1. مقدمة
نظرة عامة
في هذا التمرين العملي، سيتعرّف المستخدمون على كيفية استخدام Network Connectivity Center (NCC) لبوابة NCC من أجل إنشاء اتصال آمن. سيستخدم المستخدمون Secure Access Connect لدمج منتجات Security Service Edge (SSE) التابعة لجهات خارجية، ما يتيح فحصًا وحمايةً قويَّين لعمليات نقل البيانات. يبسّط هذا الإعداد إدارة الشبكة من خلال توفير نموذج مركزي يستند إلى البوابة لتأمين حركة البيانات التي تدخل بيئات Google Cloud وتخرج منها.
ما ستنشئه
في هذا الدرس التطبيقي حول الترميز، ستنشئ بنية منطقية على شكل محور وأطراف باستخدام محور NCC، ما سيؤدي إلى تنفيذ نسيج اتصال VPC متداخل بالكامل على مستوى ثلاث شبكات VPC مختلفة.
ما ستتعلمه
- بنية الفحص المختلطة
- NCC Gateway
- Secure Access Connect
- Palo Alto Network SSE
المتطلبات
- معرفة شبكة السحابة الافتراضية الخاصة (VPC) في Google Cloud Platform
- معرفة Cloud Router وتوجيه بروتوكول BGP
- يتطلّب هذا الدرس التطبيقي حول الترميز 5 شبكات VPC. يجب أن تكون إحدى شبكات VPC هذه في مشروع منفصل عن مركز NCC
- تحقَّق من الحصة:الشبكات واطلب إضافة شبكات إضافية إذا لزم الأمر، كما هو موضّح في لقطة الشاشة أدناه:
الأهداف
- إعداد بيئة GCP
- إعداد Network Connectivity Center لخدمة Hybrid Inspection
- توفير Palo Alto Network Stratacloud Manager لخدمة SSE
- التحقّق من صحة مسار البيانات
- استكشاف ميزات إمكانية استخدام خدمة NCC
- تنظيف الموارد المستخدَمة
قبل البدء
Google Cloud Console وCloud Shell
للتفاعل مع Google Cloud Platform، سنستخدم كلاً من Google Cloud Console وCloud Shell خلال هذا الدرس التطبيقي.
مشروع NCC Hub في Google Cloud Console
يمكن الوصول إلى Cloud Console على https://console.cloud.google.com.
اضبط العناصر التالية في Google Cloud لتسهيل إعداد Network Connectivity Center:
في Google Cloud Console، في صفحة اختيار المشروع، اختَر مشروعًا على Google Cloud أو أنشِئ مشروعًا.
ملاحظة: إذا كنت لا تخطّط للاحتفاظ بالموارد التي تنشئها في هذا الإجراء، أنشئ مشروعًا بدلاً من اختيار مشروع حالي. بعد الانتهاء من هذه الخطوات، يمكنك حذف المشروع وإزالة جميع الموارد المرتبطة به.
شغِّل Cloud Shell. يستفيد هذا الدرس التطبيقي حول الترميز من $variables للمساعدة في تنفيذ عملية ضبط gcloud في Cloud Shell.
gcloud auth list
gcloud config list project
gcloud config set project [HUB-PROJECT-ID]
projectname=[HUB-PROJECT-ID]
echo $projectname
gcloud config set compute/zone us-central1-a
gcloud config set compute/region us-central1
أدوار "إدارة الهوية وإمكانية الوصول"
تتطلّب "مركز إدارة العملاء" أدوار IAM للوصول إلى واجهات برمجة تطبيقات معيّنة. احرص على ضبط المستخدم باستخدام أدوار NCC IAM حسب الحاجة.
الدور/الوصف | الأذونات |
| networkconnectivity.hubs.networkconnectivity.spokes.networkconnectivity.gatewaynetworkconnectivity.locations. |
| networkconnectivity.gatewayAdvertisedRoutes.networkconnectivity.groups. networkconnectivity.hubRouteTables.networkconnectivity.hubRoutes.networkconnectivity.hubs. networkconnectivity.locations. networkconnectivity.operations.* networkconnectivity.spokes.*resourcemanager.projects.getresourcemanager.projects.list |
| networkconnectivity.gatewayAdvertisedRoutes.getnetworkconnectivity.gatewayAdvertisedRoutes.listnetworkconnectivity.groups.getnetworkconnectivity.groups.getIamPolicynetworkconnectivity.groups.listnetworkconnectivity.hubRouteTables.getnetworkconnectivity.hubRouteTables.getIamPolicynetworkconnectivity.hubRouteTables.listnetworkconnectivity.hubRoutes.getnetworkconnectivity.hubRoutes.getIamPolicynetworkconnectivity.hubRoutes.listnetworkconnectivity.hubs.getnetworkconnectivity.hubs.getIamPolicynetworkconnectivity.hubs.listnetworkconnectivity.hubs.listSpokesnetworkconnectivity.hubs.queryStatus networkconnectivity.locations.*networkconnectivity.spokes.getnetworkconnectivity.spokes.getIamPolicynetworkconnectivity.spokes.listresourcemanager.projects.getresourcemanager.projects.list |
2. إعداد بيئة الشبكة
في هذا القسم، سننفّذ شبكات VPC وقواعد جدار الحماية في مشروع واحد. يوضّح المخطط المنطقي بيئة الشبكة التي سيتم إعدادها في هذه الخطوة.
إنشاء شبكات VPC والشبكات الفرعية
تحتوي شبكة السحابة الخاصة الافتراضية (VPC) على شبكات فرعية ستثبّت فيها آلة GCE الافتراضية للتحقّق من صحة مسار البيانات.
gcloud compute networks create vpc1-ncc --subnet-mode custom
gcloud compute networks create vpc2-ncc --subnet-mode custom
gcloud compute networks create vpc3-ncc --subnet-mode custom
gcloud compute networks subnets create vpc1-ncc-subnet1 \
--network vpc1-ncc \
--range 10.1.1.0/24 \
--region us-central1
gcloud compute networks subnets create vpc2-ncc-subnet1 \
--network vpc2-ncc \
--range 10.1.2.0/24 \
--region us-central1
gcloud compute networks subnets create vpc3-ncc-subnet1 \
--network vpc3-ncc \
--range 10.1.3.0/24 \
--region us-central1
ضبط قواعد جدار الحماية في شبكة VPC
ضبط قواعد جدار الحماية على كل شبكة VPC للسماح بما يلي:
- بروتوكول النقل الآمن (SSH)
- عمليات الشراء داخل التطبيق (IAP)
- النطاق 10.0.0.0/8
gcloud compute firewall-rules create ncc1-vpc-internal \
--network vpc1-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc2-vpc-internal \
--network vpc2-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc3-vpc-internal \
--network vpc3-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc1-vpc-iap \
--network vpc1-ncc \
--allow all \
--source-ranges 35.235.240.0/20
gcloud compute firewall-rules create ncc2-vpc-iap \
--network vpc2-ncc \
--allow=tcp:22 \
--source-ranges 35.235.240.0/20
gcloud compute firewall-rules create ncc3-vpc-iap \
--network vpc3-ncc \
--allow=tcp:22 \
--source-ranges 35.235.240.0/20
ضبط جهاز GCE الافتراضي في كل شبكة VPC
ستحتاج إلى اتصال مؤقت بالإنترنت لتثبيت الحِزم على "vm1-vpc1-ncc".
أنشئ أربعة أجهزة افتراضية، وسيتم تخصيص كل جهاز افتراضي لإحدى الشبكات الخاصة الافتراضية التي تم إنشاؤها سابقًا.
gcloud compute instances create vm1-vpc1-ncc \
--subnet vpc1-ncc-subnet1 \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc1-vm1</h3>" | tee /var/www/html/index.html'
gcloud compute instances create vm1-vpc2-ncc \
--zone us-central1-a \
--subnet vpc2-ncc-subnet1 \
--no-address \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc2-vm2</h3>" | tee /var/www/html/index.html'
gcloud compute instances create vm1-vpc3-ncc \
--zone us-central1-a \
--subnet vpc3-ncc-subnet1 \
--no-address \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc3-vm3</h3>" | tee /var/www/html/index.html'
3- NCC Hybrid Inspection Topology
في هذا القسم، سننفّذ Network Connectivity Center Hub لطوبولوجيا الفحص المختلط. تنفّذ طوبولوجيا الفحص المختلطة في NCC سياسات NCC الفرعية المضبوطة مسبقًا لدعم NCC Gateway على وجه التحديد. يوضّح المخطط المنطقي بيئة الشبكة التي سيتم إعدادها في هذه الخطوة.
NCC Hub for Hybrid Spoke Inspection
عند إنشاء مركز NCC، استخدِم العلامة "-preset-topology=hybrid-inspection" لإنشاء أربع مجموعات من أنواع NCC الفرعية. تشمل الأنواع الأربعة من مراكز NCC الفرعية ما يلي:
المجموعات:البوابات | تعمل نقاط الاتصال في البوابة كنقاط دخول وخروج إقليمية لتدفّقات البيانات التي تدخل Google Cloud من الأنظمة المحلية أو السُحب الإلكترونية الأخرى. تسهّل هذه الخدمات فحص الزيارات من خلال خدمات SSE التابعة لجهات خارجية، مثل Palo Alto Networks أو Symantec. ملاحظة: هذه هي المجموعة الوحيدة التي يمكن أن تحتوي على أجهزة NCC Gateway في هذه البنية |
المجموعات:الخدمات | تعمل هذه المجموعة كمركز للموارد المشتركة، وتتصل المجموعات الفرعية في هذه المجموعة بجميع المجموعات الفرعية الأخرى (الإنتاج وغير الإنتاج والبوابات). شبكات VPC للخدمات المشتركة (مثل التسجيل أو المصادقة أو المراقبة أو الأدوات الشائعة) |
Groups:prod | حالة الاستخدام: تخصيص شبكات VPC لتطبيقات الإنتاج التي تحتوي على أحجام عمل بالغة الأهمية (أجهزة افتراضية، ومجموعات GKE). |
Groups:non-prod | الموارد المخصّصة: شبكات VPC للتطبيقات غير المخصّصة للإنتاج والمستخدَمة في بيئات التطوير أو الاختبار أو التدريج |
ضبط مركز NCC لاستخدام طوبولوجيا الإعداد المُسبَق للفحص المختلط
gcloud beta network-connectivity hubs create cl-hi-hub \ --preset-topology=hybrid-inspection
مثال على الناتج
Create request issued for: [cl-hi-hub]
Waiting for operation [projects/"${projectname}"/locations/global/operations/operation-1759424304217-6402fe4a97da0-5de6
e5a1-2ea2de02] to complete...done.
Created hub [cl-hi-hub].
استخدِم أمر gcloud للتحقّق من جدول التوجيه المُعدّ مسبقًا في مركز NCC:
gcloud network-connectivity hubs describe cl-hi-hub
مثال على الناتج
createTime: '2026-02-18T16:14:45.828597880Z'
exportPsc: false
name: projects/"${projectname}"/locations/global/hubs/cl-hi-hub
policyMode: PRESET
routeTables:
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/gateways
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/non-prod
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/prod
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/services
spokeSummary:
state: ACTIVE
uniqueId: c0fbb826-173b-42dd-a5d2-00c2aa66fed8
updateTime: '2026-04-21T19:13:50.269721594Z'
يمكن إضافة أجهزة NCC إلى مجموعة لتطبيق سياسات تدفّق الزيارات. لا يمكن أن تكون قنوات NCC جزءًا من أكثر من مجموعة واحدة. في هذا الإصدار، يقدّم تصميم مسبق الإعداد محدّد باسم HYBRID-INSPECTION يتضمّن 4 مجموعات: البوابات والإنتاج وغير الإنتاج والخدمات.
تكون جميع موارد NCC Gateway (بما في ذلك اتصالاتها المختلطة) جزءًا من مجموعة البوابات. ستتمكّن الشبكات الفرعية في مجموعة البوابات من التواصل مع بعضها البعض، كما أنّ عدد الزيارات بين البوابات ومجموعات الشبكات الفرعية الأخرى مؤهَّل للفحص (حسب إعدادات سياسة الخدمة).
قواعد اتصال مجموعة NCC Spoke
مجموعة المصادر | يمكن الوصول إليه (مسموح به) | لا يمكن الوصول إلى المحتوى (محظور) |
مجموعة الخدمات | البوابات والإنتاج وغير الإنتاج والخدمات | بدون |
مجموعة المنتجات | البوابات والخدمات والمنتجات | non-prod spokes |
مجموعة غير إنتاجية | البوابات والخدمات والمناطق غير الإنتاجية | prod spokes |
Gateways Group | البوابات والخدمات والمنتجات وغير المنتجات | بدون |
استخدِم أمر gcloud لإدراج المجموعات المعدّة مسبقًا في "مركز NCC".
gcloud network-connectivity hubs groups list --hub cl-hi-hub --project "${projectname}"
مثال على الناتج
NAME HUB DESCRIPTION
gateways cl-hi-hub
non-prod cl-hi-hub
prod cl-hi-hub
services cl-hi-hub
في وحدة تحكّم الويب، انتقِل إلى "اتصال الشبكة" > Network Connectivity Center > اختَر "cl-hi-hub" لعرض إعدادات مركز NCC.
Workload VPC2 كشبكة فرعية في مجموعة NCC:prod
استخدِم أمر gcloud لضبط VPC3 الخاص بعبء العمل كشبكة فرعية (عبء عمل) وتعيين الشبكة الفرعية إلى group:prod
gcloud network-connectivity spokes linked-vpc-network create vpc2-sp \
--hub=cl-hi-hub \
--description=codelab-vpc2-ncc-spoke \
--vpc-network=vpc2-ncc \
--global \
--group=prod
مثال على الناتج
Create request issued for: [vpc2-sp]
Waiting for operation [projects/"${projectname}"/locations/global/operations/operation-1776966793852-650245286757a-766d806c-1bc4fabe] to complete...done.
Created spoke [vpc2-sp].
createTime: '2026-04-23T17:53:14.083783233Z'
description: codelab-vpc2-ncc-spoke
etag: '2'
group: projects/"${projectname}"/locations/global/hubs/cl-hi-hub/groups/prod
hub: projects/"${projectname}"/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/"${projectname}"/global/networks/vpc-ncc2
name: projects/"${projectname}"/locations/global/spokes/vpc2-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: 92972784-e4ed-47e5-be22-08a516a39b0c
updateTime: '2026-04-23T17:53:55.029481722Z'
استخدِم أمر gcloud لعرض البادئات في جدول التوجيه "prod" في مركز NCC.
gcloud network-connectivity hubs route-tables routes list --hub=cl-hi-hub --route_table=prod
مثال على الناتج
IP_CIDR_RANGE: 10.1.2.0/24
PRIORITY:
LOCATION: us-central1
STATE: ACTIVE
TYPE: VPC_PRIMARY_SUBNET
SITE_TO_SITE: N/A
NEXT_HOP: vpc2-ncc
HUB: cl-hi-hub
ROUTE_TABLE: prod
ضبط شبكة VPC3 الخاصة بعبء العمل كشبكة فرعية في مجموعة NCC:غير إنتاجية
استخدِم أمر gcloud لضبط VPC3 الخاص بعبء العمل كشبكة فرعية (عبء عمل) وتعيين الشبكة الفرعية إلى group:non-prod
gcloud network-connectivity spokes linked-vpc-network create vpc3-sp \
--hub=cl-hi-hub \
--description=codelab-vpc3-ncc-spoke \
--vpc-network=vpc3-ncc \
--global \
--group=non-prod
مثال على الناتج
Create request issued for: [vpc3-sp]
Waiting for operation [projects/cloudnet-demo/locations/global/operations/operation-1778757016454-651c5241b83fe-18b62f78-02d70f9a] to complete...done.
Created spoke [vpc3-sp].
createTime: '2026-05-14T11:10:16.758117151Z'
description: codelab-vpc3-ncc-spoke
etag: '2'
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/non-prod
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/cloudnet-demo/global/networks/vpc3-ncc
name: projects/cloudnet-demo/locations/global/spokes/vpc3-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: efe8cfed-d77f-4636-aaae-898e73897b49
updateTime: '2026-05-14T11:10:52.880508489Z'
استخدِم أمر gcloud لعرض البادئات في جدول التوجيه "prod" في مركز NCC.
gcloud network-connectivity hubs route-tables routes list --hub=cl-hi-hub --route_table=prod
مثال على الناتج
IP_CIDR_RANGE: 10.1.2.0/24
PRIORITY:
LOCATION: us-central1
STATE: ACTIVE
TYPE: VPC_PRIMARY_SUBNET
SITE_TO_SITE: N/A
NEXT_HOP: vpc2-ncc
HUB: cl-hi-hub
ROUTE_TABLE: prod
ضبط سحابة VPC1 الخاصة بعبء العمل كشبكة فرعية في مجموعة NCC:الخدمات
استخدِم أمر gcloud لضبط VPC1 الخاص بعبء العمل كشبكة فرعية (عبء عمل) وتعيين الشبكة الفرعية إلى group:services
gcloud network-connectivity spokes linked-vpc-network create vpc1-sp \
--hub=cl-hi-hub \
--description=codelab-vpc1-ncc-spoke \
--vpc-network=vpc1-ncc \
--global \
--group=services
مثال على الناتج
Create request issued for: [vpc1-sp]
Waiting for operation [projects/cloudnet-demo/locations/global/operations/operation-1778758397065-651c57665f795-1af6d94f-942c9ebd] to complete...done.
Created spoke [vpc1-sp].
createTime: '2026-05-14T11:33:17.359361160Z'
description: codelab-vpc1-ncc-spoke
etag: '2'
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/services
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/cloudnet-demo/global/networks/vpc1-ncc
name: projects/cloudnet-demo/locations/global/spokes/vpc1-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: 82b29a2b-50cb-4557-8b12-3345f5a36ad6
updateTime: '2026-05-14T11:33:55.914406863Z'
ضبط شبكة NCC Gateway الفرعية لبوابات SSE في us-central1
استخدِم أمر gcloud لإنشاء شبكة فرعية لبوابة NCC في us-central1:
gcloud beta network-connectivity spokes gateways create cl-ncc-gw-usc-sp \
--region=us-central1 \
--hub=cl-hi-hub \
--capacity=1g \
--ip-range-reservations=10.100.0.0/23 \
--group=gateways
مثال على الناتج
Create request issued for: [cl-ncc-gw-usc-sp]
Waiting for operation [projects/cloudnet-demo/locations/us-central1/operations/operation-1778758907555-651c594d36fc5-783a8d5d-8d3e341b] to complete...done.
Created spoke [cl-ncc-gw-usc-sp].
createTime: '2026-05-14T11:41:48.066042872Z'
etag: '2'
gateway:
capacity: CAPACITY_1_GBPS
ipRangeReservations:
- ipRange: 10.100.0.0/23
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/gateways
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
name: projects/cloudnet-demo/locations/us-central1/spokes/cl-ncc-gw-usc-sp
spokeType: GATEWAY
state: ACTIVE
uniqueId: ffe8e2b7-c864-4279-9d21-ca72d87083fe
updateTime: '2026-05-14T11:44:08.787947523Z'
استخدِم أمر gcloud لعرض أجهزة NCC:
gcloud network-connectivity spokes list
مثال على الناتج
NAME: vpc2-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: prod
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc2-ncc-spoke
NAME: vpc3-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: non-prod
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc3-ncc-spoke
NAME: vpc1-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: services
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc1-ncc-spoke
NAME: cl-ncc-gw-usc-sp
LOCATION: us-central1
HUB: cl-hi-hub
GROUP: gateways
TYPE:
RESOURCE COUNT: 1
DATA TRANSFER: Off
DESCRIPTION:
افحص أجهزة NCC الفرعية التي تم ضبطها على جهاز NCC الرئيسي "cl-hi-hub":
الإعلان عن بادئات عناوين IP من بوابة NCC إلى مركز NCC
اضبط بوابة NCC للإعلان عن بادئات محدّدة إلى جدول مسار مركز NCC.
gcloud beta network-connectivity spokes gateways advertised-routes create example-dot-com \
--ip-range=1.1.1.1/32 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create google-dot-com \
--ip-range=173.194.204.101/32 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create branch \
--ip-range=192.168.1.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create prod \
--ip-range=192.168.11.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create non-prod \
--ip-range=192.168.12.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
استخدِم أمر gcloud لعرض قائمة بالمسارات المُعلن عنها والناشئة من البوابة الفرعية
gcloud beta network-connectivity spokes gateways advertised-routes list --region=us-central1
مثال على الناتج
فحص المسارات المُعلن عنها في NCC Gateway
في وحدة تحكّم الويب، انتقِل إلى اتصال الشبكة > مركز اتصال الشبكة > اختَر علامة التبويب المحاور: انقر على cl-ncc-gw-usc-sp.
4. اتصالات Cloud Interconnect المختلطة
في وقت كتابة هذه المقالة، لا تتوافق NCC Gateway إلا مع Google Cloud Interconnects. تستخدم "بوابة NCC" شبكة VPC عالمية وخدمات Cloud Router في مشروع مستأجر Google لإنهاء جلسات ربط شبكة VLAN وتبادل معلومات بين الشبكات عبر "بروتوكول البوابة الحدودية" (BGP).
على الرغم من أنّ المخطط التوضيحي يعرض زوجًا من اتصالات Cloud Interconnect ومرفقات شبكة VLAN المرتبطة منطقيًا ببوابة NCC، فإنّ Cloud Router في شبكة VPC العالمية المستأجرة التي تديرها Google هي المكوّنات الأساسية التي تنهي مرفقات شبكة VLAN. في هذا القسم، ستضبط إعدادات Cloud Router المرتبط ببوابة NCC لإدارة جلسات BGP من أجل الاتصال بالشبكة المحلية.
Cloud Router خاص ببوابة NCC في us-central1
استخدِم أمر gcloud لإعداد Cloud Router خصيصًا لبوابة NCC.
gcloud beta compute routers create ncc-gw-usc1-cr \
--ncc-gateway=https://networkconnectivity.googleapis.com/v1/projects/"${projectid}"/locations/us-central1/spokes/cl-ncc-gw-usc-sp \
--asn=64666 \
--advertisement-mode=CUSTOM \
--set-advertisement-ranges=10.100.2.0/23 \
--region=us-central1
مثال على الناتج
Creating router [ncc-gw-usc1-cr]...done.
NAME REGION NCC_GATEWAY
ncc-gw-usc1-cr us-central1 cl-ncc-gw-usc-sp
- NCC_GW_NAME: معرّف الموارد المنتظم (URI) الكامل للشبكة الفرعية لبوابة NCC يتّبع تنسيق معرّف URI النمط التالي: https://networkconnectivity.googleapis.com/v1/projects/"${projectid}"/locations/REGION/spokes/GATEWAY_SPOKE_NAME
- ADVERTISED_IP_RANGES: نطاقات عناوين IP التي سيتم الإعلان عنها على الشبكات المحلية لجذب الزيارات إلى Google Cloud.
استخدِم أمر gcloud هذا لإدراج جهاز التوجيه الذي تم إنشاؤه للتوّ.
gcloud compute routers list --filter="region:(us-central1)"
يُرجى العِلم أنّ "جهاز توجيه السحابة الإلكترونية" غير مرتبط بشبكة VPC.
NAME REGION NETWORK
ncc-gw-usc1-cr us-central1 N/A
أنشئ مرفقات شبكة VLAN من Cloud Interconnect مخصّص حالي سيتم استخدامه كواجهات على Cloud Router. يستخدم مثال الإعداد أدناه عنوان IP محليًا مرتبطًا كشبكة فرعية مرشّحة. سيتم استخدام عنوان مضيف محدّد من هذا النطاق لإعداد اتصال BGP.
gcloud compute interconnects attachments dedicated create vl2029-ead1 \
--region=us-central1 \
--interconnect=projects/some-interconnect-project/global/interconnects/interconnect-lab-sea26-zone1 \
--router=ncc-gw-usc1-cr \
--vlan=2024 \
--bandwidth=500m \
--mtu=1440 \
--candidate-subnets=169.254.222.216/29
Created [https://www.googleapis.com/compute/v1/projects/"${projectname}"/regions/us-central1/interconnectAttachments/vl2029-ead1].
gcloud compute interconnects attachments dedicated create vl3029-ead2 \
--region=us-central1 \
--interconnect=projects/some-interconnect-project/global/interconnects/interconnect-lab-sea26-zone2 \
--router=ncc-gw-usc1-cr \
--vlan=3026 \
--bandwidth=500m \
--mtu=1440 \
--candidate-subnets=169.254.220.184/29
Created [https://www.googleapis.com/compute/v1/projects/"${projectname}"/regions/us-central1/interconnectAttachments/vl3029-ead2].
إعداد "موجّه السحابة الإلكترونية" لبوابة NCC في us-central1 باستخدام واجهة
استخدِم الأمر gcloud لربط ربط شبكة VLAN الذي تم إنشاؤه في us-central بجهاز توجيه السحابة الإلكترونية لبوابة NCC.
gcloud compute routers add-interface ncc-gw-usc1-cr \
--region=us-central1 \
--interface-name=if-vl2029-ead1 \
--interconnect-attachment=vl2029-ead1
إخراج:
Updated [https://www.googleapis.com/compute/v1/projects/cloudnet-demo/regions/us-central1/routers/ncc-gw-usc1-cr].
اضبط نظير BGP لمرفق شبكة VLAN الذي تم إنشاؤه أعلاه.
استخدِم أمر gcloud أدناه لتفعيل تبادل بيانات BGP على واجهة Cloud Router.
gcloud compute routers add-bgp-peer ncc-gw-usc1-cr \
--region=us-central1 \
--peer-name=bgp-vl2029-ead1 \
--interface=if-vl2029-ead1 \
--peer-asn=65112 \
--advertisement-mode=DEFAULT
إخراج:
Creating peer [bgp-vl2029-ead1] in router [ncc-gw-usc1-cr]...done.
ضبط جهاز توجيه السحابة الإلكترونية لبوابة NCC في us-central1 باستخدام واجهة ثانية لمرفق شبكة VLAN
استخدِم أمر gcloud لإضافة ملحق شبكة VLAN الثاني كواجهة إلى "جهاز توجيه السحابة الإلكترونية" في NCC Gateway
gcloud compute routers add-interface ncc-gw-usc1-cr \
--region=us-central1 \
--interface-name=if-vl3029-ead2 \
--interconnect-attachment=vl3029-ead2
إخراج:
Updated [https://www.googleapis.com/compute/v1/projects/cloudnet-demo/regions/us-central1/routers/ncc-gw-usc1-cr]
استخدِم أمر gcloud أدناه لتفعيل تبادل بيانات BGP على واجهة Cloud Router.
gcloud compute routers add-bgp-peer ncc-gw-usc1-cr \
--region=us-central1 \
--peer-name=bgp-vl3029-ead2 \
--interface=if-vl3029-ead2 \
--peer-asn=65112 \
--advertisement-mode=DEFAULT
التحقّق من حالة ربط BGP مع جهاز توجيه BGP المحلي
استخدِم الأمر gcloud للتحقّق من حالة نظير BGP مع جهاز التوجيه المحلي، وللاطّلاع على المسارات التي يرسلها جهاز توجيه السحابة الإلكترونية لبوابة NCC إلى الشبكة المحلية.
gcloud compute routers get-status ncc-gw-usc1-cr \
--region=us-central1
**
--format="yaml(result.bgpPeerStatus)"
إخراج:
تأكَّد من أنّ حالة BGP هي "تم الإنشاء".
result:
bgpPeerStatus:
- advertisedRoutes:
- destRange: 10.100.2.0/23
kind: compute#route
nextHopIp: 169.254.111.217
nextHopOrigin: INCOMPLETE
priority: 100
routeType: BGP
enableIpv4: true
enableIpv6: false
ipAddress: 169.254.111.217
md5AuthEnabled: false
name: bgp-vl2029-ead1
numLearnedRoutes: 2
peerIpAddress: 169.254.111.218
state: Established
status: UP
uptime: 6 minutes, 27 seconds
uptimeSeconds: '387'
- advertisedRoutes:
- destRange: 10.100.2.0/23
kind: compute#route
nextHopIp: 169.254.112.217
nextHopOrigin: INCOMPLETE
priority: 100
routeType: BGP
enableIpv4: true
enableIpv6: false
ipAddress: 169.254.112.217
md5AuthEnabled: false
name: bgp-vl3029-ead2
numLearnedRoutes: 1
peerIpAddress: 169.254.112.218
state: Established
status: UP
uptime: 1 minutes, 35 seconds
uptimeSeconds: '95'
استخدِم أمر gcloud لمعرفة المسارات التي يتلقّاها جهاز توجيه السحابة الإلكترونية لبوابة NCC من الشبكة المحلية:
gcloud compute routers get-status ncc-gw-usc1-cr \
--region=us-central1 \
--format="yaml(result.bestRoutes)"
إخراج:
result:
bestRoutes:
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T10:02:44.265-07:00'
destRange: 172.16.0.0/16
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.111.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T09:54:04.340-07:00'
destRange: 3.3.3.0/24
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.111.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T09:58:56.189-07:00'
destRange: 4.4.4.0/24
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.112.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
الإعلان عن البادئات المخصّصة في GCP إلى On Prem**، لأنّه يتم الإعلان عن مسارات الشبكة الفرعية تلقائيًا. يمكنك اختيار الإعلان عن مسار "ملخّص" للبادئات المخصّصة.**
cloud compute routers update ncc-gw-usc1-cr \
--project=cloudnet-demo \
--region=us-central1 \
--advertisement-mode custom \
--set-advertisement-groups=all_subnets \
--set-advertisement-ranges="10.1.0.0/16"
إخراج:
Updating router [ncc-gw-usc1-cr]...done.
5- دمج خدمة SSE التابعة لجهة خارجية مع بوابة NCC
Secure Access Connect هي ميزة تتيح لك ربط منتجات Security Service Edge (SSE) التابعة لجهات خارجية ببوابة NCC لتأمين الزيارات الواردة والصادرة. تتمثل وظيفتها الأساسية في إنشاء رابط بين GCP ومقدّم خدمة تشفير من جهة خارجية.
في هذا القسم، عليك تسجيل الدخول إلى Strata Cloud Manager لتفعيل خدمة وكيل SSE وضبطها في NCC Gateway.
تتألف الخدمة من مرجعَين أساسيَين:
- نطاق Secure Access Connect: هو مورد عالمي يربط مشروعك على السحابة الإلكترونية على Google Cloud بخدمة SSE. تنشئ هذه السياسة مساحة مشتركة لسياسات الأمان لمجموعة من شبكات VPC أو المستخدمين، ما يتيح لمقدّم خدمة SSE تحديد البوابات التي يجب أن تخضع لمجموعة السياسات نفسها.
- ملحق Secure Access Connect: هو مورد منطقي إقليمي يتيح فعليًا لبوابة NCC معالجة الزيارات باستخدام خدمة SSE. يحتوي على البيانات الوصفية اللازمة لتعزيز الثقة والاتصال بحزمة SSE الخاصة بالشريك
إنشاء نطاق Secure Access Connect
gcloud beta network-security secure-access-connect realms create codelab-sac-realm \
--security-service=prisma-access
تحديد مفتاح الإقران
لربط نطاق Secure Access Connect بـ Prisma Access، عليك استخدام مفتاح الإقران. سيتم استخدام هذه السلسلة الأبجدية الرقمية لإعداد بوابة SSE وتوفيرها من خلال بوابة الويب Strata Cloud Manager.
gcloud beta network-security secure-access-connect realms describe codelab-sac-realm
createTime: '2026-04-21T13:48:53.760262401Z'
name: projects/"${projectname}"/locations/global/sacRealms/codelab-cden
pairingKey:
expireTime: '2026-04-28T13:48:51.107221733Z'
key: 2a52a7e2-7c95-4dc7-9155-c3234976fad4
securityService: PALO_ALTO_PRISMA_ACCESS
state: PENDING_PARTNER_ATTACHMENT
updateTime: '2026-04-21T13:48:55.874553834Z'
إنشاء Partner Realm باستخدام Managed Cloud WAN في Prisma Access
- سجِّل الدخول إلى Strata Cloud Manager، وتأكَّد من أنّك تستخدم مستأجر بوابة SSE المخصّص لك.
- لربط نطاق SAC بمستأجر الشريك، انتقِل إلى
إعدادات النظام -> عمليات الدمج -> شبكات WAN السحابية المُدارة
انقر على ربط.
- أدخِل مفتاح الإقران الخاص بمجال SAC في مربّع الحوار "ربط حساب بوابة Google NCC". انقر على "تأكيد" لبدء إنشاء العالم.
يستغرق تعديل حالة "بوابة NCC" إلى "متصل" بضع دقائق.
في GCP Cloud Shell، استخدِم أمر gcloud للعثور على مفتاح الإقران المرتبط بنطاق SAC.
gcloud beta network-security secure-access-connect realms describe codelab-sac-realm
يمكنك أيضًا عرض مفتاح الإقران في وحدة تحكّم Google Cloud
أضِف مجموعة خوادم NCC Gateway SSE كاتصال Cloud WAN مُدار من خلال الانتقال إلى
الإعدادات > NGFW وPrisma Access > انقر على "نطاق الإعدادات" واختر "الشبكة البعيدة" ضمن قسم "Prisma Access".
في صفحة "نظرة عامة"، انقر على الإعداد واختَر اتصالات Managed Cloud WAN.
انقر على "إضافة موقع WAN مُدار على السحابة الإلكترونية".
تفعيل مثيل SSE في بوابة NCC
انتقِل إلى وحدة تحكّم Google Cloud Platform، واستخدِم أمر gcloud لإنشاء مرفق Secure Access Connect.
gcloud alpha network-security secure-access-connect attachments create codelab-sac-attachment-usc1 \
--location=us-central1 \
--realm=codelab-sac-realm \
--gateway=cl-ncc-gw-usc-sp
إنشاء "بوابة الشريك"
أدخِل مَعلمات اتصال شبكة WAN السحابية المُدارة.
- اسم الموقع الإلكتروني: أدخِل اسمًا فريدًا لعملية الربط.
- **نوع الخدمة:**اختَر Google NCC Gateway كنوع الخدمة.
- اسم عملية الربط: اختَر موقع خدمة GCP الذي أنشأته أثناء تفعيل وإنشاء مرفق SAC في N CC Gateway.
- موقع الحوسبة في Prisma Access: اختَر موقع الحوسبة الذي تريد نشر عملية تكامل NCC Gateway مع Prisma Access فيه.
- معدل نقل البيانات (ميغابت في الثانية): اختَر معدل نقل البيانات الذي تريد تخصيصه بالميغابت في الثانية. الحد الأقصى الذي يمكنك تخصيصه هو 10000 ميغابت في الثانية (10 غيغابت في الثانية
الحد الأقصى الذي يمكنك تخصيصه هو 10000 ميغابت في الثانية (10 غيغابت في الثانية).
عند الانتهاء، انقر على حفظ.
مزامنة إعدادات مثيل SSE الخاص ببوابة NCC
اختَر "Push Config" لإنشاء مثيل SSE الخاص بالشريك على NCC Gateway spoke.
يمكنك تتبُّع مستوى التقدّم من خلال النقر على إعدادات الإشعارات الفورية واختيار المهام. انتظِر إلى أن تكتمل جميع "النتائج" لوظيفتك المحدّدة.
عند الانتهاء، انقر على تم.
تحقَّق من حالة بوابة SSE الخاصة بالشريك من خلال الانتقال إلى الإعداد > NGFW وPrisma Access > نطاق الإعداد > Prisma Access > الشبكات البعيدة >الإعداد > عمليات الربط المُدارة في شبكة WAN السحابية.
توفّر خدمة Prisma Access تلقائيًا إعدادات بروتوكول BGP لخدمة Managed Cloud WAN Connection.
6. التحقّق من مسار البيانات من خلال NCC Gateway
التبديل إلى وحدة تحكّم Cloud Shell في Google Cloud Platform
استخدِم أمر gcloud لعرض المسارات المُعلن عنها والناشئة من البوابة الفرعية:
gcloud beta network-connectivity spokes gateways advertised-routes list --region=us-central1
استخدِم بروتوكول SSH للوصول إلى "vm1-vpc1-ncc**"** وابدأ في تسجيل حِزم TCP لتتبُّع حِزم ICMP من **"vm2-vpc2-ncc"**. للتذكير، تقيم هذه الآلة الافتراضية على VPC2.
vm1-vpc1-ncc
sudo tcpdump -i any icmp -v -e -n
أنشئ جلسة SSH إلى "vm1-vpc2-ncc**"** و "أرسِل طلبات اختبار الاتصال" إلى عنوان IP الخاص بـ "vm1-vpc1-ncc".
vm1-vpc2-ncc
ping 10.1.1.2
إخراج:
من المفترض أن يظهر لك التتبُّع أدناه على vm1-vpc1-ncc.
تشغيل أمر curl على الجهاز الافتراضي 1 (VM-1) إلى خادم HTTP محلي لاختبار إمكانية الوصول إلى الخادم المحلي
vm1-vpc1-ncc
curl 172.16.101.11 -vv
إخراج:
أنشئ جلسة SSH إلى "vm1-vpc2-ncc**"** و "أرسِل طلب اختبار اتصال" إلى عنوان IP "1.1.1.1".
vm1-vpc2-ncc
ping 1.1.1.1
إخراج:
لا تعمل طلبات اختبار الاتصال لأنّه يجب السماح بها في Prisma(Strata Cloud Manager). لنفعّل هذا الإعداد.
انتقِل إلى Strata Cloud Manager —-> Configuration —-> NGFW and Prisma Access، وستظهر لك المعلومات التالية:::
في أعلى يمين الصفحة، اضغط على القائمة المنسدلة "عام" (Global)، واختَر "الشبكات البعيدة" (Remote Networks)، ثم انقر على علامة التبويب "خدمات الأمان" (Security Services) واختَر "سياسة الأمان" (Security Policy)، كما هو موضّح أدناه:::
انقر على إضافة قاعدة في أعلى يسار الصفحة، وأنشئ قاعدة للسماح ببروتوكول رسائل التحكّم في الإنترنت (ICMP) للسماح بزيارات بروتوكول رسائل التحكّم في الإنترنت (ICMP) بين vm1-vpc2-ncc و1.1.1.1، وبعد الانتهاء، انقر على إرسال الإعداد في أعلى يسار الصفحة.
احرص على الاطّلاع على "مهام" للتأكّد من أنّه تم إرسال الإعدادات بنجاح. انقر على Push Config —-> Jobs
بعد اكتمال المهمة بنجاح، أعِد اختبار ping من vm1-vpc2-ncc.
تم الإجراء بنجاح. لقد أكملت هذا الدرس التطبيقي حول الترميز بنجاح.
7. تنظيف المختبر
حذف مرفقات شبكة VLAN
gcloud compute interconnects attachments delete vl2024-ead1 \
--region=us-central1 \
--quiet
gcloud compute interconnects attachments delete vl3026-ead2 \
--region=us-central1 \
--quiet
حذف نظير BGP وواجهة BGP لجهاز توجيه السحابة الإلكترونية لبوابة NCC
gcloud compute routers remove-bgp-peer ncc-gw-usc1-cr \
--peer-name=bgp-vl2024-ead1 \
--region=us-central1
gcloud compute routers remove-interface ncc-gw-usc1-cr \
--interface-name=if-vl3026-ead2 \
--region=us-central1
حذف ncc-gw-usc1-cr وncc-gw-usc1-cr
gcloud compute routers delete ncc-gw-usc1-cr \
--region=us-central1 \
--quiet
حذف المسارات المُعلن عنها في البوابة
gcloud beta network-connectivity spokes gateways advertised-routes delete ncc-gw-usc1-cr \
--region=us-central1 \
--spoke=cl-ncc-gw-usw-sp \
حذف الشبكات الفرعية لسحابة VPC في NCC
gcloud network-connectivity spokes delete vpc1-sp --global --quiet
gcloud network-connectivity spokes delete vpc2-sp --global --quiet
gcloud network-connectivity spokes delete vpc3-sp --global --quiet
حذف جهاز NCC-Gateway Spoke
gcloud network-connectivity spokes delete cl-ncc-gw-usc-sp --region=us-central1 \
--quiet
حذف نطاق الوصول الآمن
gcloud beta network-security secure-access-connect realms delete codelab-sac-realm --quie
t
حذف "مركز NCC"
gcloud network-connectivity hubs delete ncc-hub --quiet
حذف قواعد جدار الحماية
gcloud compute firewall-rules delete ncc1-vpc-internal --quiet
gcloud compute firewall-rules delete ncc2-vpc-internal --quiet
gcloud compute firewall-rules delete ncc3-vpc-internal --quiet
gcloud compute firewall-rules delete ncc1-vpc-iap --quiet
gcloud compute firewall-rules delete ncc2-vpc-iap --quiet
gcloud compute firewall-rules delete ncc3-vpc-iap --quiet
حذف مثيلات GCE
gcloud compute instances delete vm1-vpc1-ncc --zone=us-central1-a --quiet
gcloud compute instances delete vm2-vpc2-ncc --zone=us-central1-a --quiet
gcloud compute instances delete vm1-vpc3-ncc --zone=us-east1-b --quiet
حذف الشبكات الفرعية لسحابة VPC
gcloud compute networks subnets delete vpc1-ncc-subnet1 --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet2 --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet3 --region us-central1 --quiet
حذف شبكات VPC
gcloud compute networks delete vpc1-ncc vpc2-ncc vpc3-ncc vpc4-ncc, vpc5-ncc --quiet
8. تهانينا!
لقد أكملت الدرس التطبيقي حول Network Connectivity Center.
المواضيع التي تناولتها
- ضبط طوبولوجيا الفحص المختلطة لـ NCC
- NCC Gateway Spoke
- بوابة Palo Alto Network SSE على Google Cloud
- PANW: Strata Cloud Manager
الخطوات التالية