Лабораторная работа: NCC Site to Cloud с устройством SD-WAN.

1. Введение

Обзор

В ходе этой лабораторной работы вы познакомитесь с некоторыми функциями Центра сетевых подключений.

Центр сетевых подключений (NCC) — это звездообразная модель плоскости управления для управления сетевыми подключениями в Google Cloud. Ресурс концентратора обеспечивает централизованную модель управления подключениями для подключения периферийных устройств. В настоящее время NCC поддерживает следующие сетевые ресурсы в качестве периферийных устройств:

  • Вложения VLAN
  • Маршрутизаторы
  • Высокая VPN

Codelabs требует использования решения flexiWAN SaaS SD-WAN , которое упрощает развертывание и управление глобальной сетью.

Что ты построишь

В этой лабораторной работе вы создадите звездообразную топологию SD-WAN для моделирования сайтов удаленных филиалов, которые будут проходить через магистральную сеть Google для связи между сайтами и облаком.

  1. Вы развернете пару виртуальных машин GCE, настроенных для агента flexiWAN SD-WAN, в концентраторе VPC, который представляет головные станции для входящего и исходящего трафика в GCP.
  2. Разверните два удаленных маршрутизатора flexiWAN SD-WAN, чтобы представить два разных филиала VPC.
  3. Для тестирования пути данных вы настроите три виртуальные машины GCE для моделирования на локальных клиентах и ​​сервере, размещенном на GCP.

2669f7a724db9d89.png

Что вы узнаете

  • Использование NCC для соединения удаленных филиалов с помощью решения программно-определяемой глобальной сети с открытым исходным кодом.
  • Практический опыт работы с программным обеспечением с открытым исходным кодом, определяемым WAN-решением.

Что вам понадобится

  • Знание сети GCP VPC.
  • Знание Cloud Router и маршрутизации BGP.

2. Цели

  • Настройка среды GCP
  • Развертывание экземпляров flexiWAN Edge в GCP
  • Установите концентратор NCC и flexiWAN Edge NVA в качестве периферийного устройства.
  • Настраивайте экземпляры flexiWAN и управляйте ими с помощью flexiManage.
  • Настройте обмен маршрутами BGP между vpc-app-svcs и flexiWAN NVA.
  • Создайте удаленный сайт, имитирующий удаленный филиал клиента или центр обработки данных.
  • Установите туннель IPSEC между удаленным сайтом и NVA.
  • Убедитесь, что устройства развернуты успешно
  • Проверка передачи данных с сайта в облако
  • Очистите использованные ресурсы

Для этого руководства необходимо создать бесплатную учетную запись flexiManage для аутентификации, подключения и управления экземплярами flexiEdge.

Прежде чем начать

Использование Google Cloud Console и Cloud Shell

Для взаимодействия с GCP на протяжении всей лабораторной работы мы будем использовать как Google Cloud Console, так и Cloud Shell.

Облачная консоль Google

Доступ к облачной консоли можно получить по адресу https://console.cloud.google.com .

Настройте следующие элементы в Google Cloud, чтобы упростить настройку Центра сетевых подключений:

В консоли Google Cloud на странице выбора проекта выберите или создайте проект Google Cloud.

Запустите Cloud Shell . В этом Codelab используются переменные $variables для облегчения реализации конфигурации gcloud в Cloud Shell. 

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname

Роли IAM

NCC требуются роли IAM для доступа к определенным API. Обязательно настройте для своего пользователя роли NCC IAM по мере необходимости.

Имя роли

Описание

Разрешения

networkconnectivity.networkAdmin

Позволяет сетевым администраторам управлять концентратором и периферийными устройствами.

networkconnectivity.hubs. сетевое подключение.спицы.

networkconnectivity.networkSpokeManager

Позволяет добавлять спицы в концентратор и управлять ими. Используется в общем VPC, где хост-проект владеет хабом, но другие администраторы в других проектах могут добавлять периферийные устройства для своих вложений в хаб.

networkconnectivity.спицы.**

networkconnectivity.networkUsernetworkconnectivity.networkViewer

Позволяет пользователям сети просматривать различные атрибуты концентратора и периферийных устройств.

networkconnectivity.hubs.getnetworkconnectivity.hubs.listnetworkconnectivity.spokes.getnetworkconnectivity.spokes.listnetworkconnectivity.spokes.aggregatedList

3. Настройте среду сетевой лаборатории.

Обзор

В этом разделе мы развернем сети VPC и правила брандмауэра.

a716849cffa67d48.png

Моделирование локальных сетей филиалов

Эта сеть VPC содержит подсети для локальных экземпляров виртуальных машин.

Создайте локальные сети и подсети сайта:

gcloud compute networks create site1-vpc \
--subnet-mode custom

gcloud compute networks create s1-inside-vpc \
--subnet-mode custom

gcloud compute networks subnets create site1-subnet \
--network site1-vpc \
--range 10.10.0.0/24 \
--region us-central1

gcloud compute networks subnets create s1-inside-subnet \
--network s1-inside-vpc \
--range 10.10.1.0/24 \
--region us-central1

Создайте правила брандмауэра site1-vpc, чтобы разрешить:

  • SSH, внутренний, IAP
  • ЕСП, УДП/500, УДП/4500
  • Диапазон 10.0.0.0/8
  • Диапазон 192.168.0.0/16
gcloud compute firewall-rules create site1-ssh \--network site1-vpc \
--allow tcp:22

gcloud compute firewall-rules create site1-internal \
--network site1-vpc \
--allow all \
--source-ranges 10.0.0.0/8

gcloud compute firewall-rules create site1-cloud \
--network site1-vpc \
--allow all \
--source-ranges 192.168.0.0/16

gcloud compute firewall-rules create site1-vpn \
--network site1-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router

gcloud compute firewall-rules create site1-iap \
--network site1-vpc --allow tcp:22 --source-ranges=35.235.240.0/20

Создайте правила брандмауэра s1-inside-vpc, чтобы разрешить:

  • SSH, внутренний, IAP
  • Диапазон 10.0.0.0/8
  • Диапазон 192.168.0.0/16
gcloud compute firewall-rules create s1-inside-ssh \
--network s1-inside-vpc \
--allow tcp:22

gcloud compute firewall-rules create s1-inside-internal \
--network s1-inside-vpc \
--allow all \
--source-ranges 10.0.0.0/8

gcloud compute firewall-rules create s1-inside-cloud \
--network s1-inside-vpc  \
--allow all \
--source-ranges 192.168.0.0/16

gcloud compute firewall-rules create s1-inside-iap \
--network site2-vpc --allow tcp:22 --source-ranges=35.235.240.0/20

В целях тестирования создайте экземпляры s1-inside-vm и s2-inside-vm 

gcloud compute instances create s1-vm \
--zone=us-central1-a \
--machine-type=e2-micro \
--network-interface subnet=s1-inside-subnet,private-network-ip=10.10.1.3,no-address

Имитируйте облачную сетевую среду GCP

Чтобы включить межрегиональный трафик между сайтами через сеть hub-vpc и периферийные устройства, необходимо включить глобальную маршрутизацию в сети hub-vpc . Подробнее читайте в разделе « Обмен маршрутами NCC».

  1. Создайте сеть и подсети hub-vpc :
gcloud compute networks create hub-vpc \
--subnet-mode custom \
--bgp-routing-mode=global

gcloud compute networks subnets create hub-subnet1 \
--network hub-vpc \
--range 10.1.0.0/24 \
--region us-central1

gcloud compute networks subnets create hub-subnet2 \
--network hub-vpc \
--range 10.2.0.0/24 \
--region us-east4
  1. Создайте сеть и подсети workload-vpc :
gcloud compute networks create workload-vpc \
--subnet-mode custom \
--bgp-routing-mode=global

gcloud compute networks subnets create workload-subnet1 \
--network workload-vpc \
--range 192.168.235.0/24 \
--region us-central1
  1. Создайте правила брандмауэра Hub-VPC, чтобы разрешить:
  • SSH
  • ЕСП, УДП/500, УДП/4500
  • внутренний диапазон 10.0.0.0/8 (который охватывает TCP-порт 179, необходимый для сеанса BGP от облачного маршрутизатора к устройству маршрутизатора)
gcloud compute firewall-rules create hub-ssh \
--network hub-vpc \
--allow tcp:22

gcloud compute firewall-rules create hub-vpn \
--network hub-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router

gcloud compute firewall-rules create hub-internal \
--network hub-vpc \
--allow all \
--source-ranges 192.168.0.0/16

gcloud compute firewall-rules create hub-iap \
--network hub-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
  1. Создайте правила брандмауэра Workload-VPC, чтобы разрешить:
  • SSH
  • внутренний диапазон 192.168.0.0/16 (который охватывает TCP-порт 179, необходимый для сеанса BGP от облачного маршрутизатора к устройству маршрутизатора)
gcloud compute firewall-rules create workload-ssh \
--network workload-vpc \
--allow tcp:22

gcloud compute firewall-rules create workload-internal \
--network workload-vpc \
--allow all \
--source-ranges 192.168.0.0/16

gcloud compute firewall-rules create workload-onprem \
--network hub-vpc \
--allow all \
--source-ranges 10.0.0.0/8

gcloud compute firewall-rules create workload-iap \
--network workload-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
  1. Включите Cloud NAT в Workload-VPC, чтобы позволить Workload1-VM загружать пакеты, создав облачный маршрутизатор и шлюз NAT. 
gcloud compute routers create cloud-router-usc-central-1-nat \
    --network workload-vpc \
    --region us-central1

gcloud compute routers nats create cloudnat-us-central1 \
    --router=cloud-router-usc-central-1-nat \
    --auto-allocate-nat-external-ips \
    --nat-all-subnet-ip-ranges \
    --region us-central1
  1. Создайте workload1-vm in "us-central1-a" in workload-VPC . Этот хост вы будете использовать для проверки возможности подключения сайта к облаку. 
gcloud compute instances create workload1-vm \
    --project=$projectname \
    --machine-type=e2-micro \
    --image-family debian-10 \
    --image-project debian-cloud \
    --zone us-central1-a \
    --private-network-ip 192.168.235.3 \
        --no-address \
    --subnet=workload-subnet1 \
    --metadata startup-script="#! /bin/bash
      sudo apt-get update
      sudo apt-get install apache2 -y
      sudo service apache2 restart
      echo 'Welcome to Workload VM1 !!' | tee /var/www/html/index.html
      EOF"

4. Настройка локальных устройств для SD-WAN

80061623e9950756.png

Создайте локальную виртуальную машину для SDWAN (устройства)

В следующем разделе мы создадим site1-nva, действующий как локальные маршрутизаторы.

Создать экземпляры

Создайте устройство site1-router с именем site1-nva. 

gcloud compute instances create site1-nva \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=site1-subnet \
--network-interface subnet=s1-inside-subnet,no-address \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any \
--can-ip-forward

5. Установите flexiWAN на site1-nva.

Откройте SSH-соединение с site1-nva, если истечет время ожидания, повторите попытку.

gcloud compute ssh site1-nva --zone=us-central1-a

Установите flexiWAN на site1-nva

sudo su 

sudo curl -sL https://deb.flexiWAN.com/setup | sudo bash -
apt install flexiWAN-router -y

Подготовьте виртуальную машину для регистрации плоскости управления flexiWAN.

После завершения установки flexiWAN запустите команду fwsystem_checker , чтобы подготовить виртуальную машину к работе flexiWAN. Эта команда проверяет системные требования и помогает исправить ошибки конфигурации в вашей системе.

  • Выберите вариант 2 для быстрой и тихой настройки.
  • выйдите потом с 0 .
  • Не закрывайте окно облачной оболочки.
root@site-1-nva-1:/home/user# fwsystem_checker
 
<output snipped>

        [0] - quit and use fixed parameters
         1  - check system configuration
         2  - configure system silently
         3  - configure system interactively
         4  - restore system checker settings to default
        ------------------------------------------------
Choose: 2

<output snipped>

        [0] - quit and use fixed parameters
         1  - check system configuration
         2  - configure system silently
         3  - configure system interactively
         4  - restore system checker settings to default
        ------------------------------------------------
Choose: 0
Please wait..
Done.
=== system checker ended ====

Оставьте сеанс открытым для выполнения следующих шагов.

6. Зарегистрируйте site1-nva с контроллером SD-WAN.

Эти шаги необходимы для завершения подготовки flexiWAN NVA, администрируемого из консоли flexiManage . Прежде чем двигаться дальше, убедитесь, что организация flexiWAN настроена.

Аутентифицируйте недавно развернутый NVA flexiWAN с помощью flexiManage, используя токен безопасности, войдя в учетную запись flexiManage. Один и тот же токен можно повторно использовать на всех устройствах маршрутизатора.

Выберите «Инвентарь» → «Токены», создайте токен и выберите копию.

12c173b589d220ee.png

Вернитесь в Cloud Shell (site1-nva) и вставьте токен в каталог /etc/flexiWAN/agent/token.txt, выполнив следующие действия. 

nano /etc/flexiWAN/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter

22e1cf5bad3d3086.png

Активируйте маршрутизаторы сайта в консоли flexiManage.

Войдите в консоль flexiManage, чтобы активировать site1-nva на контроллере.

На левой панели выберите «Инвентарь → Устройства» , нажмите «Неизвестное» устройство.

f7719c28f78e907a.png

Введите имя хоста site1-nva и подтвердите устройство, сдвинув диск вправо.

9a6c6c45e1cad732.png

Выберите вкладку « Интерфейсы».

Найдите столбец « Назначено », нажмите « Нет » и измените настройку на « Да ».

a8772059968af13e.png

Выберите вкладку «Брандмауэр» и нажмите знак «+» , чтобы добавить правило брандмауэра для входящего трафика.

Выберите интерфейс WAN, чтобы применить правило ssh, как описано ниже.

df03b8a6c817ccd2.png

Нажмите « Обновить устройство ».

96b9feb77b8517cd.png

Запустите site1-nva с контроллера flexiWAN. Вернитесь в инвентарь → Устройства → site1-nva и выберите «Запустить устройство».

708215cf91ffc09.png

Статус – синхронизация

918d72eeacc386fa.png

Статус – Синхронизировано

5135096dbff49819.png

Индикатор предупреждения можно просмотреть в разделе «Устранение неполадок» → «Уведомления» . После просмотра выберите все и отметьте как прочитанные.

9e79db3572f91925.png

7. Центр настройки устройств SDWAN

В следующем разделе вы создадите и зарегистрируете маршрутизаторы-концентраторы (hub-r1) с помощью контроллера flexiWAN, как это было ранее выполнено с маршрутами сайта.

Откройте новую вкладку и создайте сеанс Cloud Shell , обновите $variables, чтобы облегчить реализацию конфигурации gcloud. 

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname

Создание экземпляров Hub NVA

Создайте устройство Hub-r1 : 

gcloud compute instances create hub-r1 \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=hub-subnet1 \
--network-interface subnet=workload-subnet1,no-address \
--can-ip-forward \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any

8. Установите flexiWAN на экземпляры концентратора для концентратора-r1.

Откройте SSH-соединение с хабом-r1.

gcloud compute ssh hub-r1 --zone=us-central1-a

Установите агент flexiWAN на обоих концентраторах r1.

sudo su
sudo curl -sL https://deb.flexiWAN.com/setup | sudo bash -
apt install flexiWAN-router -y

Подготовьте виртуальные машины Hub-r1 для регистрации в FlexiWAN.

После завершения установки flexiWAN запустите команду fwsystem_checker , чтобы подготовить виртуальную машину к работе flexiWAN. Эта команда проверяет системные требования и помогает исправить ошибки конфигурации в вашей системе.

root@hub-r1:/home/user# fwsystem_checker
  • Выберите вариант 2 для быстрой и тихой настройки.
  • выйдите потом с 0 .
  • Не закрывайте окно облачной оболочки.

9. Зарегистрируйте виртуальные машины Hub-r1 на контроллере FlexManage.

Аутентифицируйте недавно развернутый NVA flexiWAN с помощью flexiManage, используя токен безопасности, войдя в учетную запись flexiManage.

  • Выберите Инвентарь → Токены и скопируйте токен.

Вернитесь в Cloud Shell (hub-r1) и вставьте токен в каталог /etc/flexiWAN/agent/token.txt, выполнив следующие действия. 

nano /etc/flexiWAN/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter

Активируйте маршрутизаторы-концентраторыhub-r1 на консоли flexiManage.

Войдите в консоль flexiManage.

  • Перейдите в «Инвентарь» → «Устройства».
  • Найдите и обратите внимание, что имя хоста для концентратора-r1 «неизвестно».

1a88ffa4409ad3c0.png

Выберите неизвестное устройство с именем хостаhub-r1.

  • Введите имя хоста Hub-r1.
  • Подтвердите устройство. Сдвиньте диск вправо.

Выберите вкладку «Интерфейсы» .

  • Найдите столбец «Назначено».
  • Рядом со строкой интерфейса нажмите «Нет», чтобы изменить настройку на «Да».

Выберите вкладку «Брандмауэр» .

  • Нажмите « + », чтобы добавить правило брандмауэра для входящего трафика.
  • Выберите интерфейс WAN для наследования правила.
  • Разрешить порт SSH 22 с протоколом TCP
  • Нажмите « Обновить устройство ».

Запустите устройство Hub-r1 для SD-WAN с контроллера flexiWAN.

  • Вернитесь в Инвентарь → Устройства → Hub-r1.

Выберите « Запустить устройство ».

  • Дождитесь завершения синхронизации и обратите внимание на статус « работает ».

10. Центр сетевых подключений в GCP Hub.

a5a454f4a30df82e.png

Включить службы API

Включите API сетевого подключения, если он еще не включен: 

gcloud services enable networkconnectivity.googleapis.com

Создайте хаб NCC 

gcloud network-connectivity hubs create ncc-hub

Create request issued for: [ncc-hub]
Waiting for operation [projects/user-3p-dev/locations/global/operations/operation-1668793629598-5edc24b7ee3ce-dd4c765b-5ca79556] to complete...done.     
Created hub [ncc-hub]

Настройте оба устройства маршрутизатора как периферийные устройства NCC.

Найдите URI и IP-адрес для обоих концентраторов-r1 и запишите выходные данные. Эта информация понадобится вам на следующем шаге.

Обязательно запишите IP-адрес экземпляра Hub-r1.

gcloud compute instances describe hub-r1 \
--zone=us-central1-a \
--format="value(selfLink.scope(projects))"

gcloud compute instances describe hub-r1 --zone=us-central1-a | grep "networkIP"

Добавьте networkIP vnic концентратора-r1 в качестве периферийного устройства. По умолчанию передача данных между сайтами отключена. 

gcloud network-connectivity spokes linked-router-appliances create s2c-wrk-cr1 \
--hub=ncc-hub \
--router-appliance=instance="https://www.googleapis.com/compute/projects/$projectname/zones/us-central1-a/instances/hub-r1",ip=192.168.235.4 \
--region=us-central1 \
--site-to-site-data-transfer

Настройте Cloud Router для установки BGP с Hub-R1.

На следующем этапе создайте облачный маршрутизатор и объявите подсеть VPC рабочей нагрузки 192.168.235.0/24.

Создайте облачный маршрутизатор в us-central1, который будет взаимодействовать с BGP с помощью концентратора-r1.

gcloud compute routers create wrk-cr1 \
--region=us-central1 \
--network=workload-vpc \
--asn=65002 \
--set-advertisement-groups=all_subnets

Настраивая устройства маршрутизатора как NCC Spoke, это позволяет облачному маршрутизатору согласовывать BGP на виртуальных интерфейсах.

Создайте на облачном маршрутизаторе два интерфейса, которые будут обмениваться сообщениями BGP с Hub-r1.

IP-адреса выбираются из подсети рабочей нагрузки и могут быть изменены при необходимости.

gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int0 \
--ip-address=192.168.235.101 

gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int1 \
--ip-address=192.168.235.102 \
--redundant-interface=int0

Настройте интерфейс облачного маршрутизатора для установки BGP с vNIC-1 концентратора-r1, обновите IP-адрес узла, указав IP-адрес сетевого IP-адреса концентратора-r1. Обратите внимание: один и тот же IP-адрес используется для int0 и int1.

gcloud compute routers add-bgp-peer wrk-cr1 \
    --peer-name=hub-cr1-bgp-peer-0 \
    --interface=int0 \
    --peer-ip-address=192.168.235.4 \
    --peer-asn=64111 \
    --instance=hub-r1 \
    --instance-zone=us-central1-a \
    --region=us-central1

gcloud compute routers add-bgp-peer wrk-cr1 \
    --peer-name=hub-cr1-bgp-peer-1 \
    --interface=int1 \
    --peer-ip-address=192.168.235.4 \
    --peer-asn=64111 \
    --instance=hub-r1 \
    --instance-zone=us-central1-a \
    --region=us-central1

Проверьте состояние BGP. На этом этапе лаборатории кода BGP находится в состоянии подключения, поскольку устройство сетевого маршрутизатора не настроено для BGP. 

gcloud compute routers get-status wrk-cr1 --region=us-central1

11. Настройте устройства маршрутизатора-концентратора для BGP.

Настройте концентратор-r1 для BGP.

Обязательно войдите в консоль flexiManage.

Перейдите в «Инвентарь»«Устройства»«hub-r1» и выберите устройство с именем хоста:hub-r1.

  • Нажмите на вкладку «Маршрутизация».
  • Нажмите «Конфигурация BGP».
  • Отключите «Перераспределение маршрутов OSPF».
  • Настройте Hub-r1 для BGP с этими параметрами и нажмите «Сохранить».

8d470056f620717f.png

Выберите вкладку « Интерфейсы », найдите интерфейс LAN, найдите столбец « Маршрутизация ».

  • Нажмите « Нет », чтобы открыть меню и выбрать BGP в качестве протокола маршрутизации.

82310aab05e9e414.png

  • Вверху страницы нажмите «обновить устройство».

12. Обмен маршрутами BGP между устройствами маршрутизатора.

Установите локальный ASN для удаленных сайтов.

Настройте локальный BGP ASN для site1-nva. После настройки мы установим туннель IPSEC между удаленными сайтами и маршрутизаторами-концентраторами.

Выберите устройство с именем хоста:site1-nva.

  • Нажмите на вкладку «Маршрутизация».
  • Нажмите «Конфигурация BGP».
  • Отключите «Перераспределение маршрутов OSPF».
  • Локальный ASN 7269 → Сохранить
  • Обновить устройство
  • Вкладка «Интерфейсы» → «Маршрутизация» → «BGP».
  • Обновить устройство

Настройка VPN-туннелей между устройствами Site1 и Hub1

Обязательно войдите в консоль flexiManage.

  • Перейдите в «Инвентарь» → «Устройства».
  • Установите флажок рядом с именем хоста site1-nva и Hub-r1 , чтобы создать VPN-туннель между этой парой NVA.
  • Нажмите «Действия» → «Создать туннели» и настройте следующие параметры.

d870b4049a0e7fcf.png

c50d794442c0bdd0.png

  • Выберите «Создать туннели».

Убедитесь, что site1-nva узнал маршруты к подсетям 192.168.235.0/24 и 192.168.236.0/24.

  • Выберите «Инвентаризация» → «Устройства» → «site1-nva» и перейдите на вкладку «Маршрутизация».

В приведенном ниже примере flexiWAN автоматически создал туннель, используя IP-адрес хоста 10.100.0.6. cef8dee200ac600a.png

13. Проверьте подключение к каналу данных.

Проверка подключения сайта к облаку локально

См. схему. Убедитесь, что путь к данным между s1-vm и workload1-vm

e96022cff4642fc9.png

Настройка статических маршрутов VPC для сайта в облако

Локальный Site1-VPC имитирует локальную сеть центра обработки данных.

Оба маршрутизатора Site-1-nva используют VPN-подключение для доступа к сети концентратора.

В случае использования сайта в облаке** создайте статические маршруты к месту назначения 192.168.0.0/16, используя устройство маршрутизатора в качестве следующего перехода для доступа к сетям в облачной сети GCP.

На s1-inside-vpc создайте статический маршрут для облачного пункта назначения (192.168.0.0/16):

gcloud compute routes create site1-subnet-route  \
--network=s1-inside-vpc \
--destination-range=192.168.0.0/16  \
--next-hop-instance=site1-nva \
--next-hop-instance-zone=us-central1-a

В CloudShell найдите IP-адрес workload1-vmnee . Он понадобится вам для проверки подключения от « s1-vm ».

gcloud compute instances describe workload1-vm --zone=us-central1-a | grep "networkIP"

Подключитесь по SSH к « s1-vm» и используйте команду « curl» , чтобы установить TCP-сеанс с IP-адресом рабочей нагрузки 1-VM. 

s1-vm:~$ curl 192.168.235.3 -vv
*   Trying 192.168.235.3:80...
* Connected to 192.168.235.3 (192.168.235.3) port 80 (#0)
> GET / HTTP/1.1
> Host: 192.168.235.3
> User-Agent: curl/7.74.0
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< Date: Wed, 07 Dec 2022 15:12:08 GMT
< Server: Apache/2.4.54 (Debian)
< Last-Modified: Tue, 06 Dec 2022 00:57:46 GMT
< ETag: "1f-5ef1e4acfa1d9"
< Accept-Ranges: bytes
< Content-Length: 31
< Content-Type: text/html
< 
Page served from: workload1-vm
* Connection #0 to host 192.168.235.3 left intact

14. Очистка

Удаление локальных ресурсов

Войдите в облачную оболочку и удалите экземпляры виртуальных машин в сетях концентратора и филиала. 

#onprem instances
gcloud compute instances delete s1-vm --zone=us-central1-a --quiet


#delete on prem firewall rules
gcloud compute firewall-rules delete site1-ssh --quiet
gcloud compute firewall-rules delete site1-internal --quiet
gcloud compute firewall-rules delete site1-cloud --quiet
gcloud compute firewall-rules delete site1-vpn  --quiet
gcloud compute firewall-rules delete site1-iap --quiet


#delete on prem subnets
gcloud compute networks subnets delete site1-subnet --quiet
gcloud compute networks subnets delete s1-inside-subnet --quiet
gcloud compute networks subnets delete s1-inside-subnet --quiet


#delete on prem vpcs
gcloud compute networks delete site1-vpc --quiet
gcloud compute networks delete s1-inside-vpc --quiet

Удаление ресурсов Cloud Hub

Войдите в облачную оболочку и удалите экземпляры виртуальных машин в сетях концентратора и филиала. 

#delete ncc spokes
gcloud network-connectivity spokes delete s2c-wrk-cr1 --region us-central1 --quiet

#delete ncc hub
gcloud network-connectivity hubs delete ncc-hub --quiet


#delete hub instances
gcloud compute instances delete hub-r1 --zone=us-central1-a --quiet


#delete hub firewall rule
gcloud compute firewall-rules delete hub-ssh --quiet
gcloud compute firewall-rules delete hub-vpn --quiet
gcloud compute firewall-rules delete hub-internal --quiet
gcloud compute firewall-rules delete hub-iap --quiet

gcloud compute firewall-rules create workload-ssh --quiet
gcloud compute firewall-rules create workload-internal --quiet
gcloud compute firewall-rules create workload-onprem --quiet
gcloud compute firewall-rules create workload-iap --quiet

#delete hub subnets
gcloud compute networks subnets delete workload-subnet1 --quiet

gcloud compute networks subnets delete hub-subnet1 --quiet

#delete hub vpcs
gcloud compute networks delete workload-vpc --quiet
gcloud compute networks delete hub-vpc --quiet

15. Поздравляем!

Вы завершили лабораторную работу Центра сетевых подключений!

Что вы покрыли

  • Настроенная программно-определяемая интеграция WAN для сайта NCC в облако

Следующие шаги

©Google, LLC или ее дочерние компании. Все права защищены. Не распространяйте.