1. מבוא
סקירה כללית
בשיעור ה-Lab הזה תכירו כמה מהתכונות של Network Connectivity Center.
Network Connectivity Center (NCC) הוא מודל מישור בקרה רכזת ודיבור לניהול קישוריות הרשת ב-Google Cloud. משאב המרכז מספק מודל מרכזי לניהול קישוריות לחיבור חישורים. נכון לעכשיו, רשת NCC תומכת במשאבי הרשת הבאים בדיבורים:
- קבצים מצורפים ל-VLAN
- נתבים מכשירי חשמל
- HA VPN
כדי להשתמש ב-Codelabs, צריך להשתמש ב-SD-WAN בפתרון FlexiWAN SaaS, שמפשט את הפריסה והניהול של WAN.
מה תפַתחו
ב-Codelab הזה, תפתחו רכזת ותסביר טופולוגיה SD-WAN כדי לדמות אתרים בהסתעפויות מרוחקות, שיעברו את רשת השדרה של Google לתקשורת מאתרים לענן.
- בהמשך תפרסו שני צמדי VM של GCE שהוגדרו לסוכן גמיש WAN ב-VPC ב-VPC המרכזי שמייצג את הקצה הקדמי לתנועה נכנסת ויוצאת ל-GCP.
- פריסת שני נתבים גמישים מרחוק מסוג SD-WAN מרחוק כדי לייצג VPC של אתר הסתעפות שונה
- כדי לבדוק נתיב נתונים, צריך להגדיר שלוש מכונות וירטואליות ב-GCE שידמה לקוחות נייחים ושרתים שמתארחים ב-GCP
מה תלמדו
- שימוש ב-NCC כדי לחבר בין משרדים בסניפים מרוחקים באמצעות פתרון WAN בהגדרת תוכנה בקוד פתוח.
- ניסיון מעשי עם פתרון WAN מוגדר של תוכנת קוד פתוח
מה צריך להכין
- ידע על רשת GCP VPC
- ידע בניתוב Cloud Router ו-BGP
2. מטרות
- הגדרת סביבת GCP
- פריסת מכונות FlexibleiWAN Edge ב-GCP
- יוצרים NCC Hub ו-FlexibleiWAN Edge NVA כדי לדבר
- הגדרה וניהול של מכונות FlexibleiWAN באמצעות FlexibleiManage
- הגדרה של החלפת מסלול BGP בין vpc-app-svcs לבין FlexibleiWAN NVA
- יצירת אתר מרוחק שמדמה סניף מרוחק של לקוח או מרכז נתונים
- יצירת מנהרת IPSEC בין האתר המרוחק ל-NVA
- אימות של מכשירי החשמל שנפרסו
- אימות העברת נתונים מאתר לענן
- מחיקת המשאבים שנוצלו
במדריך הזה צריך ליצור חשבון FlexiManage (חשבון גמיש) בחינם לצורך אימות, הצטרפות וניהול של מכונות FlexiEdge.
לפני שמתחילים
שימוש במסוף Google Cloud וב-Cloud Shell
כדי לקיים אינטראקציה עם GCP, נשתמש גם ב-Google Cloud Console וגם ב-Cloud Shell בשיעור ה-Lab הזה.
מסוף Google Cloud
אפשר להגיע אל Cloud Console בכתובת https://console.cloud.google.com.
כדי שיהיה קל יותר להגדיר את Network Connectivity Center, צריך להגדיר את הפריטים הבאים ב-Google Cloud:
במסוף Google Cloud, בדף בחירת הפרויקט, בוחרים או יוצרים פרויקט חדש ב-Google Cloud.
מפעילים את Cloud Shell. ב-Codelab הזה נעשה שימוש ב-$variables כדי לעזור בהטמעת ההגדרות של gcloud ב-Cloud Shell.
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname
תפקידי IAM
ל-NCC נדרשים תפקידי IAM כדי לגשת לממשקי API ספציפיים. חשוב להגדיר למשתמשים את תפקידי ה-NCC ב-IAM לפי הצורך.
שם התפקיד | תיאור | הרשאות |
networkconnectivity.networkAdmin | מאפשרת למנהלי רשתות לנהל את הרכזת והדיבור. | Networkconnectivity.hubs.networkconnectivity.spokes. |
networkconnectivity.networkSpokeManager | מאפשרת הוספה וניהול של חישורים ברכזת. לשימוש ב-VPC משותף שבו המרכז המארח הוא הבעלים של הפרויקט, אבל אדמינים אחרים בפרויקטים אחרים יכולים להוסיף חישורים לקבצים המצורפים שלהם למרכז. | networkconnectivity.spokes.** |
networkconnectivity.networkUsernetworkconnectivity.networkViewer | מאפשרת למשתמשי הרשת להציג מאפיינים שונים של רכזת וחשורים. | networkconnectivity.hubs.getnetworkconnectivity.hubs.listnetworkconnectivity.spokes.getnetworkconnectivity.spokes.listnetworkconnectivity.spokes.aggregatedList |
3. הגדרה של סביבת מעבדת הרשת
סקירה כללית
בקטע הזה נפרוס את רשתות ה-VPC וכללי חומת האש.
הדמיה של רשתות אתרים סניפים מקומיים
רשת ה-VPC הזו מכילה רשתות משנה למכונות וירטואליות מקומיות.
יוצרים את הרשתות ואת רשתות המשנה בארגון:
gcloud compute networks create site1-vpc \
--subnet-mode custom
gcloud compute networks create s1-inside-vpc \
--subnet-mode custom
gcloud compute networks subnets create site1-subnet \
--network site1-vpc \
--range 10.10.0.0/24 \
--region us-central1
gcloud compute networks subnets create s1-inside-subnet \
--network s1-inside-vpc \
--range 10.10.1.0/24 \
--region us-central1
יוצרים כללי חומת אש מסוג site1-vpc כדי לאפשר:
- SSH, פנימי, IAP
- ESP, UDP/500, UDP/4500
- טווח של 10.0.0.0/8
- טווח 192.168.0.0/16
gcloud compute firewall-rules create site1-ssh \--network site1-vpc \
--allow tcp:22
gcloud compute firewall-rules create site1-internal \
--network site1-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create site1-cloud \
--network site1-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create site1-vpn \
--network site1-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router
gcloud compute firewall-rules create site1-iap \
--network site1-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
יוצרים כללי חומת אש מסוג s1-inside-vpc כדי לאפשר:
- SSH, פנימי, IAP
- טווח של 10.0.0.0/8
- טווח 192.168.0.0/16
gcloud compute firewall-rules create s1-inside-ssh \
--network s1-inside-vpc \
--allow tcp:22
gcloud compute firewall-rules create s1-inside-internal \
--network s1-inside-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create s1-inside-cloud \
--network s1-inside-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create s1-inside-iap \
--network site2-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
למטרות בדיקה, יוצרים את המופעים s1-inside-vm ו-s2-inside-vm
gcloud compute instances create s1-vm \
--zone=us-central1-a \
--machine-type=e2-micro \
--network-interface subnet=s1-inside-subnet,private-network-ip=10.10.1.3,no-address
סימולציה של סביבת הרשת של GCP ל-GCP
כדי להפעיל תנועה חוצת-אזור מאתר לאתר דרך רשת hub-vpc והדיבורים, צריך להפעיל ניתוב גלובלי ברשת hub-vpc. מידע נוסף זמין במאמר בנושא החלפת מסלולים ב-NCC.
- יצירת רשת ורשתות משנה של
hub-vpc:
gcloud compute networks create hub-vpc \
--subnet-mode custom \
--bgp-routing-mode=global
gcloud compute networks subnets create hub-subnet1 \
--network hub-vpc \
--range 10.1.0.0/24 \
--region us-central1
gcloud compute networks subnets create hub-subnet2 \
--network hub-vpc \
--range 10.2.0.0/24 \
--region us-east4
- יצירת רשת ורשתות משנה של
workload-vpc:
gcloud compute networks create workload-vpc \
--subnet-mode custom \
--bgp-routing-mode=global
gcloud compute networks subnets create workload-subnet1 \
--network workload-vpc \
--range 192.168.235.0/24 \
--region us-central1
- יוצרים כללי חומת אש של Hub-VPC כדי לאפשר:
- SSH
- ESP, UDP/500, UDP/4500
- טווח פנימי 10.0.0.0/8 (שמכסה את יציאת ה-TCP 179 שנדרשת לסשן BGP מהנתב בענן אל הנתב)
gcloud compute firewall-rules create hub-ssh \
--network hub-vpc \
--allow tcp:22
gcloud compute firewall-rules create hub-vpn \
--network hub-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router
gcloud compute firewall-rules create hub-internal \
--network hub-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create hub-iap \
--network hub-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
- ליצור כללי חומת אש של Workload-VPC כדי לאפשר:
- SSH
- טווח פנימי 192.168.0.0/16 (שמכסה את יציאת ה-TCP 179 שנדרשת לסשן BGP מנתב בענן אל הנתב)
gcloud compute firewall-rules create workload-ssh \
--network workload-vpc \
--allow tcp:22
gcloud compute firewall-rules create workload-internal \
--network workload-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create workload-onprem \
--network hub-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create workload-iap \
--network workload-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
- הפעלת Cloud NAT בעומס העבודה-VPC כדי לאפשר ל-workload1-vm להוריד חבילות על ידי יצירת Cloud Router ו-NAT Gateway
gcloud compute routers create cloud-router-usc-central-1-nat \
--network workload-vpc \
--region us-central1
gcloud compute routers nats create cloudnat-us-central1 \
--router=cloud-router-usc-central-1-nat \
--auto-allocate-nat-external-ips \
--nat-all-subnet-ip-ranges \
--region us-central1
- יוצרים את
workload1-vmin "us-central1-a" inworkload-VPC, והמארח הזה ישמש לאימות הקישוריות לענן של האתר
gcloud compute instances create workload1-vm \
--project=$projectname \
--machine-type=e2-micro \
--image-family debian-10 \
--image-project debian-cloud \
--zone us-central1-a \
--private-network-ip 192.168.235.3 \
--no-address \
--subnet=workload-subnet1 \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install apache2 -y
sudo service apache2 restart
echo 'Welcome to Workload VM1 !!' | tee /var/www/html/index.html
EOF"
4. הגדרה במכשירי חשמל נטענים עבור SD-WAN
יצירת מכונה וירטואלית מקומית (VM) עבור SDWAN (Appliances)
בקטע הבא ניצור site1-nva כנתבים מקומיים.
יצירת מכונות
יוצרים את הכלי site1-router בשם site1-nva
gcloud compute instances create site1-nva \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=site1-subnet \
--network-interface subnet=s1-inside-subnet,no-address \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any \
--can-ip-forward
5. התקנה של FlexibleiWAN ב-site1-nva
פתיחת חיבור SSH לאתר site1-nva, אם הזמן הקצוב לתפוגה יהיה ניסיון חוזר
gcloud compute ssh site1-nva --zone=us-central1-a
התקנה של FlexibleiWAN ב-site1-nva
sudo su
sudo curl -sL https://deb.flexiWAN.com/setup | sudo bash -
apt install flexiWAN-router -y
מכינים את המכונה הווירטואלית (VM) לרישום רמת הבקרה הגמישה של WAN.
לאחר השלמת ההתקנה של FlexibleiWAN, מריצים את הפקודה fwsystem_checker כדי להכין את ה-VM לפעולה של FlexibleiWAN. הפקודה הזו בודקת את דרישות המערכת ועוזרת לתקן שגיאות בהגדרה במערכת.
- בוחרים באפשרות
2להגדרה מהירה ושקטה - יציאה לאחר מכן עם 0.
- אסור לסגור את חלון ה-Cloud Shell.
root@site-1-nva-1:/home/user# fwsystem_checker
<output snipped>
[0] - quit and use fixed parameters
1 - check system configuration
2 - configure system silently
3 - configure system interactively
4 - restore system checker settings to default
------------------------------------------------
Choose: 2
<output snipped>
[0] - quit and use fixed parameters
1 - check system configuration
2 - configure system silently
3 - configure system interactively
4 - restore system checker settings to default
------------------------------------------------
Choose: 0
Please wait..
Done.
=== system checker ended ====
צריך להשאיר את הסשן פתוח כדי לבצע את השלבים הבאים
6. רישום site1-nva בבקר SD-WAN
השלבים האלה נדרשים כדי להשלים את ההקצאה של FlexibleiWAN NVA מנוהל מ-FlexibleiManage Console. לפני שממשיכים, צריך לוודא שהארגון ה-גמיש מוגדר.
אימות של FlexibleiWAN NVA שנפרס באמצעות FlexibleiManage באמצעות אסימון אבטחה, על ידי התחברות לחשבון ה-FlexibleiManage. ניתן לעשות שימוש חוזר באותו אסימון בכל מכשירי הנתב.
בוחרים באפשרות מלאי ← אסימונים, יוצרים אסימון בחירת עותק
חוזרים ל-Cloud Shell (site1-nva) ומדביקים את האסימון בספרייה /etc/flexiWAN/agent/token.txt לפי השלבים הבאים
nano /etc/flexiWAN/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter
הפעלת נתבי האתרים במסוף ה-גמיש
מתחברים למסוף ה-FlexibleiManage Console כדי להפעיל את site1-nva בבקר
בחלונית הימנית, בוחרים מלאי ← מכשירים, לוחצים על המכשיר לא ידוע.
מזינים את שם המארח של ה-site1-nva ומאשרים את המכשיר על ידי החלקת החוגה ימינה.
בוחרים בכרטיסייה ממשקים.
מאתרים את הרשימה 'הוקצו' עמודה ולוחצים על לא ומשנים את ההגדרה לכן.
בוחרים בכרטיסייה 'חומת אש' ולוחצים על הסימן '+' כדי להוסיף כלל חומת אש נכנסת.
צריך לבחור את ממשק ה-WAN כדי להחיל את כלל ה-SSH כפי שמתואר בהמשך
לוחצים על עדכון המכשיר.
מפעילים את site1-nva מבקר ה-FlexibleiWAN. חוזרים אל מלאי ← מכשירים ← site1-nva ובוחרים באפשרות הפעלת המכשיר
סטטוס – בסנכרון
סטטוס – מסונכרן
אפשר לראות את אינדיקטור האזהרה בקטע פתרון בעיות ← התראות. לאחר הצפייה, יש לבחור את כל הפריטים ולסמן כנקרא
7. הגדרת מכשירי רשת SDWAN של Hub
בקטע הבא תיצרו ותרשמו את נתבי Hub (hub-r1) עם ה-FlexibleiWAN Controller, כפי שביצעתם בעבר עם מסלולי האתר.
פתיחת כרטיסייה חדשה, יצירת סשן של Cloud Shell ועדכון ה-$variables כדי לעזור בהטמעת ההגדרות של gcloud
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname
יצירת מכונות Hub NVA
יוצרים את המכשיר hub-r1:
gcloud compute instances create hub-r1 \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=hub-subnet1 \
--network-interface subnet=workload-subnet1,no-address \
--can-ip-forward \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any
8. התקנת FlexibleiWAN ב-Hub Instances עבור Hub-r1
פתיחת חיבור SSH ל-Hub-r1
gcloud compute ssh hub-r1 --zone=us-central1-a
התקנת סוכן FlexibleiWAN בשני ה-Hub-r1
sudo su
sudo curl -sL https://deb.flexiWAN.com/setup | sudo bash -
apt install flexiWAN-router -y
הכנת מכונות וירטואליות של Hub-r1 לרישום גמיש ל-FlexibleiWAN.
לאחר השלמת ההתקנה של FlexiWAN, מריצים את הפקודה fwsystem_checker כדי להכין את ה-VM לפעולה של FlexibleiWAN. הפקודה הזו בודקת את דרישות המערכת ועוזרת לתקן שגיאות בהגדרה במערכת.
root@hub-r1:/home/user# fwsystem_checker
- בוחרים באפשרות
2להגדרה מהירה ושקטה - יציאה לאחר מכן עם 0.
- אסור לסגור את חלון ה-Cloud Shell.
9. רישום מכונות וירטואליות של Hub-r1 בבקר FlexManage
אימות של FlexibleiWAN NVA שנפרס באמצעות FlexibleiManage באמצעות אסימון אבטחה, על ידי התחברות לחשבון ה-FlexibleiManage.
- בוחרים באפשרות מלאי ← אסימונים ומעתיקים את האסימון
חוזרים אל Cloud Shell (hub-r1) ומדביקים את האסימון בספרייה /etc/flexiWAN/agent/token.txt על ידי ביצוע הפעולות הבאות
nano /etc/flexiWAN/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter
הפעלת נתבים Hub-r1 בקונסולה ה-FlexiManage
התחברות למסוף FlexiManage
- עוברים אל מלאי ← מכשירים.
- חיפוש שם המארח של hub-r1 הוא "unknown"
בוחרים את המכשיר הלא ידוע עם שם המארח hub-r1
- צריך להזין את שם המארח של hub-r1
- אישור המכשיר, מסיטים את החוגה שמאלה.
בוחרים בכרטיסייה ממשקים.
- מאתרים את העמודה "הוקצו".
- ליד שורת הממשק, לוחצים על לא כדי לשנות את ההגדרה ל'כן'.
בוחרים בכרטיסייה חומת אש.
- לוחצים על +. להוספה של כלל חומת אש נכנס
- צריך לבחור את ממשק ה-WAN כדי לרשת את הכלל
- אישור ליציאת SSH 22 עם פרוטוקול TCP
- לוחצים על עדכון המכשיר.
יש להפעיל את המכשיר hub-r1 ל-SD-WAN מהבקר של FlexibleiWAN
- חוזרים אל מלאי ← מכשירים ← Hub-r1
בוחרים באפשרות הפעלת המכשיר
- ממתינים עד שהסנכרון יסתיים ורושמים את הסטטוס פועל סטטוס
10. מרכז הקישוריות של הרשת ב-GCP Hub
הפעלת שירותי API
מפעילים את ממשק ה-API של קישוריות הרשת אם הוא עדיין לא מופעל:
gcloud services enable networkconnectivity.googleapis.com
יצירת מרכז NCC
gcloud network-connectivity hubs create ncc-hub
Create request issued for: [ncc-hub]
Waiting for operation [projects/user-3p-dev/locations/global/operations/operation-1668793629598-5edc24b7ee3ce-dd4c765b-5ca79556] to complete...done.
Created hub [ncc-hub]
הגדרת שני המכשירים של הנתב כדיבור NCC
מאתרים את ה-URI ואת כתובת ה-IP של Hub-r1 ורושמים את הפלט. תצטרכו את המידע הזה בשלב הבא.
חשוב לזכור את כתובת ה-IP של מכונת Hub-r1.
gcloud compute instances describe hub-r1 \
--zone=us-central1-a \
--format="value(selfLink.scope(projects))"
gcloud compute instances describe hub-r1 --zone=us-central1-a | grep "networkIP"
מוסיפים את Hub-r1 של Hub networkIP כדיבור. כברירת מחדל, העברת נתונים מאתר לאתר מושבתת.
gcloud network-connectivity spokes linked-router-appliances create s2c-wrk-cr1 \
--hub=ncc-hub \
--router-appliance=instance="https://www.googleapis.com/compute/projects/$projectname/zones/us-central1-a/instances/hub-r1",ip=192.168.235.4 \
--region=us-central1 \
--site-to-site-data-transfer
הגדרת Cloud Router ליצירת BGP עם Hub-R1
בשלב הבא, יוצרים את Cloud Router ומכריזים על רשת המשנה של VPC של עומס העבודה 192.168.235.0/24.
יצירת ה-Cloud Rout ב-us-central1 שיתקשר עם BGP עם Hub-r1
gcloud compute routers create wrk-cr1 \
--region=us-central1 \
--network=workload-vpc \
--asn=65002 \
--set-advertisement-groups=all_subnets
על ידי הגדרת מכשירי הנתב כ-NCC Spoke, הנתב בענן יכול לנהל משא ומתן על BGP בממשקים וירטואליים.
יצירת שני ממשקים בנתב בענן שיחליפו הודעות BGP עם Hub-r1.
כתובות ה-IP נבחרות מרשת המשנה של עומס העבודה, ו- & ניתן לשנות לפי הצורך.
gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int0 \
--ip-address=192.168.235.101
gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int1 \
--ip-address=192.168.235.102 \
--redundant-interface=int0
צריך להגדיר את הממשק של Cloud Router ליצירת BGP עם vNIC-1 של Hub-r1, ולעדכן את כתובת ה-IP של העמיתים עם כתובת ה-IP של ה-IP של רשת Hub-r1. הערה: אותה כתובת IP משמשת עבור int0 & int1.
gcloud compute routers add-bgp-peer wrk-cr1 \
--peer-name=hub-cr1-bgp-peer-0 \
--interface=int0 \
--peer-ip-address=192.168.235.4 \
--peer-asn=64111 \
--instance=hub-r1 \
--instance-zone=us-central1-a \
--region=us-central1
gcloud compute routers add-bgp-peer wrk-cr1 \
--peer-name=hub-cr1-bgp-peer-1 \
--interface=int1 \
--peer-ip-address=192.168.235.4 \
--peer-asn=64111 \
--instance=hub-r1 \
--instance-zone=us-central1-a \
--region=us-central1
יש לאמת את מצב BGP, בשלב הזה ב-Code Lab, BGP הוא 'מצב חיבור' כי נתב הרשת לא הוגדר עבור BGP.
gcloud compute routers get-status wrk-cr1 --region=us-central1
11. הגדרת מכשירים לנתב של Hub עבור BGP
הגדרת Hub-r1 ל-BGP
חשוב להתחבר למסוף ה-FlexibleiManage
עוברים אל מלאי ← מכשירים ← hub-r1 ובוחרים את המכשיר עם HostName:hub-r1
- לוחצים על הכרטיסייה ניתוב.
- לוחצים על 'BGP Configuration'
- השבתת "הפצה מחדש של מסלולי OSPF"
- מגדירים את hub-r1 ל-BGP עם הפרמטרים האלה ולוחצים על "שמירה"
בוחרים באפשרות Interfaces (ממשקים). הכרטיסייה, אתר את ממשק ה-LAN, אתר את העמודה 'ניתוב'
- לוחצים על ללא. כדי לפתוח את התפריט לבחור BGP כפרוטוקול הניתוב
- בחלק העליון של הדף, לוחצים על 'עדכון המכשיר'
12. החלפת נתיב BGP בין מכשירי חשמל לנתב
יצירת ASN מקומי לאתרים מרוחקים
מגדירים BGP ASN מקומי ל-site1-nva. לאחר ההגדרה ניצור מנהרת IPSEC בין האתרים המרוחקים לנתבי המרכז.
בוחרים במכשיר עם ה-HostName:site1-nva
- לוחצים על הכרטיסייה ניתוב.
- לוחצים על 'BGP Configuration'
- השבתת "הפצה מחדש של מסלולי OSPF"
- ASN מקומי 7269 ← שמירה
- עדכון המכשיר
- הכרטיסייה 'ממשקים' ← 'ניתוב' ← BGP
- עדכון המכשיר
הגדרת מנהרות VPN בין מכשירי חשמל מסוג Site1 ו-Hub1
חשוב להתחבר למסוף ה-FlexibleiManage
- עוברים אל מלאי ← מכשירים.
- בוחרים את התיבה שלצד שם המארח של site1-nva ו-hub-r1 כדי ליצור מנהרת VPN בין שתי רשתות ה-NVA האלה.
- לוחצים על פעולות ← יצירת מנהרות ומגדירים את ההגדרות הבאות
- בוחרים באפשרות יצירת מנהרות.
יש לאמת ש-'site1-nva' נתיבים שנלמדו לרשת המשנה 192.168.235.0/24 ו-192.168.236.0/24
- בוחרים באפשרות מלאי ← מכשירים ← site1-nva ולוחצים על הכרטיסייה ניתוב.
בפלט לדוגמה שבהמשך, FlexibleiWAN יצר את המנהרה באופן אוטומטי באמצעות כתובת ה-IP של המארח 10.100.0.6 
13. אימות הקישוריות של נתיב הנתונים
אימות הקישוריות בין אתר לענן מ-Prem
עיינו בתרשים, מוודאים שנתיב הנתונים בין s1-vm לבין workload1-vm.
הגדרת נתיבים סטטיים של VPC מאתר לענן
רשת Site1-VPC בארגון מדמה רשת של מרכזי נתונים בארגון.
שני ה-Google APIs של נתב Site-1-nva משתמשים בקישוריות VPN כדי להגיע לרשת המרכז.
עבור התרחיש לדוגמה של האתר לענן**,** יש ליצור מסלולים סטטיים ליעד 192.168.0.0/16 באמצעות הנתב כצעד הבא כדי להגיע לרשתות ברשת הענן של GCP.
ב-s1-inside-vpc, יוצרים נתיב סטטי ליעד בענן (192.168.0.0/16):
gcloud compute routes create site1-subnet-route \
--network=s1-inside-vpc \
--destination-range=192.168.0.0/16 \
--next-hop-instance=site1-nva \
--next-hop-instance-zone=us-central1-a
ב-cloudshell, מחפשים את כתובת ה-IP של workload1-vmnee." תצטרכו את הקישור הזה כדי לבדוק את הקישוריות מ-'s1-vm'.
gcloud compute instances describe workload1-vm --zone=us-central1-a | grep "networkIP"
SSH אל s1-vm ומשתמשים בפקודה curl כדי ליצור סשן TCP לכתובת IP של workload1-VM.
s1-vm:~$ curl 192.168.235.3 -vv * Trying 192.168.235.3:80... * Connected to 192.168.235.3 (192.168.235.3) port 80 (#0) > GET / HTTP/1.1 > Host: 192.168.235.3 > User-Agent: curl/7.74.0 > Accept: */* > * Mark bundle as not supporting multiuse < HTTP/1.1 200 OK < Date: Wed, 07 Dec 2022 15:12:08 GMT < Server: Apache/2.4.54 (Debian) < Last-Modified: Tue, 06 Dec 2022 00:57:46 GMT < ETag: "1f-5ef1e4acfa1d9" < Accept-Ranges: bytes < Content-Length: 31 < Content-Type: text/html < Page served from: workload1-vm * Connection #0 to host 192.168.235.3 left intact
14. הסרת המשאבים
מחיקת משאבי On Prem
התחברות ל-Cloud Shell ומחיקה של מכונות וירטואליות ברשתות של האתר המרכזי והסתעפות
#onprem instances
gcloud compute instances delete s1-vm --zone=us-central1-a --quiet
#delete on prem firewall rules
gcloud compute firewall-rules delete site1-ssh --quiet
gcloud compute firewall-rules delete site1-internal --quiet
gcloud compute firewall-rules delete site1-cloud --quiet
gcloud compute firewall-rules delete site1-vpn --quiet
gcloud compute firewall-rules delete site1-iap --quiet
#delete on prem subnets
gcloud compute networks subnets delete site1-subnet --quiet
gcloud compute networks subnets delete s1-inside-subnet --quiet
gcloud compute networks subnets delete s1-inside-subnet --quiet
#delete on prem vpcs
gcloud compute networks delete site1-vpc --quiet
gcloud compute networks delete s1-inside-vpc --quiet
מחיקת המשאבים של Cloud Hub
התחברות ל-Cloud Shell ומחיקה של מכונות וירטואליות ברשתות של האתר המרכזי והסתעפות
#delete ncc spokes
gcloud network-connectivity spokes delete s2c-wrk-cr1 --region us-central1 --quiet
#delete ncc hub
gcloud network-connectivity hubs delete ncc-hub --quiet
#delete hub instances
gcloud compute instances delete hub-r1 --zone=us-central1-a --quiet
#delete hub firewall rule
gcloud compute firewall-rules delete hub-ssh --quiet
gcloud compute firewall-rules delete hub-vpn --quiet
gcloud compute firewall-rules delete hub-internal --quiet
gcloud compute firewall-rules delete hub-iap --quiet
gcloud compute firewall-rules create workload-ssh --quiet
gcloud compute firewall-rules create workload-internal --quiet
gcloud compute firewall-rules create workload-onprem --quiet
gcloud compute firewall-rules create workload-iap --quiet
#delete hub subnets
gcloud compute networks subnets delete workload-subnet1 --quiet
gcloud compute networks subnets delete hub-subnet1 --quiet
#delete hub vpcs
gcloud compute networks delete workload-vpc --quiet
gcloud compute networks delete hub-vpc --quiet
15. מעולה!
השלמת את ה-Network Connectivity Center Lab!
מה נכלל בקורס
- שילוב WAN בהגדרת תוכנה שהוגדר בשביל אתר NCC לענן
השלבים הבאים
- סקירה כללית של Network Connectivity Center
- מסמכי התיעוד של Network Connectivity Center
- משאבי WAN גמישים
- מאגר גמיש של GitLab
©Google, LLC או השותפים העצמאיים שלה. כל הזכויות שמורות. אסור להפיץ.