1. מבוא
סקירה כללית
בשיעור ה-Lab הזה, המשתמשים יבדקו איך Network Connectivity Center (NCC) משתמש ב-NCC Gateway כדי ליצור קישוריות מאובטחת. המשתמשים יטמיעו את Secure Access Connect כדי לשלב מוצרי Security Service Edge (SSE) של צד שלישי, וכך יאפשרו בדיקה והגנה חזקות של זרימות התנועה. ההגדרה הזו מפשטת את ניהול הרשת, כי היא מציעה מודל מרכזי מבוסס-שער לאבטחת התנועה שנכנסת לסביבות Google Cloud ויוצאת מהן.
מה תפַתחו
בשיעור Codelab הזה תיצרו טופולוגיה לוגית של רכזת ו-Spoke עם רכזת NCC שתטמיע רשת קישוריות של VPC עם רשת מלאה בשלוש רשתות VPC נפרדות.
מה תלמדו
- טופולוגיה של בדיקה היברידית
- NCC Gateway
- Secure Access Connect
- Palo Alto Network SSE
הדרישות
- ידע ברשת VPC של GCP
- ידע ב-Cloud Router ובניתוב BGP
- בשיעור Codelab הזה נדרשים 5 רשתות VPC. אחת מרשתות ה-VPC האלה צריכה להיות בפרויקט נפרד ממרכז ה-NCC
- בודקים את המיכסה:רשתות ומבקשים להוסיף רשתות נוספות אם צריך. צילום מסך בהמשך:
מטרות
- הגדרת סביבת GCP
- הגדרת Network Connectivity Center לבדיקה היברידית
- הקצאת Palo Alto Network Stratacloud Manager ל-SSE
- אימות נתיב הנתונים
- תכונות השירות של NCC
- פינוי משאבים שהיו בשימוש
לפני שמתחילים
מסוף Google Cloud ו-Cloud Shell
במהלך שיעור ה-Lab הזה נשתמש גם במסוף Google Cloud וגם ב-Cloud Shell כדי ליצור אינטראקציה עם GCP.
פרויקט NCC Hub במסוף Google Cloud
אפשר להיכנס ל-Cloud Console בכתובת https://console.cloud.google.com.
כדי להקל על הגדרת Network Connectivity Center, צריך להגדיר את הפריטים הבאים ב-Google Cloud:
במסוף Google Cloud, בדף לבחירת הפרויקט בענן, בוחרים פרויקט בענן או יוצרים פרויקט בענן חדש.
הערה: אם אתם לא מתכננים לשמור את המשאבים שתיצרו בתהליך הזה, תוכלו ליצור פרויקט חדש במקום לבחור באחד מהפרויקטים הקיימים. בסיום התהליך תוכלו למחוק את הפרויקט ולהסיר את כל המשאבים שקשורים אליו.
מפעילים את Cloud Shell. ב-Codelab הזה נעשה שימוש ב-$variables כדי לעזור בהטמעה של הגדרות gcloud ב-Cloud Shell.
gcloud auth list
gcloud config list project
gcloud config set project [HUB-PROJECT-ID]
projectname=[HUB-PROJECT-ID]
echo $projectname
gcloud config set compute/zone us-central1-a
gcloud config set compute/region us-central1
תפקידי IAM
כדי לגשת לממשקי API ספציפיים, צריך להקצות תפקידים ב-IAM ל-NCC. חשוב להקפיד להגדיר את המשתמש עם תפקידי ה-IAM של NCC לפי הצורך.
תפקיד/תיאור | הרשאות |
| networkconnectivity.hubs.networkconnectivity.spokes.networkconnectivity.gatewaynetworkconnectivity.locations. |
| networkconnectivity.gatewayAdvertisedRoutes.networkconnectivity.groups. networkconnectivity.hubRouteTables.networkconnectivity.hubRoutes.networkconnectivity.hubs. networkconnectivity.locations. networkconnectivity.operations.* networkconnectivity.spokes.*resourcemanager.projects.getresourcemanager.projects.list |
| networkconnectivity.gatewayAdvertisedRoutes.getnetworkconnectivity.gatewayAdvertisedRoutes.listnetworkconnectivity.groups.getnetworkconnectivity.groups.getIamPolicynetworkconnectivity.groups.listnetworkconnectivity.hubRouteTables.getnetworkconnectivity.hubRouteTables.getIamPolicynetworkconnectivity.hubRouteTables.listnetworkconnectivity.hubRoutes.getnetworkconnectivity.hubRoutes.getIamPolicynetworkconnectivity.hubRoutes.listnetworkconnectivity.hubs.getnetworkconnectivity.hubs.getIamPolicynetworkconnectivity.hubs.listnetworkconnectivity.hubs.listSpokesnetworkconnectivity.hubs.queryStatus networkconnectivity.locations.*networkconnectivity.spokes.getnetworkconnectivity.spokes.getIamPolicynetworkconnectivity.spokes.listresourcemanager.projects.getresourcemanager.projects.list |
2. הגדרת סביבת הרשת
בקטע הזה נסביר איך לפרוס את רשתות ה-VPC ואת כללי חומת האש בפרויקט יחיד. בתרשים הלוגי מוצגת סביבת הרשת שתוגדר בשלב הזה.
יצירת רשתות ה-VPC ותת-הרשתות
רשת ה-VPC מכילה רשתות משנה שבהן תתקינו מכונה וירטואלית ב-GCE לצורך אימות נתיב הנתונים
gcloud compute networks create vpc1-ncc --subnet-mode custom
gcloud compute networks create vpc2-ncc --subnet-mode custom
gcloud compute networks create vpc3-ncc --subnet-mode custom
gcloud compute networks subnets create vpc1-ncc-subnet1 \
--network vpc1-ncc \
--range 10.1.1.0/24 \
--region us-central1
gcloud compute networks subnets create vpc2-ncc-subnet1 \
--network vpc2-ncc \
--range 10.1.2.0/24 \
--region us-central1
gcloud compute networks subnets create vpc3-ncc-subnet1 \
--network vpc3-ncc \
--range 10.1.3.0/24 \
--region us-central1
הגדרת כללים של חומת אש של VPC
מגדירים כללים של חומת אש בכל VPC כדי לאפשר
- SSH
- רכישות פנימיות מתוך האפליקציה
- טווח 10.0.0.0/8
gcloud compute firewall-rules create ncc1-vpc-internal \
--network vpc1-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc2-vpc-internal \
--network vpc2-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc3-vpc-internal \
--network vpc3-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc1-vpc-iap \
--network vpc1-ncc \
--allow all \
--source-ranges 35.235.240.0/20
gcloud compute firewall-rules create ncc2-vpc-iap \
--network vpc2-ncc \
--allow=tcp:22 \
--source-ranges 35.235.240.0/20
gcloud compute firewall-rules create ncc3-vpc-iap \
--network vpc3-ncc \
--allow=tcp:22 \
--source-ranges 35.235.240.0/20
הגדרת מכונה וירטואלית של GCE בכל VPC
תצטרכו גישה זמנית לאינטרנט כדי להתקין חבילות ב-vm1-vpc1-ncc.
יוצרים ארבע מכונות וירטואליות, ולכל מכונה וירטואלית מוקצה אחד מ-VPC שנוצרו קודם.
gcloud compute instances create vm1-vpc1-ncc \
--subnet vpc1-ncc-subnet1 \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc1-vm1</h3>" | tee /var/www/html/index.html'
gcloud compute instances create vm1-vpc2-ncc \
--zone us-central1-a \
--subnet vpc2-ncc-subnet1 \
--no-address \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc2-vm2</h3>" | tee /var/www/html/index.html'
gcloud compute instances create vm1-vpc3-ncc \
--zone us-central1-a \
--subnet vpc3-ncc-subnet1 \
--no-address \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc3-vm3</h3>" | tee /var/www/html/index.html'
3. טופולוגיית בדיקה היברידית של NCC
בקטע הזה נפרוס את Network Connectivity Center Hub לטופולוגיית בדיקה היברידית. טופולוגיית הבדיקה ההיברידית של NCC מטמיעה מדיניות spoke מוגדרת מראש של NCC כדי לתמוך באופן ספציפי ב-NCC Gateway. בתרשים הלוגי מוצגת סביבת הרשת שתוגדר בשלב הזה.
NCC Hub for Hybrid Spoke Inspection
כשיוצרים מרכז NCC, משתמשים בדגל "-preset-topology=hybrid-inspection" כדי ליצור ארבע קבוצות של סוגי רכזות NCC. ארבעת הסוגים של מרכזי NCC כוללים:
קבוצות:שערי מעבר | רכזות שער משמשות כנקודות כניסה ויציאה אזוריות לזרימות תעבורה שנכנסות ל-Google Cloud ממיקום מקומי או מעננים אחרים. הם מאפשרים בדיקת תעבורה באמצעות שירותי SSE של צד שלישי, כמו Palo Alto Networks או Symantec. הערה: זו הקבוצה היחידה שיכולה להכיל רכזות של NCC Gateway בטופולוגיה הזו |
קבוצות:שירותים | הקבוצה הזו משמשת כמרכז למשאבים משותפים. לקבוצות מסוג Spokes בקבוצה הזו יש קישוריות לכל שאר הקבוצות מסוג Spokes (ייצור, לא ייצור ושערים). רשתות VPC של שירותים משותפים (למשל, לרישום ביומן, לאימות, למעקב או לכלים משותפים) |
קבוצות:prod | תרחיש שימוש: הקצאת רשתות VPC של אפליקציות בסביבת הייצור שמכילות עומסי עבודה קריטיים (מכונות וירטואליות, אשכולות GKE). |
קבוצות:non-prod | משאבים שהוקצו: עננים וירטואליים פרטיים (VPC) של אפליקציות שאינן בסביבת ייצור, שמשמשים לפיתוח, לבדיקה או לסביבות Staging. |
הגדרת Hub של NCC לשימוש בטופולוגיה מוגדרת מראש של בדיקה היברידית
gcloud beta network-connectivity hubs create cl-hi-hub \ --preset-topology=hybrid-inspection
פלט לדוגמה
Create request issued for: [cl-hi-hub]
Waiting for operation [projects/"${projectname}"/locations/global/operations/operation-1759424304217-6402fe4a97da0-5de6
e5a1-2ea2de02] to complete...done.
Created hub [cl-hi-hub].
משתמשים בפקודת gcloud כדי לאמת את טבלת הניתוב המוגדרת מראש של מרכז ה-NCC:
gcloud network-connectivity hubs describe cl-hi-hub
פלט לדוגמה
createTime: '2026-02-18T16:14:45.828597880Z'
exportPsc: false
name: projects/"${projectname}"/locations/global/hubs/cl-hi-hub
policyMode: PRESET
routeTables:
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/gateways
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/non-prod
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/prod
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/services
spokeSummary:
state: ACTIVE
uniqueId: c0fbb826-173b-42dd-a5d2-00c2aa66fed8
updateTime: '2026-04-21T19:13:50.269721594Z'
אפשר להוסיף רכזות NCC לקבוצה כדי להחיל מדיניות של זרימת תנועה. כל רכזת NCC יכולה להיות חלק מקבוצה אחת בלבד. בגרסה הזו, טופולוגיה מוגדרת מראש בשם HYBRID-INSPECTION מציגה 4 קבוצות: gateways, prod, non-prod ו-services.
כל המשאבים של שער NCC (כולל החיבורים ההיברידיים שלהם) הם חלק מקבוצת השערים. ה-Spokes בקבוצת השערים יוכלו לתקשר ביניהם, ותעבורת הנתונים בין השערים לבין קבוצות Spokes אחרות תהיה כשירה לבדיקה (בהתאם להגדרת מדיניות השירות).
NCC Spoke Group Connectivity Rules
קבוצת מקורות | יכול לגשת (מותר) | אין גישה (מוגבל) |
קבוצת שירותים | שערי גישה, ייצור, לא ייצור, שירותים | ללא |
קבוצת מוצרים | שערים, שירותים, מרכזי ייצור | non-prod spokes |
קבוצה שאינה קבוצת ייצור | שערי מעבר, שירותים, מרכזי תקשורת שאינם בסביבת ייצור | prod spokes |
Gateways Group | שערי גישה, שירותים, ייצור, לא ייצור | ללא |
משתמשים בפקודת gcloud כדי להציג את הקבוצות שהוגדרו מראש ב-NCC Hub
gcloud network-connectivity hubs groups list --hub cl-hi-hub --project "${projectname}"
פלט לדוגמה
NAME HUB DESCRIPTION
gateways cl-hi-hub
non-prod cl-hi-hub
prod cl-hi-hub
services cl-hi-hub
במסוף האינטרנט, עוברים אל 'קישוריות לרשת' > Network Connectivity Center> בוחרים באפשרות cl-hi-hub כדי לראות את ההגדרה של ה-hub ב-NCC.
Workload VPC2 בתור Spoke בקבוצת NCC: prod
משתמשים בפקודת gcloud כדי להגדיר את עומס העבודה VPC3 כ-spoke (עומס עבודה) ולהקצות את ה-spoke לקבוצה:prod
gcloud network-connectivity spokes linked-vpc-network create vpc2-sp \
--hub=cl-hi-hub \
--description=codelab-vpc2-ncc-spoke \
--vpc-network=vpc2-ncc \
--global \
--group=prod
פלט לדוגמה
Create request issued for: [vpc2-sp]
Waiting for operation [projects/"${projectname}"/locations/global/operations/operation-1776966793852-650245286757a-766d806c-1bc4fabe] to complete...done.
Created spoke [vpc2-sp].
createTime: '2026-04-23T17:53:14.083783233Z'
description: codelab-vpc2-ncc-spoke
etag: '2'
group: projects/"${projectname}"/locations/global/hubs/cl-hi-hub/groups/prod
hub: projects/"${projectname}"/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/"${projectname}"/global/networks/vpc-ncc2
name: projects/"${projectname}"/locations/global/spokes/vpc2-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: 92972784-e4ed-47e5-be22-08a516a39b0c
updateTime: '2026-04-23T17:53:55.029481722Z'
משתמשים בפקודת gcloud כדי להציג את הקידומות בטבלת הניתוב 'prod' של מרכז ה-NCC.
gcloud network-connectivity hubs route-tables routes list --hub=cl-hi-hub --route_table=prod
פלט לדוגמה
IP_CIDR_RANGE: 10.1.2.0/24
PRIORITY:
LOCATION: us-central1
STATE: ACTIVE
TYPE: VPC_PRIMARY_SUBNET
SITE_TO_SITE: N/A
NEXT_HOP: vpc2-ncc
HUB: cl-hi-hub
ROUTE_TABLE: prod
הגדרת עומס העבודה VPC3 כ-Spoke בקבוצת NCC: non-prod
משתמשים בפקודת gcloud כדי להגדיר את עומס העבודה VPC3 כ-spoke (עומס עבודה) ולהקצות את ה-spoke לקבוצה:non-prod
gcloud network-connectivity spokes linked-vpc-network create vpc3-sp \
--hub=cl-hi-hub \
--description=codelab-vpc3-ncc-spoke \
--vpc-network=vpc3-ncc \
--global \
--group=non-prod
פלט לדוגמה
Create request issued for: [vpc3-sp]
Waiting for operation [projects/cloudnet-demo/locations/global/operations/operation-1778757016454-651c5241b83fe-18b62f78-02d70f9a] to complete...done.
Created spoke [vpc3-sp].
createTime: '2026-05-14T11:10:16.758117151Z'
description: codelab-vpc3-ncc-spoke
etag: '2'
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/non-prod
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/cloudnet-demo/global/networks/vpc3-ncc
name: projects/cloudnet-demo/locations/global/spokes/vpc3-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: efe8cfed-d77f-4636-aaae-898e73897b49
updateTime: '2026-05-14T11:10:52.880508489Z'
משתמשים בפקודת gcloud כדי להציג את הקידומות בטבלת הניתוב 'prod' של מרכז ה-NCC.
gcloud network-connectivity hubs route-tables routes list --hub=cl-hi-hub --route_table=prod
פלט לדוגמה
IP_CIDR_RANGE: 10.1.2.0/24
PRIORITY:
LOCATION: us-central1
STATE: ACTIVE
TYPE: VPC_PRIMARY_SUBNET
SITE_TO_SITE: N/A
NEXT_HOP: vpc2-ncc
HUB: cl-hi-hub
ROUTE_TABLE: prod
הגדרת עומס העבודה VPC1 בתור Spoke בקבוצת NCC:services
משתמשים בפקודת gcloud כדי להגדיר את עומס העבודה VPC1 כ-spoke (עומס עבודה) ולהקצות את ה-spoke לקבוצה:services
gcloud network-connectivity spokes linked-vpc-network create vpc1-sp \
--hub=cl-hi-hub \
--description=codelab-vpc1-ncc-spoke \
--vpc-network=vpc1-ncc \
--global \
--group=services
פלט לדוגמה
Create request issued for: [vpc1-sp]
Waiting for operation [projects/cloudnet-demo/locations/global/operations/operation-1778758397065-651c57665f795-1af6d94f-942c9ebd] to complete...done.
Created spoke [vpc1-sp].
createTime: '2026-05-14T11:33:17.359361160Z'
description: codelab-vpc1-ncc-spoke
etag: '2'
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/services
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/cloudnet-demo/global/networks/vpc1-ncc
name: projects/cloudnet-demo/locations/global/spokes/vpc1-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: 82b29a2b-50cb-4557-8b12-3345f5a36ad6
updateTime: '2026-05-14T11:33:55.914406863Z'
הגדרת רכזת של שער NCC עבור שערי SSE באזור us-central1
משתמשים בפקודת gcloud כדי ליצור רכזת NCC Gateway באזור us-central1:
gcloud beta network-connectivity spokes gateways create cl-ncc-gw-usc-sp \
--region=us-central1 \
--hub=cl-hi-hub \
--capacity=1g \
--ip-range-reservations=10.100.0.0/23 \
--group=gateways
פלט לדוגמה
Create request issued for: [cl-ncc-gw-usc-sp]
Waiting for operation [projects/cloudnet-demo/locations/us-central1/operations/operation-1778758907555-651c594d36fc5-783a8d5d-8d3e341b] to complete...done.
Created spoke [cl-ncc-gw-usc-sp].
createTime: '2026-05-14T11:41:48.066042872Z'
etag: '2'
gateway:
capacity: CAPACITY_1_GBPS
ipRangeReservations:
- ipRange: 10.100.0.0/23
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/gateways
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
name: projects/cloudnet-demo/locations/us-central1/spokes/cl-ncc-gw-usc-sp
spokeType: GATEWAY
state: ACTIVE
uniqueId: ffe8e2b7-c864-4279-9d21-ca72d87083fe
updateTime: '2026-05-14T11:44:08.787947523Z'
משתמשים בפקודת gcloud כדי להציג רשימה של מרכזי NCC:
gcloud network-connectivity spokes list
פלט לדוגמה
NAME: vpc2-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: prod
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc2-ncc-spoke
NAME: vpc3-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: non-prod
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc3-ncc-spoke
NAME: vpc1-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: services
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc1-ncc-spoke
NAME: cl-ncc-gw-usc-sp
LOCATION: us-central1
HUB: cl-hi-hub
GROUP: gateways
TYPE:
RESOURCE COUNT: 1
DATA TRANSFER: Off
DESCRIPTION:
בודקים את מרכזי ה-NCC מסוג Spokes שמוגדרים במרכז ה-NCC מסוג Hub cl-hi-hub:
פרסום קידומות של כתובות IP מ-NCC Gateway ל-NCC Hub
מגדירים את NCC Gateway כך שיפרסם קידומות ספציפיות בטבלת הניתוב של NCC Hub.
gcloud beta network-connectivity spokes gateways advertised-routes create example-dot-com \
--ip-range=1.1.1.1/32 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create google-dot-com \
--ip-range=173.194.204.101/32 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create branch \
--ip-range=192.168.1.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create prod \
--ip-range=192.168.11.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create non-prod \
--ip-range=192.168.12.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
שימוש בפקודה gcloud כדי להציג את המסלולים שפורסמו שמקורם ב-spoke של השער
gcloud beta network-connectivity spokes gateways advertised-routes list --region=us-central1
פלט לדוגמה
בדיקת המסלולים שפורסמו ב-NCC Gateway spoke
במסוף האינטרנט, עוברים אל Network Connectivity > Network Connectivity Center > בוחרים בכרטיסייה Spokes ולוחצים על cl-ncc-gw-usc-sp.
4. חיבורים היברידיים של Cloud Interconnect
בזמן כתיבת המאמר הזה, NCC Gateway תומך רק בחיבורי Interconnect של Google Cloud. שער NCC משתמש ב-VPC גלובלי ובנתבי Cloud Router בפרויקט הדייר של Google כדי לסיים את צירוף ל-VLAN ואת סשנים של קישור בין רשתות BGP שכנות (peering).
למרות שבתרשים מוצגים זוג Cloud Interconnect וצירופי VLAN שמחוברים באופן לוגי לשער NCC, רכיבי הבסיס שמסיימים את צירופי ה-VLAN הם Cloud Router ב-VPC הגלובלי של דייר שמנוהל על ידי Google. בקטע הזה תגדירו Cloud Router שמשויך ל-NCC Gateway כדי לנהל סשנים של BGP לקישוריות מקומית.
Cloud Router ספציפי ל-NCC Gateway באזור us-central1
משתמשים בפקודת gcloud כדי להגדיר Cloud Router במיוחד בשביל NCC Gateway.
gcloud beta compute routers create ncc-gw-usc1-cr \
--ncc-gateway=https://networkconnectivity.googleapis.com/v1/projects/"${projectid}"/locations/us-central1/spokes/cl-ncc-gw-usc-sp \
--asn=64666 \
--advertisement-mode=CUSTOM \
--set-advertisement-ranges=10.100.2.0/23 \
--region=us-central1
פלט לדוגמה
Creating router [ncc-gw-usc1-cr]...done.
NAME REGION NCC_GATEWAY
ncc-gw-usc1-cr us-central1 cl-ncc-gw-usc-sp
- NCC_GW_NAME: ה-URI המלא של רכזת NCC Gateway. הפורמט של ה-URI הוא: https://networkconnectivity.googleapis.com/v1/projects/"${projectid}"/locations/REGION/spokes/GATEWAY_SPOKE_NAME
- ADVERTISED_IP_RANGES: טווחי כתובות IP לפרסום ברשתות מקומיות כדי למשוך תנועה ל-Google Cloud.
משתמשים בפקודה הזו של gcloud כדי להציג את הנתב שנוצר
gcloud compute routers list --filter="region:(us-central1)"
שימו לב ש-Cloud Router לא משויך ל-VPC
NAME REGION NETWORK
ncc-gw-usc1-cr us-central1 N/A
יצירת קבצים מצורפים של VLAN מ-Cloud Interconnect ייעודי קיים שישמש כממשקי Cloud Router. הגדרת הדוגמה שבהמשך משתמשת בכתובת IP מקומית כטווח רשת משנה פוטנציאלי. כתובת מארח ספציפית מהטווח הזה תשמש להגדרת BGP peering.
gcloud compute interconnects attachments dedicated create vl2029-ead1 \
--region=us-central1 \
--interconnect=projects/some-interconnect-project/global/interconnects/interconnect-lab-sea26-zone1 \
--router=ncc-gw-usc1-cr \
--vlan=2024 \
--bandwidth=500m \
--mtu=1440 \
--candidate-subnets=169.254.222.216/29
Created [https://www.googleapis.com/compute/v1/projects/"${projectname}"/regions/us-central1/interconnectAttachments/vl2029-ead1].
gcloud compute interconnects attachments dedicated create vl3029-ead2 \
--region=us-central1 \
--interconnect=projects/some-interconnect-project/global/interconnects/interconnect-lab-sea26-zone2 \
--router=ncc-gw-usc1-cr \
--vlan=3026 \
--bandwidth=500m \
--mtu=1440 \
--candidate-subnets=169.254.220.184/29
Created [https://www.googleapis.com/compute/v1/projects/"${projectname}"/regions/us-central1/interconnectAttachments/vl3029-ead2].
הגדרת Cloud Router של שער NCC באזור us-central1 עם ממשק
משתמשים בפקודת gcloud כדי לשייך את צירוף ה-VLAN שנוצר באזור us-central ל-Cloud Router של שער NCC.
gcloud compute routers add-interface ncc-gw-usc1-cr \
--region=us-central1 \
--interface-name=if-vl2029-ead1 \
--interconnect-attachment=vl2029-ead1
פלט:
Updated [https://www.googleapis.com/compute/v1/projects/cloudnet-demo/regions/us-central1/routers/ncc-gw-usc1-cr].
מגדירים קישור בין רשתות שכנות באמצעות BGP לצירוף ל-VLAN שנוצר בשלב הקודם.
משתמשים בפקודת gcloud שבהמשך כדי להפעיל BGP Peering בממשק Cloud Router.
gcloud compute routers add-bgp-peer ncc-gw-usc1-cr \
--region=us-central1 \
--peer-name=bgp-vl2029-ead1 \
--interface=if-vl2029-ead1 \
--peer-asn=65112 \
--advertisement-mode=DEFAULT
פלט:
Creating peer [bgp-vl2029-ead1] in router [ncc-gw-usc1-cr]...done.
מגדירים את Cloud Router של NCC Gateway באזור us-central1 עם ממשק שני של צירוף ל-VLAN.
שימוש בפקודת gcloud כדי להוסיף את צירוף ה-VLAN השני כממשק ל-Cloud Router של NCC Gateway
gcloud compute routers add-interface ncc-gw-usc1-cr \
--region=us-central1 \
--interface-name=if-vl3029-ead2 \
--interconnect-attachment=vl3029-ead2
פלט:
Updated [https://www.googleapis.com/compute/v1/projects/cloudnet-demo/regions/us-central1/routers/ncc-gw-usc1-cr]
משתמשים בפקודת gcloud שבהמשך כדי להפעיל BGP Peering בממשק Cloud Router.
gcloud compute routers add-bgp-peer ncc-gw-usc1-cr \
--region=us-central1 \
--peer-name=bgp-vl3029-ead2 \
--interface=if-vl3029-ead2 \
--peer-asn=65112 \
--advertisement-mode=DEFAULT
אימות סטטוס הקישור בין רשתות שכנות באמצעות BGP עם רמקול BGP מקומי
משתמשים בפקודה gcloud כדי לאמת את סטטוס עמית ה-BGP בנתב המקומי, וכדי לראות אילו מסלולים נשלחים מ-Cloud Router של NCC Gateway לרשת המקומית.
gcloud compute routers get-status ncc-gw-usc1-cr \
--region=us-central1
**
--format="yaml(result.bgpPeerStatus)"
פלט:
מוודאים שהסטטוס של BGP הוא Established.
result:
bgpPeerStatus:
- advertisedRoutes:
- destRange: 10.100.2.0/23
kind: compute#route
nextHopIp: 169.254.111.217
nextHopOrigin: INCOMPLETE
priority: 100
routeType: BGP
enableIpv4: true
enableIpv6: false
ipAddress: 169.254.111.217
md5AuthEnabled: false
name: bgp-vl2029-ead1
numLearnedRoutes: 2
peerIpAddress: 169.254.111.218
state: Established
status: UP
uptime: 6 minutes, 27 seconds
uptimeSeconds: '387'
- advertisedRoutes:
- destRange: 10.100.2.0/23
kind: compute#route
nextHopIp: 169.254.112.217
nextHopOrigin: INCOMPLETE
priority: 100
routeType: BGP
enableIpv4: true
enableIpv6: false
ipAddress: 169.254.112.217
md5AuthEnabled: false
name: bgp-vl3029-ead2
numLearnedRoutes: 1
peerIpAddress: 169.254.112.218
state: Established
status: UP
uptime: 1 minutes, 35 seconds
uptimeSeconds: '95'
משתמשים בפקודה gcloud כדי לראות אילו מסלולים מקבל Cloud Router של NCC Gateway מהרשת המקומית:
gcloud compute routers get-status ncc-gw-usc1-cr \
--region=us-central1 \
--format="yaml(result.bestRoutes)"
פלט:
result:
bestRoutes:
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T10:02:44.265-07:00'
destRange: 172.16.0.0/16
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.111.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T09:54:04.340-07:00'
destRange: 3.3.3.0/24
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.111.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T09:58:56.189-07:00'
destRange: 4.4.4.0/24
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.112.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
פרסום קידומות מותאמות אישית של GCP ב-On Prem**, כי מסלולי רשתות משנה מפורסמים באופן אוטומטי. יש לכם אפשרות לפרסם מסלול 'סיכום' לקידומות המותאמות אישית שלכם.**
cloud compute routers update ncc-gw-usc1-cr \
--project=cloudnet-demo \
--region=us-central1 \
--advertisement-mode custom \
--set-advertisement-groups=all_subnets \
--set-advertisement-ranges="10.1.0.0/16"
פלט:
Updating router [ncc-gw-usc1-cr]...done.
5. Integrating Third-Party SSE with the NCC Gateway
Secure Access Connect היא תכונה שמאפשרת לקשר מוצרי Security Service Edge (SSE) של צד שלישי ל-NCC Gateway כדי לאבטח תנועה נכנסת ויוצאת. התפקיד העיקרי שלו הוא ליצור קישור בין GCP לבין ספק SSE של צד שלישי.
בקטע הזה נכנסים ל-Strata Cloud Manager כדי להפעיל ולהגדיר את שירות ה-proxy של SSE ב-NCC Gateway.
השירות מורכב משני משאבים עיקריים:
- תחום של Secure Access Connect: משאב גלובלי שמקשר את הפרויקט שלכם בענן ב-Google Cloud לשירות SSE. היא יוצרת מרחב משותף של מדיניות אבטחה לקבוצה של רשתות VPC או משתמשים, ומציגה לספק ה-SSE אילו שערים צריכים להיות כפופים לאותה קבוצה של מדיניות אבטחה.
- Secure Access Connect Attachment: משאב לוגי אזורי שמאפשר פיזית ל-NCC Gateway לעבד תנועה באמצעות שירות ה-SSE. הוא מכיל את המטא-נתונים שנדרשים כדי לבסס אמון וקישוריות עם חבילת ה-SSE של השותף
יצירת תחום Secure Access Connect
gcloud beta network-security secure-access-connect realms create codelab-sac-realm \
--security-service=prisma-access
זיהוי מפתח ההתאמה
כדי לשייך את תחום secure access connect ל-Prisma Access, תצטרכו את מפתח ההתאמה. מחרוזת אלפאנומרית זו תשמש להגדרה ולהקצאה של שער ה-SSE דרך פורטל האינטרנט של Strata Cloud Manager.
gcloud beta network-security secure-access-connect realms describe codelab-sac-realm
createTime: '2026-04-21T13:48:53.760262401Z'
name: projects/"${projectname}"/locations/global/sacRealms/codelab-cden
pairingKey:
expireTime: '2026-04-28T13:48:51.107221733Z'
key: 2a52a7e2-7c95-4dc7-9155-c3234976fad4
securityService: PALO_ALTO_PRISMA_ACCESS
state: PENDING_PARTNER_ATTACHMENT
updateTime: '2026-04-21T13:48:55.874553834Z'
יצירת תחום השותף באמצעות Managed Cloud WAN ב-Prisma Access
- מתחברים אל Strata Cloud Manager ומוודאים שאתם משתמשים בדייר של שער ה-SSE שהוקצה לכם.
- כדי לחבר את תחום ה-SAC לדייר השותף, עוברים אל
System Settings -> Integrations -> Managed Cloud WANs (הגדרות המערכת > שילובים > רשתות WAN מנוהלות בענן) וגם
לוחצים על Connect (חיבור).
- בתיבת הדו-שיח Connect Google NCC Gateway Account (קישור חשבון שער Google NCC), מזינים את מפתח הצימוד של תחום ה-SAC. לוחצים על אישור כדי להתחיל ליצור את התחום.
יעברו כמה דקות עד שהסטטוס של NCC Gateway יתעדכן ל'מחובר'.
ב-GCP Cloud Shell, משתמשים בפקודה gcloud כדי למצוא את מפתח הצימוד שמשויך לתחום SAC.
gcloud beta network-security secure-access-connect realms describe codelab-sac-realm
אפשר גם לראות את מפתח הצימוד במסוף GCP
כדי להוסיף את אשכול ה-SSE של שער NCC כחיבור מנוהל של Cloud WAN, עוברים אל
Configuration (הגדרה) > NGFW and Prisma Access (חומת אש מהדור הבא ו-Prisma Access) > לוחצים על Configuration Scope (היקף ההגדרה) ובוחרים באפשרות Remote Network (רשת מרוחקת) בקטע Prisma Access.
בדף הסקירה הכללית, לוחצים על הגדרה ובוחרים באפשרות חיבורים מנוהלים של Cloud WAN.
לוחצים על הוספת אתר Cloud WAN מנוהל.
הפעלת מופע SSE בשער NCC
עוברים למסוף GCP ומשתמשים בפקודה gcloud כדי ליצור קובץ מצורף של Secure Access Connect.
gcloud alpha network-security secure-access-connect attachments create codelab-sac-attachment-usc1 \
--location=us-central1 \
--realm=codelab-sac-realm \
--gateway=cl-ncc-gw-usc-sp
יצירת שער השותפים
מזינים את הפרמטרים של חיבור ה-WAN המנוהל בענן.
- שם האתר – מזינים שם ייחודי לחיבור.
- **Service Type (סוג שירות) –**בוחרים באפשרות Google NCC Gateway (שער Google NCC) כסוג השירות.
- שם החיבור – בוחרים את מיקום שירות ה-GCP שיצרתם במהלך הפעלת שער N CC ויצירת קובץ מצורף של SAC.
- מיקום מחשוב של Prisma Access – בוחרים את מיקום המחשוב שבו רוצים לפרוס את השילוב של שער NCC עם Prisma Access.
- רוחב פס (Mbps) – בוחרים את רוחב הפס להקצאה ב-Mbps. הקצב המקסימלי שאפשר להקצות הוא 10,000Mbps (10Gbps)
הקצב המקסימלי שאפשר להקצות הוא 10,000Mbps (10Gbps).
כשמסיימים, לוחצים על שמירה.
סנכרון ההגדרה של מופע SSE של שער NCC
בוחרים באפשרות Push Config (הגדרת שליחה) כדי ליצור את מופע ה-SSE של השותף ב-NCC Gateway spoke.
כדי לעקוב אחרי ההתקדמות, לוחצים על Push Config (דחיפת ההגדרה) ובוחרים באפשרות Jobs (משימות). ממתינים עד שכל התוצאות של המשימה הספציפית יושלמו.
בסיום, לוחצים על סיום.
כדי לבדוק את הסטטוס של שער ה-SSE של השותף, עוברים אל Configuration (הגדרה) > NGFW and Prisma Access (NGFW ו-Prisma Access) > Configuration Scope (היקף ההגדרה) > Prisma Access > Remote Networks (רשתות מרוחקות) > Setup (הגדרה) > Managed Cloud WAN Connections (חיבורים מנוהלים ל-WAN בענן).
Prisma Access מקצה באופן אוטומטי את הגדרת ה-BGP של Managed Cloud WAN Connection.
6. אימות נתיב הנתונים דרך NCC Gateway
מעבר אל מסוף GCP Cloud Shell
משתמשים בפקודה gcloud כדי להציג את המסלולים שפורסמו שמקורם ב-spoke של השער:
gcloud beta network-connectivity spokes gateways advertised-routes list --region=us-central1
מתחברים ב-SSH אל vm1-vpc1-ncc**** ומפעילים TCP dump כדי לעקוב אחרי חבילות ICMP מ-**vm2-vpc2-ncc**. חשוב לזכור שהמכונה הווירטואלית הזו נמצאת ב-VPC2.
vm1-vpc1-ncc
sudo tcpdump -i any icmp -v -e -n
יוצרים סשן SSH ל-vm1-vpc2-ncc**** ומבצעים ping לכתובת ה-IP של vm1-vpc1-ncc.
vm1-vpc2-ncc
ping 10.1.1.2
פלט:
אמורה להופיע ההודעה הבאה ב-vm1-vpc1-ncc.
הפעלת פקודת curl ב-VM-1 לשרת HTTP מקומי כדי לבדוק את יכולת ההגעה (reachability) של השרת המקומי
vm1-vpc1-ncc
curl 172.16.101.11 -vv
פלט:
יוצרים סשן SSH ל-vm1-vpc2-ncc**** ומבצעים ping לכתובת ה-IP 1.1.1.1.
vm1-vpc2-ncc
ping 1.1.1.1
פלט:
הפינגים לא פועלים כי צריך לאפשר אותם ב-Prisma(Strata Cloud Manager). בואו נפעיל את זה!
עוברים אל Strata Cloud Manager —-> Configuration —-> NGFW and Prisma Access, you will see below:::
בפינה הימנית העליונה, לוחצים על התפריט הנפתח Global, בוחרים באפשרות Remote Networks, לוחצים על הכרטיסייה Security Services ובוחרים באפשרות Security Policy.
לוחצים על 'הוספת כלל' בפינה השמאלית העליונה ויוצרים כלל 'allow icmp' כדי לאפשר תנועת ICMP בין vm1-vpc2-ncc לבין 1.1.1.1. בסיום, לוחצים על 'Push Config' (דחיפת ההגדרה) בפינה השמאלית העליונה.
חשוב לבדוק את המשימות כדי לוודא שההגדרה נדחפה בהצלחה. לוחצים על Push Config (דחיפת הגדרה) —-> Jobs (משימות).
אחרי שהעבודה תסתיים בהצלחה, מריצים שוב בדיקת פינג מ-vm1-vpc2-ncc.
הצלחה!!! סיימתם את ה-Codelab הזה!
7. פינוי משאבים מסביבת שיעור ה-Lab
מחיקת הצירופים ל-VLAN
gcloud compute interconnects attachments delete vl2024-ead1 \
--region=us-central1 \
--quiet
gcloud compute interconnects attachments delete vl3026-ead2 \
--region=us-central1 \
--quiet
מחיקת עמית ה-BGP וממשק ה-BGP של Cloud Router ב-NCC Gateway
gcloud compute routers remove-bgp-peer ncc-gw-usc1-cr \
--peer-name=bgp-vl2024-ead1 \
--region=us-central1
gcloud compute routers remove-interface ncc-gw-usc1-cr \
--interface-name=if-vl3026-ead2 \
--region=us-central1
מחיקת ncc-gw-usc1-cr ו-ncc-gw-usc1-cr
gcloud compute routers delete ncc-gw-usc1-cr \
--region=us-central1 \
--quiet
מחיקת מסלולים שפורסמו בשער
gcloud beta network-connectivity spokes gateways advertised-routes delete ncc-gw-usc1-cr \
--region=us-central1 \
--spoke=cl-ncc-gw-usw-sp \
מחיקת רשתות Spoke של NCC VPC
gcloud network-connectivity spokes delete vpc1-sp --global --quiet
gcloud network-connectivity spokes delete vpc2-sp --global --quiet
gcloud network-connectivity spokes delete vpc3-sp --global --quiet
Delete ncc-gateway spoke
gcloud network-connectivity spokes delete cl-ncc-gw-usc-sp --region=us-central1 \
--quiet
מחיקת תחום הגישה המאובטח
gcloud beta network-security secure-access-connect realms delete codelab-sac-realm --quie
t
מחיקת NCC Hub
gcloud network-connectivity hubs delete ncc-hub --quiet
מחיקת כללים של חומת אש
gcloud compute firewall-rules delete ncc1-vpc-internal --quiet
gcloud compute firewall-rules delete ncc2-vpc-internal --quiet
gcloud compute firewall-rules delete ncc3-vpc-internal --quiet
gcloud compute firewall-rules delete ncc1-vpc-iap --quiet
gcloud compute firewall-rules delete ncc2-vpc-iap --quiet
gcloud compute firewall-rules delete ncc3-vpc-iap --quiet
מחיקת מכונות GCE
gcloud compute instances delete vm1-vpc1-ncc --zone=us-central1-a --quiet
gcloud compute instances delete vm2-vpc2-ncc --zone=us-central1-a --quiet
gcloud compute instances delete vm1-vpc3-ncc --zone=us-east1-b --quiet
מחיקת רשתות משנה של VPC
gcloud compute networks subnets delete vpc1-ncc-subnet1 --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet2 --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet3 --region us-central1 --quiet
מחיקת רשתות VPC
gcloud compute networks delete vpc1-ncc vpc2-ncc vpc3-ncc vpc4-ncc, vpc5-ncc --quiet
8. מעולה!
סיימתם את שיעור ה-Lab בנושא Network Connectivity Center.
מה כיסיתם
- הגדרת טופולוגיית בדיקה היברידית של NCC
- NCC Gateway Spoke
- שער Palo Alto Network SSE ב-Google Cloud
- PANW: Strata Cloud Manager
השלבים הבאים