1. Einführung
Übersicht
In diesem Lab erfahren Sie, wie Network Connectivity Center (NCC) das NCC-Gateway verwendet, um eine sichere Verbindung herzustellen. Nutzer implementieren Secure Access Connect, um Drittanbieter-SSE-Produkte (Security Service Edge) zu integrieren und so eine robuste Prüfung und den Schutz von Traffic-Flows zu ermöglichen. Diese Konfiguration vereinfacht die Netzwerkverwaltung, da sie ein zentrales Gateway-basiertes Modell zum Sichern von Traffic bietet, der in Google Cloud-Umgebungen ein- und ausgeht.
Umfang
In diesem Codelab erstellen Sie mit dem NCC-Hub eine logische Hub-and-Spoke-Topologie, die eine vollständig vermaschte VPC-Konnektivität über drei verschiedene VPCs hinweg implementiert.
Lerninhalte
- Hybride Prüftopologie
- NCC-Gateway
- Secure Access Connect
- Palo Alto Network SSE
Voraussetzungen
- Kenntnisse über GCP-VPC-Netzwerke
- Kenntnisse zu Cloud Router und BGP-Routing
- Für dieses Codelab sind 5 VPCs erforderlich. Eines dieser VPCs muss sich in einem separaten Projekt als der NCC-Hub befinden.
- Prüfen Sie Ihr Kontingent:Netzwerke und fordern Sie bei Bedarf zusätzliche Netzwerke an (siehe Screenshot unten):
Ziele
- GCP-Umgebung einrichten
- Network Connectivity Center für Hybrid Inspection konfigurieren
- Palo Alto Networks Stratacloud Manager für SSE bereitstellen
- Datenpfad validieren
- Funktionen für die NCC-Wartung
- Verwendete Ressourcen bereinigen
Hinweis
Google Cloud Console und Cloud Shell
In diesem Lab verwenden wir sowohl die Google Cloud Console als auch Cloud Shell, um mit GCP zu interagieren.
NCC-Hub-Projekt in der Google Cloud Console
Die Cloud Console ist unter https://console.cloud.google.com erreichbar.
Richten Sie die folgenden Elemente in Google Cloud ein, um die Konfiguration des Network Connectivity Centers zu vereinfachen:
Wählen Sie in der Google Cloud Console auf der Seite zur Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.
Hinweis: Wenn Sie die Ressourcen, die Sie in diesem Verfahren erstellen, nicht behalten möchten, erstellen Sie ein Projekt, anstatt ein vorhandenes Projekt auszuwählen. Wenn Sie fertig sind, können Sie das Projekt löschen und dadurch alle mit dem Projekt verknüpften Ressourcen entfernen.
Starten Sie Cloud Shell. In diesem Codelab werden $Variablen verwendet, um die Implementierung der gcloud-Konfiguration in Cloud Shell zu erleichtern.
gcloud auth list
gcloud config list project
gcloud config set project [HUB-PROJECT-ID]
projectname=[HUB-PROJECT-ID]
echo $projectname
gcloud config set compute/zone us-central1-a
gcloud config set compute/region us-central1
IAM-Rollen
Für den Zugriff auf bestimmte APIs sind IAM-Rollen erforderlich. Konfigurieren Sie Ihren Nutzer mit den erforderlichen NCC-IAM-Rollen.
Rolle/Beschreibung | Berechtigungen |
| networkconnectivity.hubs.networkconnectivity.spokes.networkconnectivity.gatewaynetworkconnectivity.locations. |
| networkconnectivity.gatewayAdvertisedRoutes.networkconnectivity.groups. networkconnectivity.hubRouteTables.networkconnectivity.hubRoutes.networkconnectivity.hubs. networkconnectivity.locations. networkconnectivity.operations.* networkconnectivity.spokes.*resourcemanager.projects.getresourcemanager.projects.list |
| networkconnectivity.gatewayAdvertisedRoutes.getnetworkconnectivity.gatewayAdvertisedRoutes.listnetworkconnectivity.groups.getnetworkconnectivity.groups.getIamPolicynetworkconnectivity.groups.listnetworkconnectivity.hubRouteTables.getnetworkconnectivity.hubRouteTables.getIamPolicynetworkconnectivity.hubRouteTables.listnetworkconnectivity.hubRoutes.getnetworkconnectivity.hubRoutes.getIamPolicynetworkconnectivity.hubRoutes.listnetworkconnectivity.hubs.getnetworkconnectivity.hubs.getIamPolicynetworkconnectivity.hubs.listnetworkconnectivity.hubs.listSpokesnetworkconnectivity.hubs.queryStatus networkconnectivity.locations.*networkconnectivity.spokes.getnetworkconnectivity.spokes.getIamPolicynetworkconnectivity.spokes.listresourcemanager.projects.getresourcemanager.projects.list |
2. Netzwerkumgebung einrichten
In diesem Abschnitt stellen wir die VPC-Netzwerke und Firewallregeln in einem einzelnen Projekt bereit. Das logische Diagramm veranschaulicht die Netzwerkumgebung, die in diesem Schritt eingerichtet wird.
VPCs und Subnetze erstellen
Das VPC-Netzwerk enthält Subnetze, in denen Sie die GCE-VM für die Validierung des Datenpfads installieren.
gcloud compute networks create vpc1-ncc --subnet-mode custom
gcloud compute networks create vpc2-ncc --subnet-mode custom
gcloud compute networks create vpc3-ncc --subnet-mode custom
gcloud compute networks subnets create vpc1-ncc-subnet1 \
--network vpc1-ncc \
--range 10.1.1.0/24 \
--region us-central1
gcloud compute networks subnets create vpc2-ncc-subnet1 \
--network vpc2-ncc \
--range 10.1.2.0/24 \
--region us-central1
gcloud compute networks subnets create vpc3-ncc-subnet1 \
--network vpc3-ncc \
--range 10.1.3.0/24 \
--region us-central1
VPC-Firewallregeln konfigurieren
Firewallregeln in jeder VPC konfigurieren, um Folgendes zuzulassen:
- SSH
- Interne IAP
- Bereich 10.0.0.0/8
gcloud compute firewall-rules create ncc1-vpc-internal \
--network vpc1-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc2-vpc-internal \
--network vpc2-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc3-vpc-internal \
--network vpc3-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc1-vpc-iap \
--network vpc1-ncc \
--allow all \
--source-ranges 35.235.240.0/20
gcloud compute firewall-rules create ncc2-vpc-iap \
--network vpc2-ncc \
--allow=tcp:22 \
--source-ranges 35.235.240.0/20
gcloud compute firewall-rules create ncc3-vpc-iap \
--network vpc3-ncc \
--allow=tcp:22 \
--source-ranges 35.235.240.0/20
GCE-VM in jeder VPC konfigurieren
Sie benötigen vorübergehenden Internetzugriff, um Pakete auf „vm1-vpc1-ncc“ zu installieren.
Erstellen Sie vier virtuelle Maschinen. Jede VM wird einer der zuvor erstellten VPCs zugewiesen.
gcloud compute instances create vm1-vpc1-ncc \
--subnet vpc1-ncc-subnet1 \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc1-vm1</h3>" | tee /var/www/html/index.html'
gcloud compute instances create vm1-vpc2-ncc \
--zone us-central1-a \
--subnet vpc2-ncc-subnet1 \
--no-address \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc2-vm2</h3>" | tee /var/www/html/index.html'
gcloud compute instances create vm1-vpc3-ncc \
--zone us-central1-a \
--subnet vpc3-ncc-subnet1 \
--no-address \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc3-vm3</h3>" | tee /var/www/html/index.html'
3. NCC-Hybridprüftopologie
In diesem Abschnitt stellen wir den Network Connectivity Center-Hub für die hybride Prüftopologie bereit. In der NCC-Topologie für hybride Prüfungen werden voreingestellte NCC-Spoke-Richtlinien implementiert, um das NCC-Gateway speziell zu unterstützen. Das logische Diagramm veranschaulicht die Netzwerkumgebung, die in diesem Schritt eingerichtet wird.
NCC-Hub für die Prüfung von Hybrid-Spokes
Verwenden Sie beim Erstellen eines NCC-Hubs das Flag „-preset-topology=hybrid-inspection“, um vier Gruppen von NCC-Spoke-Typen zu erstellen. Es gibt vier Arten von NCC-Spokes:
Groups:gateways | Gateway-Spokes dienen als regionale Ein- und Ausgangspunkte für Traffic, der von lokalen Umgebungen oder anderen Clouds in Google Cloud eingeht. Sie ermöglichen die Traffic-Prüfung durch Drittanbieter-SSE-Dienste wie Palo Alto Networks oder Symantec. Hinweis: Dies ist die einzige Gruppe, die in dieser Topologie NCC-Gateway-Spokes enthalten kann. |
Groups:services | Diese Gruppe fungiert als „Hub“ für freigegebene Ressourcen. Spokes in dieser Gruppe haben eine Verbindung zu allen anderen Spoke-Gruppen (Produktion, Nicht-Produktion und Gateways). VPCs mit freigegebenen Diensten (z.B. für Logging, Authentifizierung, Monitoring oder gemeinsame Tools) |
Gruppen:prod | Anwendungsfall: Zuweisen von Produktions-VPCs für Anwendungen, die geschäftskritische Arbeitslasten (VMs, GKE-Cluster) enthalten. |
Groups:non-prod | Zugewiesene Ressourcen: VPCs für Nicht-Produktionsanwendungen, die für Entwicklungs-, Test- oder Stagingumgebungen verwendet werden. |
NCC-Hub für die Verwendung der voreingestellten hybriden Prüftopologie konfigurieren
gcloud beta network-connectivity hubs create cl-hi-hub \ --preset-topology=hybrid-inspection
Beispielausgabe
Create request issued for: [cl-hi-hub]
Waiting for operation [projects/"${projectname}"/locations/global/operations/operation-1759424304217-6402fe4a97da0-5de6
e5a1-2ea2de02] to complete...done.
Created hub [cl-hi-hub].
Verwenden Sie den gcloud-Befehl, um die voreingestellte Routingtabelle des NCC-Hubs zu überprüfen:
gcloud network-connectivity hubs describe cl-hi-hub
Beispielausgabe
createTime: '2026-02-18T16:14:45.828597880Z'
exportPsc: false
name: projects/"${projectname}"/locations/global/hubs/cl-hi-hub
policyMode: PRESET
routeTables:
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/gateways
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/non-prod
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/prod
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/services
spokeSummary:
state: ACTIVE
uniqueId: c0fbb826-173b-42dd-a5d2-00c2aa66fed8
updateTime: '2026-04-21T19:13:50.269721594Z'
NCC-Spokes können einer Gruppe hinzugefügt werden, um Richtlinien für den Verkehrsfluss anzuwenden. Ein NCC-Spoke kann nur Teil einer Gruppe sein. Für diese Version wird mit der voreingestellten Topologie HYBRID-INSPECTION eine bestimmte Topologie eingeführt, die vier Gruppen umfasst: Gateways, Prod, Non-Prod und Services.
Alle NCC-Gateway-Ressourcen (einschließlich ihrer Hybridverbindungen) sind Teil der Gruppe „Gateways“. Spokes in der Gateways-Gruppe können miteinander kommunizieren. Traffic zwischen Gateways und anderen Spoke-Gruppen kann geprüft werden (abhängig von der Konfiguration der Dienstrichtlinie).
Verbindungsregeln für NCC-Spoke-Gruppen
Quellgruppe | Kann zugreifen (zulässig) | Kein Zugriff (eingeschränkt) |
Dienstleistungsgruppe | Gateways, Produktion, Nicht-Produktion, Dienste | Keine |
Prod Group | Gateways, Dienste, Produktions-Spokes | Non-prod-Spokes |
Non-prod Group | Gateways, Dienste, Nicht-Produktions-Spokes | prod spokes |
Gateways Group | Gateways, Dienste, Produktion, Nicht-Produktion | Keine |
Verwenden Sie den gcloud-Befehl, um die voreingestellten Gruppen auf dem NCC-Hub aufzulisten.
gcloud network-connectivity hubs groups list --hub cl-hi-hub --project "${projectname}"
Beispielausgabe
NAME HUB DESCRIPTION
gateways cl-hi-hub
non-prod cl-hi-hub
prod cl-hi-hub
services cl-hi-hub
Rufen Sie in der Webkonsole „Netzwerkkonnektivität“ > „Network Connectivity Center“ auf und wählen Sie „cl-hi-hub“ aus, um die NCC-Hub-Konfiguration aufzurufen.
Arbeitslast-VPC2 als Spoke in der NCC-Gruppe „prod“
Konfigurieren Sie mit dem gcloud-Befehl die Arbeitslast-VPC3 als Arbeitslast-Spoke und weisen Sie den Spoke der Gruppe „prod“ zu.
gcloud network-connectivity spokes linked-vpc-network create vpc2-sp \
--hub=cl-hi-hub \
--description=codelab-vpc2-ncc-spoke \
--vpc-network=vpc2-ncc \
--global \
--group=prod
Beispielausgabe
Create request issued for: [vpc2-sp]
Waiting for operation [projects/"${projectname}"/locations/global/operations/operation-1776966793852-650245286757a-766d806c-1bc4fabe] to complete...done.
Created spoke [vpc2-sp].
createTime: '2026-04-23T17:53:14.083783233Z'
description: codelab-vpc2-ncc-spoke
etag: '2'
group: projects/"${projectname}"/locations/global/hubs/cl-hi-hub/groups/prod
hub: projects/"${projectname}"/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/"${projectname}"/global/networks/vpc-ncc2
name: projects/"${projectname}"/locations/global/spokes/vpc2-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: 92972784-e4ed-47e5-be22-08a516a39b0c
updateTime: '2026-04-23T17:53:55.029481722Z'
Rufen Sie die Präfixe in der Routentabelle „prod“ des NCC-Hubs mit dem Befehl gcloud auf.
gcloud network-connectivity hubs route-tables routes list --hub=cl-hi-hub --route_table=prod
Beispielausgabe
IP_CIDR_RANGE: 10.1.2.0/24
PRIORITY:
LOCATION: us-central1
STATE: ACTIVE
TYPE: VPC_PRIMARY_SUBNET
SITE_TO_SITE: N/A
NEXT_HOP: vpc2-ncc
HUB: cl-hi-hub
ROUTE_TABLE: prod
Arbeitslast-VPC3 als Spoke in der NCC-Gruppe:non-prod konfigurieren
Konfigurieren Sie mit dem gcloud-Befehl die Arbeitslast-VPC3 als (Arbeitslast-)Spoke und weisen Sie den Spoke der Gruppe „non-prod“ zu.
gcloud network-connectivity spokes linked-vpc-network create vpc3-sp \
--hub=cl-hi-hub \
--description=codelab-vpc3-ncc-spoke \
--vpc-network=vpc3-ncc \
--global \
--group=non-prod
Beispielausgabe
Create request issued for: [vpc3-sp]
Waiting for operation [projects/cloudnet-demo/locations/global/operations/operation-1778757016454-651c5241b83fe-18b62f78-02d70f9a] to complete...done.
Created spoke [vpc3-sp].
createTime: '2026-05-14T11:10:16.758117151Z'
description: codelab-vpc3-ncc-spoke
etag: '2'
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/non-prod
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/cloudnet-demo/global/networks/vpc3-ncc
name: projects/cloudnet-demo/locations/global/spokes/vpc3-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: efe8cfed-d77f-4636-aaae-898e73897b49
updateTime: '2026-05-14T11:10:52.880508489Z'
Rufen Sie die Präfixe in der Routentabelle „prod“ des NCC-Hubs mit dem Befehl gcloud auf.
gcloud network-connectivity hubs route-tables routes list --hub=cl-hi-hub --route_table=prod
Beispielausgabe
IP_CIDR_RANGE: 10.1.2.0/24
PRIORITY:
LOCATION: us-central1
STATE: ACTIVE
TYPE: VPC_PRIMARY_SUBNET
SITE_TO_SITE: N/A
NEXT_HOP: vpc2-ncc
HUB: cl-hi-hub
ROUTE_TABLE: prod
Arbeitslast-VPC1 als Spoke in der NCC-Gruppe „services“ konfigurieren
Konfigurieren Sie mit dem gcloud-Befehl die Arbeitslast-VPC1 als (Arbeitslast-)Spoke und weisen Sie den Spoke der Gruppe „services“ zu.
gcloud network-connectivity spokes linked-vpc-network create vpc1-sp \
--hub=cl-hi-hub \
--description=codelab-vpc1-ncc-spoke \
--vpc-network=vpc1-ncc \
--global \
--group=services
Beispielausgabe
Create request issued for: [vpc1-sp]
Waiting for operation [projects/cloudnet-demo/locations/global/operations/operation-1778758397065-651c57665f795-1af6d94f-942c9ebd] to complete...done.
Created spoke [vpc1-sp].
createTime: '2026-05-14T11:33:17.359361160Z'
description: codelab-vpc1-ncc-spoke
etag: '2'
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/services
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/cloudnet-demo/global/networks/vpc1-ncc
name: projects/cloudnet-demo/locations/global/spokes/vpc1-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: 82b29a2b-50cb-4557-8b12-3345f5a36ad6
updateTime: '2026-05-14T11:33:55.914406863Z'
NCC-Gateway-Spoke für SSE-Gateways in us-central1 konfigurieren
Verwenden Sie den gcloud-Befehl, um einen NCC Gateway-Spoke in „us-central1“ zu erstellen:
gcloud beta network-connectivity spokes gateways create cl-ncc-gw-usc-sp \
--region=us-central1 \
--hub=cl-hi-hub \
--capacity=1g \
--ip-range-reservations=10.100.0.0/23 \
--group=gateways
Beispielausgabe
Create request issued for: [cl-ncc-gw-usc-sp]
Waiting for operation [projects/cloudnet-demo/locations/us-central1/operations/operation-1778758907555-651c594d36fc5-783a8d5d-8d3e341b] to complete...done.
Created spoke [cl-ncc-gw-usc-sp].
createTime: '2026-05-14T11:41:48.066042872Z'
etag: '2'
gateway:
capacity: CAPACITY_1_GBPS
ipRangeReservations:
- ipRange: 10.100.0.0/23
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/gateways
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
name: projects/cloudnet-demo/locations/us-central1/spokes/cl-ncc-gw-usc-sp
spokeType: GATEWAY
state: ACTIVE
uniqueId: ffe8e2b7-c864-4279-9d21-ca72d87083fe
updateTime: '2026-05-14T11:44:08.787947523Z'
Verwenden Sie den gcloud-Befehl, um NCC-Spokes aufzulisten:
gcloud network-connectivity spokes list
Beispielausgabe
NAME: vpc2-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: prod
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc2-ncc-spoke
NAME: vpc3-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: non-prod
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc3-ncc-spoke
NAME: vpc1-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: services
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc1-ncc-spoke
NAME: cl-ncc-gw-usc-sp
LOCATION: us-central1
HUB: cl-hi-hub
GROUP: gateways
TYPE:
RESOURCE COUNT: 1
DATA TRANSFER: Off
DESCRIPTION:
Sehen Sie sich die NCC-Spokes an, die für den NCC-Hub „cl-hi-hub“ konfiguriert sind:
IP-Präfixe vom NCC-Gateway zum NCC-Hub bewerben
Konfigurieren Sie das NCC-Gateway so, dass bestimmte Präfixe in der NCC-Hub-Routingtabelle angekündigt werden.
gcloud beta network-connectivity spokes gateways advertised-routes create example-dot-com \
--ip-range=1.1.1.1/32 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create google-dot-com \
--ip-range=173.194.204.101/32 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create branch \
--ip-range=192.168.1.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create prod \
--ip-range=192.168.11.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create non-prod \
--ip-range=192.168.12.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud-Befehl verwenden, um die beworbenen Routen aufzulisten, die vom Gateway-Spoke stammen
gcloud beta network-connectivity spokes gateways advertised-routes list --region=us-central1
Beispielausgabe
Vom NCC-Gateway-Spoke beworbene Routen prüfen
Rufen Sie in der Webkonsole Network Connectivity > Network Connectivity Center auf und wählen Sie den Tab Spokes aus. Klicken Sie auf cl-ncc-gw-usc-sp.
4. Cloud Interconnect-Hybridverbindungen
Derzeit werden für NCC Gateway nur Google Cloud Interconnects unterstützt. Das NCC-Gateway verwendet eine globale VPC und Cloud Router im Google-Mandantenprojekt, um VLAN-Anhänge und BGP-Peering-Sitzungen zu beenden.
Im Diagramm sind ein Paar von Cloud Interconnect-Verbindungen und VLAN-Anhängen dargestellt, die logisch mit einem NCC-Gateway verbunden sind. Der Cloud Router in einer von Google verwalteten globalen VPC ist jedoch die zugrunde liegende Komponente, die die VLAN-Anhänge beendet. In diesem Abschnitt konfigurieren Sie einen Cloud Router, der dem NCC-Gateway zugeordnet ist, um BGP-Sitzungen für die lokale Konnektivität zu verwalten.
NCC-Gateway-spezifischer Cloud Router in us-central1
Verwenden Sie den gcloud-Befehl, um einen Cloud Router speziell für das NCC-Gateway zu konfigurieren.
gcloud beta compute routers create ncc-gw-usc1-cr \
--ncc-gateway=https://networkconnectivity.googleapis.com/v1/projects/"${projectid}"/locations/us-central1/spokes/cl-ncc-gw-usc-sp \
--asn=64666 \
--advertisement-mode=CUSTOM \
--set-advertisement-ranges=10.100.2.0/23 \
--region=us-central1
Beispielausgabe
Creating router [ncc-gw-usc1-cr]...done.
NAME REGION NCC_GATEWAY
ncc-gw-usc1-cr us-central1 cl-ncc-gw-usc-sp
- NCC_GW_NAME: Der vollständige URI des NCC-Gateway-Spokes. Der URI hat folgendes Format: https://networkconnectivity.googleapis.com/v1/projects/"${projectid}"/locations/REGION/spokes/GATEWAY_SPOKE_NAME
- ADVERTISED_IP_RANGES: IP-Bereiche, die für lokale Netzwerke beworben werden, um Traffic zu Google Cloud zu leiten.
Mit diesem gcloud-Befehl können Sie den gerade erstellten Router auflisten.
gcloud compute routers list --filter="region:(us-central1)"
Der Cloud Router ist keinem VPC-Netzwerk zugeordnet.
NAME REGION NETWORK
ncc-gw-usc1-cr us-central1 N/A
Erstellen Sie VLAN-Anhänge aus einer vorhandenen dedizierten Cloud Interconnect-Verbindung, die als Schnittstellen auf dem Cloud Router verwendet werden. In der Beispielkonfiguration unten wird eine Link-Local-IP-Adresse als Kandidaten-Subnetzbereich verwendet. Eine bestimmte Hostadresse aus diesem Bereich wird zum Konfigurieren des BGP-Peerings verwendet.
gcloud compute interconnects attachments dedicated create vl2029-ead1 \
--region=us-central1 \
--interconnect=projects/some-interconnect-project/global/interconnects/interconnect-lab-sea26-zone1 \
--router=ncc-gw-usc1-cr \
--vlan=2024 \
--bandwidth=500m \
--mtu=1440 \
--candidate-subnets=169.254.222.216/29
Created [https://www.googleapis.com/compute/v1/projects/"${projectname}"/regions/us-central1/interconnectAttachments/vl2029-ead1].
gcloud compute interconnects attachments dedicated create vl3029-ead2 \
--region=us-central1 \
--interconnect=projects/some-interconnect-project/global/interconnects/interconnect-lab-sea26-zone2 \
--router=ncc-gw-usc1-cr \
--vlan=3026 \
--bandwidth=500m \
--mtu=1440 \
--candidate-subnets=169.254.220.184/29
Created [https://www.googleapis.com/compute/v1/projects/"${projectname}"/regions/us-central1/interconnectAttachments/vl3029-ead2].
Cloud Router für das NCC-Gateway in us-central1 mit einer Schnittstelle konfigurieren
Verwenden Sie den gcloud-Befehl, um den in „us-central“ erstellten VLAN-Anhang dem NCC-Gateway-Cloud Router zuzuordnen.
gcloud compute routers add-interface ncc-gw-usc1-cr \
--region=us-central1 \
--interface-name=if-vl2029-ead1 \
--interconnect-attachment=vl2029-ead1
Ausgabe:
Updated [https://www.googleapis.com/compute/v1/projects/cloudnet-demo/regions/us-central1/routers/ncc-gw-usc1-cr].
BGP-Peer für den oben erstellten VLAN-Anhang konfigurieren
Verwenden Sie den folgenden gcloud-Befehl, um BGP-Peering auf der Cloud Router-Schnittstelle zu aktivieren.
gcloud compute routers add-bgp-peer ncc-gw-usc1-cr \
--region=us-central1 \
--peer-name=bgp-vl2029-ead1 \
--interface=if-vl2029-ead1 \
--peer-asn=65112 \
--advertisement-mode=DEFAULT
Ausgabe:
Creating peer [bgp-vl2029-ead1] in router [ncc-gw-usc1-cr]...done.
Konfigurieren Sie den NCC-Gateway-Cloud Router in us-central1 mit einer zweiten VLAN-Anhangsschnittstelle.
Fügen Sie mit dem gcloud-Befehl den zweiten VLAN-Anhang als Schnittstelle zum Cloud Router des NCC-Gateways hinzu.
gcloud compute routers add-interface ncc-gw-usc1-cr \
--region=us-central1 \
--interface-name=if-vl3029-ead2 \
--interconnect-attachment=vl3029-ead2
Ausgabe:
Updated [https://www.googleapis.com/compute/v1/projects/cloudnet-demo/regions/us-central1/routers/ncc-gw-usc1-cr]
Verwenden Sie den folgenden gcloud-Befehl, um BGP-Peering auf der Cloud Router-Schnittstelle zu aktivieren.
gcloud compute routers add-bgp-peer ncc-gw-usc1-cr \
--region=us-central1 \
--peer-name=bgp-vl3029-ead2 \
--interface=if-vl3029-ead2 \
--peer-asn=65112 \
--advertisement-mode=DEFAULT
BGP-Peering-Status mit dem lokalen BGP-Speaker prüfen
Verwenden Sie den gcloud-Befehl, um den BGP-Peer-Status mit dem lokalen Router zu prüfen und zu sehen, welche Routen der NCC Gateway Cloud Router an das lokale Netzwerk sendet.
gcloud compute routers get-status ncc-gw-usc1-cr \
--region=us-central1
**
--format="yaml(result.bgpPeerStatus)"
Ausgabe:
Prüfen Sie, ob der BGP-Status „Established“ lautet.
result:
bgpPeerStatus:
- advertisedRoutes:
- destRange: 10.100.2.0/23
kind: compute#route
nextHopIp: 169.254.111.217
nextHopOrigin: INCOMPLETE
priority: 100
routeType: BGP
enableIpv4: true
enableIpv6: false
ipAddress: 169.254.111.217
md5AuthEnabled: false
name: bgp-vl2029-ead1
numLearnedRoutes: 2
peerIpAddress: 169.254.111.218
state: Established
status: UP
uptime: 6 minutes, 27 seconds
uptimeSeconds: '387'
- advertisedRoutes:
- destRange: 10.100.2.0/23
kind: compute#route
nextHopIp: 169.254.112.217
nextHopOrigin: INCOMPLETE
priority: 100
routeType: BGP
enableIpv4: true
enableIpv6: false
ipAddress: 169.254.112.217
md5AuthEnabled: false
name: bgp-vl3029-ead2
numLearnedRoutes: 1
peerIpAddress: 169.254.112.218
state: Established
status: UP
uptime: 1 minutes, 35 seconds
uptimeSeconds: '95'
Verwenden Sie den gcloud-Befehl, um zu sehen, welche Routen der NCC-Gateway-Cloud-Router vom lokalen Netzwerk empfängt:
gcloud compute routers get-status ncc-gw-usc1-cr \
--region=us-central1 \
--format="yaml(result.bestRoutes)"
Ausgabe:
result:
bestRoutes:
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T10:02:44.265-07:00'
destRange: 172.16.0.0/16
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.111.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T09:54:04.340-07:00'
destRange: 3.3.3.0/24
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.111.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T09:58:56.189-07:00'
destRange: 4.4.4.0/24
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.112.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
Bewerben Sie benutzerdefinierte GCP-Präfixe für On-Prem**, da Subnetzrouten automatisch beworben werden. Sie haben die Möglichkeit, eine „Zusammenfassungsroute“ für Ihre benutzerdefinierten Präfixe zu bewerben.**
cloud compute routers update ncc-gw-usc1-cr \
--project=cloudnet-demo \
--region=us-central1 \
--advertisement-mode custom \
--set-advertisement-groups=all_subnets \
--set-advertisement-ranges="10.1.0.0/16"
Ausgabe:
Updating router [ncc-gw-usc1-cr]...done.
5. SSE von Drittanbietern in das NCC-Gateway einbinden
Secure Access Connect ist eine Funktion, mit der Sie SSE-Produkte (Security Service Edge) von Drittanbietern mit dem NCC Gateway verbinden können, um eingehenden und ausgehenden Traffic zu schützen. Die Hauptfunktion besteht darin, eine Verbindung zwischen GCP und einem Drittanbieter für SSE herzustellen.
In diesem Abschnitt melden Sie sich in Strata Cloud Manager an, um den SSE-Proxydienst im NCC-Gateway zu aktivieren und zu konfigurieren.
Der Dienst besteht aus zwei primären Ressourcen:
- Secure Access Connect-Bereich:Eine globale Ressource, die Ihr Google Cloud-Projekt mit dem SSE-Dienst verknüpft. Damit wird ein gemeinsamer Sicherheitsrichtlinienbereich für eine Gruppe von VPCs oder Nutzern eingerichtet, in dem dem SSE-Anbieter mitgeteilt wird, welche Gateways denselben Sicherheitsrichtlinien unterliegen.
- Secure Access Connect-Anhang:Eine regionale logische Ressource, die es dem NCC Gateway physisch ermöglicht, Traffic mit dem SSE-Dienst zu verarbeiten. Sie enthält die Metadaten, die erforderlich sind, um Vertrauen und Konnektivität mit dem SSE-Stack des Partners herzustellen.
Secure Access Connect-Bereich erstellen
gcloud beta network-security secure-access-connect realms create codelab-sac-realm \
--security-service=prisma-access
Kopplungsschlüssel identifizieren
Um den Secure Access Connect-Bereich mit Prisma Access zu verknüpfen, benötigen Sie den Kopplungsschlüssel. Diese alphanumerische Zeichenfolge wird verwendet, um das SSE-Gateway über das Strata Cloud Manager-Webportal zu konfigurieren und bereitzustellen.
gcloud beta network-security secure-access-connect realms describe codelab-sac-realm
createTime: '2026-04-21T13:48:53.760262401Z'
name: projects/"${projectname}"/locations/global/sacRealms/codelab-cden
pairingKey:
expireTime: '2026-04-28T13:48:51.107221733Z'
key: 2a52a7e2-7c95-4dc7-9155-c3234976fad4
securityService: PALO_ALTO_PRISMA_ACCESS
state: PENDING_PARTNER_ATTACHMENT
updateTime: '2026-04-21T13:48:55.874553834Z'
Partner-Realm mit Managed Cloud WAN in Prisma Access erstellen
- Melden Sie sich in Strata Cloud Manager an und achten Sie darauf, dass Sie den zugewiesenen SSE-Gateway-Mandanten verwenden.
- Um den SAC-Bereich mit dem Partnermandanten zu verbinden, navigieren Sie zu
Systemeinstellungen -> Integrationen -> Managed Cloud WANs und
Klicken Sie auf Verbinden.
- Geben Sie im Dialogfeld „Google NCC Gateway-Konto verbinden“ den Pairing-Schlüssel des SAC-Bereichs ein. Klicke auf Bestätigen, um mit der Erstellung des Realms zu beginnen.
Es dauert einige Minuten, bis der Status des NCC-Gateways auf „Verbunden“ aktualisiert wird.
Verwenden Sie in der GCP Cloud Shell den gcloud-Befehl, um den Kopplungsschlüssel zu finden, der dem SAC-Bereich zugeordnet ist.
gcloud beta network-security secure-access-connect realms describe codelab-sac-realm
Sie können den Kopplungsschlüssel auch in der GCP Console aufrufen.
Fügen Sie den NCC Gateway SSE-Cluster als verwaltete Cloud WAN-Verbindung hinzu. Gehen Sie dazu so vor:
Konfiguration > NGFW und Prisma Access > Klicken Sie auf Konfigurationsbereich und wählen Sie im Abschnitt Prisma Access die Option Remote Network (Remotenetzwerk) aus.
Klicken Sie auf der Seite „Übersicht“ auf Einrichtung und wählen Sie Verwaltete Cloud WAN-Verbindungen aus.
Klicken Sie auf Managed Cloud WAN-Standort hinzufügen.
SSE-Instanz im NCC-Gateway aktivieren
Wechseln Sie zur GCP Console und erstellen Sie mit dem gcloud-Befehl einen Secure Access Connect-Anhang.
gcloud alpha network-security secure-access-connect attachments create codelab-sac-attachment-usc1 \
--location=us-central1 \
--realm=codelab-sac-realm \
--gateway=cl-ncc-gw-usc-sp
Partner-Gateway erstellen
Geben Sie die Parameter für die verwaltete Cloud WAN-Verbindung ein.
- Name der Website: Geben Sie einen eindeutigen Namen für die Verbindung ein.
- **Diensttyp**: Wählen Sie „Google NCC Gateway“ als Diensttyp aus.
- Connection Name (Verbindungsname): Wählen Sie den GCP-Dienststandort aus, den Sie während der CC-Gateway-Aktivierung und Erstellung des SAC-Anhangs erstellt haben.
- Prisma Access Compute Location (Prisma Access-Rechenzentrum): Wählen Sie den Rechenzentrum aus, in dem Sie die NCC Gateway-Integration mit Prisma Access bereitstellen möchten.
- Bandwidth (Mbps) (Bandbreite (Mbit/s)): Wählen Sie die zuzuweisende Bandbreite in Mbit/s aus. Die maximale Zuweisung beträgt 10.000 Mbit/s (10 Gbit/s).
Sie können maximal 10.000 Mbit/s (10 Gbit/s) zuweisen.
Klicken Sie auf Speichern, wenn Sie fertig sind.
SSE-Instanzkonfiguration des NCC-Gateways synchronisieren
Wählen Sie Push Config aus, um die Partner-SSE-Instanz auf dem NCC-Gateway-Spoke zu erstellen.
Klicken Sie auf Push-Konfiguration und wählen Sie Jobs aus, um den Fortschritt zu verfolgen. Warten Sie, bis alle „Ergebnisse“ für Ihren jeweiligen Job abgeschlossen sind.
Klicken Sie abschließend auf Fertig.
Prüfen Sie den Status des SSE-Gateways des Partners unter Configuration > NGFW and Prisma Access > Configuration Scope > Prisma Access > Remote Networks > Setup > Managed Cloud WAN Connections.
Prisma Access stellt die BGP-Konfiguration von Managed Cloud WAN Connection automatisch bereit.
6. Datenpfad über das NCC-Gateway prüfen
Zur GCP Cloud Shell Console wechseln
Verwenden Sie den gcloud-Befehl, um die beworbenen Routen anzuzeigen, die vom Gateway-Spoke stammen:
gcloud beta network-connectivity spokes gateways advertised-routes list --region=us-central1
Stellen Sie eine SSH-Verbindung zu „vm1-vpc1-ncc**“** her und starten Sie TCP-Dump, um ICMP-Pakete von **„vm2-vpc2-ncc“** zu verfolgen. Zur Erinnerung: Diese VM befindet sich in VPC2.
vm1-vpc1-ncc
sudo tcpdump -i any icmp -v -e -n
Stellen Sie eine SSH-Sitzung zu „vm1-vpc2-ncc**“** her und pingen Sie die IP-Adresse von „vm1-vpc1-ncc“ an.
vm1-vpc2-ncc
ping 10.1.1.2
Ausgabe:
Auf vm1-vpc1-ncc sollte der folgende Trace angezeigt werden.
Führen Sie auf VM-1 einen curl-Befehl für den lokalen HTTP-Server aus, um die lokale Erreichbarkeit zu testen.
vm1-vpc1-ncc
curl 172.16.101.11 -vv
Ausgabe:
Stellen Sie eine SSH-Sitzung zu „vm1-vpc2-ncc**“** her und pingen Sie die IP-Adresse „1.1.1.1“ an.
vm1-vpc2-ncc
ping 1.1.1.1
Ausgabe:
Pings funktionieren nicht, da sie in Prisma(Strata Cloud Manager) zugelassen werden müssen. Aktivieren wir diese Funktion!
Gehen Sie zu Strata Cloud Manager –> „Configuration“ (Konfiguration) –> „NGFW and Prisma Access“ (NGFW und Prisma Access). Dort sehen Sie Folgendes:::
Klicken Sie oben links auf das globale Drop-down-Menü und wählen Sie „Remote Networks“ (Remotenetzwerke) aus. Klicken Sie dann auf den Tab „Security Services“ (Sicherheitsdienste) und wählen Sie „Security Policy“ (Sicherheitsrichtlinie) aus.
Klicken Sie rechts oben auf „Regel hinzufügen“ und erstellen Sie eine „allow icmp“-Regel, um ICMP-Traffic zwischen vm1-vpc2-ncc und 1.1.1.1 zuzulassen. Klicken Sie anschließend rechts oben auf „Konfiguration übertragen“.
Prüfen Sie die Jobs, um sicherzugehen, dass die Konfiguration erfolgreich übertragen wurde. Klicken Sie auf „Push Config“ –> „Jobs“.
Wenn der Job erfolgreich war, führen Sie den Ping-Test noch einmal von vm1-vpc2-ncc aus.
ERFOLG!!! Sie haben dieses Codelab erfolgreich abgeschlossen.
7. Lab bereinigen
VLAN-Anhänge löschen
gcloud compute interconnects attachments delete vl2024-ead1 \
--region=us-central1 \
--quiet
gcloud compute interconnects attachments delete vl3026-ead2 \
--region=us-central1 \
--quiet
BGP-Peer und BGP-Schnittstelle des NCC Gateway Cloud Router löschen
gcloud compute routers remove-bgp-peer ncc-gw-usc1-cr \
--peer-name=bgp-vl2024-ead1 \
--region=us-central1
gcloud compute routers remove-interface ncc-gw-usc1-cr \
--interface-name=if-vl3026-ead2 \
--region=us-central1
ncc-gw-usc1-cr und ncc-gw-usc1-cr löschen
gcloud compute routers delete ncc-gw-usc1-cr \
--region=us-central1 \
--quiet
Vom Gateway beworbene Routen löschen
gcloud beta network-connectivity spokes gateways advertised-routes delete ncc-gw-usc1-cr \
--region=us-central1 \
--spoke=cl-ncc-gw-usw-sp \
VPC-Spokes des NCC löschen
gcloud network-connectivity spokes delete vpc1-sp --global --quiet
gcloud network-connectivity spokes delete vpc2-sp --global --quiet
gcloud network-connectivity spokes delete vpc3-sp --global --quiet
NCC-Gateway-Spoke löschen
gcloud network-connectivity spokes delete cl-ncc-gw-usc-sp --region=us-central1 \
--quiet
Sicheren Zugriffsbereich löschen
gcloud beta network-security secure-access-connect realms delete codelab-sac-realm --quie
t
NCC-Hub löschen
gcloud network-connectivity hubs delete ncc-hub --quiet
Firewallregeln löschen
gcloud compute firewall-rules delete ncc1-vpc-internal --quiet
gcloud compute firewall-rules delete ncc2-vpc-internal --quiet
gcloud compute firewall-rules delete ncc3-vpc-internal --quiet
gcloud compute firewall-rules delete ncc1-vpc-iap --quiet
gcloud compute firewall-rules delete ncc2-vpc-iap --quiet
gcloud compute firewall-rules delete ncc3-vpc-iap --quiet
GCE-Instanzen löschen
gcloud compute instances delete vm1-vpc1-ncc --zone=us-central1-a --quiet
gcloud compute instances delete vm2-vpc2-ncc --zone=us-central1-a --quiet
gcloud compute instances delete vm1-vpc3-ncc --zone=us-east1-b --quiet
VPC-Subnetze löschen
gcloud compute networks subnets delete vpc1-ncc-subnet1 --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet2 --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet3 --region us-central1 --quiet
VPCs löschen
gcloud compute networks delete vpc1-ncc vpc2-ncc vpc3-ncc vpc4-ncc, vpc5-ncc --quiet
8. Glückwunsch!
Sie haben das Network Connectivity Center-Lab abgeschlossen.
Behandelte Themen
- NCC-Topologie für hybride Prüfung konfigurieren
- NCC-Gateway-Spoke
- SSE-Gateway von Palo Alto Networks in Google Cloud
- PANW: Strata Cloud Manager
Nächste Schritte