1. Wprowadzenie
Omówienie
W tym module poznasz niektóre funkcje Network Connectivity Center.
Network Connectivity Center (NCC) to model platformy sterującej w architekturze węzła i promieni do zarządzania połączeniami sieciowymi w Google Cloud. Zasób centrum zapewnia scentralizowany model zarządzania łącznością do łączenia promieni. NCC obsługuje obecnie te zasoby sieci jako szprychy:
- Przyłącza VLAN
- Routery (urządzenia)
- Sieć VPN o wysokiej dostępności
Codelabs wymaga korzystania z rozwiązania flexiWAN SaaS SD-WAN , które upraszcza wdrażanie i zarządzanie siecią WAN.
Co utworzysz
W tym laboratorium kodu utworzysz topologię SD-WAN z podziałem na węzły i ramiona, aby symulować odległe witryny, które będą korzystać z sieci szkieletowej Google do komunikacji między witrynami a chmurą.
- W sieci VPC hub wdróż parę maszyn wirtualnych GCE skonfigurowanych pod kątem agenta SD-WAN flexiWAN, która reprezentuje urządzenia końcowe dla ruchu przychodzącego i wychodzącego do GCP.
- Wdrożenie 2 routerów flexiWAN SD-WAN na potrzeby 2 różnych VPC w siedzibie oddziału
- W celu przetestowania ścieżki danych skonfigurujesz 3 maszyny wirtualne GCE, aby symulować klientów na miejscu i serwer hostowany w GCP.
Czego się nauczysz
- Używanie NCC do łączenia odległych oddziałów za pomocą rozwiązania typu Software-Defined WAN typu open source
- praktyczne doświadczenie z oprogramowaniem typu open source do definiowania sieci WAN;
Czego potrzebujesz
- znajomość sieci VPC GCP,
- Znajomość Cloud Router i routingu BGP
2. Cele
- Konfigurowanie środowiska GCP
- Wdrażanie instancji flexiWAN Edge w GCP
- Utwórz centrum NCC i NVA flexiWAN Edge jako promień
- Konfigurowanie instancji flexiWAN i zarządzanie nimi za pomocą flexiManage
- Konfigurowanie wymiany tras BGP między vpc-app-svcs a NVA flexiWAN
- Tworzenie witryny zdalnej symulującej odległy oddział klienta lub centrum danych
- Utwórz tunel IPSec między lokalizacją zdalną a NVA
- Sprawdzanie, czy urządzenia zostały wdrożone
- Weryfikowanie przenoszenia danych z witryny do chmury
- Czyszczenie używanych zasobów
W tym samouczku musisz utworzyć bezpłatne konto flexiManage , aby uwierzytelniać instancje flexiEdge, rejestrować je i nimi zarządzać.
Zanim zaczniesz
Korzystanie z konsoli Google Cloud i Cloud Shell
W tym module będziemy korzystać z konsoli Google Cloud Platform i Cloud Shell.
Google Cloud Console
Konsolę Cloud Console można otworzyć na stronie https://console.cloud.google.com.
Aby ułatwić konfigurowanie Centrum łączności sieciowej, skonfiguruj w Google Cloud te elementy:
W konsoli Google Cloud na stronie selektora projektu wybierz lub utwórz projekt Google Cloud.
Uruchom Cloud Shell. Ten samouczek Codelab wykorzystuje zmienne $variables, aby ułatwić implementację konfiguracji gcloud w Cloud Shell.
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname
Role uprawnień
NCC wymaga ról uprawnień do uzyskiwania dostępu do określonych interfejsów API. Pamiętaj, aby skonfigurować użytkownika z wymaganymi rolami NCC w IAM.
Nazwa roli | Opis | Uprawnienia |
networkconnectivity.networkAdmin | Umożliwia administratorom sieci zarządzanie centrum i promieni. | networkconnectivity.hubs.networkconnectivity.spokes. |
networkconnectivity.networkSpokeManager | Umożliwia dodawanie wiązek do centrum i zarządzanie nimi. Do korzystania w współdzielonym środowisku VPC, w którym projekt główny jest właścicielem centrum, ale inni administratorzy w innych projektach mogą dodawać do niego promienie dla swoich załączników. | networkconnectivity.spokes.** |
networkconnectivity.networkUsernetworkconnectivity.networkViewer | Umożliwia użytkownikom sieci wyświetlanie różnych atrybutów osi i ramion. | networkconnectivity.hubs.getnetworkconnectivity.hubs.listnetworkconnectivity.spokes.getnetworkconnectivity.spokes.listnetworkconnectivity.spokes.aggregatedList |
3. Konfigurowanie środowiska Network Lab
Omówienie
W tej sekcji wdrożymy sieci VPC i reguły zapory sieciowej.
Symulowanie sieci witryn oddziałów lokalnych
Ta sieć VPC zawiera podsieci dla lokalnych instancji maszyn wirtualnych.
Utwórz sieci i podsieci witryn lokalnych:
gcloud compute networks create site1-vpc \
--subnet-mode custom
gcloud compute networks create s1-inside-vpc \
--subnet-mode custom
gcloud compute networks subnets create site1-subnet \
--network site1-vpc \
--range 10.10.0.0/24 \
--region us-central1
gcloud compute networks subnets create s1-inside-subnet \
--network s1-inside-vpc \
--range 10.10.1.0/24 \
--region us-central1
Utwórz reguły zapory sieciowej site1-vpc, aby zezwolić na:
- SSH, wewnętrzny, IAP
- ESP, UDP/500, UDP/4500
- Zakres 10.0.0.0/8
- Zakres 192.168.0.0/16
gcloud compute firewall-rules create site1-ssh \--network site1-vpc \
--allow tcp:22
gcloud compute firewall-rules create site1-internal \
--network site1-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create site1-cloud \
--network site1-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create site1-vpn \
--network site1-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router
gcloud compute firewall-rules create site1-iap \
--network site1-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
Utwórz reguły zapory sieciowej s1-inside-vpc, aby zezwolić na:
- SSH, wewnętrzny, IAP
- Zakres 10.0.0.0/8
- Zakres 192.168.0.0/16
gcloud compute firewall-rules create s1-inside-ssh \
--network s1-inside-vpc \
--allow tcp:22
gcloud compute firewall-rules create s1-inside-internal \
--network s1-inside-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create s1-inside-cloud \
--network s1-inside-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create s1-inside-iap \
--network site2-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
Na potrzeby testów utwórz instancje s1-inside-vm i s2-inside-vm.
gcloud compute instances create s1-vm \
--zone=us-central1-a \
--machine-type=e2-micro \
--network-interface subnet=s1-inside-subnet,private-network-ip=10.10.1.3,no-address
Symulowanie środowiska sieciowego Google Cloud Platform
Aby umożliwić ruch między witrynami w różnych regionach przez sieć hub-vpc i spoke'y, musisz włączyć routing globalny w sieci hub-vpc. Więcej informacji znajdziesz w sekcji wymiana tras w NCC.
- Utwórz sieć
hub-vpci podsieci:
gcloud compute networks create hub-vpc \
--subnet-mode custom \
--bgp-routing-mode=global
gcloud compute networks subnets create hub-subnet1 \
--network hub-vpc \
--range 10.1.0.0/24 \
--region us-central1
gcloud compute networks subnets create hub-subnet2 \
--network hub-vpc \
--range 10.2.0.0/24 \
--region us-east4
- Utwórz sieć
workload-vpci podsieci:
gcloud compute networks create workload-vpc \
--subnet-mode custom \
--bgp-routing-mode=global
gcloud compute networks subnets create workload-subnet1 \
--network workload-vpc \
--range 192.168.235.0/24 \
--region us-central1
- Utwórz reguły zapory sieciowej Hub-VPC, aby umożliwić:
- SSH
- ESP, UDP/500, UDP/4500
- wewnętrzny zakres 10.0.0.0/8 (obejmujący port TCP 179 wymagany do sesji BGP z routera Cloud Router do urządzenia routera);
gcloud compute firewall-rules create hub-ssh \
--network hub-vpc \
--allow tcp:22
gcloud compute firewall-rules create hub-vpn \
--network hub-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router
gcloud compute firewall-rules create hub-internal \
--network hub-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create hub-iap \
--network hub-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
- Utwórz reguły zapory sieciowej Workload-VPC, aby zezwolić na:
- SSH
- wewnętrzny zakres 192.168.0.0/16 (obejmujący port TCP 179 wymagany do sesji BGP z routera Cloud Router do urządzenia routera);
gcloud compute firewall-rules create workload-ssh \
--network workload-vpc \
--allow tcp:22
gcloud compute firewall-rules create workload-internal \
--network workload-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create workload-onprem \
--network hub-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create workload-iap \
--network workload-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
- Włącz Cloud NAT w VPC zadania, aby umożliwić maszynie wirtualnej workload1 pobieranie pakietów przez utworzenie routera Cloud Router i bramy NAT
gcloud compute routers create cloud-router-usc-central-1-nat \
--network workload-vpc \
--region us-central1
gcloud compute routers nats create cloudnat-us-central1 \
--router=cloud-router-usc-central-1-nat \
--auto-allocate-nat-external-ips \
--nat-all-subnet-ip-ranges \
--region us-central1
- Utwórz hosta
workload1-vmin "us-central1-a" inworkload-VPC, którego użyjesz do weryfikacji połączenia między witryną a chmurą.
gcloud compute instances create workload1-vm \
--project=$projectname \
--machine-type=e2-micro \
--image-family debian-10 \
--image-project debian-cloud \
--zone us-central1-a \
--private-network-ip 192.168.235.3 \
--no-address \
--subnet=workload-subnet1 \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install apache2 -y
sudo service apache2 restart
echo 'Welcome to Workload VM1 !!' | tee /var/www/html/index.html
EOF"
4. Konfigurowanie urządzeń lokalnych do obsługi SD-WAN
Tworzenie maszyny wirtualnej na potrzeby SD-WAN (urządzenia)
W następnej sekcji utworzymy site1-nva, który będzie działał jako router lokalny.
Tworzenie instancji
Utwórz urządzenie site1-router o nazwie site1-nva.
gcloud compute instances create site1-nva \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=site1-subnet \
--network-interface subnet=s1-inside-subnet,no-address \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any \
--can-ip-forward
5. Instalowanie flexiWAN w witrynie site1-nva
Otwórz połączenie SSH z site1-nva. Jeśli wystąpi błąd limitu czasu, spróbuj ponownie.
gcloud compute ssh site1-nva --zone=us-central1-a
Instalowanie flexiWAN w witrynie site1-nva
sudo su
sudo curl -sL https://deb.flexiWAN.com/setup | sudo bash -
apt install flexiWAN-router -y
Przygotuj maszynę wirtualną do rejestracji platformy sterującej flexiWAN.
Po zakończeniu instalacji flexiWAN uruchom polecenie fwsystem_checker, aby przygotować maszynę wirtualną do działania flexiWAN. To polecenie sprawdza wymagania systemowe i pomaga poprawić błędy konfiguracji w systemie.
- Wybierz opcję
2, aby szybko i bezgłośnie skonfigurować urządzenie. - wyjście po wykonaniu 0.
- Nie zamykaj okna Cloud Shell.
root@site-1-nva-1:/home/user# fwsystem_checker
<output snipped>
[0] - quit and use fixed parameters
1 - check system configuration
2 - configure system silently
3 - configure system interactively
4 - restore system checker settings to default
------------------------------------------------
Choose: 2
<output snipped>
[0] - quit and use fixed parameters
1 - check system configuration
2 - configure system silently
3 - configure system interactively
4 - restore system checker settings to default
------------------------------------------------
Choose: 0
Please wait..
Done.
=== system checker ended ====
Nie zamykaj sesji podczas wykonywania kolejnych czynności
6. Zarejestruj site1-nva w kontrolerze SD-WAN
Te czynności są wymagane do ukończenia obsługi NVA flexiWAN, która jest zarządzana z konsoli flexiManage. Zanim przejdziesz dalej, upewnij się, że organizacja flexiWAN jest skonfigurowana.
Uwierzytelnij nowo wdrożony NVA flexiWAN za pomocą flexiManage przy użyciu tokena bezpieczeństwa, logując się na konto flexiManage. Tego samego tokena można używać na wszystkich routerach.
Kliknij Asortyment → Tokeny,utwórz token i wybierz kopię.
Wróć do Cloud Shell (site1-nva) i wklej token do katalogu /etc/flexiWAN/agent/token.txt, wykonując te czynności:
nano /etc/flexiWAN/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter
Aktywowanie routerów witryny w konsoli flexiManage
Zaloguj się w konsoli flexiManage, aby aktywować site1-nva na kontrolerze
W panelu po lewej stronie wybierz Inventory (Katalog) → Devices (Urządzenia) i kliknij urządzenie „Unknown” (Nieznane).
Wpisz nazwę hosta site1-nva i zatwierdź urządzenie, przesuwając suwak w prawo.
Kliknij kartę „Interfejsy”.
Znajdź kolumnę „Przypisany”, kliknij „Nie” i zmień ustawienie na „Tak”.
Wybierz kartę Zapora sieciowa i kliknij znak „+”, aby dodać regułę wejściowej zapory sieciowej.
Wybierz interfejs WAN, aby zastosować regułę SSH zgodnie z opisem poniżej.
Kliknij „Zaktualizuj urządzenie”.
Uruchom site1-nva z poziomu kontrolera flexiWAN. Wróć do Katalog → Urządzenia → site1-nva i wybierz Uruchom urządzenie.
Stan: Synchronizuję
Stan: zsynchronizowany
Wskaźnik ostrzegawczy jest widoczny w sekcji Rozwiązywanie problemów → Powiadomienia. Po obejrzeniu zaznacz wszystkie i oznacz jako przeczytane.
7. Konfigurowanie urządzeń SD-WAN w Hubie
W następnej sekcji utworzysz i zarejestrujesz routery HUB (hub-r1) w kontrolerze flexiWAN w taki sam sposób, jak w przypadku tras witryn.
Otwórz nową kartę i utwórz sesję Cloud Shell, a następnie zaktualizuj zmienne $variables, aby ułatwić implementację konfiguracji gcloud.
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname
Tworzenie instancji NVA w hubie
Utwórz urządzenie hub-r1:
gcloud compute instances create hub-r1 \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=hub-subnet1 \
--network-interface subnet=workload-subnet1,no-address \
--can-ip-forward \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any
8. Instalowanie flexiWAN na instancjach hub-r1
Otwórz połączenie SSH z hub-r1
gcloud compute ssh hub-r1 --zone=us-central1-a
Zainstaluj agenta flexiWAN na obu hub-r1
sudo su
sudo curl -sL https://deb.flexiWAN.com/setup | sudo bash -
apt install flexiWAN-router -y
Przygotuj maszyny wirtualne hub-r1 do rejestracji flexiWAN.
Po zakończeniu instalacji flexiWAN uruchom polecenie fwsystem_checker, aby przygotować maszynę wirtualną do działania flexiWAN. To polecenie sprawdza wymagania systemowe i pomaga poprawiać błędy konfiguracji w systemie.
root@hub-r1:/home/user# fwsystem_checker
- Wybierz opcję
2, aby szybko i bezgłośnie skonfigurować urządzenie. - wyjście po wykonaniu 0.
- Nie zamykaj okna Cloud Shell.
9. Rejestrowanie maszyn wirtualnych hub-r1 na kontrolerze FlexManage
Uwierzytelnij nowo wdrożony NVA flexiWAN za pomocą flexiManage przy użyciu tokena bezpieczeństwa, logując się na konto flexiManage.
- Kliknij Zasoby reklamowe → Tokeny i skopiuj token.
Wróć do Cloud Shell (hub-r1) i wklej token do katalogu /etc/flexiWAN/agent/token.txt, wykonując te czynności:
nano /etc/flexiWAN/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter
Aktywowanie routerów Hub hub-r1 w konsoli flexiManage
Logowanie w konsoli flexiManage
- Kliknij Zasoby reklamowe → Urządzenia.
- Znajdź i zapisz nazwę hosta hub-r1, która powinna być „unknown”.
Wybierz urządzenie Nieznane o nazwie hosta hub-r1.
- Wpisz nazwę hosta hub-r1.
- Zatwierdź urządzenie, przesuwając suwak w prawo.
Kliknij kartę Interfejsy.
- Znajdź kolumnę „Przypisany”.
- Obok wiersza interfejsu kliknij „Nie”, aby zmienić ustawienie na „Tak”.
Wybierz kartę Zapora sieciowa.
- Aby dodać regułę zapory sieciowej przychodzącej, kliknij „+”.
- Wybierz interfejs WAN, który ma odziedziczyć regułę
- Zezwalanie na port SSH 22 z protokołem TCP
- Kliknij „Zaktualizuj urządzenie”.
Uruchom urządzenie hub-r1 do SD-WAN z kontrolera flexiWAN.
- Wróć do Asortyment → Urządzenia → hub-r1.
Wybierz „Uruchom urządzenie”.
- Zaczekaj na zakończenie synchronizacji i zanotuj stan „w toku”.
10. Network Connectivity Center w centrum GCP
Włączanie usług interfejsu API
Włącz interfejs Network Connectivity API, jeśli nie jest jeszcze włączony:
gcloud services enable networkconnectivity.googleapis.com
Tworzenie centrum NCC
gcloud network-connectivity hubs create ncc-hub
Create request issued for: [ncc-hub]
Waiting for operation [projects/user-3p-dev/locations/global/operations/operation-1668793629598-5edc24b7ee3ce-dd4c765b-5ca79556] to complete...done.
Created hub [ncc-hub]
Skonfiguruj oba urządzenia routera jako promienie NCC
Znajdź adres URI i adres IP obu węzłów hub-r1 i zapisz wyniki. Te informacje będą Ci potrzebne w następnym kroku.
Zapisz adres IP instancji hub-r1.
gcloud compute instances describe hub-r1 \
--zone=us-central1-a \
--format="value(selfLink.scope(projects))"
gcloud compute instances describe hub-r1 --zone=us-central1-a | grep "networkIP"
Dodaj vnic hub-r1 networkIP jako wiązkę. Domyślnie przenoszenie danych między witrynami jest wyłączone.
gcloud network-connectivity spokes linked-router-appliances create s2c-wrk-cr1 \
--hub=ncc-hub \
--router-appliance=instance="https://www.googleapis.com/compute/projects/$projectname/zones/us-central1-a/instances/hub-r1",ip=192.168.235.4 \
--region=us-central1 \
--site-to-site-data-transfer
Skonfiguruj router Cloud Router, aby ustanowić sesję BGP z routerem Hub-R1
W następnym kroku utwórz router Cloud Router i ogłoś podsieć VPC zadania 192.168.235.0/24.
Utwórz router Cloud Router w regionie us-central1, który będzie komunikować się z BGP z hub-r1.
gcloud compute routers create wrk-cr1 \
--region=us-central1 \
--network=workload-vpc \
--asn=65002 \
--set-advertisement-groups=all_subnets
Skonfigurowanie urządzeń routera jako węzła NCC umożliwia routerowi w chmurze negocjowanie BGP na interfejsach wirtualnych.
Utwórz 2 interfejsy na routerze w chmurze, które będą wymieniać wiadomości BGP z hub-r1.
Adresy IP są wybierane z podsieci zadania i w razie potrzeby można je zmienić.
gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int0 \
--ip-address=192.168.235.101
gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int1 \
--ip-address=192.168.235.102 \
--redundant-interface=int0
Skonfiguruj interfejs Cloud Router, aby ustanowić sesję BGP z vNIC-1 hub-r1, zaktualizuj adres IP peer-ip-address na adres IP sieci hub-r1. Pamiętaj, że ten sam adres IP jest używany w przypadku int0 i int1.
gcloud compute routers add-bgp-peer wrk-cr1 \
--peer-name=hub-cr1-bgp-peer-0 \
--interface=int0 \
--peer-ip-address=192.168.235.4 \
--peer-asn=64111 \
--instance=hub-r1 \
--instance-zone=us-central1-a \
--region=us-central1
gcloud compute routers add-bgp-peer wrk-cr1 \
--peer-name=hub-cr1-bgp-peer-1 \
--interface=int1 \
--peer-ip-address=192.168.235.4 \
--peer-asn=64111 \
--instance=hub-r1 \
--instance-zone=us-central1-a \
--region=us-central1
Sprawdź stan BGP. W tym momencie laboratorium kodu stan BGP to „stan połączenia”, ponieważ urządzenie routera sieciowego nie zostało skonfigurowane pod kątem BGP.
gcloud compute routers get-status wrk-cr1 --region=us-central1
11. Konfigurowanie urządzeń routera huba do obsługi BGP
Konfigurowanie hub-r1 na potrzeby BGP
Zaloguj się w konsoli flexiManage
Kliknij Zasoby -> Urządzenia -> hub-r1 i wybierz urządzenie o nazwie HostName:hub-r1.
- Kliknij kartę „Routing”.
- Kliknij „Konfiguracja BGP”.
- Wyłącz opcję „Redystrybuuj trasy OSPF”.
- Skonfiguruj hub-r1 do BGP za pomocą tych parametrów i kliknij „Zapisz”.
Kliknij kartę „Interfejsy”, odszukaj interfejs LAN i kolumnę „Routing”.
- Kliknij „brak”, aby otworzyć menu, w którym możesz wybrać BGP jako protokół routingu.
- U góry strony kliknij „Aktualizuj urządzenie”.
12. Wymiana tras BGP między urządzeniami routera
Ustanowienie lokalnego ASN dla zdalnych witryn
Skonfiguruj lokalny ASN BGP dla site1-nva. Po skonfigurowaniu ustanowimy tunel IPSEC między odległymi lokalizacjami a routerami węzłowymi.
Wybierz urządzenie z HostName:site1-nva.
- Kliknij kartę „Routing”.
- Kliknij „Konfiguracja BGP”.
- Wyłącz opcję „Redystrybuuj trasy OSPF”.
- Lokalny identyfikator ASN 7269 → Zapisz
- Aktualizuj urządzenie
- Karta Interfejsy → Routing → BGP
- Aktualizuj urządzenie
Konfigurowanie tuneli VPN między urządzeniami Site1 i Hub1
Zaloguj się w konsoli flexiManage
- Kliknij Zasoby reklamowe → Urządzenia.
- Zaznacz pole obok nazwy hosta site1-nva i hub-r1, aby utworzyć tunel VPN między tymi NVA.
- Kliknij Działania → Utwórz tunele i skonfiguruj te ustawienia:
- Wybierz Utwórz tunele.
Sprawdź, czy interfejs „site1-nva” nauczył się tras do podsieci 192.168.235.0/24 i 192.168.236.0/24.
- Kliknij kolejno Asortyment → Urządzenia → site1-nva i kartę „Wyznaczanie trasy”.
W przykładowym wyjściu poniżej flexiWAN automatycznie utworzył tunel za pomocą adresu IP hosta 10.100.0.6 
13. Sprawdzanie połączenia ścieżki danych
Sprawdzanie połączenia z witryny z chmurą z lokalizacji na miejscu
Patrz diagram. Sprawdź, czy ścieżka danych między s1-vm i workload1-vm
Konfigurowanie tras statycznych VPC w przypadku Site to Cloud
Lokalna Site1-VPC symuluje sieć lokalnego centrum danych.
Oba urządzenia routera w witrynie 1-nva używają połączenia VPN do łączenia się z siecią huba.
W przypadku korzystania z witryny w chmurze utwórz trasy statyczne do miejsca docelowego 192.168.0.0/16, używając urządzenia routera jako następnego przeskoku do docierania do sieci w sieci chmurowej Google Cloud Platform.
Na hoście s1-inside-vpc utwórz trasę statyczną do miejsca docelowego w chmurze (192.168.0.0/16):
gcloud compute routes create site1-subnet-route \
--network=s1-inside-vpc \
--destination-range=192.168.0.0/16 \
--next-hop-instance=site1-nva \
--next-hop-instance-zone=us-central1-a
W cloudshell wyszukaj adres IP workload1-vmnee. Potrzebujesz tego, aby przetestować połączenie z instancją s1-vm.
gcloud compute instances describe workload1-vm --zone=us-central1-a | grep "networkIP"
Nawiązuj połączenie SSH z hostem „s1-vm” i używaj polecenia „curl” do nawiązywania sesji TCP z adresem IP workload1-VM.
s1-vm:~$ curl 192.168.235.3 -vv * Trying 192.168.235.3:80... * Connected to 192.168.235.3 (192.168.235.3) port 80 (#0) > GET / HTTP/1.1 > Host: 192.168.235.3 > User-Agent: curl/7.74.0 > Accept: */* > * Mark bundle as not supporting multiuse < HTTP/1.1 200 OK < Date: Wed, 07 Dec 2022 15:12:08 GMT < Server: Apache/2.4.54 (Debian) < Last-Modified: Tue, 06 Dec 2022 00:57:46 GMT < ETag: "1f-5ef1e4acfa1d9" < Accept-Ranges: bytes < Content-Length: 31 < Content-Type: text/html < Page served from: workload1-vm * Connection #0 to host 192.168.235.3 left intact
14. Czyszczenie
Usuń zasoby na miejscu.
Zaloguj się w Cloud Shell i usuń maszyny wirtualne w sieciach huba i witryn podrzędnych.
#onprem instances
gcloud compute instances delete s1-vm --zone=us-central1-a --quiet
#delete on prem firewall rules
gcloud compute firewall-rules delete site1-ssh --quiet
gcloud compute firewall-rules delete site1-internal --quiet
gcloud compute firewall-rules delete site1-cloud --quiet
gcloud compute firewall-rules delete site1-vpn --quiet
gcloud compute firewall-rules delete site1-iap --quiet
#delete on prem subnets
gcloud compute networks subnets delete site1-subnet --quiet
gcloud compute networks subnets delete s1-inside-subnet --quiet
gcloud compute networks subnets delete s1-inside-subnet --quiet
#delete on prem vpcs
gcloud compute networks delete site1-vpc --quiet
gcloud compute networks delete s1-inside-vpc --quiet
Usuwanie zasobów Cloud Hub
Zaloguj się w Cloud Shell i usuń maszyny wirtualne w sieciach huba i witryn podrzędnych.
#delete ncc spokes
gcloud network-connectivity spokes delete s2c-wrk-cr1 --region us-central1 --quiet
#delete ncc hub
gcloud network-connectivity hubs delete ncc-hub --quiet
#delete hub instances
gcloud compute instances delete hub-r1 --zone=us-central1-a --quiet
#delete hub firewall rule
gcloud compute firewall-rules delete hub-ssh --quiet
gcloud compute firewall-rules delete hub-vpn --quiet
gcloud compute firewall-rules delete hub-internal --quiet
gcloud compute firewall-rules delete hub-iap --quiet
gcloud compute firewall-rules create workload-ssh --quiet
gcloud compute firewall-rules create workload-internal --quiet
gcloud compute firewall-rules create workload-onprem --quiet
gcloud compute firewall-rules create workload-iap --quiet
#delete hub subnets
gcloud compute networks subnets delete workload-subnet1 --quiet
gcloud compute networks subnets delete hub-subnet1 --quiet
#delete hub vpcs
gcloud compute networks delete workload-vpc --quiet
gcloud compute networks delete hub-vpc --quiet
15. Gratulacje!
Moduł Network Connectivity Center został ukończony.
Omówione kwestie
- Skonfigurowana integracja sieci WAN oprogramowania z usługą NCC Site to Cloud
Następne kroki
- Omówienie Network Connectivity Center
- Dokumentacja Network Connectivity Center
- Zasoby flexiWAN
- flexiWAN GitLab Repo
©Google, LLC lub jej podmioty stowarzyszone. Wszelkie prawa zastrzeżone. Nie rozpowszechniaj.