1. Wprowadzenie
Omówienie
W tym module poznasz niektóre funkcje Network Connectivity Center.
Network Connectivity Center (NCC) to model platformy sterującej centrum i promieni do zarządzania połączeniami sieciowymi w Google Cloud. Zasób centrum udostępnia scentralizowany model zarządzania połączeniami do łączenia promieni. NCC obecnie obsługuje jako promienie następujące zasoby sieciowe:
- Przyłącza VLAN
- Routery (urządzenia)
- Sieć VPN o wysokiej dostępności
Codelabs wymaga rozwiązania SD-WAN flexiWAN SaaS, które upraszcza wdrażanie sieci WAN i zarządzanie nią.
Co utworzysz
W ramach tego ćwiczenia w programie zbudujesz centrum i topologię SD-WAN , aby symulować zdalne witryny oddziałów, które będą przemierzać sieć szkieletową Google pod kątem komunikacji między lokalizacjami a chmurą.
- Wdrożysz parę maszyn wirtualnych GCE skonfigurowaną pod kątem agenta flexiWAN SD-WAN w centralnej sieci VPC, która reprezentuje punkty obsługi dla ruchu przychodzącego i wychodzącego do GCP.
- Wdróż 2 zdalne routery flexiWAN SD-WAN reprezentujące 2 różne sieci VPC oddziału
- Na potrzeby testowania ścieżki danych skonfigurujesz 3 maszyny wirtualne GCE, aby przeprowadzać symulacje w lokalnych klientach i na serwerach hostowanych w GCP
Czego się nauczysz
- Używanie NCC do łączenia zdalnych oddziałów z wykorzystaniem zdefiniowanego programowo rozwiązania WAN typu open source
- Praktyczne doświadczenie w zakresie oprogramowania typu open source zdefiniowanego jako oprogramowanie WAN
Czego potrzebujesz
- Wiedza na temat sieci VPC GCP
- Wiedza na temat routera Cloud Router i routingu BGP
2. Cele
- Konfigurowanie środowiska GCP
- Wdrażanie instancji flexiWAN Edge w GCP
- Utwórz centrum NCC i promienie flexiWAN Edge NVA
- Konfigurowanie instancji flexiWAN i zarządzanie nimi za pomocą flexiManage
- Skonfiguruj wymianę tras BGP między vpc-app-svcs a flexiWAN NVA
- Utwórz witrynę zdalną symulującą zdalną oddział klienta lub centrum danych
- Utworzysz tunel IPSEC między witryną zdalną a NVA
- Sprawdź, czy urządzenia zostały wdrożone
- Weryfikacja przenoszenia danych z witryny do chmury
- Usuń używane zasoby
Ten samouczek wymaga utworzenia bezpłatnego konta FlexiManage na potrzeby uwierzytelniania, rejestracji i zarządzania instancjami FlexiEdge.
Zanim zaczniesz
Korzystanie z konsoli Google Cloud i Cloud Shell
W tym module będziemy używać zarówno konsoli Google Cloud, jak i Cloud Shell.
Konsola Google Cloud
Konsola Cloud jest dostępna na stronie https://console.cloud.google.com.
Aby ułatwić sobie konfigurowanie Network Connectivity Center, skonfiguruj te elementy w Google Cloud:
W konsoli Google Cloud na stronie selektora projektów wybierz lub utwórz projekt Google Cloud.
Uruchom Cloud Shell. W tym ćwiczeniach z programowania korzystamy ze zmiennych $variables, aby ułatwić implementację konfiguracji gcloud w Cloud Shell.
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname
Role uprawnień
NCC wymaga ról uprawnień dostępu do określonych interfejsów API. Pamiętaj, aby skonfigurować dla użytkownika odpowiednie role uprawnień NCC.
Nazwa roli | Opis | Uprawnienia |
networkconnectivity.networkAdmin | Umożliwia administratorom sieci zarządzanie centrum i promieniami. | networkconnectivity.hubs.networkconnectivity.spokes. |
networkconnectivity.networkSpokeManager | Umożliwia dodawanie promieni w centrum i zarządzanie nimi. Do użycia we współdzielonym środowisku VPC, w którym główny projekt jest właścicielem centrum, ale inni administratorzy w innych projektach mogą dodawać do centrum promienie swoich przyłączy. | networkconnectivity.prokes.** |
networkconnectivity.networkUsernetworkconnectivity.networkViewer | Umożliwia użytkownikom sieci wyświetlanie różnych atrybutów centrum i promieni. | networkconnectivity.hubs.getnetworkconnectivity.hubs.listnetworkconnectivity.spokes.getnetworkconnectivity.spokes.listnetworkconnectivity.spokes.aggregatedList |
3. Skonfiguruj środowisko Network Lab
Omówienie
W tej sekcji wdrożymy sieci VPC i reguły zapory sieciowej.
Symulowanie lokalnych sieci oddziałów
Ta sieć VPC zawiera podsieci dla lokalnych instancji maszyn wirtualnych.
Utwórz sieci i podsieci witryny lokalnej:
gcloud compute networks create site1-vpc \
--subnet-mode custom
gcloud compute networks create s1-inside-vpc \
--subnet-mode custom
gcloud compute networks subnets create site1-subnet \
--network site1-vpc \
--range 10.10.0.0/24 \
--region us-central1
gcloud compute networks subnets create s1-inside-subnet \
--network s1-inside-vpc \
--range 10.10.1.0/24 \
--region us-central1
Utwórz reguły zapory sieciowej site1-vpc, które zezwalają na:
- SSH, wewnętrzny, IAP
- ESP, UDP/500, UDP/4500
- Zakres 10.0.0.0/8
- zakres 192.168.0.0/16
gcloud compute firewall-rules create site1-ssh \--network site1-vpc \
--allow tcp:22
gcloud compute firewall-rules create site1-internal \
--network site1-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create site1-cloud \
--network site1-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create site1-vpn \
--network site1-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router
gcloud compute firewall-rules create site1-iap \
--network site1-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
Utwórz reguły zapory sieciowej s1-inside-vpc, które zezwalają na:
- SSH, wewnętrzny, IAP
- Zakres 10.0.0.0/8
- zakres 192.168.0.0/16
gcloud compute firewall-rules create s1-inside-ssh \
--network s1-inside-vpc \
--allow tcp:22
gcloud compute firewall-rules create s1-inside-internal \
--network s1-inside-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create s1-inside-cloud \
--network s1-inside-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create s1-inside-iap \
--network site2-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
Do celów testowych utwórz instancje s1-inside-vm i s2-inside-vm
gcloud compute instances create s1-vm \
--zone=us-central1-a \
--machine-type=e2-micro \
--network-interface subnet=s1-inside-subnet,private-network-ip=10.10.1.3,no-address
Symuluj środowisko sieciowe GCP w chmurze
Aby umożliwić ruch między witrynami a lokalizacją przez sieć hub-vpc i promienie, musisz włączyć routing globalny w sieci hub-vpc. Więcej informacji znajdziesz w artykule na temat wymiany tras NCC.
- Utwórz sieć i podsieci
hub-vpc:
gcloud compute networks create hub-vpc \
--subnet-mode custom \
--bgp-routing-mode=global
gcloud compute networks subnets create hub-subnet1 \
--network hub-vpc \
--range 10.1.0.0/24 \
--region us-central1
gcloud compute networks subnets create hub-subnet2 \
--network hub-vpc \
--range 10.2.0.0/24 \
--region us-east4
- Utwórz sieć i podsieci
workload-vpc:
gcloud compute networks create workload-vpc \
--subnet-mode custom \
--bgp-routing-mode=global
gcloud compute networks subnets create workload-subnet1 \
--network workload-vpc \
--range 192.168.235.0/24 \
--region us-central1
- Utwórz reguły zapory sieciowej Hub-VPC zezwalające na:
- SSH
- ESP, UDP/500, UDP/4500
- wewnętrzny zakres 10.0.0.0/8 (obejmujący port TCP 179 wymagany dla sesji BGP od routera Cloud Router do routera)
gcloud compute firewall-rules create hub-ssh \
--network hub-vpc \
--allow tcp:22
gcloud compute firewall-rules create hub-vpn \
--network hub-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router
gcloud compute firewall-rules create hub-internal \
--network hub-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create hub-iap \
--network hub-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
- Utwórz reguły zapory sieciowej VPC-VPC, które zezwalają na:
- SSH
- wewnętrzny zakres 192.168.0.0/16 (obejmujący port TCP 179 wymagany na potrzeby sesji BGP od routera Cloud Router do routera)
gcloud compute firewall-rules create workload-ssh \
--network workload-vpc \
--allow tcp:22
gcloud compute firewall-rules create workload-internal \
--network workload-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create workload-onprem \
--network hub-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create workload-iap \
--network workload-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
- Włącz Cloud NAT w VPC VPC, aby umożliwić zadaniu 1-vm pobieranie pakietów przez utworzenie routera Cloud Router i bramy NAT
gcloud compute routers create cloud-router-usc-central-1-nat \
--network workload-vpc \
--region us-central1
gcloud compute routers nats create cloudnat-us-central1 \
--router=cloud-router-usc-central-1-nat \
--auto-allocate-nat-external-ips \
--nat-all-subnet-ip-ranges \
--region us-central1
- Utwórz
workload1-vmin "us-central1-a" inworkload-VPC. Będziesz używać tego hosta do weryfikowania połączenia witryny z chmurą
gcloud compute instances create workload1-vm \
--project=$projectname \
--machine-type=e2-micro \
--image-family debian-10 \
--image-project debian-cloud \
--zone us-central1-a \
--private-network-ip 192.168.235.3 \
--no-address \
--subnet=workload-subnet1 \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install apache2 -y
sudo service apache2 restart
echo 'Welcome to Workload VM1 !!' | tee /var/www/html/index.html
EOF"
4. Skonfiguruj lokalne urządzenia na potrzeby SD-WAN
Tworzenie lokalnej maszyny wirtualnej na potrzeby SDWAN (urządzenia)
W następnej sekcji utworzymy site1-nva działające jako routery lokalne.
Tworzenie instancji
Utwórz urządzenie site1-router o nazwie site1-nva.
gcloud compute instances create site1-nva \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=site1-subnet \
--network-interface subnet=s1-inside-subnet,no-address \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any \
--can-ip-forward
5. Zainstaluj flexiWAN w witrynie site1-nva
Otwórz połączenie SSH z site1-nva, jeśli nastąpi ponowne przekroczenie limitu czasu
gcloud compute ssh site1-nva --zone=us-central1-a
Zainstaluj flexiWAN w witrynie site1-nva
sudo su
sudo curl -sL https://deb.flexiWAN.com/setup | sudo bash -
apt install flexiWAN-router -y
Przygotuj maszynę wirtualną do rejestracji platformy sterującej flexiWAN.
Po zakończeniu instalacji flexiWAN uruchom polecenie fwsystem_checker, aby przygotować maszynę wirtualną do działania flexiWAN. To polecenie pozwala sprawdzić wymagania systemowe i poprawić błędy konfiguracji systemu.
- Wybierz opcję
2, aby przeprowadzić szybką i dyskretną konfigurację. - kończy się z 0.
- Nie zamykaj okna Cloud Shell.
root@site-1-nva-1:/home/user# fwsystem_checker
<output snipped>
[0] - quit and use fixed parameters
1 - check system configuration
2 - configure system silently
3 - configure system interactively
4 - restore system checker settings to default
------------------------------------------------
Choose: 2
<output snipped>
[0] - quit and use fixed parameters
1 - check system configuration
2 - configure system silently
3 - configure system interactively
4 - restore system checker settings to default
------------------------------------------------
Choose: 0
Please wait..
Done.
=== system checker ended ====
Aby wykonać poniższe kroki, pozostaw sesję otwartą
6. Rejestrowanie obiektu site1-nva za pomocą kontrolera SD-WAN
Wykonanie tych czynności jest niezbędne do udostępnienia flexiWAN NVA w konsoli flexiManage. Zanim przejdziesz dalej, skonfiguruj organizację flexiWAN.
Uwierzytelnij nowo wdrożoną sieć flexiWAN NVA za pomocą flexiManage za pomocą tokena zabezpieczeń, logując się na konto flexiManage. Ten sam token można ponownie wykorzystać na wszystkich routerach.
Wybierz Zasoby reklamowe → Tokeny,utwórz token i zaznacz kopię
Wróć do Cloud Shell (site1-nva) i wklej token do katalogu /etc/flexiWAN/agent/token.txt, wykonując te czynności
nano /etc/flexiWAN/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter
Aktywuj routery witryn w konsoli flexiManage
Zaloguj się do konsoli flexiManage, aby aktywować site1-nva na kontrolerze
W panelu po lewej stronie wybierz Zasoby reklamowe → Urządzenia, a następnie kliknij urządzenie „Nieznane”.
Wpisz nazwę hosta site1-nva i zatwierdź urządzenie, przesuwając pokrętło w prawo.
Wybierz kartę Interfejsy.
Odszukaj „Przypisane” i kliknij „Nie”. i zmień ustawienie na „Tak”.
Wybierz kartę Zapora sieciowa i kliknij znak „+”, aby dodać regułę przychodzącej zapory sieciowej.
Wybierz interfejs WAN, aby zastosować regułę SSH w sposób opisany poniżej.
Kliknij „Zaktualizuj urządzenie”.
Uruchom obiekt site1-nva na kontrolerze flexiWAN. Wróć do Zasoby reklamowe → Urządzenia → site1-nva wybierz „Uruchom urządzenie”
Stan – synchronizacja
Stan – Zsynchronizowano
Wskaźnik ostrzeżenia znajdziesz w sekcji Rozwiązywanie problemów → Powiadomienia. Po wyświetleniu zaznacz wszystko, a następnie oznacz jako przeczytane
7. Skonfiguruj urządzenia centrali SDWAN
W następnej sekcji utworzysz i zarejestrujesz routery centralne (hub-r1) przy użyciu kontrolera flexiWAN w taki sam sposób jak wcześniej z trasami witryn.
Otwórz nową kartę i utwórz sesję Cloud Shell. Zaktualizuj $variables, aby ułatwić implementację konfiguracji gcloud
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname
Tworzenie instancji NVA centrum
Utwórz urządzenie hub-r1:
gcloud compute instances create hub-r1 \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=hub-subnet1 \
--network-interface subnet=workload-subnet1,no-address \
--can-ip-forward \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any
8. Instalowanie flexiWAN w instancjach centrum dla hub-r1
Otwórz połączenie SSH z hub-r1
gcloud compute ssh hub-r1 --zone=us-central1-a
Zainstaluj agenta flexiWAN w centrum r1
sudo su
sudo curl -sL https://deb.flexiWAN.com/setup | sudo bash -
apt install flexiWAN-router -y
Przygotuj maszyny wirtualne Hub-r1 do rejestracji flexiWAN.
Po zakończeniu instalacji flexiWAN uruchom polecenie fwsystem_checker, aby przygotować maszynę wirtualną do działania flexiWAN. To polecenie pozwala sprawdzić wymagania systemowe i poprawić błędy konfiguracji systemu.
root@hub-r1:/home/user# fwsystem_checker
- Wybierz opcję
2, aby przeprowadzić szybką i dyskretną konfigurację. - kończy się z 0.
- Nie zamykaj okna Cloud Shell.
9. Rejestrowanie maszyn wirtualnych Hub-r1 na kontrolerze FlexManage
Uwierzytelnij nowo wdrożoną sieć flexiWAN NVA za pomocą flexiManage za pomocą tokena zabezpieczeń, logując się na konto flexiManage.
- Wybierz Zasoby reklamowe → Tokeny i skopiuj token.
Wróć do Cloud Shell (hub-r1) i wklej token do katalogu /etc/flexiWAN/agent/token.txt, wykonując te czynności
nano /etc/flexiWAN/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter
Aktywuj routery centralne Hub-r1 w konsoli flexiManage
Zaloguj się do konsoli flexiManage
- Kliknij Zasoby reklamowe → Urządzenia.
- Znajdź i zwróć uwagę na nazwę hosta dla hub-r1 to "unknown"
Wybierz nieznane urządzenie z nazwą hosta hub-r1.
- Wpisz nazwę hosta hub-r1.
- Zatwierdź urządzenie, przesuń pokrętło w prawo.
Wybierz kartę Interfejsy.
- Znajdź kolumnę „Przypisane”.
- Obok wiersza interfejsu kliknij „Nie”, aby zmienić ustawienie na „Tak”.
Kliknij kartę Zapora sieciowa.
- Kliknij „+”. w celu dodania reguły zapory sieciowej dla ruchu przychodzącego
- Wybierz interfejs WAN, aby odziedziczyć regułę
- Zezwalaj na port 22 SSH z protokołem TCP
- Kliknij „Zaktualizuj urządzenie”.
Uruchom urządzenie hub-r1 na potrzeby SD-WAN z kontrolera FlexiWAN
- Wróć do Asortymentu → Urządzenia → Hub-r1
Wybierz Uruchom urządzenie.
- Poczekaj na zakończenie synchronizacji i zanotuj komunikat „uruchomiono” stan
10. Network Connectivity Center w GCP Hub
Włącz usługi API
Włącz interfejs Network Connectivity API, jeśli nie jest jeszcze włączony:
gcloud services enable networkconnectivity.googleapis.com
Tworzenie centrum NCC
gcloud network-connectivity hubs create ncc-hub
Create request issued for: [ncc-hub]
Waiting for operation [projects/user-3p-dev/locations/global/operations/operation-1668793629598-5edc24b7ee3ce-dd4c765b-5ca79556] to complete...done.
Created hub [ncc-hub]
Skonfiguruj oba urządzenia routera jako promień NCC
Znajdź identyfikator URI oraz adres IP platformy Hub-r1 i zanotuj wynik. Będziesz potrzebować tych informacji w następnym kroku.
Pamiętaj, aby zanotować adres IP instancji hub-r1.
gcloud compute instances describe hub-r1 \
--zone=us-central1-a \
--format="value(selfLink.scope(projects))"
gcloud compute instances describe hub-r1 --zone=us-central1-a | grep "networkIP"
Dodaj vnic networkIP central-r1 jako promień. Domyślnie przenoszenie danych między witrynami jest wyłączone.
gcloud network-connectivity spokes linked-router-appliances create s2c-wrk-cr1 \
--hub=ncc-hub \
--router-appliance=instance="https://www.googleapis.com/compute/projects/$projectname/zones/us-central1-a/instances/hub-r1",ip=192.168.235.4 \
--region=us-central1 \
--site-to-site-data-transfer
Skonfiguruj Cloud Router, aby ustanowić BGP z Hub-R1
W tym kroku utwórz router Cloud Router i ogłosisz podsieć VPC zadania 192.168.235.0/24
Utwórz router chmury w regionie us-central1, który będzie komunikować się z BGP za pomocą hub-r1
gcloud compute routers create wrk-cr1 \
--region=us-central1 \
--network=workload-vpc \
--asn=65002 \
--set-advertisement-groups=all_subnets
Dzięki skonfigurowaniu routerów jako promieni NCC umożliwia routerowi Cloud Router negocjowanie BGP w interfejsach wirtualnych.
Utwórz na routerze Cloud Router 2 interfejsy, które będą wymieniać wiadomości BGP z centrum r1.
Adresy IP są wybierane z podsieci zadania oraz z listy & można zmienić w razie potrzeby.
gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int0 \
--ip-address=192.168.235.101
gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int1 \
--ip-address=192.168.235.102 \
--redundant-interface=int0
Skonfiguruj interfejs Cloud Router, aby ustanowić BGP z użyciem karty vNIC-1 centrum r1. Zaktualizuj adres IP peera o adres IP sieci Hub-r1. Pamiętaj, że ten sam adres IP jest używany w przypadku parametrów int0 & int1.
gcloud compute routers add-bgp-peer wrk-cr1 \
--peer-name=hub-cr1-bgp-peer-0 \
--interface=int0 \
--peer-ip-address=192.168.235.4 \
--peer-asn=64111 \
--instance=hub-r1 \
--instance-zone=us-central1-a \
--region=us-central1
gcloud compute routers add-bgp-peer wrk-cr1 \
--peer-name=hub-cr1-bgp-peer-1 \
--interface=int1 \
--peer-ip-address=192.168.235.4 \
--peer-asn=64111 \
--instance=hub-r1 \
--instance-zone=us-central1-a \
--region=us-central1
Sprawdź stan BGP – w tym momencie w laboratorium kodu BGP to „stan połączenia” ponieważ router sieciowy nie został skonfigurowany pod kątem BGP.
gcloud compute routers get-status wrk-cr1 --region=us-central1
11. Konfigurowanie urządzeń routera centralnego na potrzeby BGP
Skonfiguruj hub-r1 na potrzeby BGP
Pamiętaj, aby zalogować się do konsoli flexiManage
Wybierz Zasoby reklamowe → Urządzenia → hub-r1 i wybierz urządzenie o nazwie HostName:hub-r1.
- Kliknij kartę „Routing”.
- Kliknij „BGP Configuration” (Konfiguracja BGP”.
- Wyłącz „Redystrybucja tras OSPF”
- Skonfiguruj hub-r1 na potrzeby BGP z tymi parametrami i kliknij „Zapisz”
Wybierz „Interfejsy”. znajdź interfejs LAN i znajdź kolumnę „Routing”.
- Kliknij „none” (brak). aby otworzyć menu pozwalające wybrać BGP jako protokół routingu
- U góry strony kliknij „Zaktualizuj urządzenie”.
12. Wymiana tras BGP między routerami
Ustal lokalny identyfikator ASN dla witryn zdalnych
Skonfiguruj lokalny identyfikator ASN BGP dla site1-nva. Po skonfigurowaniu ustanowimy tunel IPSEC między lokalizacjami zdalnymi i routerami centrali.
Wybierz urządzenie z wartością HostName:site1-nva.
- Kliknij kartę „Routing”.
- Kliknij „BGP Configuration” (Konfiguracja BGP”.
- Wyłącz „Redystrybucja tras OSPF”
- Lokalny ASN 7269 → Zapisz
- Zaktualizuj urządzenie
- Karta interfejsów → Routing → BGP
- Zaktualizuj urządzenie
Konfigurowanie tuneli VPN między urządzeniami Site1 a urządzeniami Hub1
Pamiętaj, aby zalogować się do konsoli flexiManage
- Kliknij Zasoby reklamowe → Urządzenia.
- Zaznacz pole obok nazwy hosta site1-nva i hub-r1, aby utworzyć tunel VPN między tą parą NVA.
- Kliknij Działania → Utwórz tunele i skonfiguruj
- Wybierz Utwórz tunele.
Sprawdź, czy „site1-nva” zapamiętane trasy do podsieci 192.168.235.0/24 i 192.168.236.0/24
- Wybierz Zasoby reklamowe → Urządzenia → site1-nva i kliknij kartę „Routing”.
W przykładowych danych wyjściowych poniżej funkcja flexiWAN automatycznie utworzyła tunel przy użyciu adresu IP hosta 10.100.0.6 
13. Zweryfikuj połączenia ścieżki danych
Zweryfikuj połączenie witryny z chmurą ze swojej lokalizacji
Zapoznaj się z diagramem. Sprawdź, czy ścieżka danych między maszynami wirtualnymi s1-vm i workload1-vm
Konfigurowanie statycznych tras VPC dla połączenia między witryną a chmurą
Lokalna sieć Site1-VPC symuluje sieć lokalnego centrum danych.
Oba routery Site-1-nva korzystają z połączenia VPN, aby łączyć się z siecią centrali.
W przypadku zastosowania z witryny do chmury** utwórz trasy statyczne do miejsca docelowego 192.168.0.0/16, używając routera jako następnego przeskoku umożliwiającego dotarcie do sieci w sieci w chmurze GCP.
Na serwerze s1-inside-vpc utwórz trasę statyczną dla usługi Cloud Identity (192.168.0.0/16):
gcloud compute routes create site1-subnet-route \
--network=s1-inside-vpc \
--destination-range=192.168.0.0/16 \
--next-hop-instance=site1-nva \
--next-hop-instance-zone=us-central1-a
W Cloud Shell wyszukaj adres IP instancji workload1-vmnee. Będzie ono potrzebne do przetestowania połączenia z maszyny wirtualnej „s1-vm”.
gcloud compute instances describe workload1-vm --zone=us-central1-a | grep "networkIP"
Połącz się z instancją „s1-vm” przez SSH i użyj polecenia „curl”, aby ustanowić sesję TCP z adresem IP instancji Workload1-VM.
s1-vm:~$ curl 192.168.235.3 -vv * Trying 192.168.235.3:80... * Connected to 192.168.235.3 (192.168.235.3) port 80 (#0) > GET / HTTP/1.1 > Host: 192.168.235.3 > User-Agent: curl/7.74.0 > Accept: */* > * Mark bundle as not supporting multiuse < HTTP/1.1 200 OK < Date: Wed, 07 Dec 2022 15:12:08 GMT < Server: Apache/2.4.54 (Debian) < Last-Modified: Tue, 06 Dec 2022 00:57:46 GMT < ETag: "1f-5ef1e4acfa1d9" < Accept-Ranges: bytes < Content-Length: 31 < Content-Type: text/html < Page served from: workload1-vm * Connection #0 to host 192.168.235.3 left intact
14. Czyszczenie
Usuwanie zasobów On Prem
Logowanie się do Cloud Shell i usuwanie instancji maszyn wirtualnych w sieciach witryny centrum i gałęzi
#onprem instances
gcloud compute instances delete s1-vm --zone=us-central1-a --quiet
#delete on prem firewall rules
gcloud compute firewall-rules delete site1-ssh --quiet
gcloud compute firewall-rules delete site1-internal --quiet
gcloud compute firewall-rules delete site1-cloud --quiet
gcloud compute firewall-rules delete site1-vpn --quiet
gcloud compute firewall-rules delete site1-iap --quiet
#delete on prem subnets
gcloud compute networks subnets delete site1-subnet --quiet
gcloud compute networks subnets delete s1-inside-subnet --quiet
gcloud compute networks subnets delete s1-inside-subnet --quiet
#delete on prem vpcs
gcloud compute networks delete site1-vpc --quiet
gcloud compute networks delete s1-inside-vpc --quiet
Usuwanie zasobów Cloud Hub
Logowanie się do Cloud Shell i usuwanie instancji maszyn wirtualnych w sieciach witryny centrum i gałęzi
#delete ncc spokes
gcloud network-connectivity spokes delete s2c-wrk-cr1 --region us-central1 --quiet
#delete ncc hub
gcloud network-connectivity hubs delete ncc-hub --quiet
#delete hub instances
gcloud compute instances delete hub-r1 --zone=us-central1-a --quiet
#delete hub firewall rule
gcloud compute firewall-rules delete hub-ssh --quiet
gcloud compute firewall-rules delete hub-vpn --quiet
gcloud compute firewall-rules delete hub-internal --quiet
gcloud compute firewall-rules delete hub-iap --quiet
gcloud compute firewall-rules create workload-ssh --quiet
gcloud compute firewall-rules create workload-internal --quiet
gcloud compute firewall-rules create workload-onprem --quiet
gcloud compute firewall-rules create workload-iap --quiet
#delete hub subnets
gcloud compute networks subnets delete workload-subnet1 --quiet
gcloud compute networks subnets delete hub-subnet1 --quiet
#delete hub vpcs
gcloud compute networks delete workload-vpc --quiet
gcloud compute networks delete hub-vpc --quiet
15. Gratulacje!
Udało Ci się ukończyć laboratorium Network Connectivity Center.
Co zostało omówione
- Skonfigurowana programowalna integracja WAN z lokalizacją NCC na potrzeby witryny NCC w chmurze
Dalsze kroki
- Omówienie Network Connectivity Center
- Dokumentacja Network Connectivity Center
- zasoby FlexiWAN
- Repozytorium GitLab FlexiWAN
© Google, LLC lub jej podmioty stowarzyszone. Wszelkie prawa zastrzeżone. Nie rozpowszechniać.