et Hub1
Veillez à vous connecter à la console flexiManage.
- Accédez à Inventaire → Appareils.
- Cochez la case à côté des noms d'hôte site1-nva et hub-r1 pour créer un tunnel VPN entre cette paire de NVA.
- Cliquez sur Actions → Créer des tunnels, puis configurez les éléments suivants :
- Sélectionnez Créer des tunnels.
Vérifier que "site1-nva" a appris les routes vers les sous-réseaux 192.168.235.0/24 et 192.168.236.0/24
- Sélectionnez Inventory → Devices → site1-nva (Inventaire → Appareils → site1-nva), puis cliquez sur l'onglet Routing (Routage).
Dans l'exemple de résultat ci-dessous, flexiWAN a automatiquement créé le tunnel à l'aide de l'adresse IP de l'hôte 10.100.0.6 
13. Vérifier la connectivité du chemin d'accès aux données
Vérifier la connectivité de site à cloud sur site
Reportez-vous au schéma. Vérifiez que le chemin de données entre s1-vm et workload1-vm
Configurer des routes statiques VPC pour Site to Cloud
Le Site1-VPC sur site simule un réseau de centre de données sur site.
Les deux appareils de routeur Site-1-nva utilisent la connectivité VPN pour accéder au réseau du hub.
Pour le cas d'utilisation site vers cloud**,** créez des routes statiques vers la destination 192.168.0.0/16 en utilisant l'appareil de routeur comme saut suivant pour atteindre les réseaux du réseau cloud GCP.
Sur s1-inside-vpc,créez une route statique pour la destination cloud (192.168.0.0/16):
gcloud compute routes create site1-subnet-route \
--network=s1-inside-vpc \
--destination-range=192.168.0.0/16 \
--next-hop-instance=site1-nva \
--next-hop-instance-zone=us-central1-a
Dans CloudShell, recherchez l'adresse IP de workload1-vmnee." Vous en aurez besoin pour tester la connectivité depuis s1-vm.
gcloud compute instances describe workload1-vm --zone=us-central1-a | grep "networkIP"
Connectez-vous en SSH à s1-vm et utilisez la commande curl pour établir une session TCP vers l'adresse IP de la VM workload1.
s1-vm:~$ curl 192.168.235.3 -vv * Trying 192.168.235.3:80... * Connected to 192.168.235.3 (192.168.235.3) port 80 (#0) > GET / HTTP/1.1 > Host: 192.168.235.3 > User-Agent: curl/7.74.0 > Accept: */* > * Mark bundle as not supporting multiuse < HTTP/1.1 200 OK < Date: Wed, 07 Dec 2022 15:12:08 GMT < Server: Apache/2.4.54 (Debian) < Last-Modified: Tue, 06 Dec 2022 00:57:46 GMT < ETag: "1f-5ef1e4acfa1d9" < Accept-Ranges: bytes < Content-Length: 31 < Content-Type: text/html < Page served from: workload1-vm * Connection #0 to host 192.168.235.3 left intact
14. Effectuer un nettoyage
Supprimer les ressources sur site
Se connecter à Cloud Shell et supprimer les instances de VM dans les réseaux du hub et des sites de périphérie
#onprem instances
gcloud compute instances delete s1-vm --zone=us-central1-a --quiet
#delete on prem firewall rules
gcloud compute firewall-rules delete site1-ssh --quiet
gcloud compute firewall-rules delete site1-internal --quiet
gcloud compute firewall-rules delete site1-cloud --quiet
gcloud compute firewall-rules delete site1-vpn --quiet
gcloud compute firewall-rules delete site1-iap --quiet
#delete on prem subnets
gcloud compute networks subnets delete site1-subnet --quiet
gcloud compute networks subnets delete s1-inside-subnet --quiet
gcloud compute networks subnets delete s1-inside-subnet --quiet
#delete on prem vpcs
gcloud compute networks delete site1-vpc --quiet
gcloud compute networks delete s1-inside-vpc --quiet
Supprimer les ressources Cloud Hub
Se connecter à Cloud Shell et supprimer les instances de VM dans les réseaux du hub et des sites de périphérie
#delete ncc spokes
gcloud network-connectivity spokes delete s2c-wrk-cr1 --region us-central1 --quiet
#delete ncc hub
gcloud network-connectivity hubs delete ncc-hub --quiet
#delete hub instances
gcloud compute instances delete hub-r1 --zone=us-central1-a --quiet
#delete hub firewall rule
gcloud compute firewall-rules delete hub-ssh --quiet
gcloud compute firewall-rules delete hub-vpn --quiet
gcloud compute firewall-rules delete hub-internal --quiet
gcloud compute firewall-rules delete hub-iap --quiet
gcloud compute firewall-rules create workload-ssh --quiet
gcloud compute firewall-rules create workload-internal --quiet
gcloud compute firewall-rules create workload-onprem --quiet
gcloud compute firewall-rules create workload-iap --quiet
#delete hub subnets
gcloud compute networks subnets delete workload-subnet1 --quiet
gcloud compute networks subnets delete hub-subnet1 --quiet
#delete hub vpcs
gcloud compute networks delete workload-vpc --quiet
gcloud compute networks delete hub-vpc --quiet
15. Félicitations !
Vous avez terminé l'atelier sur Network Connectivity Center.
Sujets abordés
- Intégration du réseau étendu défini par logiciel pour le site NCC vers le cloud
Étapes suivantes
- Présentation de Network Connectivity Center
- Documentation du centre de connectivité réseau
- Ressources flexiWAN
- Dépôt GitLab flexiWAN
© Google, LLC ou ses sociétés affiliées. Tous droits réservés. Ne pas diffuser.