1. מבוא
סקירה כללית
בשיעור ה-Lab הזה תכירו כמה מהתכונות של Network Connectivity Center.
Network Connectivity Center (NCC) הוא מודל של מישור בקרה מסוג Hub-and-Spoke לניהול קישוריות לרשת ב-Google Cloud. משאב ה-hub מספק מודל ריכוזי לניהול קישוריות כדי לקשר בין רשתות spoke. בשלב הזה, NCC תומך במשאבי הרשת הבאים כרכזות:
- צירופים ל-VLAN
- נתבים וירטואליים
- HA VPN
ב-Codelabs נדרש שימוש בפתרון flexiWAN SaaS SD-WAN שמפשט את הפריסה והניהול של WAN.
מה תפַתחו
ב-codelab הזה, תיצרו טופולוגיה של SD-WAN מסוג hub and spoke כדי לדמות אתרים מרוחקים של סניפים שיעברו ברשת בשדרה מרכזית של Google לצורך תקשורת בין אתר לענן.
- תפרסו זוג מכונות וירטואליות של GCE שהוגדרו לסוכן flexiWAN SD-WAN ב-VPC של הרכזת, שמייצג את תחנות הקצה לתעבורת נתונים נכנסת ויוצאת אל GCP.
- פריסת שני נתבי flexiWAN SD-WAN מרוחקים כדי לייצג שני אתרי סניפים שונים של VPC
- לצורך בדיקת נתיב הנתונים, תגדירו שלוש מכונות וירטואליות של GCE כדי לדמות לקוחות מקומיים ושרת שמתארח ב-GCP.
מה תלמדו
- שימוש ב-NCC כדי ליצור קישוריות בין סניפים מרוחקים באמצעות פתרון WAN מוגדר באמצעות תוכנה בקוד פתוח
- ניסיון מעשי בפתרון WAN מוגדר-תוכנה בקוד פתוח
מה תצטרכו
- ידע ברשת VPC של GCP
- ידע ב-Cloud Router ובניתוב BGP
2. מטרות
- הגדרת סביבת GCP
- פריסת מופעי flexiWAN Edge ב-GCP
- הגדרה של NCC Hub ו-flexiWAN Edge NVA כ-spoke
- הגדרה וניהול של מופעי flexiWAN באמצעות flexiManage
- הגדרת החלפת מסלולים של BGP בין vpc-app-svcs לבין flexiWAN NVA
- יצירת אתר מרוחק שמדמה סניף מרוחק של לקוח או מרכז נתונים
- יצירת מנהרת IPSEC בין האתר המרוחק לבין NVA
- אימות הפריסה של מכשירי ה-appliance
- אימות העברת נתונים מאתר לענן
- פינוי המשאבים שבהם השתמשתם
כדי לאמת, להוסיף ולנהל מופעים של flexiEdge, צריך ליצור חשבון flexiManage בחינם.
לפני שמתחילים
שימוש במסוף Google Cloud וב-Cloud Shell
במהלך שיעור ה-Lab הזה נשתמש גם במסוף Google Cloud וגם ב-Cloud Shell כדי ליצור אינטראקציה עם GCP.
Google Cloud Console
אפשר להיכנס ל-Cloud Console בכתובת https://console.cloud.google.com.
כדי להקל על הגדרת Network Connectivity Center, צריך להגדיר את הפריטים הבאים ב-Google Cloud:
במסוף Google Cloud, בדף לבחירת הפרויקט בענן, בוחרים פרויקט בענן או יוצרים פרויקט בענן חדש.
מפעילים את Cloud Shell. ב-Codelab הזה נעשה שימוש במשתנים ( $variables) כדי להקל על הטמעת ההגדרה של gcloud ב-Cloud Shell.
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname
תפקידי IAM
כדי לגשת לממשקי API ספציפיים, צריך להקצות תפקידים ב-IAM ל-NCC. חשוב להקפיד להגדיר את המשתמש עם תפקידי ה-IAM של NCC לפי הצורך.
שם התפקיד | תיאור | הרשאות |
networkconnectivity.networkAdmin | מאפשרת לאדמינים של רשתות לנהל רכזות וחיבורים. | networkconnectivity.hubs.networkconnectivity.spokes. |
networkconnectivity.networkSpokeManager | מאפשרת להוסיף ולנהל רשתות מסוג Spoke ב-Hub. לשימוש ב-VPC משותף שבו הפרויקט המארח הוא הבעלים של ה-Hub, אבל אדמינים אחרים בפרויקטים אחרים יכולים להוסיף רשתות מסוג Spoke לחיבורים שלהם ל-Hub. | networkconnectivity.spokes.** |
networkconnectivity.networkUsernetworkconnectivity.networkViewer | מאפשר למשתמשים ברשת לראות מאפיינים שונים של רכזות ושל רשתות היקפיות. | networkconnectivity.hubs.getnetworkconnectivity.hubs.listnetworkconnectivity.spokes.getnetworkconnectivity.spokes.listnetworkconnectivity.spokes.aggregatedList |
3. הגדרת סביבת Lab לרשת
סקירה כללית
בקטע הזה נסביר איך פורסים את רשתות ה-VPC ואת כללי חומת האש.
הדמיה של רשתות אתרים של סניפים מקומיים
רשת ה-VPC הזו מכילה רשתות משנה למכונות וירטואליות מקומיות.
יוצרים את הרשתות והרשתות המשנה של האתר המקומי:
gcloud compute networks create site1-vpc \
--subnet-mode custom
gcloud compute networks create s1-inside-vpc \
--subnet-mode custom
gcloud compute networks subnets create site1-subnet \
--network site1-vpc \
--range 10.10.0.0/24 \
--region us-central1
gcloud compute networks subnets create s1-inside-subnet \
--network s1-inside-vpc \
--range 10.10.1.0/24 \
--region us-central1
יוצרים כללים לחומת האש של site1-vpc כדי לאפשר:
- SSH, internal, IAP
- ESP, UDP/500, UDP/4500
- טווח 10.0.0.0/8
- טווח 192.168.0.0/16
gcloud compute firewall-rules create site1-ssh \--network site1-vpc \
--allow tcp:22
gcloud compute firewall-rules create site1-internal \
--network site1-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create site1-cloud \
--network site1-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create site1-vpn \
--network site1-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router
gcloud compute firewall-rules create site1-iap \
--network site1-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
יוצרים כללים של חומת אש s1-inside-vpc כדי לאפשר:
- SSH, internal, IAP
- טווח 10.0.0.0/8
- טווח 192.168.0.0/16
gcloud compute firewall-rules create s1-inside-ssh \
--network s1-inside-vpc \
--allow tcp:22
gcloud compute firewall-rules create s1-inside-internal \
--network s1-inside-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create s1-inside-cloud \
--network s1-inside-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create s1-inside-iap \
--network site2-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
למטרות בדיקה, יוצרים את המכונות s1-inside-vm ו-s2-inside-vm
gcloud compute instances create s1-vm \
--zone=us-central1-a \
--machine-type=e2-micro \
--network-interface subnet=s1-inside-subnet,private-network-ip=10.10.1.3,no-address
הדמיה של סביבת רשת בענן של GCP
כדי להפעיל תעבורת נתונים בין אזורים באתרים דרך רשת hub-vpc וה-spokes, צריך להפעיל ניתוב גלובלי ברשת hub-vpc. מידע נוסף זמין במאמר בנושא החלפת נתיבים ב-NCC.
- יצירת רשת
hub-vpcותת-רשתות:
gcloud compute networks create hub-vpc \
--subnet-mode custom \
--bgp-routing-mode=global
gcloud compute networks subnets create hub-subnet1 \
--network hub-vpc \
--range 10.1.0.0/24 \
--region us-central1
gcloud compute networks subnets create hub-subnet2 \
--network hub-vpc \
--range 10.2.0.0/24 \
--region us-east4
- יצירת רשת
workload-vpcותת-רשתות:
gcloud compute networks create workload-vpc \
--subnet-mode custom \
--bgp-routing-mode=global
gcloud compute networks subnets create workload-subnet1 \
--network workload-vpc \
--range 192.168.235.0/24 \
--region us-central1
- יוצרים כללים של חומת אש ב-Hub-VPC כדי לאפשר:
- SSH
- ESP, UDP/500, UDP/4500
- טווח פנימי 10.0.0.0/8 (שכולל את יציאת TCP 179 שנדרשת לסשן BGP מ-Cloud Router למכשיר הנתב)
gcloud compute firewall-rules create hub-ssh \
--network hub-vpc \
--allow tcp:22
gcloud compute firewall-rules create hub-vpn \
--network hub-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router
gcloud compute firewall-rules create hub-internal \
--network hub-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create hub-iap \
--network hub-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
- יוצרים כללים לחומת האש של Workload-VPC כדי לאפשר:
- SSH
- טווח פנימי 192.168.0.0/16 (שכולל את יציאת TCP 179 שנדרשת לסשן BGP מנתב בענן למכשיר הנתב)
gcloud compute firewall-rules create workload-ssh \
--network workload-vpc \
--allow tcp:22
gcloud compute firewall-rules create workload-internal \
--network workload-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create workload-onprem \
--network hub-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create workload-iap \
--network workload-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
- הפעלת Cloud NAT ב-workload-VPC כדי לאפשר למכונה workload1-vm להוריד חבילות על ידי יצירת Cloud Router ו-NAT Gateway
gcloud compute routers create cloud-router-usc-central-1-nat \
--network workload-vpc \
--region us-central1
gcloud compute routers nats create cloudnat-us-central1 \
--router=cloud-router-usc-central-1-nat \
--auto-allocate-nat-external-ips \
--nat-all-subnet-ip-ranges \
--region us-central1
- יוצרים את
workload1-vmin "us-central1-a" inworkload-VPC. תשתמשו במארח הזה כדי לאמת את הקישוריות בין האתר לבין הענן.
gcloud compute instances create workload1-vm \
--project=$projectname \
--machine-type=e2-micro \
--image-family debian-10 \
--image-project debian-cloud \
--zone us-central1-a \
--private-network-ip 192.168.235.3 \
--no-address \
--subnet=workload-subnet1 \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install apache2 -y
sudo service apache2 restart
echo 'Welcome to Workload VM1 !!' | tee /var/www/html/index.html
EOF"
4. הגדרת מכשירי On Prem ל-SD-WAN
יצירת מכונה וירטואלית מקומית ל-SDWAN (מכשירי רשת)
בקטע הבא ניצור את site1-nva שיפעל כנתבים מקומיים.
יצירת מכונות
יוצרים את מכשיר site1-router בשם site1-nva
gcloud compute instances create site1-nva \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=site1-subnet \
--network-interface subnet=s1-inside-subnet,no-address \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any \
--can-ip-forward
5. התקנה של flexiWAN באתר site1-nva
פותחים חיבור SSH אל site1-nva, ואם חלף הזמן הקצוב לתפוגה, מנסים שוב
gcloud compute ssh site1-nva --zone=us-central1-a
התקנה של flexiWAN באתר site1-nva
sudo su
sudo curl -sL https://deb.flexiWAN.com/setup | sudo bash -
apt install flexiWAN-router -y
הכנת המכונה הווירטואלית (VM) לרישום במישור הבקרה של flexiWAN.
אחרי שמשלימים את ההתקנה של flexiWAN, מריצים את הפקודה fwsystem_checker כדי להכין את המכונה הווירטואלית להפעלה של flexiWAN. הפקודה הזו בודקת את דרישות המערכת ועוזרת לתקן שגיאות בהגדרות המערכת.
- בוחרים באפשרות
2להגדרה מהירה ושקטה - ואז יוצאים עם 0.
- לא לסגור את חלון Cloud Shell.
root@site-1-nva-1:/home/user# fwsystem_checker
<output snipped>
[0] - quit and use fixed parameters
1 - check system configuration
2 - configure system silently
3 - configure system interactively
4 - restore system checker settings to default
------------------------------------------------
Choose: 2
<output snipped>
[0] - quit and use fixed parameters
1 - check system configuration
2 - configure system silently
3 - configure system interactively
4 - restore system checker settings to default
------------------------------------------------
Choose: 0
Please wait..
Done.
=== system checker ended ====
משאירים את הסשן פתוח כדי לבצע את השלבים הבאים
6. רישום של site1-nva בבקר SD-WAN
השלבים האלה נדרשים כדי להשלים את הקצאת ה-NVA של flexiWAN שמנוהל ממסוף flexiManage. חשוב לוודא שהארגון ב-flexiWAN מוגדר לפני שממשיכים.
כדי לאמת את ה-NVA החדש של flexiWAN עם flexiManage באמצעות טוקן אבטחה, צריך להיכנס לחשבון flexiManage. אפשר לעשות שימוש חוזר באותו טוקן בכל מכשירי הנתב.
בוחרים באפשרות מלאי שטחי פרסום → טוקנים,יוצרים טוקן ובוחרים באפשרות 'העתקה'.
חוזרים אל Cloud Shell (site1-nva) ומדביקים את האסימון בספרייה /etc/flexiWAN/agent/token.txt באמצעות הפעולות הבאות:
nano /etc/flexiWAN/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter
הפעלת נתבי האתרים במסוף flexiManage
מתחברים למסוף flexiManage כדי להפעיל את site1-nva בבקר.
בחלונית שמימין, בוחרים באפשרות 'מלאי' ← 'מכשירים' ולוחצים על המכשיר 'לא ידוע'.
מזינים את שם המארח של site1-nva ומאשרים את המכשיר על ידי הזזת החוגה שמאלה.
בוחרים בכרטיסייה ממשקים.
מחפשים את העמודה Assigned (הוקצה) ולוחצים על No (לא) כדי לשנות את ההגדרה ל-Yes (כן).
בוחרים בכרטיסייה Firewall (חומת אש) ולוחצים על הסימן + כדי להוסיף כלל inbound firewall (חומת אש לתעבורה נכנסת).
בוחרים את ממשק ה-WAN כדי להחיל את כלל ה-SSH כמו שמתואר בהמשך
לוחצים על עדכון המכשיר.
מפעילים את site1-nva מבקר flexiWAN. חוזרים אל Inventory → Devices → site1-nva (מלאי > מכשירים > site1-nva) ובוחרים באפשרות Start Device (הפעלת המכשיר).
סטטוס – סנכרון
סטטוס – הושלם סנכרון
אינדיקטור האזהרה מוצג בקטע פתרון בעיות → התראות. אחרי שצופים בהודעות, בוחרים את כולן ומסמנים אותן כהודעות שנקראו
7. הגדרת מכשירי SDWAN של רכזת
בקטע הבא תיצרו נתבים מרכזיים (hub-r1) ותירשמו אותם ב-flexiWAN Controller, כמו שביצעתם קודם עם נתיבי האתר.
פותחים כרטיסייה חדשה ויוצרים סשן Cloud Shell, מעדכנים את המשתנים $כדי לעזור בהטמעה של הגדרת gcloud
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname
יצירת מופעים של NVA במרכז
יוצרים את מכשיר hub-r1:
gcloud compute instances create hub-r1 \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=hub-subnet1 \
--network-interface subnet=workload-subnet1,no-address \
--can-ip-forward \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any
8. התקנה של flexiWAN במופעי Hub עבור hub-r1
פותחים חיבור SSH ל-hub-r1
gcloud compute ssh hub-r1 --zone=us-central1-a
התקנת סוכן flexiWAN בשני הרכזות hub-r1
sudo su
sudo curl -sL https://deb.flexiWAN.com/setup | sudo bash -
apt install flexiWAN-router -y
הכנת מכונות וירטואליות מסוג hub-r1 לרישום ב-flexiWAN.
אחרי שמתקינים את flexiWAN, מריצים את הפקודה fwsystem_checker כדי להכין את המכונה הווירטואלית להפעלה של flexiWAN. הפקודה הזו בודקת את דרישות המערכת ועוזרת לתקן שגיאות בהגדרות המערכת.
root@hub-r1:/home/user# fwsystem_checker
- בוחרים באפשרות
2להגדרה מהירה ושקטה - ואז יוצאים עם 0.
- לא לסגור את חלון Cloud Shell.
9. רישום מכונות וירטואליות מסוג hub-r1 בבקר FlexManage
כדי לאמת את ה-NVA החדש של flexiWAN עם flexiManage באמצעות טוקן אבטחה, צריך להיכנס לחשבון flexiManage.
- בוחרים באפשרות מלאי שטחי פרסום → טוקנים ומעתיקים את הטוקן.
חוזרים אל Cloud Shell (hub-r1) ומדביקים את האסימון בספרייה /etc/flexiWAN/agent/token.txt באופן הבא:
nano /etc/flexiWAN/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter
הפעלה של נתבי רכזת hub-r1 ב-flexiManage Console
כניסה ל-flexiManage Console
- עוברים אל Inventory → Devices (מלאי שטחי פרסום → מכשירים).
- מחפשים את שם המארח של hub-r1 ורושמים אותו. אם הוא לא ידוע, ממשיכים לשלב הבא.
בוחרים במכשיר הלא ידוע עם שם המארח hub-r1.
- מזינים את שם המארח של hub-r1
- מאשרים את המכשיר. מזיזים את החוגה שמאלה.
בוחרים בכרטיסייה ממשקים.
- חיפוש העמודה Assigned (הוקצה)
- לצד שורת הממשק, לוחצים על 'לא' כדי לשנות את ההגדרה ל'כן'.
בוחרים בכרטיסייה Firewall (חומת אש).
- לוחצים על + כדי להוסיף כלל חומת אש לתעבורה נכנסת.
- בחירת ממשק ה-WAN להעברת הכלל
- אישור יציאת SSH 22 עם פרוטוקול TCP
- לוחצים על עדכון המכשיר.
הפעלת מכשיר hub-r1 ל-SD-WAN מהבקר של flexiWAN
- חוזרים אל Inventory → Devices → hub-r1
בוחרים באפשרות הפעלת המכשיר.
- ממתינים לסיום הסנכרון ורושמים את הסטטוס running.
10. Network Connectivity Center ב-GCP Hub
הפעלת שירותי API
אם ה-API של קישוריות הרשת עדיין לא מופעל, צריך להפעיל אותו:
gcloud services enable networkconnectivity.googleapis.com
יצירת מרכז NCC
gcloud network-connectivity hubs create ncc-hub
Create request issued for: [ncc-hub]
Waiting for operation [projects/user-3p-dev/locations/global/operations/operation-1668793629598-5edc24b7ee3ce-dd4c765b-5ca79556] to complete...done.
Created hub [ncc-hub]
הגדרת שני נתבים וירטואליים כרכזת NCC
מחפשים את ה-URI ואת כתובת ה-IP של hub-r1 ורושמים את הפלט. תצטרכו את המידע הזה בשלב הבא.
חשוב לשים לב לכתובת ה-IP של מופע hub-r1.
gcloud compute instances describe hub-r1 \
--zone=us-central1-a \
--format="value(selfLink.scope(projects))"
gcloud compute instances describe hub-r1 --zone=us-central1-a | grep "networkIP"
מוסיפים את ה-vNIC של hub-r1 networkIP כ-spoke. כברירת מחדל, העברת נתונים מאתר לאתר מושבתת.
gcloud network-connectivity spokes linked-router-appliances create s2c-wrk-cr1 \
--hub=ncc-hub \
--router-appliance=instance="https://www.googleapis.com/compute/projects/$projectname/zones/us-central1-a/instances/hub-r1",ip=192.168.235.4 \
--region=us-central1 \
--site-to-site-data-transfer
הגדרת Cloud Router ליצירת BGP עם Hub-R1
בשלב הבא, יוצרים את Cloud Router ומכריזים על רשת המשנה של עומס העבודה ב-VPC 192.168.235.0/24
יוצרים Cloud Router באזור us-central1 שיתקשר עם BGP עם hub-r1
gcloud compute routers create wrk-cr1 \
--region=us-central1 \
--network=workload-vpc \
--asn=65002 \
--set-advertisement-groups=all_subnets
הגדרת נתבי ה-Appliance כ-NCC Spoke מאפשרת לנתב הענן לנהל משא ומתן על BGP בממשקים וירטואליים.
יוצרים שני ממשקים ב-Cloud Router שיחליפו הודעות BGP עם hub-r1.
כתובות ה-IP נבחרות מתוך תת-הרשת של עומס העבודה, ואפשר לשנות אותן אם צריך.
gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int0 \
--ip-address=192.168.235.101
gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int1 \
--ip-address=192.168.235.102 \
--redundant-interface=int0
מגדירים את הממשק של Cloud Router כדי ליצור BGP עם vNIC-1 של hub-r1, ומעדכנים את peer-ip-address עם כתובת ה-IP של networkIP של hub-r1. שימו לב שכתובת ה-IP זהה עבור int0 ו-int1.
gcloud compute routers add-bgp-peer wrk-cr1 \
--peer-name=hub-cr1-bgp-peer-0 \
--interface=int0 \
--peer-ip-address=192.168.235.4 \
--peer-asn=64111 \
--instance=hub-r1 \
--instance-zone=us-central1-a \
--region=us-central1
gcloud compute routers add-bgp-peer wrk-cr1 \
--peer-name=hub-cr1-bgp-peer-1 \
--interface=int1 \
--peer-ip-address=192.168.235.4 \
--peer-asn=64111 \
--instance=hub-r1 \
--instance-zone=us-central1-a \
--region=us-central1
בודקים את מצב ה-BGP. בשלב הזה של הסדנה, ה-BGP הוא במצב 'חיבור' כי לא הוגדר BGP בנתב הרשת.
gcloud compute routers get-status wrk-cr1 --region=us-central1
11. הגדרת מכשירי נתב Hub ל-BGP
הגדרת BGP ב-hub-r1
חשוב להיכנס למסוף flexiManage
עוברים אל Inventory (מלאי) ← Devices (מכשירים) ← hub-r1 ובוחרים את המכשיר עם HostName:hub-r1 (שם המארח: hub-r1).
- לוחצים על הכרטיסייה ניתוב.
- לוחצים על BGP Configuration (הגדרת BGP).
- השבתה של Redistribute OSPF Routes (הפצה מחדש של נתיבי OSPF)
- מגדירים את hub-r1 ל-BGP עם הפרמטרים האלה ולוחצים על Save (שמירה).
בוחרים בכרטיסייה ממשקים, מאתרים את ממשק ה-LAN, מוצאים את העמודה ניתוב
- לוחצים על none כדי לפתוח את התפריט ולבחור ב-BGP כפרוטוקול הניתוב.
- בחלק העליון של הדף, לוחצים על 'עדכון המכשיר'.
12. החלפת מסלולי BGP בין נתבים וירטואליים
הגדרת מספר מערכת אוטונומית (ASN) מקומי לאתרים מרוחקים
מגדירים מספר מערכת אוטונומית (ASN) של BGP מקומי עבור site1-nva. אחרי ההגדרה, ניצור מנהרת IPsec בין האתרים המרוחקים לבין נתבי ה-Hub.
בוחרים את המכשיר עם HostName:site1-nva
- לוחצים על הכרטיסייה ניתוב.
- לוחצים על BGP Configuration (הגדרת BGP).
- השבתה של Redistribute OSPF Routes (הפצה מחדש של נתיבי OSPF)
- מספר ASN מקומי 7269 → שמירה
- עדכון המכשיר
- Interfaces Tab → Routing → BGP
- עדכון המכשיר
הגדרת מנהרות VPN בין מכשירי Site1 ו-Hub1
חשוב להיכנס למסוף flexiManage
- עוברים אל Inventory → Devices (מלאי שטחי פרסום → מכשירים).
- מסמנים את התיבה לצד שם המארח של site1-nva ושל hub-r1 כדי ליצור מנהרת VPN בין צמד ה-NVA הזה.
- לוחצים על Actions→ Create Tunnels (פעולות → יצירת מנהרות) ומגדירים את האפשרויות הבאות:
- בוחרים באפשרות יצירת מנהרות.
מוודאים שהנתיבים לרשתות המשנה 192.168.235.0/24 ו-192.168.236.0/24 נלמדו על ידי site1-nva
- בוחרים באפשרות Inventory → Devices → site1-nva (מלאי → מכשירים → site1-nva) ולוחצים על הכרטיסייה ניתוב.
בדוגמה של הפלט שבהמשך, flexiWAN יצר את המנהרה באופן אוטומטי באמצעות כתובת ה-IP של המארח 10.100.0.6 
13. אימות הקישוריות של נתיב הנתונים
אימות הקישוריות בין אתר לבין Cloud מתוך מיקום מקומי
בהתאם לתרשים, מוודאים שנתיב הנתונים בין s1-vm לבין workload1-vm
הגדרת מסלולים סטטיים של VPC לחיבור מאתר לענן
רשת Site1-VPC המקומית מדמה רשת של מרכז נתונים מקומי.
שני נתבי האפליקציות Site-1-nva משתמשים בקישוריות VPN כדי להגיע לרשת המרכזית.
בתרחיש לדוגמה של חיבור אתר לענן**,** יוצרים נתיבים סטטיים ליעד 192.168.0.0/16 באמצעות מכשיר הנתב כנקודת הקפיצה הבאה כדי להגיע לרשתות ברשת הענן של GCP.
ב-s1-inside-vpc, יוצרים נתיב סטטי ליעד בענן (192.168.0.0/16):
gcloud compute routes create site1-subnet-route \
--network=s1-inside-vpc \
--destination-range=192.168.0.0/16 \
--next-hop-instance=site1-nva \
--next-hop-instance-zone=us-central1-a
ב-Cloud Shell, מחפשים את כתובת ה-IP של workload1-vmnee." תצטרכו את זה כדי לבדוק את הקישוריות מ-s1-vm.
gcloud compute instances describe workload1-vm --zone=us-central1-a | grep "networkIP"
מבצעים SSH אל s1-vm ומשתמשים בפקודה curl כדי ליצור סשן TCP לכתובת ה-IP של workload1-VM.
s1-vm:~$ curl 192.168.235.3 -vv * Trying 192.168.235.3:80... * Connected to 192.168.235.3 (192.168.235.3) port 80 (#0) > GET / HTTP/1.1 > Host: 192.168.235.3 > User-Agent: curl/7.74.0 > Accept: */* > * Mark bundle as not supporting multiuse < HTTP/1.1 200 OK < Date: Wed, 07 Dec 2022 15:12:08 GMT < Server: Apache/2.4.54 (Debian) < Last-Modified: Tue, 06 Dec 2022 00:57:46 GMT < ETag: "1f-5ef1e4acfa1d9" < Accept-Ranges: bytes < Content-Length: 31 < Content-Type: text/html < Page served from: workload1-vm * Connection #0 to host 192.168.235.3 left intact
14. הסרת המשאבים
מחיקת המשאבים המקומיים
מתחברים אל Cloud Shell ומוחקים את מכונות ה-VM ברשתות של אתר ה-Hub והאתר המסועף.
#onprem instances
gcloud compute instances delete s1-vm --zone=us-central1-a --quiet
#delete on prem firewall rules
gcloud compute firewall-rules delete site1-ssh --quiet
gcloud compute firewall-rules delete site1-internal --quiet
gcloud compute firewall-rules delete site1-cloud --quiet
gcloud compute firewall-rules delete site1-vpn --quiet
gcloud compute firewall-rules delete site1-iap --quiet
#delete on prem subnets
gcloud compute networks subnets delete site1-subnet --quiet
gcloud compute networks subnets delete s1-inside-subnet --quiet
gcloud compute networks subnets delete s1-inside-subnet --quiet
#delete on prem vpcs
gcloud compute networks delete site1-vpc --quiet
gcloud compute networks delete s1-inside-vpc --quiet
מחיקת המשאבים של Cloud Hub
מתחברים אל Cloud Shell ומוחקים את מכונות ה-VM ברשתות של אתר ה-Hub והאתר המסועף.
#delete ncc spokes
gcloud network-connectivity spokes delete s2c-wrk-cr1 --region us-central1 --quiet
#delete ncc hub
gcloud network-connectivity hubs delete ncc-hub --quiet
#delete hub instances
gcloud compute instances delete hub-r1 --zone=us-central1-a --quiet
#delete hub firewall rule
gcloud compute firewall-rules delete hub-ssh --quiet
gcloud compute firewall-rules delete hub-vpn --quiet
gcloud compute firewall-rules delete hub-internal --quiet
gcloud compute firewall-rules delete hub-iap --quiet
gcloud compute firewall-rules create workload-ssh --quiet
gcloud compute firewall-rules create workload-internal --quiet
gcloud compute firewall-rules create workload-onprem --quiet
gcloud compute firewall-rules create workload-iap --quiet
#delete hub subnets
gcloud compute networks subnets delete workload-subnet1 --quiet
gcloud compute networks subnets delete hub-subnet1 --quiet
#delete hub vpcs
gcloud compute networks delete workload-vpc --quiet
gcloud compute networks delete hub-vpc --quiet
15. מעולה!
סיימתם את שיעור ה-Lab בנושא Network Connectivity Center.
מה כיסיתם
- הגדרת שילוב של רשת WAN מוגדרת באמצעות תוכנה (SD-WAN) לאתר NCC בענן
השלבים הבאים
- סקירה כללית על Network Connectivity Center
- מסמכי תיעוד של Network Connectivity Center
- מקורות מידע על flexiWAN
- מאגר flexiWAN GitLab
©Google, LLC או השותפים העצמאיים שלה. כל הזכויות שמורות. אין להפיץ.