1. Introduction
Présentation
Dans cet atelier, les utilisateurs découvriront comment Network Connectivity Center (NCC) utilise la passerelle NCC pour établir une connectivité sécurisée. Les utilisateurs implémenteront Secure Access Connect pour intégrer des produits SSE (Security Service Edge) tiers, ce qui permettra une inspection et une protection robustes des flux de trafic. Cette configuration simplifie la gestion du réseau en proposant un modèle centralisé basé sur une passerelle pour sécuriser le trafic entrant et sortant des environnements Google Cloud.
Objectifs de l'atelier
Dans cet atelier de programmation, vous allez créer une topologie en étoile logique avec le hub NCC qui implémentera un tissu de connectivité VPC entièrement maillé sur trois VPC distincts.
Points abordés
- Topologie d'inspection hybride
- Passerelle NCC
- Secure Access Connect
- SSE Palo Alto Networks
Prérequis
- Connaissances sur le réseau VPC GCP
- Connaissances sur Cloud Router et le routage BGP
- Cet atelier de programmation nécessite cinq VPC. L'un de ces VPC doit résider dans un projet distinct du hub NCC.
- Vérifiez votre quota de réseaux et demandez des réseaux supplémentaires si nécessaire (voir la capture d'écran ci-dessous) :
Objectifs
- Configurer l'environnement GCP
- Configurer Network Connectivity Center pour l'inspection hybride
- Provisionner Palo Alto Network Stratacloud Manager pour SSE
- Valider le chemin d'accès aux données
- Explorer les fonctionnalités de maintenance de NCC
- Nettoyer les ressources utilisées
Avant de commencer
console Google Cloud et Cloud Shell
Pour interagir avec GCP, nous utiliserons à la fois la console Google Cloud et Cloud Shell tout au long de cet atelier.
Console Google Cloud du projet Hub NCC
La console Cloud est accessible à l'adresse https://console.cloud.google.com.
Configurez les éléments suivants dans Google Cloud pour faciliter la configuration de Network Connectivity Center :
Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.
Remarque : Si vous ne comptez pas conserver les ressources créées dans cette procédure, créez un projet au lieu d'en sélectionner un existant. Après avoir suivi ces étapes, vous pouvez supprimer le projet. Cela entraîne la suppression de toutes les ressources qui lui sont associées.
Lancez le Cloud Shell. Cet atelier de programmation utilise des $variables pour faciliter l'implémentation de la configuration gcloud dans Cloud Shell.
gcloud auth list
gcloud config list project
gcloud config set project [HUB-PROJECT-ID]
projectname=[HUB-PROJECT-ID]
echo $projectname
gcloud config set compute/zone us-central1-a
gcloud config set compute/region us-central1
Rôles IAM
NCC nécessite des rôles IAM pour accéder à des API spécifiques. Assurez-vous d'attribuer à votre utilisateur les rôles IAM NCC requis.
Rôle/Description | Autorisations |
| networkconnectivity.hubs.networkconnectivity.spokes.networkconnectivity.gatewaynetworkconnectivity.locations. |
| networkconnectivity.gatewayAdvertisedRoutes.networkconnectivity.groups. networkconnectivity.hubRouteTables.networkconnectivity.hubRoutes.networkconnectivity.hubs. networkconnectivity.locations. networkconnectivity.operations.* networkconnectivity.spokes.*resourcemanager.projects.getresourcemanager.projects.list |
| networkconnectivity.gatewayAdvertisedRoutes.getnetworkconnectivity.gatewayAdvertisedRoutes.listnetworkconnectivity.groups.getnetworkconnectivity.groups.getIamPolicynetworkconnectivity.groups.listnetworkconnectivity.hubRouteTables.getnetworkconnectivity.hubRouteTables.getIamPolicynetworkconnectivity.hubRouteTables.listnetworkconnectivity.hubRoutes.getnetworkconnectivity.hubRoutes.getIamPolicynetworkconnectivity.hubRoutes.listnetworkconnectivity.hubs.getnetworkconnectivity.hubs.getIamPolicynetworkconnectivity.hubs.listnetworkconnectivity.hubs.listSpokesnetworkconnectivity.hubs.queryStatus networkconnectivity.locations.*networkconnectivity.spokes.getnetworkconnectivity.spokes.getIamPolicynetworkconnectivity.spokes.listresourcemanager.projects.getresourcemanager.projects.list |
2. Configurer l'environnement réseau
Dans cette section, nous allons déployer les réseaux VPC et les règles de pare-feu dans un seul projet. Le schéma logique illustre l'environnement réseau qui sera configuré lors de cette étape.
Créer les VPC et les sous-réseaux
Le réseau VPC contient des sous-réseaux dans lesquels vous installerez la VM GCE pour la validation du chemin de données.
gcloud compute networks create vpc1-ncc --subnet-mode custom
gcloud compute networks create vpc2-ncc --subnet-mode custom
gcloud compute networks create vpc3-ncc --subnet-mode custom
gcloud compute networks subnets create vpc1-ncc-subnet1 \
--network vpc1-ncc \
--range 10.1.1.0/24 \
--region us-central1
gcloud compute networks subnets create vpc2-ncc-subnet1 \
--network vpc2-ncc \
--range 10.1.2.0/24 \
--region us-central1
gcloud compute networks subnets create vpc3-ncc-subnet1 \
--network vpc3-ncc \
--range 10.1.3.0/24 \
--region us-central1
Configurer des règles de pare-feu VPC
Configurer des règles de pare-feu sur chaque VPC pour autoriser
- SSH
- IAP interne
- Plage 10.0.0.0/8
gcloud compute firewall-rules create ncc1-vpc-internal \
--network vpc1-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc2-vpc-internal \
--network vpc2-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc3-vpc-internal \
--network vpc3-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc1-vpc-iap \
--network vpc1-ncc \
--allow all \
--source-ranges 35.235.240.0/20
gcloud compute firewall-rules create ncc2-vpc-iap \
--network vpc2-ncc \
--allow=tcp:22 \
--source-ranges 35.235.240.0/20
gcloud compute firewall-rules create ncc3-vpc-iap \
--network vpc3-ncc \
--allow=tcp:22 \
--source-ranges 35.235.240.0/20
Configurer une VM GCE dans chaque VPC
Vous aurez besoin d'un accès Internet temporaire pour installer des packages sur "vm1-vpc1-ncc".
Créez quatre machines virtuelles. Chacune d'elles sera attribuée à l'un des VPC créés précédemment.
gcloud compute instances create vm1-vpc1-ncc \
--subnet vpc1-ncc-subnet1 \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc1-vm1</h3>" | tee /var/www/html/index.html'
gcloud compute instances create vm1-vpc2-ncc \
--zone us-central1-a \
--subnet vpc2-ncc-subnet1 \
--no-address \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc2-vm2</h3>" | tee /var/www/html/index.html'
gcloud compute instances create vm1-vpc3-ncc \
--zone us-central1-a \
--subnet vpc3-ncc-subnet1 \
--no-address \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc3-vm3</h3>" | tee /var/www/html/index.html'
3. Topologie d'inspection hybride NCC
Dans cette section, nous allons déployer le hub Network Connectivity Center pour la topologie d'inspection hybride. La topologie d'inspection hybride NCC implémente des règles de spoke NCC prédéfinies pour prendre en charge spécifiquement la passerelle NCC. Le schéma logique illustre l'environnement réseau qui sera configuré lors de cette étape.
Hub NCC pour l'inspection des spokes hybrides
Lorsque vous créez un hub NCC, utilisez l'indicateur "-preset-topology=hybrid-inspection" pour créer quatre groupes de types de spokes NCC. Voici les quatre types de spokes NCC :
Groupes : passerelles | Les rayons de passerelle servent de points d'entrée et de sortie régionaux pour les flux de trafic entrant dans Google Cloud depuis des environnements sur site ou d'autres clouds. Elles facilitent l'inspection du trafic via des services SSE tiers tels que Palo Alto Networks ou Symantec. Remarque : Il s'agit du seul groupe pouvant contenir des spokes de passerelle NCC dans cette topologie. |
Groupes : services | Ce groupe sert de "hub" pour les ressources partagées. Les spokes de ce groupe sont connectés à tous les autres groupes de spokes (production, non production et passerelles). VPC de services partagés (par exemple, pour la journalisation, l'authentification, la surveillance ou les outils courants) |
Groupes : prod | Cas d'utilisation : allouer des VPC d'application de production contenant des charges de travail critiques (VM, clusters GKE). |
Groups:non-prod | Ressources attribuées : VPC d'application hors production utilisés pour les environnements de développement, de test ou de préproduction. |
Configurer le hub NCC pour utiliser la topologie prédéfinie d'inspection hybride
gcloud beta network-connectivity hubs create cl-hi-hub \ --preset-topology=hybrid-inspection
Exemple de résultat :
Create request issued for: [cl-hi-hub]
Waiting for operation [projects/"${projectname}"/locations/global/operations/operation-1759424304217-6402fe4a97da0-5de6
e5a1-2ea2de02] to complete...done.
Created hub [cl-hi-hub].
Utilisez la commande gcloud pour vérifier la table de routage prédéfinie du hub NCC :
gcloud network-connectivity hubs describe cl-hi-hub
Exemple de résultat :
createTime: '2026-02-18T16:14:45.828597880Z'
exportPsc: false
name: projects/"${projectname}"/locations/global/hubs/cl-hi-hub
policyMode: PRESET
routeTables:
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/gateways
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/non-prod
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/prod
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/services
spokeSummary:
state: ACTIVE
uniqueId: c0fbb826-173b-42dd-a5d2-00c2aa66fed8
updateTime: '2026-04-21T19:13:50.269721594Z'
Les spokes NCC peuvent être ajoutés à un groupe pour appliquer des règles de flux de trafic. Un ou plusieurs spokes NCC ne peuvent appartenir qu'à un seul groupe. Pour cette version, une topologie prédéfinie spécifique appelée HYBRID-INSPECTION introduit quatre groupes : gateways, prod, non-prod et services.
Toutes les ressources de passerelle NCC (y compris leurs connexions hybrides) font partie du groupe de passerelles. Les spokes du groupe de passerelles pourront communiquer entre eux, et le trafic entre les passerelles et les autres groupes de spokes pourra être inspecté (en fonction de la configuration des règles de service).
Règles de connectivité des groupes de spokes NCC
Groupe de sources | Accès autorisé | Accès impossible (restreint) |
Groupe de services | passerelles, production, non-production, services | Aucun |
Groupe de production | passerelles, services, spokes de production | spokes hors production |
Groupe hors production | passerelles, services, spokes non destinés à la production | Spokes de production |
Groupe de passerelles | passerelles, services, prod, non-prod | Aucun |
Utilisez la commande gcloud pour lister les groupes prédéfinis sur le hub NCC.
gcloud network-connectivity hubs groups list --hub cl-hi-hub --project "${projectname}"
Exemple de résultat :
NAME HUB DESCRIPTION
gateways cl-hi-hub
non-prod cl-hi-hub
prod cl-hi-hub
services cl-hi-hub
Dans la console Web, accédez à "Connectivité réseau" > "Network Connectivity Center", puis sélectionnez "cl-hi-hub" pour afficher la configuration du hub NCC.
VPC de charge de travail 2 en tant que spoke dans le groupe NCC : prod
Utilisez la commande gcloud pour configurer le VPC de charge de travail 3 en tant que spoke (de charge de travail) et attribuer le spoke au groupe "prod".
gcloud network-connectivity spokes linked-vpc-network create vpc2-sp \
--hub=cl-hi-hub \
--description=codelab-vpc2-ncc-spoke \
--vpc-network=vpc2-ncc \
--global \
--group=prod
Exemple de résultat
Create request issued for: [vpc2-sp]
Waiting for operation [projects/"${projectname}"/locations/global/operations/operation-1776966793852-650245286757a-766d806c-1bc4fabe] to complete...done.
Created spoke [vpc2-sp].
createTime: '2026-04-23T17:53:14.083783233Z'
description: codelab-vpc2-ncc-spoke
etag: '2'
group: projects/"${projectname}"/locations/global/hubs/cl-hi-hub/groups/prod
hub: projects/"${projectname}"/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/"${projectname}"/global/networks/vpc-ncc2
name: projects/"${projectname}"/locations/global/spokes/vpc2-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: 92972784-e4ed-47e5-be22-08a516a39b0c
updateTime: '2026-04-23T17:53:55.029481722Z'
Utilisez la commande gcloud pour afficher les préfixes dans la table de routage "prod" du hub NCC.
gcloud network-connectivity hubs route-tables routes list --hub=cl-hi-hub --route_table=prod
Exemple de résultat
IP_CIDR_RANGE: 10.1.2.0/24
PRIORITY:
LOCATION: us-central1
STATE: ACTIVE
TYPE: VPC_PRIMARY_SUBNET
SITE_TO_SITE: N/A
NEXT_HOP: vpc2-ncc
HUB: cl-hi-hub
ROUTE_TABLE: prod
Configurer le VPC de charge de travail 3 en tant que spoke dans le groupe NCC : non-prod
Utilisez la commande gcloud pour configurer le VPC de charge de travail 3 en tant que spoke (de charge de travail) et attribuer le spoke au groupe group:non-prod.
gcloud network-connectivity spokes linked-vpc-network create vpc3-sp \
--hub=cl-hi-hub \
--description=codelab-vpc3-ncc-spoke \
--vpc-network=vpc3-ncc \
--global \
--group=non-prod
Exemple de résultat
Create request issued for: [vpc3-sp]
Waiting for operation [projects/cloudnet-demo/locations/global/operations/operation-1778757016454-651c5241b83fe-18b62f78-02d70f9a] to complete...done.
Created spoke [vpc3-sp].
createTime: '2026-05-14T11:10:16.758117151Z'
description: codelab-vpc3-ncc-spoke
etag: '2'
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/non-prod
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/cloudnet-demo/global/networks/vpc3-ncc
name: projects/cloudnet-demo/locations/global/spokes/vpc3-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: efe8cfed-d77f-4636-aaae-898e73897b49
updateTime: '2026-05-14T11:10:52.880508489Z'
Utilisez la commande gcloud pour afficher les préfixes dans la table de routage "prod" du hub NCC.
gcloud network-connectivity hubs route-tables routes list --hub=cl-hi-hub --route_table=prod
Exemple de résultat
IP_CIDR_RANGE: 10.1.2.0/24
PRIORITY:
LOCATION: us-central1
STATE: ACTIVE
TYPE: VPC_PRIMARY_SUBNET
SITE_TO_SITE: N/A
NEXT_HOP: vpc2-ncc
HUB: cl-hi-hub
ROUTE_TABLE: prod
Configurez le VPC de charge de travail 1 en tant que spoke dans le groupe NCC :services.
Utilisez la commande gcloud pour configurer le VPC de charge de travail 1 en tant que spoke (de charge de travail) et attribuer le spoke au groupe : services
gcloud network-connectivity spokes linked-vpc-network create vpc1-sp \
--hub=cl-hi-hub \
--description=codelab-vpc1-ncc-spoke \
--vpc-network=vpc1-ncc \
--global \
--group=services
Exemple de résultat
Create request issued for: [vpc1-sp]
Waiting for operation [projects/cloudnet-demo/locations/global/operations/operation-1778758397065-651c57665f795-1af6d94f-942c9ebd] to complete...done.
Created spoke [vpc1-sp].
createTime: '2026-05-14T11:33:17.359361160Z'
description: codelab-vpc1-ncc-spoke
etag: '2'
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/services
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/cloudnet-demo/global/networks/vpc1-ncc
name: projects/cloudnet-demo/locations/global/spokes/vpc1-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: 82b29a2b-50cb-4557-8b12-3345f5a36ad6
updateTime: '2026-05-14T11:33:55.914406863Z'
Configurer un spoke de passerelle NCC pour les passerelles SSE dans us-central1
Utilisez la commande gcloud pour créer un spoke de passerelle NCC dans us-central1 :
gcloud beta network-connectivity spokes gateways create cl-ncc-gw-usc-sp \
--region=us-central1 \
--hub=cl-hi-hub \
--capacity=1g \
--ip-range-reservations=10.100.0.0/23 \
--group=gateways
Exemple de résultat
Create request issued for: [cl-ncc-gw-usc-sp]
Waiting for operation [projects/cloudnet-demo/locations/us-central1/operations/operation-1778758907555-651c594d36fc5-783a8d5d-8d3e341b] to complete...done.
Created spoke [cl-ncc-gw-usc-sp].
createTime: '2026-05-14T11:41:48.066042872Z'
etag: '2'
gateway:
capacity: CAPACITY_1_GBPS
ipRangeReservations:
- ipRange: 10.100.0.0/23
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/gateways
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
name: projects/cloudnet-demo/locations/us-central1/spokes/cl-ncc-gw-usc-sp
spokeType: GATEWAY
state: ACTIVE
uniqueId: ffe8e2b7-c864-4279-9d21-ca72d87083fe
updateTime: '2026-05-14T11:44:08.787947523Z'
Utilisez la commande gcloud pour lister les rayons NCC :
gcloud network-connectivity spokes list
Exemple de résultat
NAME: vpc2-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: prod
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc2-ncc-spoke
NAME: vpc3-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: non-prod
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc3-ncc-spoke
NAME: vpc1-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: services
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc1-ncc-spoke
NAME: cl-ncc-gw-usc-sp
LOCATION: us-central1
HUB: cl-hi-hub
GROUP: gateways
TYPE:
RESOURCE COUNT: 1
DATA TRANSFER: Off
DESCRIPTION:
Examinez les spokes NCC configurés sur le hub NCC "cl-hi-hub" :
Annoncer les préfixes IP de la passerelle NCC au hub NCC
Configurez la passerelle NCC pour qu'elle annonce des préfixes spécifiques à la table de routage du hub NCC.
gcloud beta network-connectivity spokes gateways advertised-routes create example-dot-com \
--ip-range=1.1.1.1/32 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create google-dot-com \
--ip-range=173.194.204.101/32 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create branch \
--ip-range=192.168.1.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create prod \
--ip-range=192.168.11.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create non-prod \
--ip-range=192.168.12.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
Utiliser la commande gcloud pour lister les routes annoncées provenant du spoke de la passerelle
gcloud beta network-connectivity spokes gateways advertised-routes list --region=us-central1
Exemple de résultat :
Examiner les routes annoncées du spoke de passerelle NCC
Dans la console Web, accédez à Connectivité réseau > Network Connectivity Center, puis sélectionnez l'onglet Rayons et cliquez sur cl-ncc-gw-usc-sp.
4. Connexions hybrides Cloud Interconnect
Au moment de la rédaction de ce document, la passerelle NCC n'est compatible qu'avec les interconnexions Google Cloud. La passerelle NCC utilise un VPC mondial et des routeurs Cloud Router dans le projet locataire Google pour mettre fin aux sessions d'appairage BGP et de rattachement de VLAN.
Bien que le schéma montre une paire d'interconnexions Cloud Interconnect et de rattachements de VLAN logiquement connectés à une passerelle NCC, les composants sous-jacents qui mettent fin aux rattachements de VLAN sont les Cloud Router dans un VPC mondial de locataire géré par Google. Dans cette section, vous allez configurer un routeur cloud associé à la passerelle NCC pour gérer les sessions BGP pour la connectivité sur site.
Cloud Router spécifique à la passerelle NCC dans us-central1
Utilisez la commande gcloud pour configurer un routeur cloud spécifiquement pour la passerelle NCC.
gcloud beta compute routers create ncc-gw-usc1-cr \
--ncc-gateway=https://networkconnectivity.googleapis.com/v1/projects/"${projectid}"/locations/us-central1/spokes/cl-ncc-gw-usc-sp \
--asn=64666 \
--advertisement-mode=CUSTOM \
--set-advertisement-ranges=10.100.2.0/23 \
--region=us-central1
Exemple de résultat :
Creating router [ncc-gw-usc1-cr]...done.
NAME REGION NCC_GATEWAY
ncc-gw-usc1-cr us-central1 cl-ncc-gw-usc-sp
- NCC_GW_NAME : URI complet du spoke de passerelle NCC. Le format de l'URI suit ce modèle : https://networkconnectivity.googleapis.com/v1/projects/"${projectid}"/locations/REGION/spokes/GATEWAY_SPOKE_NAME
- ADVERTISED_IP_RANGES : plages d'adresses IP à annoncer aux réseaux sur site pour attirer le trafic vers Google Cloud.
Exécuter cette commande gcloud pour lister le routeur qui vient d'être créé
gcloud compute routers list --filter="region:(us-central1)"
Notez que le routeur Cloud n'est pas associé à un VPC.
NAME REGION NETWORK
ncc-gw-usc1-cr us-central1 N/A
Créez des rattachements de VLAN à partir d'une interconnexion Cloud Interconnect dédiée existante qui sera utilisée comme interface sur le routeur Cloud Router. L'exemple de configuration ci-dessous utilise une adresse IP locale comme plage de sous-réseau candidate. Une adresse hôte spécifique de cette plage sera utilisée pour configurer le peering BGP.
gcloud compute interconnects attachments dedicated create vl2029-ead1 \
--region=us-central1 \
--interconnect=projects/some-interconnect-project/global/interconnects/interconnect-lab-sea26-zone1 \
--router=ncc-gw-usc1-cr \
--vlan=2024 \
--bandwidth=500m \
--mtu=1440 \
--candidate-subnets=169.254.222.216/29
Created [https://www.googleapis.com/compute/v1/projects/"${projectname}"/regions/us-central1/interconnectAttachments/vl2029-ead1].
gcloud compute interconnects attachments dedicated create vl3029-ead2 \
--region=us-central1 \
--interconnect=projects/some-interconnect-project/global/interconnects/interconnect-lab-sea26-zone2 \
--router=ncc-gw-usc1-cr \
--vlan=3026 \
--bandwidth=500m \
--mtu=1440 \
--candidate-subnets=169.254.220.184/29
Created [https://www.googleapis.com/compute/v1/projects/"${projectname}"/regions/us-central1/interconnectAttachments/vl3029-ead2].
Configurer le routeur Cloud Router de la passerelle NCC dans us-central1 avec une interface
Utilisez la commande gcloud pour associer le rattachement de VLAN créé dans us-central au routeur Cloud Router de la passerelle NCC.
gcloud compute routers add-interface ncc-gw-usc1-cr \
--region=us-central1 \
--interface-name=if-vl2029-ead1 \
--interconnect-attachment=vl2029-ead1
Résultat :
Updated [https://www.googleapis.com/compute/v1/projects/cloudnet-demo/regions/us-central1/routers/ncc-gw-usc1-cr].
Configurez le pair BGP pour le rattachement de VLAN créé ci-dessus.
Utilisez la commande gcloud ci-dessous pour activer l'appairage BGP sur l'interface Cloud Router.
gcloud compute routers add-bgp-peer ncc-gw-usc1-cr \
--region=us-central1 \
--peer-name=bgp-vl2029-ead1 \
--interface=if-vl2029-ead1 \
--peer-asn=65112 \
--advertisement-mode=DEFAULT
Résultat :
Creating peer [bgp-vl2029-ead1] in router [ncc-gw-usc1-cr]...done.
Configurez le routeur Cloud Router de la passerelle NCC dans us-central1 avec une deuxième interface de rattachement de VLAN.
Utilisez la commande gcloud pour ajouter le deuxième rattachement de VLAN en tant qu'interface au routeur Cloud Router de la passerelle NCC.
gcloud compute routers add-interface ncc-gw-usc1-cr \
--region=us-central1 \
--interface-name=if-vl3029-ead2 \
--interconnect-attachment=vl3029-ead2
Résultat :
Updated [https://www.googleapis.com/compute/v1/projects/cloudnet-demo/regions/us-central1/routers/ncc-gw-usc1-cr]
Utilisez la commande gcloud ci-dessous pour activer l'appairage BGP sur l'interface Cloud Router.
gcloud compute routers add-bgp-peer ncc-gw-usc1-cr \
--region=us-central1 \
--peer-name=bgp-vl3029-ead2 \
--interface=if-vl3029-ead2 \
--peer-asn=65112 \
--advertisement-mode=DEFAULT
Vérifier l'état de l'appairage BGP avec le routeur BGP sur site
Utilisez la commande gcloud pour vérifier l'état du pair BGP avec le routeur sur site et pour voir les routes que le routeur Cloud Router de la passerelle NCC envoie au réseau sur site.
gcloud compute routers get-status ncc-gw-usc1-cr \
--region=us-central1
**
--format="yaml(result.bgpPeerStatus)"
Résultat :
Assurez-vous que l'état BGP est "Établi".
result:
bgpPeerStatus:
- advertisedRoutes:
- destRange: 10.100.2.0/23
kind: compute#route
nextHopIp: 169.254.111.217
nextHopOrigin: INCOMPLETE
priority: 100
routeType: BGP
enableIpv4: true
enableIpv6: false
ipAddress: 169.254.111.217
md5AuthEnabled: false
name: bgp-vl2029-ead1
numLearnedRoutes: 2
peerIpAddress: 169.254.111.218
state: Established
status: UP
uptime: 6 minutes, 27 seconds
uptimeSeconds: '387'
- advertisedRoutes:
- destRange: 10.100.2.0/23
kind: compute#route
nextHopIp: 169.254.112.217
nextHopOrigin: INCOMPLETE
priority: 100
routeType: BGP
enableIpv4: true
enableIpv6: false
ipAddress: 169.254.112.217
md5AuthEnabled: false
name: bgp-vl3029-ead2
numLearnedRoutes: 1
peerIpAddress: 169.254.112.218
state: Established
status: UP
uptime: 1 minutes, 35 seconds
uptimeSeconds: '95'
Utilisez la commande gcloud pour afficher les routes que le routeur Cloud Router de la passerelle NCC reçoit du réseau sur site :
gcloud compute routers get-status ncc-gw-usc1-cr \
--region=us-central1 \
--format="yaml(result.bestRoutes)"
Résultat :
result:
bestRoutes:
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T10:02:44.265-07:00'
destRange: 172.16.0.0/16
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.111.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T09:54:04.340-07:00'
destRange: 3.3.3.0/24
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.111.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T09:58:56.189-07:00'
destRange: 4.4.4.0/24
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.112.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
Annoncez les préfixes personnalisés GCP à On Prem**, car les routes de sous-réseau sont automatiquement annoncées. Vous pouvez annoncer une route "récapitulative" pour vos préfixes personnalisés**.
cloud compute routers update ncc-gw-usc1-cr \
--project=cloudnet-demo \
--region=us-central1 \
--advertisement-mode custom \
--set-advertisement-groups=all_subnets \
--set-advertisement-ranges="10.1.0.0/16"
Résultat :
Updating router [ncc-gw-usc1-cr]...done.
5. Intégrer un SSE tiers à la passerelle NCC
Secure Access Connect est une fonctionnalité qui vous permet de connecter des produits SSE (Security Service Edge) tiers à la passerelle NCC pour sécuriser le trafic entrant et sortant. Sa fonction principale est d'établir un lien entre GCP et un fournisseur SSE tiers.
Dans cette section, vous allez vous connecter à Strata Cloud Manager pour activer et configurer le service de proxy SSE dans la passerelle NCC.
Le service se compose de deux ressources principales :
- Domaine Secure Access Connect : ressource globale qui associe votre projet Google Cloud au service SSE. Il établit un espace de règles de sécurité partagé pour un groupe de VPC ou d'utilisateurs, en indiquant au fournisseur SSE les passerelles qui doivent être régies par le même ensemble de règles de sécurité.
- Rattachement Secure Access Connect : ressource logique régionale qui permet physiquement à la passerelle NCC de traiter le trafic avec le service SSE. Il contient les métadonnées nécessaires pour établir la confiance et la connectivité avec la pile SSE du partenaire.
Créer un domaine Secure Access Connect
gcloud beta network-security secure-access-connect realms create codelab-sac-realm \
--security-service=prisma-access
Identifier la clé d'association
Pour associer le domaine Secure Access Connect à Prisma Access, vous aurez besoin de la clé d'association. Cette chaîne alphanumérique sera utilisée pour configurer et provisionner la passerelle SSE via le portail Web Strata Cloud Manager.
gcloud beta network-security secure-access-connect realms describe codelab-sac-realm
createTime: '2026-04-21T13:48:53.760262401Z'
name: projects/"${projectname}"/locations/global/sacRealms/codelab-cden
pairingKey:
expireTime: '2026-04-28T13:48:51.107221733Z'
key: 2a52a7e2-7c95-4dc7-9155-c3234976fad4
securityService: PALO_ALTO_PRISMA_ACCESS
state: PENDING_PARTNER_ATTACHMENT
updateTime: '2026-04-21T13:48:55.874553834Z'
Créer le domaine partenaire avec Managed Cloud WAN dans Prisma Access
- Connectez-vous à Strata Cloud Manager et assurez-vous d'utiliser le locataire de passerelle SSE qui vous a été attribué.
- Pour associer le domaine SAC au locataire partenaire, accédez à
Paramètres système > Intégrations > WAN Cloud gérés
Cliquez sur Connecter.
- Saisissez la clé d'association du domaine SAC dans la boîte de dialogue "Associer le compte de passerelle NCC Google". Cliquez sur Confirmer pour commencer à créer le domaine.
La mise à jour de l'état de la passerelle NCC sur "Connectée" prend quelques minutes.
Dans GCP Cloud Shell, utilisez la commande gcloud pour trouver la clé d'association associée au domaine SAC.
gcloud beta network-security secure-access-connect realms describe codelab-sac-realm
Vous pouvez également afficher la clé d'association dans la console GCP.
Ajoutez le cluster SSE de la passerelle NCC en tant que connexion Cloud WAN gérée en accédant à
Configuration > NGFW et Prisma Access > Cliquez sur "Configuration Scope" (Étendue de la configuration), puis sélectionnez "Remote Network" (Réseau distant) dans la section "Prisma Access".
Sur la page "Présentation", cliquez sur Configurer, puis sélectionnez Connexions Cloud WAN gérées.
Cliquez sur Add Managed Cloud WAN Site (Ajouter un site Cloud WAN géré).
Activer l'instance SSE dans la passerelle NCC
Passez à la console GCP, puis utilisez la commande gcloud pour créer une pièce jointe Secure Access Connect.
gcloud alpha network-security secure-access-connect attachments create codelab-sac-attachment-usc1 \
--location=us-central1 \
--realm=codelab-sac-realm \
--gateway=cl-ncc-gw-usc-sp
Créer la passerelle partenaire
Saisissez les paramètres de la connexion Cloud WAN gérée.
- Nom du site : saisissez un nom unique pour la connexion.
- **Type de service** : sélectionnez "Google NCC Gateway" comme type de service.
- Nom de la connexion : sélectionnez l'emplacement du service GCP que vous avez créé lors de l'activation et de la création du rattachement SAC de la passerelle NCC.
- Emplacement de calcul Prisma Access : sélectionnez l'emplacement de calcul où vous souhaitez déployer l'intégration de la passerelle NCC à Prisma Access.
- Bande passante (Mbit/s) : sélectionnez la bande passante à allouer en Mbit/s. La bande passante maximale que vous pouvez allouer est de 10 000 Mbit/s (10 Gbit/s).
La bande passante maximale que vous pouvez allouer est de 10 000 Mbit/s (10 Gbit/s).
Lorsque vous avez terminé, cliquez sur Enregistrer.
Synchroniser la configuration de l'instance SSE de la passerelle NCC
Sélectionnez Push Config pour créer l'instance SSE partenaire sur le spoke de passerelle NCC.
Pour surveiller la progression, cliquez sur Configuration push, puis sélectionnez Tâches. Attendez que tous les "Résultats" de votre job spécifique soient terminés.
Lorsque vous avez terminé, cliquez sur OK.
Vérifiez l'état de la passerelle SSE du partenaire en accédant à Configuration > NGFW et Prisma Access > Étendue de la configuration > Prisma Access > Réseaux distants > Configuration > Connexions Cloud WAN gérées.
Prisma Access provisionne automatiquement la configuration BGP de la connexion Managed Cloud WAN.
6. Vérifier le chemin d'accès aux données via la passerelle NCC
Passez à la console GCP Cloud Shell.
Utilisez la commande gcloud pour afficher les routes annoncées provenant du spoke de passerelle :
gcloud beta network-connectivity spokes gateways advertised-routes list --region=us-central1
Connectez-vous en SSH à "vm1-vpc1-ncc**"** et lancez tcpdump pour tracer les paquets ICMP provenant de **" vm2-vpc2-ncc."** Pour rappel, cette VM réside sur le VPC2.
vm1-vpc1-ncc
sudo tcpdump -i any icmp -v -e -n
Établissez une session SSH vers "vm1-vpc2-ncc**"** et "pinguez" l'adresse IP de "vm1-vpc1-ncc".
vm1-vpc2-ncc
ping 10.1.1.2
Résultat :
La trace ci-dessous devrait s'afficher sur vm1-vpc1-ncc.
Exécuter une commande curl sur la VM-1 vers le serveur HTTP sur site pour tester l'accessibilité sur site
vm1-vpc1-ncc
curl 172.16.101.11 -vv
Résultat :
Établissez une session SSH vers "vm1-vpc2-ncc**"** et pinguez l'adresse IP "1.1.1.1".
vm1-vpc2-ncc
ping 1.1.1.1
Résultat :
Les pings ne fonctionnent pas, car ils doivent être autorisés dans Prisma(Strata Cloud Manager). Activons-le !
Accédez à Strata Cloud Manager > Configuration > NGFW et Prisma Access. Vous verrez ce qui suit :
En haut à gauche, appuyez sur le menu déroulant "Global", puis sélectionnez "Réseaux distants". Cliquez ensuite sur l'onglet "Services de sécurité", puis sélectionnez "Stratégie de sécurité". Voir ci-dessous :
Cliquez sur "Add rule" (Ajouter une règle) en haut à droite, puis créez une règle "allow icmp" (autoriser icmp) pour autoriser le trafic icmp entre vm1-vpc2-ncc et 1.1.1.1. Une fois terminé, cliquez sur "Push Config" (Envoyer la configuration) en haut à droite.
Consultez les tâches pour vous assurer que la configuration a bien été envoyée. Cliquez sur Push Config > Jobs.
Une fois le job réussi, effectuez à nouveau un test ping depuis vm1-vpc2-ncc.
OPÉRATION RÉUSSIE !!! Vous avez terminé cet atelier de programmation.
7. Libérer de l'espace dans l'atelier
Supprimer les rattachements de VLAN
gcloud compute interconnects attachments delete vl2024-ead1 \
--region=us-central1 \
--quiet
gcloud compute interconnects attachments delete vl3026-ead2 \
--region=us-central1 \
--quiet
Supprimer le pair BGP et l'interface BGP du Cloud Router de la passerelle NCC
gcloud compute routers remove-bgp-peer ncc-gw-usc1-cr \
--peer-name=bgp-vl2024-ead1 \
--region=us-central1
gcloud compute routers remove-interface ncc-gw-usc1-cr \
--interface-name=if-vl3026-ead2 \
--region=us-central1
Supprimer ncc-gw-usc1-cr et ncc-gw-usc1-cr
gcloud compute routers delete ncc-gw-usc1-cr \
--region=us-central1 \
--quiet
Supprimer les routes annoncées de passerelle
gcloud beta network-connectivity spokes gateways advertised-routes delete ncc-gw-usc1-cr \
--region=us-central1 \
--spoke=cl-ncc-gw-usw-sp \
Supprimer les spokes VPC NCC
gcloud network-connectivity spokes delete vpc1-sp --global --quiet
gcloud network-connectivity spokes delete vpc2-sp --global --quiet
gcloud network-connectivity spokes delete vpc3-sp --global --quiet
Supprimer le spoke ncc-gateway
gcloud network-connectivity spokes delete cl-ncc-gw-usc-sp --region=us-central1 \
--quiet
Supprimer le domaine d'accès sécurisé
gcloud beta network-security secure-access-connect realms delete codelab-sac-realm --quie
t
Supprimer le hub NCC
gcloud network-connectivity hubs delete ncc-hub --quiet
Supprimer des règles de pare-feu
gcloud compute firewall-rules delete ncc1-vpc-internal --quiet
gcloud compute firewall-rules delete ncc2-vpc-internal --quiet
gcloud compute firewall-rules delete ncc3-vpc-internal --quiet
gcloud compute firewall-rules delete ncc1-vpc-iap --quiet
gcloud compute firewall-rules delete ncc2-vpc-iap --quiet
gcloud compute firewall-rules delete ncc3-vpc-iap --quiet
Supprimer des instances GCE
gcloud compute instances delete vm1-vpc1-ncc --zone=us-central1-a --quiet
gcloud compute instances delete vm2-vpc2-ncc --zone=us-central1-a --quiet
gcloud compute instances delete vm1-vpc3-ncc --zone=us-east1-b --quiet
Supprimer des sous-réseaux VPC
gcloud compute networks subnets delete vpc1-ncc-subnet1 --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet2 --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet3 --region us-central1 --quiet
Supprimer le ou les VPC
gcloud compute networks delete vpc1-ncc vpc2-ncc vpc3-ncc vpc4-ncc, vpc5-ncc --quiet
8. Félicitations !
Vous avez terminé l'atelier Network Connectivity Center.
Sujets abordés
- Configurer la topologie d'inspection hybride NCC
- Spoke de passerelle NCC
- Passerelle SSE Palo Alto Networks sur Google Cloud
- PANW : Strata Cloud Manager
Étapes suivantes