1. Giới thiệu
Tổng quan
Trong lớp học lập trình này, bạn sẽ khám phá một số tính năng của Trung tâm kết nối mạng.
Network Connectivity Center (NCC) là mô hình tầng điều khiển dạng trung tâm và nan hoa để quản lý kết nối mạng trong Google Cloud. Tài nguyên trung tâm cung cấp mô hình quản lý kết nối tập trung để kết nối các nan hoa. NCC hiện hỗ trợ các tài nguyên mạng sau đây dưới dạng nan hoa:
- Tài nguyên đính kèm VLAN
- Thiết bị bộ định tuyến
- VPN HA
Lớp học lập trình yêu cầu bạn sử dụng giải pháp SD-WAN SaaS flexiWAN để đơn giản hoá việc triển khai và quản lý WAN.
Sản phẩm bạn sẽ tạo ra
Trong lớp học lập trình này, bạn sẽ xây dựng một cấu trúc SD-WAN dạng hình tròn để mô phỏng các trang web chi nhánh từ xa sẽ đi qua mạng xương sống của Google để giao tiếp giữa trang web với đám mây.
- Bạn sẽ triển khai một cặp máy ảo GCE được định cấu hình cho tác nhân SD-WAN flexiWAN trong VPC trung tâm đại diện cho các đầu cuối cho lưu lượng truy cập đến và đi đến GCP.
- Triển khai hai bộ định tuyến SD-WAN flexiWAN từ xa để đại diện cho hai VPC trang web chi nhánh khác nhau
- Để kiểm thử đường dẫn dữ liệu, bạn sẽ định cấu hình ba máy ảo GCE để mô phỏng máy khách và máy chủ tại chỗ được lưu trữ trên GCP
Kiến thức bạn sẽ học được
- Sử dụng NCC để kết nối các văn phòng chi nhánh từ xa bằng giải pháp WAN do phần mềm xác định nguồn mở
- Trải nghiệm thực tế với giải pháp WAN được xác định bằng phần mềm nguồn mở
Bạn cần có
- Có kiến thức về mạng VPC của GCP
- Có kiến thức về Cloud Router và định tuyến BGP
2. Mục tiêu
- Thiết lập môi trường GCP
- Triển khai các phiên bản flexiWAN Edge trong GCP
- Thiết lập một Trung tâm NCC và NVA flexiWAN Edge làm một luồng
- Định cấu hình và quản lý các phiên bản flexiWAN bằng flexiManage
- Định cấu hình tính năng trao đổi tuyến BGP giữa vpc-app-svcs và NVA flexiWAN
- Tạo một trang web từ xa mô phỏng một chi nhánh từ xa của khách hàng hoặc một trung tâm dữ liệu
- Thiết lập Đường hầm IPSEC giữa trang web từ xa và NVA
- Xác minh rằng các tiện ích đã được triển khai thành công
- Xác thực quá trình chuyển dữ liệu từ trang web sang đám mây
- Dọn dẹp tài nguyên đã sử dụng
Hướng dẫn này yêu cầu bạn tạo một tài khoản flexiManage miễn phí để xác thực, tham gia và quản lý các phiên bản flexiEdge.
Trước khi bắt đầu
Sử dụng Google Cloud Console và Cloud Shell
Để tương tác với GCP, chúng ta sẽ sử dụng cả Google Cloud Console và Cloud Shell trong suốt lớp học này.
Bảng điều khiển Google Cloud
Bạn có thể truy cập vào Cloud Console tại https://console.cloud.google.com.
Thiết lập các mục sau trong Google Cloud để dễ dàng định cấu hình Trung tâm kết nối mạng:
Trong Google Cloud Console, trên trang bộ chọn dự án, hãy chọn hoặc tạo một dự án Google Cloud.
Chạy Cloud Shell. Lớp học lập trình này sử dụng $variables để hỗ trợ triển khai cấu hình gcloud trong Cloud Shell.
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname
Vai trò trong IAM
NCC yêu cầu các vai trò IAM để truy cập vào các API cụ thể. Hãy nhớ định cấu hình người dùng của bạn bằng các vai trò IAM NCC theo yêu cầu.
Tên vai trò | Mô tả | Quyền |
networkconnectivity.networkAdmin | Cho phép quản trị viên mạng quản lý nút trung tâm và nút thành phần. | networkconnectivity.hubs.networkconnectivity.spokes. |
networkconnectivity.networkSpokeManager | Cho phép thêm và quản lý các nan hoa trong một trung tâm. Để sử dụng trong VPC dùng chung, trong đó dự án lưu trữ sở hữu Trung tâm, nhưng các quản trị viên khác trong các dự án khác có thể thêm các rô-to cho các tệp đính kèm của họ vào Trung tâm. | networkconnectivity.spokes.** |
networkconnectivity.networkUsernetworkconnectivity.networkViewer | Cho phép người dùng mạng xem các thuộc tính khác nhau của nút trung tâm và nan hoa. | networkconnectivity.hubs.getnetworkconnectivity.hubs.listnetworkconnectivity.spokes.getnetworkconnectivity.spokes.listnetworkconnectivity.spokes.aggregatedList |
3. Thiết lập môi trường phòng thí nghiệm mạng
Tổng quan
Trong phần này, chúng ta sẽ triển khai mạng VPC và các quy tắc tường lửa.
Mô phỏng mạng của trang web chi nhánh tại chỗ
Mạng VPC này chứa các mạng con cho các phiên bản máy ảo tại chỗ.
Tạo mạng và mạng con của trang web tại chỗ:
gcloud compute networks create site1-vpc \
--subnet-mode custom
gcloud compute networks create s1-inside-vpc \
--subnet-mode custom
gcloud compute networks subnets create site1-subnet \
--network site1-vpc \
--range 10.10.0.0/24 \
--region us-central1
gcloud compute networks subnets create s1-inside-subnet \
--network s1-inside-vpc \
--range 10.10.1.0/24 \
--region us-central1
Tạo quy tắc tường lửa site1-vpc để cho phép:
- SSH, nội bộ, IAP
- ESP, UDP/500, UDP/4500
- Phạm vi 10.0.0.0/8
- Phạm vi 192.168.0.0/16
gcloud compute firewall-rules create site1-ssh \--network site1-vpc \
--allow tcp:22
gcloud compute firewall-rules create site1-internal \
--network site1-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create site1-cloud \
--network site1-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create site1-vpn \
--network site1-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router
gcloud compute firewall-rules create site1-iap \
--network site1-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
Tạo quy tắc tường lửa s1-inside-vpc để cho phép:
- SSH, nội bộ, IAP
- Phạm vi 10.0.0.0/8
- Phạm vi 192.168.0.0/16
gcloud compute firewall-rules create s1-inside-ssh \
--network s1-inside-vpc \
--allow tcp:22
gcloud compute firewall-rules create s1-inside-internal \
--network s1-inside-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create s1-inside-cloud \
--network s1-inside-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create s1-inside-iap \
--network site2-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
Để kiểm thử, hãy tạo các thực thể s1-inside-vm và s2-inside-vm
gcloud compute instances create s1-vm \
--zone=us-central1-a \
--machine-type=e2-micro \
--network-interface subnet=s1-inside-subnet,private-network-ip=10.10.1.3,no-address
Mô phỏng môi trường mạng đám mây GCP
Để bật lưu lượng truy cập giữa các trang web trên nhiều khu vực thông qua mạng hub-vpc và các luồng, bạn phải bật tính năng định tuyến toàn cầu trong mạng hub-vpc. Hãy đọc thêm trong phần trao đổi tuyến của NCC.
- Tạo mạng
hub-vpcvà các mạng con:
gcloud compute networks create hub-vpc \
--subnet-mode custom \
--bgp-routing-mode=global
gcloud compute networks subnets create hub-subnet1 \
--network hub-vpc \
--range 10.1.0.0/24 \
--region us-central1
gcloud compute networks subnets create hub-subnet2 \
--network hub-vpc \
--range 10.2.0.0/24 \
--region us-east4
- Tạo mạng
workload-vpcvà các mạng con:
gcloud compute networks create workload-vpc \
--subnet-mode custom \
--bgp-routing-mode=global
gcloud compute networks subnets create workload-subnet1 \
--network workload-vpc \
--range 192.168.235.0/24 \
--region us-central1
- Tạo quy tắc tường lửa Hub-VPC để cho phép:
- SSH
- ESP, UDP/500, UDP/4500
- dải 10.0.0.0/8 nội bộ (bao gồm cả cổng TCP 179 cần thiết cho phiên BGP từ bộ định tuyến trên đám mây đến thiết bị bộ định tuyến)
gcloud compute firewall-rules create hub-ssh \
--network hub-vpc \
--allow tcp:22
gcloud compute firewall-rules create hub-vpn \
--network hub-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router
gcloud compute firewall-rules create hub-internal \
--network hub-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create hub-iap \
--network hub-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
- Tạo quy tắc tường lửa Workload-VPC để cho phép:
- SSH
- dải 192.168.0.0/16 nội bộ (bao gồm cả cổng TCP 179 cần thiết cho phiên BGP từ bộ định tuyến đám mây đến thiết bị bộ định tuyến)
gcloud compute firewall-rules create workload-ssh \
--network workload-vpc \
--allow tcp:22
gcloud compute firewall-rules create workload-internal \
--network workload-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create workload-onprem \
--network hub-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create workload-iap \
--network workload-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
- Bật Cloud NAT trong workload-VPC để cho phép workload1-vm tải các gói xuống bằng cách tạo Bộ định tuyến trên đám mây và Cổng NAT
gcloud compute routers create cloud-router-usc-central-1-nat \
--network workload-vpc \
--region us-central1
gcloud compute routers nats create cloudnat-us-central1 \
--router=cloud-router-usc-central-1-nat \
--auto-allocate-nat-external-ips \
--nat-all-subnet-ip-ranges \
--region us-central1
- Tạo
workload1-vmin "us-central1-a" inworkload-VPC, bạn sẽ sử dụng máy chủ lưu trữ này để xác minh khả năng kết nối của trang web với đám mây
gcloud compute instances create workload1-vm \
--project=$projectname \
--machine-type=e2-micro \
--image-family debian-10 \
--image-project debian-cloud \
--zone us-central1-a \
--private-network-ip 192.168.235.3 \
--no-address \
--subnet=workload-subnet1 \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install apache2 -y
sudo service apache2 restart
echo 'Welcome to Workload VM1 !!' | tee /var/www/html/index.html
EOF"
4. Thiết lập thiết bị tại chỗ cho SD-WAN
Tạo máy ảo tại chỗ cho SDWAN (Thiết bị)
Trong phần sau, chúng ta sẽ tạo site1-nva đóng vai trò là bộ định tuyến tại chỗ.
Tạo thực thể
Tạo thiết bị site1-router có tên site1-nva
gcloud compute instances create site1-nva \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=site1-subnet \
--network-interface subnet=s1-inside-subnet,no-address \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any \
--can-ip-forward
5. Cài đặt flexiWAN trên site1-nva
Mở kết nối SSH đến site1-nva, nếu hết thời gian chờ, hãy thử lại
gcloud compute ssh site1-nva --zone=us-central1-a
Cài đặt flexiWAN trên site1-nva
sudo su
sudo curl -sL https://deb.flexiWAN.com/setup | sudo bash -
apt install flexiWAN-router -y
Chuẩn bị máy ảo để đăng ký vùng điều khiển flexiWAN.
Sau khi cài đặt flexiWAN xong, hãy chạy lệnh fwsystem_checker để chuẩn bị máy ảo cho hoạt động flexiWAN. Lệnh này kiểm tra các yêu cầu về hệ thống và giúp khắc phục lỗi cấu hình trong hệ thống.
- Chọn tuỳ chọn
2để định cấu hình nhanh và im lặng - thoát sau đó bằng 0.
- Đừng đóng cửa sổ shell trên đám mây.
root@site-1-nva-1:/home/user# fwsystem_checker
<output snipped>
[0] - quit and use fixed parameters
1 - check system configuration
2 - configure system silently
3 - configure system interactively
4 - restore system checker settings to default
------------------------------------------------
Choose: 2
<output snipped>
[0] - quit and use fixed parameters
1 - check system configuration
2 - configure system silently
3 - configure system interactively
4 - restore system checker settings to default
------------------------------------------------
Choose: 0
Please wait..
Done.
=== system checker ended ====
Để phiên hoạt động mở cho các bước sau
6. Đăng ký site1-nva với bộ điều khiển SD-WAN
Bạn cần thực hiện các bước này để hoàn tất việc cấp phép NVA flexiWAN được quản lý từ Bảng điều khiển flexiManage. Hãy nhớ thiết lập tổ chức flexiWAN trước khi tiếp tục.
Xác thực NVA flexiWAN mới triển khai bằng flexiManage bằng mã thông báo bảo mật bằng cách đăng nhập vào Tài khoản flexiManage. Bạn có thể sử dụng lại cùng một mã thông báo trên tất cả các thiết bị bộ định tuyến.
Chọn Inventory (Khoảng không quảng cáo) → Tokens (Mã thông báo), tạo mã thông báo rồi chọn copy (sao chép)
Quay lại Cloud Shell (site1-nva) và dán mã thông báo vào thư mục /etc/flexiWAN/agent/token.txt bằng cách thực hiện các bước sau
nano /etc/flexiWAN/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter
Kích hoạt Trình định tuyến trang web trên Bảng điều khiển flexiManage
Đăng nhập vào Bảng điều khiển flexiManage để kích hoạt site1-nva trên bộ điều khiển
Trên bảng điều khiển bên trái, hãy Chọn Khoảng không quảng cáo → Thiết bị, nhấp vào thiết bị "Không xác định"
Nhập tên máy chủ của site1-nva rồi Chấp thuận thiết bị bằng cách trượt nút xoay sang phải.
Chọn thẻ "Giao diện"
Tìm cột "Đã chỉ định" rồi nhấp vào "Không" và thay đổi chế độ cài đặt thành "Có"
Chọn thẻ Tường lửa rồi nhấp vào dấu "+" để thêm quy tắc tường lửa đi vào
Chọn giao diện WAN để áp dụng quy tắc ssh như mô tả dưới đây
Nhấp vào "Cập nhật thiết bị"
Khởi động site1-nva từ bộ điều khiển flexiWAN. Quay lại Inventory (Khoảng không quảng cáo) → Devices (Thiết bị) → site1-nva, chọn "Start Device" (Bắt đầu thiết bị)
Trạng thái – Đang đồng bộ hoá
Trạng thái – Đã đồng bộ hoá
Bạn có thể xem chỉ báo cảnh báo trong phần Khắc phục sự cố → Thông báo. Sau khi xem, hãy chọn tất cả rồi đánh dấu là đã đọc
7. Thiết lập thiết bị SDWAN của Trung tâm
Trong phần sau, bạn sẽ tạo và đăng ký bộ định tuyến Hub (hub-r1) với Bộ điều khiển flexiWAN như đã thực thi trước đó với các tuyến trang web.
Mở một thẻ mới và tạo một phiên Cloud Shell, cập nhật $variables để hỗ trợ triển khai cấu hình gcloud
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname
Tạo thực thể NVA của Hub
Tạo thiết bị hub-r1:
gcloud compute instances create hub-r1 \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=hub-subnet1 \
--network-interface subnet=workload-subnet1,no-address \
--can-ip-forward \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any
8. Cài đặt flexiWAN trên các phiên bản Hub cho hub-r1
Mở kết nối SSH đến hub-r1
gcloud compute ssh hub-r1 --zone=us-central1-a
Cài đặt tác nhân flexiWAN trên cả hub-r1
sudo su
sudo curl -sL https://deb.flexiWAN.com/setup | sudo bash -
apt install flexiWAN-router -y
Chuẩn bị máy ảo hub-r1 để đăng ký flexiWAN.
Sau khi cài đặt flexiWAN xong, hãy chạy lệnh fwsystem_checker để chuẩn bị máy ảo cho hoạt động flexiWAN. Lệnh này kiểm tra các yêu cầu về hệ thống và giúp khắc phục lỗi cấu hình trong hệ thống.
root@hub-r1:/home/user# fwsystem_checker
- Chọn tuỳ chọn
2để định cấu hình nhanh và im lặng - thoát sau đó bằng 0.
- Đừng đóng cửa sổ shell trên đám mây.
9. Đăng ký máy ảo hub-r1 trên bộ điều khiển FlexManage
Xác thực NVA flexiWAN mới triển khai bằng flexiManage bằng mã thông báo bảo mật bằng cách đăng nhập vào Tài khoản flexiManage.
- Chọn Inventory (Khoảng không quảng cáo) → Tokens (Mã thông báo) rồi sao chép mã thông báo
Quay lại Cloud Shell (hub-r1) và dán mã thông báo vào thư mục /etc/flexiWAN/agent/token.txt bằng cách thực hiện các bước sau
nano /etc/flexiWAN/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter
Kích hoạt bộ định tuyến Hub hub-r1 trên Bảng điều khiển flexiManage
Đăng nhập vào Bảng điều khiển flexiManage
- Chuyển đến Khoảng không quảng cáo → Thiết bị
- Tìm và ghi lại Tên máy chủ của hub-r1 là "unknown"
Chọn thiết bị Không xác định có Tên máy chủ hub-r1
- Nhập tên máy chủ của hub-r1
- Phê duyệt thiết bị, Trượt núm xoay sang phải.
Chọn thẻ Giao diện
- Tìm cột "Đã chỉ định"
- Bên cạnh hàng giao diện, hãy nhấp vào "Không" để thay đổi chế độ cài đặt thành "Có"
Chọn thẻ Tường lửa
- Nhấp vào biểu tượng "+" để Thêm quy tắc tường lửa đi vào
- Chọn giao diện WAN để kế thừa quy tắc
- Cho phép cổng SSH 22 bằng giao thức TCP
- Nhấp vào "Cập nhật thiết bị"
Khởi động thiết bị hub-r1 cho SD-WAN từ bộ điều khiển của flexiWAN
- Quay lại Inventory (Kho hàng) → Devices (Thiết bị) → hub-r1
Chọn "Start Device" (Khởi động thiết bị)
- Chờ quá trình đồng bộ hoá hoàn tất và ghi lại trạng thái "đang chạy"
10. Network Connectivity Center trên Trung tâm GCP
Bật Dịch vụ API
Bật API kết nối mạng trong trường hợp API này chưa được bật:
gcloud services enable networkconnectivity.googleapis.com
Tạo Trung tâm NCC
gcloud network-connectivity hubs create ncc-hub
Create request issued for: [ncc-hub]
Waiting for operation [projects/user-3p-dev/locations/global/operations/operation-1668793629598-5edc24b7ee3ce-dd4c765b-5ca79556] to complete...done.
Created hub [ncc-hub]
Định cấu hình cả hai thiết bị bộ định tuyến làm một luồng NCC
Tìm URI và địa chỉ IP cho cả hub-r1 và ghi lại kết quả. Bạn sẽ cần thông tin này ở bước tiếp theo.
Hãy nhớ ghi lại địa chỉ IP của thực thể hub-r1.
gcloud compute instances describe hub-r1 \
--zone=us-central1-a \
--format="value(selfLink.scope(projects))"
gcloud compute instances describe hub-r1 --zone=us-central1-a | grep "networkIP"
Thêm vnic networkIP của hub-r1 làm một luồng. Theo mặc định, tính năng chuyển dữ liệu giữa các trang web sẽ bị tắt.
gcloud network-connectivity spokes linked-router-appliances create s2c-wrk-cr1 \
--hub=ncc-hub \
--router-appliance=instance="https://www.googleapis.com/compute/projects/$projectname/zones/us-central1-a/instances/hub-r1",ip=192.168.235.4 \
--region=us-central1 \
--site-to-site-data-transfer
Định cấu hình Bộ định tuyến trên đám mây để thiết lập BGP với Hub-R1
Trong bước tiếp theo, hãy tạo Trình định tuyến đám mây và thông báo về mạng con VPC cho khối lượng công việc 192.168.235.0/24
Tạo bộ định tuyến trên đám mây trong us-central1 để giao tiếp với BGP bằng hub-r1
gcloud compute routers create wrk-cr1 \
--region=us-central1 \
--network=workload-vpc \
--asn=65002 \
--set-advertisement-groups=all_subnets
Bằng cách định cấu hình thiết bị bộ định tuyến dưới dạng NCC Spoke, bạn có thể cho phép bộ định tuyến đám mây đàm phán BGP trên các giao diện ảo.
Tạo hai giao diện trên bộ định tuyến đám mây để trao đổi thông điệp BGP với hub-r1.
Địa chỉ IP được chọn trong mạng con của khối lượng công việc và có thể được thay đổi nếu cần.
gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int0 \
--ip-address=192.168.235.101
gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int1 \
--ip-address=192.168.235.102 \
--redundant-interface=int0
Định cấu hình giao diện Trình định tuyến trên đám mây để thiết lập BGP với vNIC-1 của hub-r1, cập nhật peer-ip-address bằng Địa chỉ IP của networkIP hub-r1. Lưu ý: cùng một Địa chỉ IP được dùng cho int0 và int1.
gcloud compute routers add-bgp-peer wrk-cr1 \
--peer-name=hub-cr1-bgp-peer-0 \
--interface=int0 \
--peer-ip-address=192.168.235.4 \
--peer-asn=64111 \
--instance=hub-r1 \
--instance-zone=us-central1-a \
--region=us-central1
gcloud compute routers add-bgp-peer wrk-cr1 \
--peer-name=hub-cr1-bgp-peer-1 \
--interface=int1 \
--peer-ip-address=192.168.235.4 \
--peer-asn=64111 \
--instance=hub-r1 \
--instance-zone=us-central1-a \
--region=us-central1
Xác minh Trạng thái BGP, tại thời điểm này trong lớp học lập trình, BGP là "trạng thái kết nối" vì thiết bị định tuyến mạng chưa được định cấu hình cho BGP.
gcloud compute routers get-status wrk-cr1 --region=us-central1
11. Định cấu hình thiết bị định tuyến Hub cho BGP
Định cấu hình hub-r1 cho BGP
Đừng quên đăng nhập vào Bảng điều khiển flexiManage
Chuyển đến Inventory (Khoảng không quảng cáo) → Devices (Thiết bị) → hub-r1 rồi chọn thiết bị có HostName:hub-r1
- Nhấp vào thẻ "Định tuyến"
- Nhấp vào "BGP Configuration" (Cấu hình BGP)
- Tắt tuỳ chọn "Phân phối lại tuyến OSPF"
- Định cấu hình hub-r1 cho BGP bằng các thông số này rồi nhấp vào "Lưu"
Chọn thẻ "Interfaces" (Giao diện), tìm giao diện LAN, tìm cột "Routing" (Định tuyến)
- Nhấp vào "none" (không có) để mở trình đơn chọn BGP làm giao thức định tuyến
- Ở đầu trang, hãy nhấp vào "cập nhật thiết bị"
12. Trao đổi tuyến BGP giữa các thiết bị bộ định tuyến
Thiết lập ASN cục bộ cho các trang web từ xa
Định cấu hình ASN BGP cục bộ cho site1-nva, sau khi định cấu hình, chúng ta sẽ thiết lập một Đường hầm IPSEC giữa các trang web từ xa và bộ định tuyến trung tâm.
Chọn thiết bị có HostName:site1-nva
- Nhấp vào thẻ "Định tuyến"
- Nhấp vào "BGP Configuration" (Cấu hình BGP)
- Tắt tuỳ chọn "Phân phối lại tuyến OSPF"
- ASN cục bộ 7269 → Lưu
- Cập nhật thiết bị
- Thẻ Giao diện → Định tuyến → BGP
- Cập nhật thiết bị
Định cấu hình đường hầm VPN giữa Thiết bị Site1 và Hub1
Đừng quên đăng nhập vào Bảng điều khiển flexiManage
- Chuyển đến Khoảng không quảng cáo → Thiết bị
- Chọn hộp bên cạnh tên máy chủ của site1-nva và hub-r1 để tạo đường hầm VPN giữa cặp NVA này
- Nhấp vào Actions→ Create Tunnels (Thao tác → Tạo đường hầm) rồi định cấu hình như sau
- Chọn Tạo đường hầm
Xác minh rằng "site1-nva" đã học các tuyến đến mạng con 192.168.235.0/24 và 192.168.236.0/24
- Chọn Inventory (Kho hàng) → Devices (Thiết bị) → site1-nva rồi nhấp vào thẻ "Routing" (Định tuyến)
Trong kết quả ví dụ bên dưới, flexiWAN đã tự động tạo đường hầm bằng địa chỉ IP máy chủ lưu trữ 10.100.0.6 
13. Xác minh khả năng kết nối của đường dẫn dữ liệu
Xác minh khả năng kết nối của trang web với đám mây từ máy chủ cục bộ
Tham khảo sơ đồ, Xác minh rằng đường dẫn dữ liệu giữa s1-vm và workload1-vm
Định cấu hình tuyến tĩnh VPC cho Site to Cloud
Site1-VPC tại chỗ mô phỏng mạng của trung tâm dữ liệu tại chỗ.
Cả hai thiết bị bộ định tuyến Site-1-nva đều sử dụng kết nối VPN để kết nối với mạng trung tâm.
Đối với trường hợp sử dụng từ trang web đến đám mây**,** hãy tạo tuyến tĩnh đến đích 192.168.0.0/16 bằng cách sử dụng thiết bị định tuyến làm bước tiếp theo để truy cập vào các mạng trong mạng đám mây GCP.
Trên s1-inside-vpc, hãy tạo một tuyến tĩnh cho đích đến trên đám mây (192.168.0.0/16):
gcloud compute routes create site1-subnet-route \
--network=s1-inside-vpc \
--destination-range=192.168.0.0/16 \
--next-hop-instance=site1-nva \
--next-hop-instance-zone=us-central1-a
Trên CloudShell, hãy tra cứu địa chỉ IP của workload1-vmnee." Bạn sẽ cần thông tin này để kiểm thử khả năng kết nối từ "s1-vm".
gcloud compute instances describe workload1-vm --zone=us-central1-a | grep "networkIP"
SSH đến "s1-vm" và sử dụng lệnh "curl" để thiết lập phiên TCP đến địa chỉ IP workload1-VM.
s1-vm:~$ curl 192.168.235.3 -vv * Trying 192.168.235.3:80... * Connected to 192.168.235.3 (192.168.235.3) port 80 (#0) > GET / HTTP/1.1 > Host: 192.168.235.3 > User-Agent: curl/7.74.0 > Accept: */* > * Mark bundle as not supporting multiuse < HTTP/1.1 200 OK < Date: Wed, 07 Dec 2022 15:12:08 GMT < Server: Apache/2.4.54 (Debian) < Last-Modified: Tue, 06 Dec 2022 00:57:46 GMT < ETag: "1f-5ef1e4acfa1d9" < Accept-Ranges: bytes < Content-Length: 31 < Content-Type: text/html < Page served from: workload1-vm * Connection #0 to host 192.168.235.3 left intact
14. Dọn dẹp
Xoá tài nguyên trên máy
Đăng nhập vào màn hình shell trên đám mây và xoá các phiên bản máy ảo trong mạng của trung tâm và trang web chi nhánh
#onprem instances
gcloud compute instances delete s1-vm --zone=us-central1-a --quiet
#delete on prem firewall rules
gcloud compute firewall-rules delete site1-ssh --quiet
gcloud compute firewall-rules delete site1-internal --quiet
gcloud compute firewall-rules delete site1-cloud --quiet
gcloud compute firewall-rules delete site1-vpn --quiet
gcloud compute firewall-rules delete site1-iap --quiet
#delete on prem subnets
gcloud compute networks subnets delete site1-subnet --quiet
gcloud compute networks subnets delete s1-inside-subnet --quiet
gcloud compute networks subnets delete s1-inside-subnet --quiet
#delete on prem vpcs
gcloud compute networks delete site1-vpc --quiet
gcloud compute networks delete s1-inside-vpc --quiet
Xoá tài nguyên Cloud Hub
Đăng nhập vào màn hình shell trên đám mây và xoá các phiên bản máy ảo trong mạng của trung tâm và trang web chi nhánh
#delete ncc spokes
gcloud network-connectivity spokes delete s2c-wrk-cr1 --region us-central1 --quiet
#delete ncc hub
gcloud network-connectivity hubs delete ncc-hub --quiet
#delete hub instances
gcloud compute instances delete hub-r1 --zone=us-central1-a --quiet
#delete hub firewall rule
gcloud compute firewall-rules delete hub-ssh --quiet
gcloud compute firewall-rules delete hub-vpn --quiet
gcloud compute firewall-rules delete hub-internal --quiet
gcloud compute firewall-rules delete hub-iap --quiet
gcloud compute firewall-rules create workload-ssh --quiet
gcloud compute firewall-rules create workload-internal --quiet
gcloud compute firewall-rules create workload-onprem --quiet
gcloud compute firewall-rules create workload-iap --quiet
#delete hub subnets
gcloud compute networks subnets delete workload-subnet1 --quiet
gcloud compute networks subnets delete hub-subnet1 --quiet
#delete hub vpcs
gcloud compute networks delete workload-vpc --quiet
gcloud compute networks delete hub-vpc --quiet
15. Xin chúc mừng!
Bạn đã hoàn tất lớp học Network Connectivity Center!
Nội dung bạn đã đề cập
- Định cấu hình tích hợp WAN được xác định bằng phần mềm cho trang web NCC với đám mây
Các bước tiếp theo
- Tổng quan về Network Connectivity Center
- Tài liệu về Network Connectivity Center
- Tài nguyên flexiWAN
- Kho lưu trữ GitLab flexiWAN
©Google, LLC hoặc các công ty liên kết của Google. Bảo lưu mọi quyền. Không phân phối.