1. מבוא
סקירה כללית
בשיעור ה-Lab הזה תלמדו על חלק מהתכונות של Network Connectivity Center.
Network Connectivity Center (NCC) הוא מודל של מישור בקרה מסוג 'רכז ו-spoke' לניהול קישוריות הרשת ב-Google Cloud. משאב הציר מספק מודל מרכזי לניהול קישוריות לחיבור של העצמות. בשלב הזה, NCC תומך במשאבי הרשת הבאים כעורקי צד:
- צירופים ל-VLAN
- מכשירי נתבים
- HA VPN
כדי להשתמש ב-Codelabs, צריך להשתמש ב פתרון של flexiWAN SaaS ל-SD-WAN שמפשט את הפריסה והניהול של WAN.
מה תפַתחו
ב-codelab הזה תלמדו ליצור טופולוגיית SD-WAN מסוג'רכז ו-spoke' כדי לדמות אתרים מרוחקים של סניפים שיעבירו נתונים דרך רשת ציר (backbone) של Google לתקשורת בין האתר לענן.
- תפרסו זוג מכונות וירטואליות של GCE שמוגדרות לסוכן flexiWAN SD-WAN ב-VPC של הצומת, שמייצג את נקודות הקצה (headends) לתנועה נכנסת ויוצאת ל-GCP.
- פריסה של שני נתבים מרוחקים של flexiWAN SD-WAN שמייצגים שתי רשתות VPC שונות של סניפים
- כדי לבדוק את נתיב הנתונים, מגדירים שלוש מכונות וירטואליות של GCE כדי לדמות לקוחות מקומיים ושרת שמתארח ב-GCP.
מה תלמדו
- שימוש ב-NCC כדי לחבר סניפים מרוחקים באמצעות פתרון WAN מבוסס-תוכנה בקוד פתוח
- ניסיון מעשי עם פתרון WAN מוגדר-תוכנה בקוד פתוח
מה צריך להכין
- ידע ברשת VPC של GCP
- ידע ב-Cloud Router ובניתוב BGP
2. מטרות
- הגדרת הסביבה ב-GCP
- פריסת מכונות flexiWAN Edge ב-GCP
- הגדרת צומת NCC ו-NVA של flexiWAN Edge כקרן
- הגדרה וניהול של מכונות flexiWAN באמצעות flexiManage
- הגדרת החלפת מסלולי BGP בין vpc-app-svcs לבין ה-NVA של flexiWAN
- יצירת אתר מרוחק שמהווה סימולציה של סניף מרוחק של לקוח או של מרכז נתונים
- יוצרים מנהרת IPsec בין האתר המרוחק ל-NVA
- מוודאים שהמכשירים נפרסו בהצלחה
- אימות העברת נתונים מהאתר לענן
- ניקוי משאבים שנעשה בהם שימוש
במדריך הזה תלמדו איך ליצור חשבון flexiManage בחינם כדי לאמת, להוסיף ולנהל מכונות flexiEdge.
לפני שמתחילים
שימוש במסוף Google Cloud וב-Cloud Shell
במהלך הסדנה הזו נשתמש במסוף Google Cloud וב-Cloud Shell כדי ליצור אינטראקציה עם GCP.
מסוף Google Cloud
אפשר להגיע למסוף Cloud בכתובת https://console.cloud.google.com.
כדי להקל על הגדרת Network Connectivity Center, צריך להגדיר את הפריטים הבאים ב-Google Cloud:
במסוף Google Cloud, בדף לבחירת הפרויקט, בוחרים פרויקט קיים ב-Google Cloud או יוצרים פרויקט חדש.
מפעילים את Cloud Shell. ב-Codelab הזה נעשה שימוש במשתני $כדי לעזור בהטמעת הגדרות gcloud ב-Cloud Shell.
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname
תפקידי IAM
כדי לגשת לממשקי API ספציפיים, נדרש תפקיד IAM ב-NCC. חשוב להגדיר את המשתמש עם תפקידי ה-IAM של NCC לפי הצורך.
שם התפקיד | תיאור | הרשאות |
networkconnectivity.networkAdmin | מאפשרת לאדמינים של רשתות לנהל את הצירים והקרניים. | networkconnectivity.hubs.networkconnectivity.spokes. |
networkconnectivity.networkSpokeManager | מאפשרת להוסיף ולנהל ספייקים ברכז. לשימוש ב-VPC משותף, שבו לפרויקט המארח יש בעלות על הצומת, אבל אדמינים אחרים בפרויקטים אחרים יכולים להוסיף צמתים משניים לחיבורים שלהם לצומת. | networkconnectivity.spokes.** |
networkconnectivity.networkUsernetworkconnectivity.networkViewer | מאפשרת למשתמשים ברשת לראות מאפיינים שונים של צומת ושל זרוע. | networkconnectivity.hubs.getnetworkconnectivity.hubs.listnetworkconnectivity.spokes.getnetworkconnectivity.spokes.listnetworkconnectivity.spokes.aggregatedList |
3. הגדרת סביבת Network Lab
סקירה כללית
בקטע הזה נעביר את רשתות ה-VPC וכללי חומת האש.
הדמיה של הרשתות באתרי הסניפים המקומיים
רשת ה-VPC הזו מכילה תת-רשתות למכונות וירטואליות בארגון.
יוצרים את הרשתות והתת-רשתות של האתרים המקומיים:
gcloud compute networks create site1-vpc \
--subnet-mode custom
gcloud compute networks create s1-inside-vpc \
--subnet-mode custom
gcloud compute networks subnets create site1-subnet \
--network site1-vpc \
--range 10.10.0.0/24 \
--region us-central1
gcloud compute networks subnets create s1-inside-subnet \
--network s1-inside-vpc \
--range 10.10.1.0/24 \
--region us-central1
יוצרים כללי חומת אש ב-site1-vpc כדי לאפשר:
- SSH, פנימי, IAP
- ESP, UDP/500, UDP/4500
- טווח 10.0.0.0/8
- טווח 192.168.0.0/16
gcloud compute firewall-rules create site1-ssh \--network site1-vpc \
--allow tcp:22
gcloud compute firewall-rules create site1-internal \
--network site1-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create site1-cloud \
--network site1-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create site1-vpn \
--network site1-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router
gcloud compute firewall-rules create site1-iap \
--network site1-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
יוצרים כללי חומת אש מסוג s1-inside-vpc כדי לאפשר:
- SSH, פנימי, IAP
- טווח 10.0.0.0/8
- טווח 192.168.0.0/16
gcloud compute firewall-rules create s1-inside-ssh \
--network s1-inside-vpc \
--allow tcp:22
gcloud compute firewall-rules create s1-inside-internal \
--network s1-inside-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create s1-inside-cloud \
--network s1-inside-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create s1-inside-iap \
--network site2-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
למטרות בדיקה, יוצרים את המכונות s1-inside-vm ו-s2-inside-vm
gcloud compute instances create s1-vm \
--zone=us-central1-a \
--machine-type=e2-micro \
--network-interface subnet=s1-inside-subnet,private-network-ip=10.10.1.3,no-address
סימולציה של סביבת הרשת ב-GCP Cloud
כדי לאפשר תנועה בין אתרים באזורים שונים דרך הרשת hub-vpc והקרניים, צריך להפעיל ניתוב גלובלי ברשת hub-vpc. מידע נוסף זמין במאמר החלפת מסלולים ב-NCC.
- יוצרים רשת ורשתות משנה של
hub-vpc:
gcloud compute networks create hub-vpc \
--subnet-mode custom \
--bgp-routing-mode=global
gcloud compute networks subnets create hub-subnet1 \
--network hub-vpc \
--range 10.1.0.0/24 \
--region us-central1
gcloud compute networks subnets create hub-subnet2 \
--network hub-vpc \
--range 10.2.0.0/24 \
--region us-east4
- יוצרים רשת ורשתות משנה של
workload-vpc:
gcloud compute networks create workload-vpc \
--subnet-mode custom \
--bgp-routing-mode=global
gcloud compute networks subnets create workload-subnet1 \
--network workload-vpc \
--range 192.168.235.0/24 \
--region us-central1
- יוצרים כללי חומת אש ב-VPC של הצומת כדי לאפשר:
- SSH
- ESP, UDP/500, UDP/4500
- טווח פנימי 10.0.0.0/8 (שכולל את יציאת ה-TCP 179 שנדרשת לסשן ה-BGP משער הענן למכשיר הנתב)
gcloud compute firewall-rules create hub-ssh \
--network hub-vpc \
--allow tcp:22
gcloud compute firewall-rules create hub-vpn \
--network hub-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router
gcloud compute firewall-rules create hub-internal \
--network hub-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create hub-iap \
--network hub-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
- יוצרים כללי חומת אש של Workload-VPC כדי לאפשר:
- SSH
- טווח פנימי 192.168.0.0/16 (שכולל את יציאת ה-TCP 179 שנדרשת לסשן ה-BGP מהנתב בענן למכשיר הנתב)
gcloud compute firewall-rules create workload-ssh \
--network workload-vpc \
--allow tcp:22
gcloud compute firewall-rules create workload-internal \
--network workload-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create workload-onprem \
--network hub-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create workload-iap \
--network workload-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
- מפעילים את Cloud NAT ב-workload-VPC כדי לאפשר ל-workload1-vm להוריד חבילות על ידי יצירת Cloud Router ו-NAT Gateway
gcloud compute routers create cloud-router-usc-central-1-nat \
--network workload-vpc \
--region us-central1
gcloud compute routers nats create cloudnat-us-central1 \
--router=cloud-router-usc-central-1-nat \
--auto-allocate-nat-external-ips \
--nat-all-subnet-ip-ranges \
--region us-central1
- יוצרים את המארח
workload1-vmin "us-central1-a" inworkload-VPC. תשתמשו במארח הזה כדי לאמת את הקישוריות של האתר לענן.
gcloud compute instances create workload1-vm \
--project=$projectname \
--machine-type=e2-micro \
--image-family debian-10 \
--image-project debian-cloud \
--zone us-central1-a \
--private-network-ip 192.168.235.3 \
--no-address \
--subnet=workload-subnet1 \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install apache2 -y
sudo service apache2 restart
echo 'Welcome to Workload VM1 !!' | tee /var/www/html/index.html
EOF"
4. הגדרת מכשירי On Prem ל-SD-WAN
יצירת מכונה וירטואלית בארגון ל-SDWAN (מכשירים)
בקטע הבא ניצור את site1-nva שיפעל כנתב מקומי.
יצירת מכונות
יוצרים את המכשיר site1-router בשם site1-nva
gcloud compute instances create site1-nva \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=site1-subnet \
--network-interface subnet=s1-inside-subnet,no-address \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any \
--can-ip-forward
5. התקנה של flexiWAN ב-site1-nva
פותחים חיבור SSH אל site1-nva. אם חל זמן קצוב לתפוגה, מנסים שוב.
gcloud compute ssh site1-nva --zone=us-central1-a
התקנה של flexiWAN ב-site1-nva
sudo su
sudo curl -sL https://deb.flexiWAN.com/setup | sudo bash -
apt install flexiWAN-router -y
הכנת המכונה הווירטואלית לרישום של מישור הבקרה של flexiWAN.
אחרי שמשלימים את התקנת flexiWAN, מריצים את הפקודה fwsystem_checker כדי להכין את המכונה הווירטואלית לפעולה של flexiWAN. הפקודה הזו בודקת את דרישות המערכת ועוזרת לתקן שגיאות בהגדרות המערכת.
- בוחרים באפשרות
2כדי לבצע הגדרה מהירה ושקטה - לאחר מכן יוצאים באמצעות 0.
- לא סוגרים את החלון של Cloud Shell.
root@site-1-nva-1:/home/user# fwsystem_checker
<output snipped>
[0] - quit and use fixed parameters
1 - check system configuration
2 - configure system silently
3 - configure system interactively
4 - restore system checker settings to default
------------------------------------------------
Choose: 2
<output snipped>
[0] - quit and use fixed parameters
1 - check system configuration
2 - configure system silently
3 - configure system interactively
4 - restore system checker settings to default
------------------------------------------------
Choose: 0
Please wait..
Done.
=== system checker ended ====
משאירים את הסשן פתוח בשביל השלבים הבאים
6. רישום site1-nva ב-SD-WAN controller
השלבים האלה נדרשים כדי להשלים את הקצאת ה-NVA של flexiWAN. הניהול מתבצע דרך מסוף flexiManage. לפני שממשיכים, חשוב לוודא שהארגון ב-flexiWAN מוגדר.
מתחברים לחשבון flexiManage ומאמתים את ה-NVA של flexiWAN שנפרס באמצעות flexiManage באמצעות אסימון אבטחה. אפשר לעשות שימוש חוזר באותו אסימון בכל מכשירי הנתב.
בוחרים באפשרות מלאי שטחי פרסום → אסימונים,יוצרים אסימון ובוחרים עותק.
חוזרים ל-Cloud Shell (site1-nva) ומדביקים את האסימון בתיקייה /etc/flexiWAN/agent/token.txt באופן הבא:
nano /etc/flexiWAN/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter
הפעלת נתבי האתר במסוף flexiManage
מתחברים למסוף flexiManage כדי להפעיל את site1-nva ב-Controller
בחלונית הימנית, בוחרים באפשרות 'מלאי' → 'מכשירים' ולוחצים על המכשיר 'לא ידוע'.
מזינים את שם המארח של site1-nva ומאשרים את המכשיר על ידי החלקה של בורר החיוג ימינה.
בוחרים בכרטיסייה ממשקים.
מאתרים את העמודה Assigned (הוקצה) ולוחצים על No (לא) כדי לשנות את ההגדרה ל-Yes (כן).
בוחרים בכרטיסייה Firewall ולוחצים על הסימן '+' כדי להוסיף כלל חומת אש נכנסת.
בוחרים את ממשק ה-WAN כדי להחיל את כלל ה-SSH כפי שמתואר בהמשך.
לוחצים על עדכון המכשיר.
מפעילים את site1-nva מהבקר של flexiWAN. חוזרים אל Inventory → Devices → site1-nva בוחרים באפשרות Start Device.
סטטוס – סנכרון
סטטוס – סונכרן
אפשר לראות את אינדיקטור האזהרה בקטע פתרון בעיות → התראות. אחרי הצפייה, בוחרים את כל ההודעות ומסמנים אותן כ'נקראו'.
7. הגדרת מכשירי Hub SDWAN
בקטע הבא תיצורו את הנתב Hub (hub-r1) ותירשמו אותו ב-flexiWAN Controller, כפי שביצעתם קודם עם מסלולי האתר.
פותחים כרטיסייה חדשה ויוצרים סשן Cloud Shell, מעדכנים את המשתנים של $כדי לעזור בהטמעת ההגדרות של gcloud
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname
יצירת מכונות NVA של Hub
יוצרים את המכשיר hub-r1:
gcloud compute instances create hub-r1 \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=hub-subnet1 \
--network-interface subnet=workload-subnet1,no-address \
--can-ip-forward \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any
8. התקנה של flexiWAN במכונות Hub עבור hub-r1
פותחים חיבור SSH אל hub-r1
gcloud compute ssh hub-r1 --zone=us-central1-a
התקנת סוכן flexiWAN בשני הצמתים hub-r1
sudo su
sudo curl -sL https://deb.flexiWAN.com/setup | sudo bash -
apt install flexiWAN-router -y
הכנת מכונות וירטואליות מסוג hub-r1 לרישום ב-flexiWAN.
אחרי השלמת ההתקנה של flexiWAN, מריצים את הפקודה fwsystem_checker כדי להכין את המכונה הווירטואלית לפעולה של flexiWAN. הפקודה הזו בודקת את דרישות המערכת ועוזרת לתקן שגיאות בהגדרות המערכת.
root@hub-r1:/home/user# fwsystem_checker
- בוחרים באפשרות
2כדי לבצע הגדרה מהירה ושקטה - לאחר מכן יוצאים באמצעות 0.
- לא סוגרים את החלון של Cloud Shell.
9. רישום מכונות וירטואליות מסוג hub-r1 ב-FlexManage Controller
מתחברים לחשבון flexiManage ומאמתים את ה-NVA של flexiWAN שנפרס באמצעות flexiManage באמצעות אסימון אבטחה.
- בוחרים באפשרות מלאי שטחי פרסום → אסימונים ומעתיקים את האסימון.
חוזרים ל-Cloud Shell (hub-r1) ומדביקים את האסימון בספרייה /etc/flexiWAN/agent/token.txt באופן הבא:
nano /etc/flexiWAN/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter
הפעלת הנתב hub-r1 של Hub במסוף flexiManage
כניסה למסוף flexiManage
- עוברים אל Inventory (מלאי) → Devices (מכשירים).
- מחפשים את שם המארח של hub-r1 ומציינים אותו. השם הוא "unknown"
בוחרים את המכשיר הלא ידוע עם שם המארח hub-r1.
- מזינים את שם המארח של hub-r1
- מאשרים את המכשיר. מחליקים את בורר ההזזה שמאלה.
בוחרים בכרטיסייה ממשקים.
- מאתרים את העמודה 'הוקצה'
- לצד שורת הממשק, לוחצים על 'לא' כדי לשנות את ההגדרה ל-'כן'.
בוחרים בכרטיסייה חומת אש.
- לוחצים על + כדי להוסיף כלל חומת אש נכנסת.
- בוחרים את ממשק ה-WAN שיירש את הכלל.
- מתן הרשאה ליציאה 22 של SSH באמצעות פרוטוקול TCP
- לוחצים על עדכון המכשיר.
הפעלת המכשיר hub-r1 ל-SD-WAN מהבקר של flexiWAN
- חוזרים אל Inventory → Devices → hub-r1
בוחרים באפשרות הפעלת המכשיר.
- ממתינים לסיום הסנכרון ומציינים את הסטטוס running.
10. Network Connectivity Center ב-GCP Hub
הפעלת שירותי API
מפעילים את Network Connectivity API אם הוא עדיין לא מופעל:
gcloud services enable networkconnectivity.googleapis.com
יצירת מרכז NCC
gcloud network-connectivity hubs create ncc-hub
Create request issued for: [ncc-hub]
Waiting for operation [projects/user-3p-dev/locations/global/operations/operation-1668793629598-5edc24b7ee3ce-dd4c765b-5ca79556] to complete...done.
Created hub [ncc-hub]
מגדירים את שני מכשירי הנתב כ-spoke של NCC
מחפשים את ה-URI ואת כתובת ה-IP של hub-r1 ומתעדים את הפלט. יהיה צורך במידע הזה בשלב הבא.
חשוב לשים לב לכתובת ה-IP של המכונה hub-r1.
gcloud compute instances describe hub-r1 \
--zone=us-central1-a \
--format="value(selfLink.scope(projects))"
gcloud compute instances describe hub-r1 --zone=us-central1-a | grep "networkIP"
מוסיפים את ה-VNIC networkIP של hub-r1 כ-spoke. כברירת מחדל, העברת נתונים מאתר לאתר מושבתת.
gcloud network-connectivity spokes linked-router-appliances create s2c-wrk-cr1 \
--hub=ncc-hub \
--router-appliance=instance="https://www.googleapis.com/compute/projects/$projectname/zones/us-central1-a/instances/hub-r1",ip=192.168.235.4 \
--region=us-central1 \
--site-to-site-data-transfer
הגדרת Cloud Router ליצירת BGP עם Hub-R1
בשלב הבא, יוצרים את Cloud Router ומכריזים על תת-הרשת VPC של כוח העבודה 192.168.235.0/24
יוצרים את Cloud Router באזור us-central1 שיהיה בקשר עם BGP באמצעות hub-r1
gcloud compute routers create wrk-cr1 \
--region=us-central1 \
--network=workload-vpc \
--asn=65002 \
--set-advertisement-groups=all_subnets
הגדרת מכשירי הנתב כ-NCC Spoke מאפשרת לנתב בענן לנהל משא ומתן על BGP בממשקים וירטואליים.
יוצרים שני ממשקים ב-Cloud Router שיחליפו הודעות BGP עם hub-r1.
כתובות ה-IP נבחרות מתת-הרשת של עומס העבודה, וניתן לשנות אותן לפי הצורך.
gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int0 \
--ip-address=192.168.235.101
gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int1 \
--ip-address=192.168.235.102 \
--redundant-interface=int0
מגדירים את ממשק Cloud Router כדי ליצור BGP עם vNIC-1 של hub-r1, ומעדכנים את peer-ip-address בכתובת ה-IP של networkIP של hub-r1. הערה: אותה כתובת IP משמשת את int0 ואת int1.
gcloud compute routers add-bgp-peer wrk-cr1 \
--peer-name=hub-cr1-bgp-peer-0 \
--interface=int0 \
--peer-ip-address=192.168.235.4 \
--peer-asn=64111 \
--instance=hub-r1 \
--instance-zone=us-central1-a \
--region=us-central1
gcloud compute routers add-bgp-peer wrk-cr1 \
--peer-name=hub-cr1-bgp-peer-1 \
--interface=int1 \
--peer-ip-address=192.168.235.4 \
--peer-asn=64111 \
--instance=hub-r1 \
--instance-zone=us-central1-a \
--region=us-central1
מוודאים את מצב ה-BGP. בשלב הזה ב-Codelab, ה-BGP נמצא ב'מצב חיבור' כי מכשיר הנתב ברשת לא הוגדר ל-BGP.
gcloud compute routers get-status wrk-cr1 --region=us-central1
11. הגדרת מכשירי נתב Hub ל-BGP
הגדרת hub-r1 ל-BGP
חשוב להיכנס למסוף flexiManage
עוברים אל Inventory (מלאי) → Devices (מכשירים) → hub-r1 ובוחרים את המכשיר עם HostName:hub-r1
- לוחצים על הכרטיסייה Routing (ניתוב).
- לוחצים על BGP Configuration (הגדרת BGP).
- משביתים את האפשרות 'Redistribute OSPF Routes'.
- מגדירים את hub-r1 ל-BGP באמצעות הפרמטרים האלה ולוחצים על Save (שמירה).
בוחרים בכרטיסייה Interfaces, מאתרים את ממשק ה-LAN ומוצאים את העמודה Routing.
- לוחצים על none כדי לפתוח את התפריט ולבחור ב-BGP כפרוטוקול הניתוב.
- בחלק העליון של הדף, לוחצים על 'עדכון המכשיר'.
12. החלפת מסלולי BGP בין מכשירי נתב וירטואלי
הגדרת ASN מקומי לאתרים מרוחקים
מגדירים ASN מקומי של BGP עבור site1-nva. לאחר ההגדרה, נקים מנהרת IPsec בין האתרים המרוחקים לבין נתבי ה-hub.
בוחרים את המכשיר עם HostName:site1-nva
- לוחצים על הכרטיסייה Routing (ניתוב).
- לוחצים על BGP Configuration (הגדרת BGP).
- משביתים את האפשרות 'Redistribute OSPF Routes'.
- ASN מקומי 7269 → שמירה
- עדכון המכשיר
- כרטיסיית Interfaces (ממשקים) → Routing (ניתוב) → BGP
- עדכון המכשיר
הגדרת מנהרות VPN בין Site1 לבין מכשירי Hub1
חשוב להיכנס למסוף flexiManage
- עוברים אל Inventory (מלאי) → Devices (מכשירים).
- מסמנים את התיבה שליד שם המארח של site1-nva ושל hub-r1 כדי ליצור מנהרת VPN בין הצמד הזה של מכונות ה-NVA.
- לוחצים על Actions (פעולות) → Create Tunnels (יצירת מנהרות) ומגדירים את הפרטים הבאים:
- בוחרים באפשרות יצירת מנהרות.
מוודאים ש-'site1-nva' למד מסלולים לתת-הרשת 192.168.235.0/24 ו-192.168.236.0/24
- בוחרים באפשרות Inventory → Devices → site1-nva ולוחצים על הכרטיסייה Routing.
בדוגמה הבאה של הפלט, flexiWAN יצר את המנהרה באופן אוטומטי באמצעות כתובת ה-IP של המארח 10.100.0.6 
13. אימות החיבור של נתיב הנתונים
אימות הקישוריות של האתר לענן מהארגון
בהתאם לתרשים, מוודאים שנתיב הנתונים בין s1-vm לבין workload1-vm תקין.
הגדרת מסלולים סטטיים של VPC לאתר לענן
Site1-VPC המקומית מדמה רשת של מרכז נתונים מקומי.
שתי מכונות הנתב Site-1-nva משתמשות בחיבור VPN כדי להגיע לרשת הצומת.
בתרחיש לדוגמה של אתר לענן, יוצרים מסלולים סטטיים ליעד 192.168.0.0/16 באמצעות מכשיר הנתב בתור הצעד הבא כדי להגיע לרשתות ברשת הענן של GCP.
ב-s1-inside-vpc,יוצרים נתיב סטטי ליעד בענן (192.168.0.0/16):
gcloud compute routes create site1-subnet-route \
--network=s1-inside-vpc \
--destination-range=192.168.0.0/16 \
--next-hop-instance=site1-nva \
--next-hop-instance-zone=us-central1-a
ב-cloudshell, מחפשים את כתובת ה-IP של workload1-vmnee." תצטרכו את זה כדי לבדוק את הקישוריות מ-s1-vm.
gcloud compute instances describe workload1-vm --zone=us-central1-a | grep "networkIP"
מתחברים באמצעות SSH ל-s1-vm ומשתמשים בפקודה curl כדי ליצור סשן TCP לכתובת ה-IP של workload1-VM.
s1-vm:~$ curl 192.168.235.3 -vv * Trying 192.168.235.3:80... * Connected to 192.168.235.3 (192.168.235.3) port 80 (#0) > GET / HTTP/1.1 > Host: 192.168.235.3 > User-Agent: curl/7.74.0 > Accept: */* > * Mark bundle as not supporting multiuse < HTTP/1.1 200 OK < Date: Wed, 07 Dec 2022 15:12:08 GMT < Server: Apache/2.4.54 (Debian) < Last-Modified: Tue, 06 Dec 2022 00:57:46 GMT < ETag: "1f-5ef1e4acfa1d9" < Accept-Ranges: bytes < Content-Length: 31 < Content-Type: text/html < Page served from: workload1-vm * Connection #0 to host 192.168.235.3 left intact
14. ניקוי
מחיקת המשאבים המקומיים
כניסה ל-Cloud Shell ומחיקה של מכונות וירטואליות ברשתות של צומת הענן ובאתרי ההסתעפויות
#onprem instances
gcloud compute instances delete s1-vm --zone=us-central1-a --quiet
#delete on prem firewall rules
gcloud compute firewall-rules delete site1-ssh --quiet
gcloud compute firewall-rules delete site1-internal --quiet
gcloud compute firewall-rules delete site1-cloud --quiet
gcloud compute firewall-rules delete site1-vpn --quiet
gcloud compute firewall-rules delete site1-iap --quiet
#delete on prem subnets
gcloud compute networks subnets delete site1-subnet --quiet
gcloud compute networks subnets delete s1-inside-subnet --quiet
gcloud compute networks subnets delete s1-inside-subnet --quiet
#delete on prem vpcs
gcloud compute networks delete site1-vpc --quiet
gcloud compute networks delete s1-inside-vpc --quiet
מחיקת המשאבים של Cloud Hub
כניסה ל-Cloud Shell ומחיקה של מכונות וירטואליות ברשתות של צומת הענן ובאתרי ההסתעפויות
#delete ncc spokes
gcloud network-connectivity spokes delete s2c-wrk-cr1 --region us-central1 --quiet
#delete ncc hub
gcloud network-connectivity hubs delete ncc-hub --quiet
#delete hub instances
gcloud compute instances delete hub-r1 --zone=us-central1-a --quiet
#delete hub firewall rule
gcloud compute firewall-rules delete hub-ssh --quiet
gcloud compute firewall-rules delete hub-vpn --quiet
gcloud compute firewall-rules delete hub-internal --quiet
gcloud compute firewall-rules delete hub-iap --quiet
gcloud compute firewall-rules create workload-ssh --quiet
gcloud compute firewall-rules create workload-internal --quiet
gcloud compute firewall-rules create workload-onprem --quiet
gcloud compute firewall-rules create workload-iap --quiet
#delete hub subnets
gcloud compute networks subnets delete workload-subnet1 --quiet
gcloud compute networks subnets delete hub-subnet1 --quiet
#delete hub vpcs
gcloud compute networks delete workload-vpc --quiet
gcloud compute networks delete hub-vpc --quiet
15. מעולה!
סיימתם את הסדנה בנושא Network Connectivity Center!
מה כללתם
- שילוב מוגדר של WAN מבוסס-תוכנה לאתר NCC לענן
השלבים הבאים
- סקירה כללית על Network Connectivity Center
- מסמכי תיעוד של Network Connectivity Center
- משאבי flexiWAN
- flexiWAN GitLab Repo
©Google, LLC או השותפים העצמאיים שלה. כל הזכויות שמורות. אין להפיץ.