۱. مقدمه
نمای کلی
در این آزمایشگاه، کاربران بررسی خواهند کرد که چگونه مرکز اتصال شبکه (NCC) از دروازه NCC برای ایجاد اتصال امن استفاده میکند. کاربران Secure Access Connect را برای ادغام محصولات Security Service Edge (SSE) شخص ثالث پیادهسازی خواهند کرد که امکان بازرسی و محافظت قوی از جریانهای ترافیک را فراهم میکند. این پیکربندی با ارائه یک مدل متمرکز مبتنی بر دروازه برای ایمنسازی ترافیک ورودی و خروجی به محیطهای Google Cloud، مدیریت شبکه را ساده میکند.
آنچه خواهید ساخت
در این آزمایشگاه کد، شما یک توپولوژی منطقی هاب و اسپوک با هاب NCC خواهید ساخت که یک ساختار اتصال VPC کاملاً مشبندی شده را در سه VPC مجزا پیادهسازی خواهد کرد.
آنچه یاد خواهید گرفت
- توپولوژی بازرسی ترکیبی
- دروازه NCC
- اتصال دسترسی امن
- شبکه پالو آلتو SSE
آنچه نیاز دارید
- آشنایی با شبکه GCP VPC
- آشنایی با Cloud Router و مسیریابی BGP
- این Codelab به ۵ VPC نیاز دارد. یکی از این VPC(ها) باید در پروژهای جدا از مرکز NCC باشد.
- Quota:Networks خود را بررسی کنید و در صورت لزوم، شبکههای اضافی را درخواست کنید ، تصویر زیر را ببینید:
اهداف
- راهاندازی محیط GCP
- پیکربندی مرکز اتصال شبکه برای بازرسی ترکیبی
- ارائه مدیر استراتاکلود شبکه پالو آلتو برای SSE
- اعتبارسنجی مسیر داده
- ویژگیهای سرویسپذیری NCC را بررسی کنید
- منابع استفاده شده را پاکسازی کنید
قبل از اینکه شروع کنی
کنسول ابری گوگل و پوسته ابری
برای تعامل با GCP، در طول این آزمایش از هر دو کنسول ابری گوگل و پوسته ابری استفاده خواهیم کرد.
پروژه مرکز NCC، کنسول ابری گوگل
کنسول ابری از طریق آدرس https://console.cloud.google.com قابل دسترسی است.
برای آسانتر کردن پیکربندی Network Connectivity Center، موارد زیر را در Google Cloud تنظیم کنید:
در کنسول گوگل کلود، در صفحه انتخاب پروژه، یک پروژه گوگل کلود را انتخاب یا ایجاد کنید.
توجه : اگر قصد ندارید منابعی را که در این روش ایجاد میکنید، نگه دارید، به جای انتخاب یک پروژه موجود، یک پروژه ایجاد کنید. پس از اتمام این مراحل، میتوانید پروژه را حذف کنید و تمام منابع مرتبط با پروژه را حذف کنید.
Cloud Shell را اجرا کنید. این Codelab از $variables برای کمک به پیادهسازی پیکربندی gcloud در Cloud Shell استفاده میکند.
gcloud auth list
gcloud config list project
gcloud config set project [HUB-PROJECT-ID]
projectname=[HUB-PROJECT-ID]
echo $projectname
gcloud config set compute/zone us-central1-a
gcloud config set compute/region us-central1
نقشهای IAM
NCC برای دسترسی به APIهای خاص به نقشهای IAM نیاز دارد. حتماً کاربر خود را در صورت نیاز با نقشهای IAM مربوط به NCC پیکربندی کنید.
نقش/توضیحات | مجوزها |
| اتصال شبکه.هابها. اتصال شبکه.اسپوکها.اتصال شبکه.دروازه.اتصال شبکه.مکانها. |
| networkconnectivity.gatewayAdvertisedRoutes.networkconnectivity.groups.networkconnectivity.hubRouteTables.networkconnectivity.hubRoutes.networkconnectivity.hubs.networkconnectivity.locations.networkconnectivity.operations . * networkconnectivity.spokes.*resourcemanager.projects.getresourcemanager.projects.list |
| networkconnectivity.gatewayAdvertisedRoutes.getnetworkconnectivity.gatewayAdvertisedRoutes.listnetworkconnectivity.groups.getnetworkconnectivity.groups.getIamPolicynetworkconnectivity.groups.listnetworkconnectivity.hubRouteTables.getnetworkconnectivity.hubRouteTables.getIamPolicynetworkconnectivity.hubRouteTables.listnetworkconnectivity.hubRoutes.getNetworkconnectivity.hubRoutes.getIamPolicynetworkconnectivity.hubRoutes.listnetworkconnectivity.hubs.getNetworkconnectivity.hubs.getIamPolicynetworkconnectivity.hubs.listnetworkconnectivity.hubs.listSpokesnetworkconnectivity.hubs.queryStatus اتصال.مکانها.*اتصال.اسپوک.اتصال.شبکهدریافتاتصال.اسپوک.اتصال.شبکه.دریافتIamPolicyلیست.اتصال.اسپوک.اتصال.شبکهمدیریت منابعپروژههادریافتلیست.پروژهها |
۲. راهاندازی محیط شبکه
در این بخش، شبکههای VPC و قوانین فایروال را در یک پروژه واحد مستقر خواهیم کرد. نمودار منطقی، محیط شبکهای را که در این مرحله راهاندازی خواهد شد، نشان میدهد.
ایجاد VPCها و زیرشبکهها
شبکه VPC شامل زیرشبکههایی است که شما GCE VM را برای اعتبارسنجی مسیر داده نصب خواهید کرد.
gcloud compute networks create vpc1-ncc --subnet-mode custom
gcloud compute networks create vpc2-ncc --subnet-mode custom
gcloud compute networks create vpc3-ncc --subnet-mode custom
gcloud compute networks subnets create vpc1-ncc-subnet1 \
--network vpc1-ncc \
--range 10.1.1.0/24 \
--region us-central1
gcloud compute networks subnets create vpc2-ncc-subnet1 \
--network vpc2-ncc \
--range 10.1.2.0/24 \
--region us-central1
gcloud compute networks subnets create vpc3-ncc-subnet1 \
--network vpc3-ncc \
--range 10.1.3.0/24 \
--region us-central1
پیکربندی قوانین فایروال VPC
قوانین فایروال را روی هر VPC پیکربندی کنید تا اجازه دهد
- اساساچ
- برنامهی داخلی پرداخت درون برنامهای (IAP)
- محدوده ۱۰.۰.۰.۰/۸
gcloud compute firewall-rules create ncc1-vpc-internal \
--network vpc1-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc2-vpc-internal \
--network vpc2-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc3-vpc-internal \
--network vpc3-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc1-vpc-iap \
--network vpc1-ncc \
--allow all \
--source-ranges 35.235.240.0/20
gcloud compute firewall-rules create ncc2-vpc-iap \
--network vpc2-ncc \
--allow=tcp:22 \
--source-ranges 35.235.240.0/20
gcloud compute firewall-rules create ncc3-vpc-iap \
--network vpc3-ncc \
--allow=tcp:22 \
--source-ranges 35.235.240.0/20
پیکربندی GCE VM در هر VPC
برای نصب بستهها روی «vm1-vpc1-ncc» به دسترسی موقت به اینترنت نیاز دارید.
چهار ماشین مجازی ایجاد کنید، هر ماشین مجازی به یکی از VPC های قبلاً ایجاد شده اختصاص داده خواهد شد.
gcloud compute instances create vm1-vpc1-ncc \
--subnet vpc1-ncc-subnet1 \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc1-vm1</h3>" | tee /var/www/html/index.html'
gcloud compute instances create vm1-vpc2-ncc \
--zone us-central1-a \
--subnet vpc2-ncc-subnet1 \
--no-address \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc2-vm2</h3>" | tee /var/www/html/index.html'
gcloud compute instances create vm1-vpc3-ncc \
--zone us-central1-a \
--subnet vpc3-ncc-subnet1 \
--no-address \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc3-vm3</h3>" | tee /var/www/html/index.html'
۳. توپولوژی بازرسی ترکیبی NCC
در این بخش، مرکز اتصال شبکه (Network Connectivity Center Hub) را برای توپولوژی بازرسی ترکیبی (Hybrid Inspection Topology) مستقر خواهیم کرد. توپولوژی بازرسی ترکیبی NCC، سیاستهای از پیش تعیینشدهی NCC Spoke را برای پشتیبانی ویژه از NCC Gateway پیادهسازی میکند. نمودار منطقی، محیط شبکهای را که در این مرحله راهاندازی خواهد شد، نشان میدهد.
مرکز NCC برای بازرسی پرههای هیبریدی
هنگام ایجاد یک هاب NCC، از فلگ "-preset-topology=hybrid-inspection" برای ایجاد چهار گروه از انواع پرههای NCC استفاده کنید. چهار نوع پره NCC عبارتند از:
گروهها:دروازهها | اسپوکهای دروازه (Gateway spokes) به عنوان نقاط ورود و خروج منطقهای برای جریانهای ترافیکی که از داخل یا سایر ابرها وارد Google Cloud میشوند، عمل میکنند. آنها بازرسی ترافیک را از طریق سرویسهای SSE شخص ثالث مانند Palo Alto Networks یا Symante c تسهیل میکنند. توجه: این تنها گروهی است که میتواند اسپوکهای دروازه NCC را در این توپولوژی داشته باشد. |
گروهها:خدمات | این گروه به عنوان یک "مرکز" برای منابع مشترک عمل میکند؛ اسپوکهای این گروه به تمام گروههای اسپوک دیگر (تولیدی، غیرتولیدی و دروازهها) متصل هستند. VPCهای سرویس مشترک (مثلاً برای ثبت وقایع، احراز هویت، نظارت یا ابزارهای مشترک) |
گروهها:تولید | مورد استفاده: تخصیص VPCهای برنامههای کاربردی تولیدی حاوی بارهای کاری حیاتی (ماشینهای مجازی، خوشههای GKE). |
گروهها:غیرتولیدی | منابع اختصاص داده شده: VPC های کاربردی غیر تولیدی که برای محیط های توسعه، آزمایش یا مرحله بندی استفاده می شوند. |
پیکربندی هاب NCC برای استفاده از توپولوژی از پیش تعیینشده بازرسی ترکیبی
gcloud beta network-connectivity hubs create cl-hi-hub \ --preset-topology=hybrid-inspection
خروجی مثال
Create request issued for: [cl-hi-hub]
Waiting for operation [projects/"${projectname}"/locations/global/operations/operation-1759424304217-6402fe4a97da0-5de6
e5a1-2ea2de02] to complete...done.
Created hub [cl-hi-hub].
از دستور gcloud برای تأیید جدول مسیریابی از پیش تعیینشدهی هاب NCC استفاده کنید:
gcloud network-connectivity hubs describe cl-hi-hub
خروجی مثال
createTime: '2026-02-18T16:14:45.828597880Z'
exportPsc: false
name: projects/"${projectname}"/locations/global/hubs/cl-hi-hub
policyMode: PRESET
routeTables:
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/gateways
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/non-prod
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/prod
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/services
spokeSummary:
state: ACTIVE
uniqueId: c0fbb826-173b-42dd-a5d2-00c2aa66fed8
updateTime: '2026-04-21T19:13:50.269721594Z'
میتوان اسپوکهای NCC را برای اعمال سیاستهای جریان ترافیک به یک گروه اضافه کرد. یک اسپوک(های) NCC فقط میتواند بخشی از یک گروه باشد. برای این نسخه، یک توپولوژی از پیش تعیینشده خاص به نام HYBRID-INSPECTION، 4 گروه را معرفی میکند: دروازهها، تولید، غیر تولید و خدمات.
تمام منابع NCC Gateway (شامل اتصالات ترکیبی آنها) بخشی از گروه gatewayها هستند. Spokeها در گروه gatewayها قادر به برقراری ارتباط با یکدیگر خواهند بود و ترافیک بین gatewayها و سایر گروههای Spoke واجد شرایط بازرسی هستند (بسته به پیکربندی سیاست سرویس).
قوانین اتصال گروه NCC Spoke
گروه منبع | دسترسی مجاز (Can Access) | دسترسی مقدور نیست (محدود شده) |
گروه خدمات | دروازهها، محصولات، غیر محصولات، خدمات | هیچکدام |
گروه پرود | دروازهها، خدمات، پرههای محصول | پرههای غیر تولیدی |
گروه غیر تولیدی | دروازهها، خدمات، پرههای غیر تولیدی | پرههای دستگاه |
گروه دروازهها | درگاهها، خدمات، محصولات، غیرمحصولی | هیچکدام |
از دستور gcloud برای فهرست کردن گروههای از پیش تعیینشده در مرکز NCC استفاده کنید.
gcloud network-connectivity hubs groups list --hub cl-hi-hub --project "${projectname}"
خروجی مثال
NAME HUB DESCRIPTION
gateways cl-hi-hub
non-prod cl-hi-hub
prod cl-hi-hub
services cl-hi-hub
در کنسول وب، به network connectivity > Network Connectivity Center بروید و برای مشاهده پیکربندی هاب NCC، گزینه "cl-hi-hub" را انتخاب کنید.
حجم کار VPC2 به عنوان یک صحبت در گروه NCC: تولید
از دستور gcloud برای پیکربندی بار کاری VPC3 به عنوان یک (بار کاری) spoke استفاده کنید و spoke را به group:prod اختصاص دهید.
gcloud network-connectivity spokes linked-vpc-network create vpc2-sp \
--hub=cl-hi-hub \
--description=codelab-vpc2-ncc-spoke \
--vpc-network=vpc2-ncc \
--global \
--group=prod
خروجی مثال
Create request issued for: [vpc2-sp]
Waiting for operation [projects/"${projectname}"/locations/global/operations/operation-1776966793852-650245286757a-766d806c-1bc4fabe] to complete...done.
Created spoke [vpc2-sp].
createTime: '2026-04-23T17:53:14.083783233Z'
description: codelab-vpc2-ncc-spoke
etag: '2'
group: projects/"${projectname}"/locations/global/hubs/cl-hi-hub/groups/prod
hub: projects/"${projectname}"/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/"${projectname}"/global/networks/vpc-ncc2
name: projects/"${projectname}"/locations/global/spokes/vpc2-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: 92972784-e4ed-47e5-be22-08a516a39b0c
updateTime: '2026-04-23T17:53:55.029481722Z'
برای مشاهده پیشوندها در جدول مسیر "prod" هاب NCC از دستور gcloud استفاده کنید.
gcloud network-connectivity hubs route-tables routes list --hub=cl-hi-hub --route_table=prod
خروجی مثال
IP_CIDR_RANGE: 10.1.2.0/24
PRIORITY:
LOCATION: us-central1
STATE: ACTIVE
TYPE: VPC_PRIMARY_SUBNET
SITE_TO_SITE: N/A
NEXT_HOP: vpc2-ncc
HUB: cl-hi-hub
ROUTE_TABLE: prod
پیکربندی بار کاری VPC3 به عنوان یک spoke در گروه NCC:non-prod
از دستور gcloud برای پیکربندی بار کاری VPC3 به عنوان یک (بار کاری) spoke استفاده کنید و spoke را به group:non-prod اختصاص دهید.
gcloud network-connectivity spokes linked-vpc-network create vpc3-sp \
--hub=cl-hi-hub \
--description=codelab-vpc3-ncc-spoke \
--vpc-network=vpc3-ncc \
--global \
--group=non-prod
خروجی مثال
Create request issued for: [vpc3-sp]
Waiting for operation [projects/cloudnet-demo/locations/global/operations/operation-1778757016454-651c5241b83fe-18b62f78-02d70f9a] to complete...done.
Created spoke [vpc3-sp].
createTime: '2026-05-14T11:10:16.758117151Z'
description: codelab-vpc3-ncc-spoke
etag: '2'
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/non-prod
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/cloudnet-demo/global/networks/vpc3-ncc
name: projects/cloudnet-demo/locations/global/spokes/vpc3-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: efe8cfed-d77f-4636-aaae-898e73897b49
updateTime: '2026-05-14T11:10:52.880508489Z'
برای مشاهده پیشوندها در جدول مسیر "prod" هاب NCC از دستور gcloud استفاده کنید.
gcloud network-connectivity hubs route-tables routes list --hub=cl-hi-hub --route_table=prod
خروجی مثال
IP_CIDR_RANGE: 10.1.2.0/24
PRIORITY:
LOCATION: us-central1
STATE: ACTIVE
TYPE: VPC_PRIMARY_SUBNET
SITE_TO_SITE: N/A
NEXT_HOP: vpc2-ncc
HUB: cl-hi-hub
ROUTE_TABLE: prod
پیکربندی بار کاری VPC1 به عنوان یک spoke در گروه NCC:services
از دستور gcloud برای پیکربندی بار کاری VPC1 به عنوان یک (بار کاری) spoke استفاده کنید و spoke را به group:services اختصاص دهید.
gcloud network-connectivity spokes linked-vpc-network create vpc1-sp \
--hub=cl-hi-hub \
--description=codelab-vpc1-ncc-spoke \
--vpc-network=vpc1-ncc \
--global \
--group=services
خروجی مثال
Create request issued for: [vpc1-sp]
Waiting for operation [projects/cloudnet-demo/locations/global/operations/operation-1778758397065-651c57665f795-1af6d94f-942c9ebd] to complete...done.
Created spoke [vpc1-sp].
createTime: '2026-05-14T11:33:17.359361160Z'
description: codelab-vpc1-ncc-spoke
etag: '2'
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/services
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/cloudnet-demo/global/networks/vpc1-ncc
name: projects/cloudnet-demo/locations/global/spokes/vpc1-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: 82b29a2b-50cb-4557-8b12-3345f5a36ad6
updateTime: '2026-05-14T11:33:55.914406863Z'
پیکربندی درگاه NCC برای درگاههای SSE در us-central1
از دستور gcloud برای ایجاد یک NCC Gateway spoke در us-central1 استفاده کنید:
gcloud beta network-connectivity spokes gateways create cl-ncc-gw-usc-sp \
--region=us-central1 \
--hub=cl-hi-hub \
--capacity=1g \
--ip-range-reservations=10.100.0.0/23 \
--group=gateways
خروجی مثال
Create request issued for: [cl-ncc-gw-usc-sp]
Waiting for operation [projects/cloudnet-demo/locations/us-central1/operations/operation-1778758907555-651c594d36fc5-783a8d5d-8d3e341b] to complete...done.
Created spoke [cl-ncc-gw-usc-sp].
createTime: '2026-05-14T11:41:48.066042872Z'
etag: '2'
gateway:
capacity: CAPACITY_1_GBPS
ipRangeReservations:
- ipRange: 10.100.0.0/23
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/gateways
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
name: projects/cloudnet-demo/locations/us-central1/spokes/cl-ncc-gw-usc-sp
spokeType: GATEWAY
state: ACTIVE
uniqueId: ffe8e2b7-c864-4279-9d21-ca72d87083fe
updateTime: '2026-05-14T11:44:08.787947523Z'
برای فهرست کردن اسپوکهای NCC از دستور gcloud استفاده کنید:
gcloud network-connectivity spokes list
خروجی مثال
NAME: vpc2-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: prod
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc2-ncc-spoke
NAME: vpc3-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: non-prod
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc3-ncc-spoke
NAME: vpc1-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: services
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc1-ncc-spoke
NAME: cl-ncc-gw-usc-sp
LOCATION: us-central1
HUB: cl-hi-hub
GROUP: gateways
TYPE:
RESOURCE COUNT: 1
DATA TRANSFER: Off
DESCRIPTION:
پرههای NCC که روی هاب NCC نوع "cl-hi-hub" پیکربندی شدهاند را بررسی کنید:
پیشوندهای IP را از NCC Gateway به NCC Hub ارسال کنید
NCC Gateway را طوری پیکربندی کنید که پیشوندهای خاص را به جدول مسیر هاب NCC اعلام کند.
gcloud beta network-connectivity spokes gateways advertised-routes create example-dot-com \
--ip-range=1.1.1.1/32 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create google-dot-com \
--ip-range=173.194.204.101/32 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create branch \
--ip-range=192.168.1.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create prod \
--ip-range=192.168.11.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create non-prod \
--ip-range=192.168.12.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
از دستور gcloud برای فهرست کردن مسیرهای تبلیغشدهی مبدا از درگاه spoke استفاده کنید.
gcloud beta network-connectivity spokes gateways advertised-routes list --region=us-central1
خروجی مثال
مسیرهای تبلیغشدهی NCC Gateway spoke را بررسی کنید.
در کنسول وب به Network Connectivity > Network Connectivity Center بروید و تب « Spokes » را انتخاب کنید: روی «cl-ncc-gw-usc-sp » کلیک کنید.
۴. اتصالات ترکیبی ابری
در زمان نگارش این مطلب، NCC Gateway فقط از Google Cloud Interconnects پشتیبانی میکند. NCC Gateway از یک VPC سراسری و روترهای ابری در پروژه Google Tenant برای خاتمه دادن به اتصال VLAN و جلسات Peering BGP استفاده میکند.
در حالی که نمودار یک جفت اتصال ابری و پیوستهای VLAN را نشان میدهد که به طور منطقی به یک دروازه NCC متصل شدهاند، روتر ابری در یک VPC سراسری مستاجر مدیریتشده توسط گوگل، اجزای اساسی هستند که پیوستهای VLAN را خاتمه میدهند. در این بخش، یک روتر ابری مرتبط با دروازه NCC را برای مدیریت جلسات BGP برای اتصال در محل پیکربندی خواهید کرد.
روتر ابری مخصوص NCC Gateway در us-central1
از دستور gcloud برای پیکربندی یک روتر ابری (Cloud Router) مخصوص دروازه NCC استفاده کنید.
gcloud beta compute routers create ncc-gw-usc1-cr \
--ncc-gateway=https://networkconnectivity.googleapis.com/v1/projects/"${projectid}"/locations/us-central1/spokes/cl-ncc-gw-usc-sp \
--asn=64666 \
--advertisement-mode=CUSTOM \
--set-advertisement-ranges=10.100.2.0/23 \
--region=us-central1
خروجی مثال
Creating router [ncc-gw-usc1-cr]...done.
NAME REGION NCC_GATEWAY
ncc-gw-usc1-cr us-central1 cl-ncc-gw-usc-sp
- NCC_GW_NAME: آدرس کامل اینترنتی (URI) مربوط به درگاه NCC. قالب این آدرس از این الگو پیروی میکند: https://networkconnectivity.googleapis.com/v1/projects/"${projectid}"/locations/REGION/spokes/GATEWAY_SPOKE_NAME
- ADVERTISED_IP_RANGES: محدودههای IP برای تبلیغ در شبکههای داخلی جهت جذب ترافیک به Google Cloud.
از این دستور gcloud برای فهرست کردن روتری که تازه ایجاد شده استفاده کنید
gcloud compute routers list --filter="region:(us-central1)"
توجه داشته باشید که روتر ابری با VPC مرتبط نیست.
NAME REGION NETWORK
ncc-gw-usc1-cr us-central1 N/A
از یک اتصال ابری اختصاصی موجود، فایلهای VLAN ایجاد کنید که به عنوان رابط در روتر ابری استفاده خواهند شد. پیکربندی نمونه زیر از یک آدرس IP لینک-محلی به عنوان محدوده زیرشبکه کاندید استفاده میکند. یک آدرس میزبان خاص از این محدوده برای پیکربندی BGP peering استفاده خواهد شد.
gcloud compute interconnects attachments dedicated create vl2029-ead1 \
--region=us-central1 \
--interconnect=projects/some-interconnect-project/global/interconnects/interconnect-lab-sea26-zone1 \
--router=ncc-gw-usc1-cr \
--vlan=2024 \
--bandwidth=500m \
--mtu=1440 \
--candidate-subnets=169.254.222.216/29
Created [https://www.googleapis.com/compute/v1/projects/"${projectname}"/regions/us-central1/interconnectAttachments/vl2029-ead1].
gcloud compute interconnects attachments dedicated create vl3029-ead2 \
--region=us-central1 \
--interconnect=projects/some-interconnect-project/global/interconnects/interconnect-lab-sea26-zone2 \
--router=ncc-gw-usc1-cr \
--vlan=3026 \
--bandwidth=500m \
--mtu=1440 \
--candidate-subnets=169.254.220.184/29
Created [https://www.googleapis.com/compute/v1/projects/"${projectname}"/regions/us-central1/interconnectAttachments/vl3029-ead2].
پیکربندی روتر ابری NCC Gateway در us-central1 با یک رابط
از دستور gcloud برای مرتبط کردن VLAN ایجاد شده در us-central با روتر ابری NCC Gateway استفاده کنید.
gcloud compute routers add-interface ncc-gw-usc1-cr \
--region=us-central1 \
--interface-name=if-vl2029-ead1 \
--interconnect-attachment=vl2029-ead1
خروجی:
Updated [https://www.googleapis.com/compute/v1/projects/cloudnet-demo/regions/us-central1/routers/ncc-gw-usc1-cr].
پیکربندی BGP peer برای اتصال VLAN ایجاد شده در بالا.
برای فعال کردن قابلیت BGP peering روی رابط روتر ابری، از دستور gcloud زیر استفاده کنید.
gcloud compute routers add-bgp-peer ncc-gw-usc1-cr \
--region=us-central1 \
--peer-name=bgp-vl2029-ead1 \
--interface=if-vl2029-ead1 \
--peer-asn=65112 \
--advertisement-mode=DEFAULT
خروجی:
Creating peer [bgp-vl2029-ead1] in router [ncc-gw-usc1-cr]...done.
روتر ابری NCC Gateway را در us-central1 با یک رابط اتصال VLAN دوم پیکربندی کنید .
از دستور gcloud برای اضافه کردن دومین VLAN به عنوان رابط به روتر ابری NCC Gateway استفاده کنید.
gcloud compute routers add-interface ncc-gw-usc1-cr \
--region=us-central1 \
--interface-name=if-vl3029-ead2 \
--interconnect-attachment=vl3029-ead2
خروجی:
Updated [https://www.googleapis.com/compute/v1/projects/cloudnet-demo/regions/us-central1/routers/ncc-gw-usc1-cr]
برای فعال کردن قابلیت BGP peering روی رابط روتر ابری، از دستور gcloud زیر استفاده کنید.
gcloud compute routers add-bgp-peer ncc-gw-usc1-cr \
--region=us-central1 \
--peer-name=bgp-vl3029-ead2 \
--interface=if-vl3029-ead2 \
--peer-asn=65112 \
--advertisement-mode=DEFAULT
وضعیت Peering BGP را با بلندگوی On prem BGP تأیید کنید
از دستور gcloud برای تأیید وضعیت جفت BGP با روتر داخلی و مشاهده مسیرهایی که روتر ابری NCC Gateway به شبکه داخلی ارسال میکند، استفاده کنید.
gcloud compute routers get-status ncc-gw-usc1-cr \
--region=us-central1
* *
--format="yaml(result.bgpPeerStatus)"
خروجی:
مطمئن شوید که وضعیت BGP "ایجاد شده" است.
result:
bgpPeerStatus:
- advertisedRoutes:
- destRange: 10.100.2.0/23
kind: compute#route
nextHopIp: 169.254.111.217
nextHopOrigin: INCOMPLETE
priority: 100
routeType: BGP
enableIpv4: true
enableIpv6: false
ipAddress: 169.254.111.217
md5AuthEnabled: false
name: bgp-vl2029-ead1
numLearnedRoutes: 2
peerIpAddress: 169.254.111.218
state: Established
status: UP
uptime: 6 minutes, 27 seconds
uptimeSeconds: '387'
- advertisedRoutes:
- destRange: 10.100.2.0/23
kind: compute#route
nextHopIp: 169.254.112.217
nextHopOrigin: INCOMPLETE
priority: 100
routeType: BGP
enableIpv4: true
enableIpv6: false
ipAddress: 169.254.112.217
md5AuthEnabled: false
name: bgp-vl3029-ead2
numLearnedRoutes: 1
peerIpAddress: 169.254.112.218
state: Established
status: UP
uptime: 1 minutes, 35 seconds
uptimeSeconds: '95'
از دستور gcloud برای مشاهده مسیرهایی که روتر ابری NCC Gateway از شبکه داخلی دریافت میکند، استفاده کنید:
gcloud compute routers get-status ncc-gw-usc1-cr \
--region=us-central1 \
--format="yaml(result.bestRoutes)"
خروجی:
result:
bestRoutes:
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T10:02:44.265-07:00'
destRange: 172.16.0.0/16
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.111.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T09:54:04.340-07:00'
destRange: 3.3.3.0/24
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.111.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T09:58:56.189-07:00'
destRange: 4.4.4.0/24
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.112.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
پیشوندهای سفارشی GCP را به On Prem** اعلام کنید، زیرا مسیرهای زیرشبکه به طور خودکار اعلام میشوند. شما میتوانید یک مسیر «خلاصه» برای پیشوندهای سفارشی خود اعلام کنید.**
cloud compute routers update ncc-gw-usc1-cr \
--project=cloudnet-demo \
--region=us-central1 \
--advertisement-mode custom \
--set-advertisement-groups=all_subnets \
--set-advertisement-ranges="10.1.0.0/16"
خروجی:
Updating router [ncc-gw-usc1-cr]...done.
۵. ادغام SSE شخص ثالث با دروازه NCC
اتصال دسترسی امن (Secure Access Connect ) قابلیتی است که به شما امکان میدهد محصولات Security Service Edge (SSE) شخص ثالث را به NCC Gateway متصل کنید تا ترافیک ورودی و خروجی را ایمن کنید. وظیفه اصلی آن ایجاد ارتباط بین GCP و یک ارائهدهنده SSE شخص ثالث است.
در این بخش، برای فعالسازی و پیکربندی سرویس پروکسی SSE در دروازه NCC، وارد Strata Cloud Manager خواهید شد.
این سرویس از دو منبع اصلی تشکیل شده است:
- Secure Access Connect Realm: یک منبع جهانی که پروژه Google Cloud شما را به سرویس SSE متصل میکند. این منبع یک فضای سیاست امنیتی مشترک برای گروهی از VPCها یا کاربران ایجاد میکند و به ارائهدهنده SSE نشان میدهد که کدام دروازهها باید توسط همان مجموعه سیاستهای امنیتی اداره شوند.
- پیوست اتصال دسترسی امن: یک منبع منطقی منطقهای که به صورت فیزیکی دروازه NCC را قادر میسازد تا ترافیک را با سرویس SSE پردازش کند. این منبع، فرادادههای لازم برای ایجاد اعتماد و اتصال با پشته SSE شریک را در خود جای داده است.
ایجاد یک قلمرو اتصال دسترسی امن
gcloud beta network-security secure-access-connect realms create codelab-sac-realm \
--security-service=prisma-access
کلید جفتسازی را شناسایی کنید
برای مرتبط کردن قلمرو اتصال دسترسی امن با Prisma Access، به کلید جفتسازی نیاز دارید. این رشتهی الفبایی-عددی برای پیکربندی و آمادهسازی دروازهی SSE از طریق پورتال وب Strata Cloud Manager استفاده خواهد شد.
gcloud beta network-security secure-access-connect realms describe codelab-sac-realm
createTime: '2026-04-21T13:48:53.760262401Z'
name: projects/"${projectname}"/locations/global/sacRealms/codelab-cden
pairingKey:
expireTime: '2026-04-28T13:48:51.107221733Z'
key: 2a52a7e2-7c95-4dc7-9155-c3234976fad4
securityService: PALO_ALTO_PRISMA_ACCESS
state: PENDING_PARTNER_ATTACHMENT
updateTime: '2026-04-21T13:48:55.874553834Z'
ایجاد قلمرو شرکا با WAN ابری مدیریتشده در Prisma Access
- به Strata Cloud Manager وارد شوید، مطمئن شوید که از مستاجر دروازه SSE اختصاص داده شده خود استفاده میکنید.
- برای اتصال قلمرو SAC به مستاجر شریک، به مسیر زیر بروید
تنظیمات سیستم -> یکپارچهسازیها -> WANهای ابری مدیریتشده و
روی « اتصال » کلیک کنید
- کلید جفتسازی قلمرو SAC را در کادر محاورهای «اتصال حساب دروازه گوگل NCC» وارد کنید. برای شروع ایجاد قلمرو، روی « تأیید » کلیک کنید.
چند دقیقه طول میکشد تا وضعیت NCC Gateway به «متصل» بهروزرسانی شود.
در پوسته ابری GCP، از دستور gcloud برای یافتن کلید جفتسازی مرتبط با قلمرو SAC استفاده کنید.
gcloud beta network-security secure-access-connect realms describe codelab-sac-realm
همچنین میتوانید کلید جفتسازی را در کنسول GCP مشاهده کنید.
با رفتن به مسیر زیر، خوشه NCC Gateway SSE را به عنوان اتصال Cloud WAN مدیریتشده اضافه کنید.
پیکربندی > فایروال نسل جدید و دسترسی به پریسما > روی «محدوده پیکربندی» کلیک کنید و در بخش «دسترسی به پریسما» « شبکه راه دور» را انتخاب کنید.
در صفحه مرور کلی، روی « تنظیمات » کلیک کنید و « اتصالات WAN ابری مدیریتشده » را انتخاب کنید.
روی «افزودن سایت مدیریتشدهی Cloud WAN» کلیک کنید.
فعال کردن نمونه SSE در دروازه NCC
به کنسول GCP بروید، از دستور gcloud برای ایجاد یک پیوست Secure Access Connect استفاده کنید.
gcloud alpha network-security secure-access-connect attachments create codelab-sac-attachment-usc1 \
--location=us-central1 \
--realm=codelab-sac-realm \
--gateway=cl-ncc-gw-usc-sp
ایجاد درگاه همکاری
پارامترهای اتصال WAN ابری مدیریتشده را وارد کنید.
- نام سایت — یک نام منحصر به فرد برای اتصال وارد کنید.
- **نوع سرویس—**گوگل NCC Gateway را به عنوان نوع سرویس انتخاب کنید.
- نام اتصال — محل سرویس GCP را که هنگام فعالسازی و ایجاد پیوست N CC Gateway SAC ایجاد کردهاید، انتخاب کنید.
- مکان محاسباتی Prisma Access — مکان محاسباتی را که میخواهید ادغام NCC Gateway با Prisma Access در آن مستقر شود، انتخاب کنید.
- پهنای باند (Mbps) —پهنای باند مورد نظر برای تخصیص را بر حسب مگابیت در ثانیه انتخاب کنید. حداکثر پهنای باندی که میتوانید اختصاص دهید 10000 مگابیت در ثانیه (10 گیگابیت در ثانیه) است.
حداکثر سرعتی که میتوانید اختصاص دهید 10000 مگابیت بر ثانیه (10 گیگابیت بر ثانیه) است.
وقتی تمام شد، روی « ذخیره» کلیک کنید
همگامسازی پیکربندی نمونه SSE درگاه NCC
برای ایجاد نمونه SSE شریک روی پره دروازه NCC، گزینه «Push Config» را انتخاب کنید.
با کلیک روی « Push Config» و انتخاب « Jobs»، پیشرفت را زیر نظر داشته باشید. منتظر بمانید تا تمام «Result» برای Job خاص شما تکمیل شود.
وقتی کارتان تمام شد، روی « انجام شد» کلیک کنید.
وضعیت دروازه SSE شریک را با رفتن به Configuration > NGFW and Prisma Access > Configuration Scope > Prisma Access > Remote Networks > Setup > Managed Cloud WAN Connections بررسی کنید.
Prisma Access به طور خودکار پیکربندی BGP مربوط به Managed Cloud WAN Connection را فراهم میکند.
۶. مسیر داده را از طریق NCC Gateway تأیید کنید
به کنسول GCP Cloud Shell خود بروید
برای مشاهده مسیرهای تبلیغشده از درگاه اسپوک، از دستور gcloud استفاده کنید:
gcloud beta network-connectivity spokes gateways advertised-routes list --region=us-central1
به آدرس "vm1-vpc1-ncc**"** از طریق SSH متصل شوید و TCP dump را برای ردیابی بستههای ICMP از **" vm2-vpc2-ncc."** آغاز کنید. یادآوری میشود که این ماشین مجازی روی VPC2 قرار دارد.
vm1-vpc1-ncc
sudo tcpdump -i any icmp -v -e -n
یک جلسه SSH به "vm1-vpc2-ncc**"** برقرار کنید و آدرس IP "vm1-vpc1-ncc" را "پینگ" کنید.
vm1-vpc2-ncc
ping 10.1.1.2
خروجی:
شما باید ردپای زیر را روی vm1-vpc1-ncc ببینید.
برای آزمایش دسترسیپذیری On-prem، دستور curl را روی VM-1 به سرور HTTP On-prem اجرا کنید.
vm1-vpc1-ncc
curl 172.16.101.11 -vv
خروجی:
یک جلسه SSH به "vm1-vpc2-ncc**"** برقرار کنید و آدرس IP "1.1.1.1" را "پینگ" کنید.
vm1-vpc2-ncc
ping 1.1.1.1
خروجی:
پینگها کار نمیکنند زیرا باید در Prisma(Strata Cloud Manager) مجاز باشند. بیایید این را فعال کنیم!
به Strata Cloud Manager —-> Configuration —-> NGFW and Prisma Access بروید، تصویر زیر را مشاهده خواهید کرد:::
در بالا سمت چپ، منوی کشویی سراسری را فشار دهید و "شبکههای راه دور" را انتخاب کنید، سپس روی زبانه "خدمات امنیتی" کلیک کنید و "سیاست امنیتی" را انتخاب کنید، به پایین مراجعه کنید:::
روی Add rule در بالا سمت راست کلیک کنید و یک rule با عنوان "allow icmp" ایجاد کنید تا ترافیک icmp بین vm1-vpc2-ncc و 1.1.1.1 مجاز باشد. پس از انجام این کار، روی "Push Config" در بالا سمت راست کلیک کنید.
برای اطمینان از ارسال موفقیتآمیز پیکربندی، حتماً Jobها را ببینید. روی Push Config —-> Jobs کلیک کنید.
پس از موفقیتآمیز بودن کار، دوباره پینگ را از vm1-vpc2-ncc امتحان کنید.
موفق باشید!!! شما با موفقیت این آزمایشگاه کد را به پایان رساندید!
۷. تمیز کردن آزمایشگاه
پیوستهای VLAN را حذف کنید
gcloud compute interconnects attachments delete vl2024-ead1 \
--region=us-central1 \
--quiet
gcloud compute interconnects attachments delete vl3026-ead2 \
--region=us-central1 \
--quiet
رابط bgp و همتای bgp روتر NCC Gateway Cloud را حذف کنید.
gcloud compute routers remove-bgp-peer ncc-gw-usc1-cr \
--peer-name=bgp-vl2024-ead1 \
--region=us-central1
gcloud compute routers remove-interface ncc-gw-usc1-cr \
--interface-name=if-vl3026-ead2 \
--region=us-central1
ncc-gw-usc1-cr و ncc-gw-usc1-cr را حذف کنید
gcloud compute routers delete ncc-gw-usc1-cr \
--region=us-central1 \
--quiet
مسیرهای تبلیغشدهی گیتوی را حذف کنید
gcloud beta network-connectivity spokes gateways advertised-routes delete ncc-gw-usc1-cr \
--region=us-central1 \
--spoke=cl-ncc-gw-usw-sp \
حذف پرههای NCC VPC
gcloud network-connectivity spokes delete vpc1-sp --global --quiet
gcloud network-connectivity spokes delete vpc2-sp --global --quiet
gcloud network-connectivity spokes delete vpc3-sp --global --quiet
حذف درگاه NCC-spoke
gcloud network-connectivity spokes delete cl-ncc-gw-usc-sp --region=us-central1 \
--quiet
حذف قلمرو دسترسی امن
gcloud beta network-security secure-access-connect realms delete codelab-sac-realm --quie
تی
حذف مرکز NCC
gcloud network-connectivity hubs delete ncc-hub --quiet
حذف قوانین فایروال
gcloud compute firewall-rules delete ncc1-vpc-internal --quiet
gcloud compute firewall-rules delete ncc2-vpc-internal --quiet
gcloud compute firewall-rules delete ncc3-vpc-internal --quiet
gcloud compute firewall-rules delete ncc1-vpc-iap --quiet
gcloud compute firewall-rules delete ncc2-vpc-iap --quiet
gcloud compute firewall-rules delete ncc3-vpc-iap --quiet
حذف نمونههای GCE
gcloud compute instances delete vm1-vpc1-ncc --zone=us-central1-a --quiet
gcloud compute instances delete vm2-vpc2-ncc --zone=us-central1-a --quiet
gcloud compute instances delete vm1-vpc3-ncc --zone=us-east1-b --quiet
حذف زیرشبکههای VPC
gcloud compute networks subnets delete vpc1-ncc-subnet1 --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet2 --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet3 --region us-central1 --quiet
حذف VPC(ها)
gcloud compute networks delete vpc1-ncc vpc2-ncc vpc3-ncc vpc4-ncc, vpc5-ncc --quiet
۸. تبریک میگویم!
شما آزمایشگاه مرکز اتصال شبکه را به پایان رساندهاید!
آنچه را که پوشش دادید
- پیکربندی توپولوژی بازرسی ترکیبی NCC
- درگاه NCC صحبت کرد
- دروازه SSE شبکه پالو آلتو روی گوگل کلود
- PANW: مدیر فضای ابری Strata
مراحل بعدی