1. Pengantar
Ringkasan
Dalam lab ini, pengguna akan mempelajari cara Network Connectivity Center (NCC) memanfaatkan Gateway NCC untuk membuat konektivitas yang aman. Pengguna akan menerapkan Secure Access Connect untuk mengintegrasikan produk Security Service Edge (SSE) pihak ketiga, sehingga memungkinkan pemeriksaan dan perlindungan yang andal terhadap alur traffic. Konfigurasi ini menyederhanakan pengelolaan jaringan dengan menawarkan model berbasis gateway terpusat untuk mengamankan traffic yang masuk dan keluar dari lingkungan Google Cloud.
Yang akan Anda build
Dalam codelab ini, Anda akan membuat topologi hub dan spoke logis dengan hub NCC yang akan menerapkan fabric konektivitas VPC mesh penuh di tiga VPC yang berbeda.
Yang akan Anda pelajari
- Topologi Inspeksi Hybrid
- NCC Gateway
- Secure Access Connect
- SSE Palo Alto Network
Yang Anda butuhkan
- Pengetahuan tentang jaringan VPC GCP
- Pengetahuan tentang perutean BGP dan Cloud Router
- Codelab ini memerlukan 5 VPC. Salah satu VPC tersebut harus berada di project yang berbeda dengan hub NCC
- Periksa Quota:Networks dan minta penambahan Jaringan jika diperlukan, lihat screenshot di bawah:
Tujuan
- Menyiapkan Lingkungan GCP
- Mengonfigurasi Network Connectivity Center untuk Inspeksi Hybrid
- Menyediakan Palo Alto Network Stratacloud Manager untuk SSE
- Memvalidasi Jalur Data
- Mempelajari fitur kemampuan servis NCC
- Membersihkan resource yang digunakan
Sebelum memulai
Google Cloud Console dan Cloud Shell
Untuk berinteraksi dengan GCP, kita akan menggunakan Konsol Google Cloud dan Cloud Shell di sepanjang lab ini.
Konsol Google Cloud Project Hub NCC
Konsol Cloud dapat diakses di https://console.cloud.google.com.
Siapkan item berikut di Google Cloud untuk mempermudah konfigurasi Network Connectivity Center:
Di Konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.
Catatan: Jika Anda tidak berencana untuk menyimpan resource yang Anda buat dalam prosedur ini, buat project baru alih-alih memilih project yang ada. Setelah menyelesaikan langkah-langkah ini, Anda dapat menghapus project, yang menghapus semua resource yang terkait dengan project tersebut
Luncurkan Cloud Shell. Codelab ini menggunakan $variables untuk membantu penerapan konfigurasi gcloud di Cloud Shell.
gcloud auth list
gcloud config list project
gcloud config set project [HUB-PROJECT-ID]
projectname=[HUB-PROJECT-ID]
echo $projectname
gcloud config set compute/zone us-central1-a
gcloud config set compute/region us-central1
Peran IAM
NCC memerlukan peran IAM untuk mengakses API tertentu. Pastikan untuk mengonfigurasi pengguna Anda dengan peran IAM NCC sesuai kebutuhan.
Peran/Deskripsi | Izin |
| networkconnectivity.hubs.networkconnectivity.spokes.networkconnectivity.gatewaynetworkconnectivity.locations. |
| networkconnectivity.gatewayAdvertisedRoutes.networkconnectivity.groups. networkconnectivity.hubRouteTables.networkconnectivity.hubRoutes.networkconnectivity.hubs. networkconnectivity.locations. networkconnectivity.operations.* networkconnectivity.spokes.*resourcemanager.projects.getresourcemanager.projects.list |
| networkconnectivity.gatewayAdvertisedRoutes.getnetworkconnectivity.gatewayAdvertisedRoutes.listnetworkconnectivity.groups.getnetworkconnectivity.groups.getIamPolicynetworkconnectivity.groups.listnetworkconnectivity.hubRouteTables.getnetworkconnectivity.hubRouteTables.getIamPolicynetworkconnectivity.hubRouteTables.listnetworkconnectivity.hubRoutes.getnetworkconnectivity.hubRoutes.getIamPolicynetworkconnectivity.hubRoutes.listnetworkconnectivity.hubs.getnetworkconnectivity.hubs.getIamPolicynetworkconnectivity.hubs.listnetworkconnectivity.hubs.listSpokesnetworkconnectivity.hubs.queryStatus networkconnectivity.locations.*networkconnectivity.spokes.getnetworkconnectivity.spokes.getIamPolicynetworkconnectivity.spokes.listresourcemanager.projects.getresourcemanager.projects.list |
2. Menyiapkan Lingkungan Jaringan
Di bagian ini, kita akan men-deploy jaringan VPC dan aturan firewall dalam satu project. Diagram logis mengilustrasikan lingkungan jaringan yang akan disiapkan pada langkah ini.
Buat VPC dan Subnet
Jaringan VPC berisi subnet tempat Anda akan menginstal VM GCE untuk validasi jalur data
gcloud compute networks create vpc1-ncc --subnet-mode custom
gcloud compute networks create vpc2-ncc --subnet-mode custom
gcloud compute networks create vpc3-ncc --subnet-mode custom
gcloud compute networks subnets create vpc1-ncc-subnet1 \
--network vpc1-ncc \
--range 10.1.1.0/24 \
--region us-central1
gcloud compute networks subnets create vpc2-ncc-subnet1 \
--network vpc2-ncc \
--range 10.1.2.0/24 \
--region us-central1
gcloud compute networks subnets create vpc3-ncc-subnet1 \
--network vpc3-ncc \
--range 10.1.3.0/24 \
--region us-central1
Mengonfigurasi Aturan Firewall VPC
Mengonfigurasi aturan firewall di setiap VPC untuk mengizinkan
- SSH
- IAP Internal
- Rentang 10.0.0.0/8
gcloud compute firewall-rules create ncc1-vpc-internal \
--network vpc1-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc2-vpc-internal \
--network vpc2-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc3-vpc-internal \
--network vpc3-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc1-vpc-iap \
--network vpc1-ncc \
--allow all \
--source-ranges 35.235.240.0/20
gcloud compute firewall-rules create ncc2-vpc-iap \
--network vpc2-ncc \
--allow=tcp:22 \
--source-ranges 35.235.240.0/20
gcloud compute firewall-rules create ncc3-vpc-iap \
--network vpc3-ncc \
--allow=tcp:22 \
--source-ranges 35.235.240.0/20
Mengonfigurasi VM GCE di Setiap VPC
Anda memerlukan akses internet sementara untuk menginstal paket di "vm1-vpc1-ncc".
Buat empat virtual machine, dengan setiap VM ditetapkan ke salah satu VPC yang dibuat sebelumnya.
gcloud compute instances create vm1-vpc1-ncc \
--subnet vpc1-ncc-subnet1 \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc1-vm1</h3>" | tee /var/www/html/index.html'
gcloud compute instances create vm1-vpc2-ncc \
--zone us-central1-a \
--subnet vpc2-ncc-subnet1 \
--no-address \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc2-vm2</h3>" | tee /var/www/html/index.html'
gcloud compute instances create vm1-vpc3-ncc \
--zone us-central1-a \
--subnet vpc3-ncc-subnet1 \
--no-address \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc3-vm3</h3>" | tee /var/www/html/index.html'
3. Topologi Inspeksi Hybrid NCC
Di bagian ini, kita akan men-deploy Hub Network Connectivity Center untuk Topologi Inspeksi Hybrid. Topologi pemeriksaan hybrid NCC menerapkan kebijakan spoke NCC preset untuk secara khusus mendukung Gateway NCC. Diagram logis mengilustrasikan lingkungan jaringan yang akan disiapkan pada langkah ini.
Hub NCC untuk Inspeksi Spoke Hybrid
Saat membuat Hub NCC, gunakan tanda "-preset-topology=hybrid-inspection" untuk membuat empat grup jenis spoke NCC. Empat jenis juru bicara NCC meliputi:
Groups:gateways | Spoke gateway berfungsi sebagai titik masuk dan keluar regional untuk alur traffic yang memasuki Google Cloud dari infrastruktur lokal atau cloud lainnya. Layanan ini memfasilitasi inspeksi traffic melalui layanan SSE pihak ketiga seperti Palo Alto Networks atau Symantec. Catatan: Ini adalah satu-satunya grup yang dapat berisi spoke NCC Gateway dalam topologi ini |
Grup:layanan | Grup ini berfungsi sebagai "hub" untuk resource bersama; spoke dalam grup ini memiliki konektivitas ke semua grup spoke lainnya (prod, non-prod, dan gateway). VPC Layanan Bersama (misalnya, untuk logging, autentikasi, pemantauan, atau alat umum) |
Grup:prod | Kasus Penggunaan: Mengalokasikan VPC Aplikasi produksi yang berisi workload penting (VM, cluster GKE). |
Grup:non-prod | Resource yang Ditetapkan: VPC Aplikasi Non-Produksi yang digunakan untuk lingkungan pengembangan, pengujian, atau staging. |
Mengonfigurasi hub NCC untuk menggunakan topologi preset pemeriksaan hybrid
gcloud beta network-connectivity hubs create cl-hi-hub \ --preset-topology=hybrid-inspection
Contoh output
Create request issued for: [cl-hi-hub]
Waiting for operation [projects/"${projectname}"/locations/global/operations/operation-1759424304217-6402fe4a97da0-5de6
e5a1-2ea2de02] to complete...done.
Created hub [cl-hi-hub].
Gunakan perintah gcloud untuk memverifikasi tabel perutean preset hub NCC:
gcloud network-connectivity hubs describe cl-hi-hub
Contoh output
createTime: '2026-02-18T16:14:45.828597880Z'
exportPsc: false
name: projects/"${projectname}"/locations/global/hubs/cl-hi-hub
policyMode: PRESET
routeTables:
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/gateways
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/non-prod
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/prod
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/services
spokeSummary:
state: ACTIVE
uniqueId: c0fbb826-173b-42dd-a5d2-00c2aa66fed8
updateTime: '2026-04-21T19:13:50.269721594Z'
Spoke NCC dapat ditambahkan ke grup untuk menerapkan kebijakan alur traffic. NCC spoke hanya dapat menjadi bagian dari satu grup. Untuk rilis ini, topologi preset tertentu yang disebut HYBRID-INSPECTION memperkenalkan 4 grup: gateway, prod, non-prod, dan layanan.
Semua resource NCC Gateway (termasuk koneksi hybridnya) adalah bagian dari grup gateway. Spoke dalam grup gateway akan dapat berkomunikasi satu sama lain, dan traffic antara gateway dan grup spoke lainnya memenuhi syarat untuk diperiksa (bergantung pada konfigurasi kebijakan layanan).
Aturan Konektivitas Grup Spoke NCC
Grup Sumber | Dapat Mengakses (Diizinkan) | Tidak Dapat Mengakses (Dibatasi) |
Grup Layanan | gateway, prod, non-prod, layanan | Tidak ada |
Prod Group | gateway, layanan, spoke produksi | spoke non-prod |
Grup non-prod | gateway, layanan, spoke non-prod | spoke produksi |
Grup Gateway | gateway, layanan, prod, non-prod | Tidak ada |
Gunakan perintah gcloud untuk mencantumkan grup preset di Hub NCC
gcloud network-connectivity hubs groups list --hub cl-hi-hub --project "${projectname}"
Contoh output
NAME HUB DESCRIPTION
gateways cl-hi-hub
non-prod cl-hi-hub
prod cl-hi-hub
services cl-hi-hub
Di konsol web, buka network connectivity > Network Connectivity Center > pilih "cl-hi-hub" untuk melihat konfigurasi hub NCC
Workload VPC2 sebagai spoke dalam grup NCC:prod
Gunakan perintah gcloud untuk mengonfigurasi VPC3 workload sebagai spoke (workload) dan tetapkan spoke ke group:prod
gcloud network-connectivity spokes linked-vpc-network create vpc2-sp \
--hub=cl-hi-hub \
--description=codelab-vpc2-ncc-spoke \
--vpc-network=vpc2-ncc \
--global \
--group=prod
Contoh Output
Create request issued for: [vpc2-sp]
Waiting for operation [projects/"${projectname}"/locations/global/operations/operation-1776966793852-650245286757a-766d806c-1bc4fabe] to complete...done.
Created spoke [vpc2-sp].
createTime: '2026-04-23T17:53:14.083783233Z'
description: codelab-vpc2-ncc-spoke
etag: '2'
group: projects/"${projectname}"/locations/global/hubs/cl-hi-hub/groups/prod
hub: projects/"${projectname}"/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/"${projectname}"/global/networks/vpc-ncc2
name: projects/"${projectname}"/locations/global/spokes/vpc2-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: 92972784-e4ed-47e5-be22-08a516a39b0c
updateTime: '2026-04-23T17:53:55.029481722Z'
Gunakan perintah gcloud untuk melihat awalan dalam tabel rute "prod" hub NCC.
gcloud network-connectivity hubs route-tables routes list --hub=cl-hi-hub --route_table=prod
Contoh Output
IP_CIDR_RANGE: 10.1.2.0/24
PRIORITY:
LOCATION: us-central1
STATE: ACTIVE
TYPE: VPC_PRIMARY_SUBNET
SITE_TO_SITE: N/A
NEXT_HOP: vpc2-ncc
HUB: cl-hi-hub
ROUTE_TABLE: prod
Konfigurasi VPC3 workload sebagai spoke dalam grup NCC:non-prod
Gunakan perintah gcloud untuk mengonfigurasi VPC3 workload sebagai spoke (workload) dan tetapkan spoke ke group:non-prod
gcloud network-connectivity spokes linked-vpc-network create vpc3-sp \
--hub=cl-hi-hub \
--description=codelab-vpc3-ncc-spoke \
--vpc-network=vpc3-ncc \
--global \
--group=non-prod
Contoh Output
Create request issued for: [vpc3-sp]
Waiting for operation [projects/cloudnet-demo/locations/global/operations/operation-1778757016454-651c5241b83fe-18b62f78-02d70f9a] to complete...done.
Created spoke [vpc3-sp].
createTime: '2026-05-14T11:10:16.758117151Z'
description: codelab-vpc3-ncc-spoke
etag: '2'
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/non-prod
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/cloudnet-demo/global/networks/vpc3-ncc
name: projects/cloudnet-demo/locations/global/spokes/vpc3-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: efe8cfed-d77f-4636-aaae-898e73897b49
updateTime: '2026-05-14T11:10:52.880508489Z'
Gunakan perintah gcloud untuk melihat awalan dalam tabel rute "prod" hub NCC.
gcloud network-connectivity hubs route-tables routes list --hub=cl-hi-hub --route_table=prod
Contoh Output
IP_CIDR_RANGE: 10.1.2.0/24
PRIORITY:
LOCATION: us-central1
STATE: ACTIVE
TYPE: VPC_PRIMARY_SUBNET
SITE_TO_SITE: N/A
NEXT_HOP: vpc2-ncc
HUB: cl-hi-hub
ROUTE_TABLE: prod
Konfigurasi VPC1 workload sebagai spoke dalam grup NCC:services
Gunakan perintah gcloud untuk mengonfigurasi VPC1 workload sebagai spoke (workload) dan tetapkan spoke ke group:services
gcloud network-connectivity spokes linked-vpc-network create vpc1-sp \
--hub=cl-hi-hub \
--description=codelab-vpc1-ncc-spoke \
--vpc-network=vpc1-ncc \
--global \
--group=services
Contoh Output
Create request issued for: [vpc1-sp]
Waiting for operation [projects/cloudnet-demo/locations/global/operations/operation-1778758397065-651c57665f795-1af6d94f-942c9ebd] to complete...done.
Created spoke [vpc1-sp].
createTime: '2026-05-14T11:33:17.359361160Z'
description: codelab-vpc1-ncc-spoke
etag: '2'
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/services
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/cloudnet-demo/global/networks/vpc1-ncc
name: projects/cloudnet-demo/locations/global/spokes/vpc1-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: 82b29a2b-50cb-4557-8b12-3345f5a36ad6
updateTime: '2026-05-14T11:33:55.914406863Z'
Mengonfigurasi spoke Gateway NCC untuk gateway SSE di us-central1
Gunakan perintah gcloud untuk membuat spoke NCC Gateway di us-central1:
gcloud beta network-connectivity spokes gateways create cl-ncc-gw-usc-sp \
--region=us-central1 \
--hub=cl-hi-hub \
--capacity=1g \
--ip-range-reservations=10.100.0.0/23 \
--group=gateways
Contoh Output
Create request issued for: [cl-ncc-gw-usc-sp]
Waiting for operation [projects/cloudnet-demo/locations/us-central1/operations/operation-1778758907555-651c594d36fc5-783a8d5d-8d3e341b] to complete...done.
Created spoke [cl-ncc-gw-usc-sp].
createTime: '2026-05-14T11:41:48.066042872Z'
etag: '2'
gateway:
capacity: CAPACITY_1_GBPS
ipRangeReservations:
- ipRange: 10.100.0.0/23
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/gateways
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
name: projects/cloudnet-demo/locations/us-central1/spokes/cl-ncc-gw-usc-sp
spokeType: GATEWAY
state: ACTIVE
uniqueId: ffe8e2b7-c864-4279-9d21-ca72d87083fe
updateTime: '2026-05-14T11:44:08.787947523Z'
Gunakan perintah gcloud untuk mencantumkan spoke NCC:
gcloud network-connectivity spokes list
Contoh Output
NAME: vpc2-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: prod
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc2-ncc-spoke
NAME: vpc3-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: non-prod
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc3-ncc-spoke
NAME: vpc1-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: services
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc1-ncc-spoke
NAME: cl-ncc-gw-usc-sp
LOCATION: us-central1
HUB: cl-hi-hub
GROUP: gateways
TYPE:
RESOURCE COUNT: 1
DATA TRANSFER: Off
DESCRIPTION:
Periksa spoke NCC yang dikonfigurasi di hub NCC "cl-hi-hub":
Mengiklankan awalan IP dari Gateway NCC ke Hub NCC
Konfigurasi Gateway NCC untuk mengumumkan imbuhan tertentu ke tabel rute hub NCC.
gcloud beta network-connectivity spokes gateways advertised-routes create example-dot-com \
--ip-range=1.1.1.1/32 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create google-dot-com \
--ip-range=173.194.204.101/32 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create branch \
--ip-range=192.168.1.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create prod \
--ip-range=192.168.11.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create non-prod \
--ip-range=192.168.12.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
Gunakan perintah gcloud untuk mencantumkan rute yang diiklankan yang berasal dari spoke gateway
gcloud beta network-connectivity spokes gateways advertised-routes list --region=us-central1
Contoh output
Periksa rute yang diiklankan spoke NCC Gateway
Di konsol web, buka Network Connectivity > Network Connectivity Center > Pilih tab "Spokes": klik "cl-ncc-gw-usc-sp".
4. Koneksi Hybrid Cloud Interconnect
Pada saat penulisan, NCC Gateway hanya mendukung Google Cloud Interconnect. Gateway NCC menggunakan VPC global dan Cloud Router di project tenant Google untuk menghentikan sesi peering BGP dan lampiran VLAN.
Meskipun diagram menunjukkan sepasang Cloud Interconnect dan lampiran VLAN yang terhubung secara logis ke Gateway NCC, Cloud Router di VPC global tenant yang dikelola Google adalah komponen pokok yang menghentikan lampiran VLAN. Di bagian ini, Anda akan mengonfigurasi Cloud Router yang terkait dengan NCC Gateway untuk mengelola sesi BGP untuk konektivitas lokal.
NCC Gateway specific Cloud Router di us-central1
Gunakan perintah gcloud untuk mengonfigurasi Cloud Router secara khusus untuk Gateway NCC.
gcloud beta compute routers create ncc-gw-usc1-cr \
--ncc-gateway=https://networkconnectivity.googleapis.com/v1/projects/"${projectid}"/locations/us-central1/spokes/cl-ncc-gw-usc-sp \
--asn=64666 \
--advertisement-mode=CUSTOM \
--set-advertisement-ranges=10.100.2.0/23 \
--region=us-central1
Contoh output
Creating router [ncc-gw-usc1-cr]...done.
NAME REGION NCC_GATEWAY
ncc-gw-usc1-cr us-central1 cl-ncc-gw-usc-sp
- NCC_GW_NAME: URI lengkap spoke Gateway NCC. Format URI mengikuti pola ini: https://networkconnectivity.googleapis.com/v1/projects/"${projectid}"/locations/REGION/spokes/GATEWAY_SPOKE_NAME
- ADVERTISED_IP_RANGES: Rentang IP yang akan diiklankan ke jaringan lokal untuk menarik traffic ke Google Cloud.
Gunakan perintah gcloud ini untuk mencantumkan router yang baru saja dibuat
gcloud compute routers list --filter="region:(us-central1)"
Perhatikan bahwa Cloud Router tidak dikaitkan dengan VPC
NAME REGION NETWORK
ncc-gw-usc1-cr us-central1 N/A
Buat lampiran VLAN dari Dedicated Interconnect yang ada yang akan digunakan sebagai antarmuka di Cloud Router. Contoh konfigurasi di bawah menggunakan alamat IP link-local sebagai rentang subnet kandidat. Alamat host tertentu dari rentang ini akan digunakan untuk mengonfigurasi peering BGP.
gcloud compute interconnects attachments dedicated create vl2029-ead1 \
--region=us-central1 \
--interconnect=projects/some-interconnect-project/global/interconnects/interconnect-lab-sea26-zone1 \
--router=ncc-gw-usc1-cr \
--vlan=2024 \
--bandwidth=500m \
--mtu=1440 \
--candidate-subnets=169.254.222.216/29
Created [https://www.googleapis.com/compute/v1/projects/"${projectname}"/regions/us-central1/interconnectAttachments/vl2029-ead1].
gcloud compute interconnects attachments dedicated create vl3029-ead2 \
--region=us-central1 \
--interconnect=projects/some-interconnect-project/global/interconnects/interconnect-lab-sea26-zone2 \
--router=ncc-gw-usc1-cr \
--vlan=3026 \
--bandwidth=500m \
--mtu=1440 \
--candidate-subnets=169.254.220.184/29
Created [https://www.googleapis.com/compute/v1/projects/"${projectname}"/regions/us-central1/interconnectAttachments/vl3029-ead2].
Konfigurasi NCC Gateway Cloud Router di us-central1 dengan antarmuka
Gunakan perintah gcloud untuk mengaitkan lampiran VLAN yang dibuat di us-central ke NCC Gateway Cloud Router.
gcloud compute routers add-interface ncc-gw-usc1-cr \
--region=us-central1 \
--interface-name=if-vl2029-ead1 \
--interconnect-attachment=vl2029-ead1
Output:
Updated [https://www.googleapis.com/compute/v1/projects/cloudnet-demo/regions/us-central1/routers/ncc-gw-usc1-cr].
Konfigurasi peer BGP untuk lampiran VLAN yang dibuat di atas.
Gunakan perintah gcloud di bawah untuk mengaktifkan peering BGP di antarmuka Cloud Router.
gcloud compute routers add-bgp-peer ncc-gw-usc1-cr \
--region=us-central1 \
--peer-name=bgp-vl2029-ead1 \
--interface=if-vl2029-ead1 \
--peer-asn=65112 \
--advertisement-mode=DEFAULT
Output:
Creating peer [bgp-vl2029-ead1] in router [ncc-gw-usc1-cr]...done.
Konfigurasi NCC Gateway Cloud Router di us-central1 dengan antarmuka lampiran VLAN kedua.
Gunakan perintah gcloud untuk menambahkan lampiran VLAN kedua sebagai antarmuka ke Cloud Router NCC Gateway
gcloud compute routers add-interface ncc-gw-usc1-cr \
--region=us-central1 \
--interface-name=if-vl3029-ead2 \
--interconnect-attachment=vl3029-ead2
Output:
Updated [https://www.googleapis.com/compute/v1/projects/cloudnet-demo/regions/us-central1/routers/ncc-gw-usc1-cr]
Gunakan perintah gcloud di bawah untuk mengaktifkan peering BGP di antarmuka Cloud Router.
gcloud compute routers add-bgp-peer ncc-gw-usc1-cr \
--region=us-central1 \
--peer-name=bgp-vl3029-ead2 \
--interface=if-vl3029-ead2 \
--peer-asn=65112 \
--advertisement-mode=DEFAULT
Memverifikasi Status Peering BGP dengan speaker BGP lokal
Gunakan perintah gcloud untuk memverifikasi status peer BGP dengan router lokal dan untuk melihat rute yang dikirim NCC Gateway Cloud Router ke jaringan lokal.
gcloud compute routers get-status ncc-gw-usc1-cr \
--region=us-central1
**
--format="yaml(result.bgpPeerStatus)"
Output:
Pastikan status BGP adalah "Established".
result:
bgpPeerStatus:
- advertisedRoutes:
- destRange: 10.100.2.0/23
kind: compute#route
nextHopIp: 169.254.111.217
nextHopOrigin: INCOMPLETE
priority: 100
routeType: BGP
enableIpv4: true
enableIpv6: false
ipAddress: 169.254.111.217
md5AuthEnabled: false
name: bgp-vl2029-ead1
numLearnedRoutes: 2
peerIpAddress: 169.254.111.218
state: Established
status: UP
uptime: 6 minutes, 27 seconds
uptimeSeconds: '387'
- advertisedRoutes:
- destRange: 10.100.2.0/23
kind: compute#route
nextHopIp: 169.254.112.217
nextHopOrigin: INCOMPLETE
priority: 100
routeType: BGP
enableIpv4: true
enableIpv6: false
ipAddress: 169.254.112.217
md5AuthEnabled: false
name: bgp-vl3029-ead2
numLearnedRoutes: 1
peerIpAddress: 169.254.112.218
state: Established
status: UP
uptime: 1 minutes, 35 seconds
uptimeSeconds: '95'
Gunakan perintah gcloud untuk melihat rute yang diterima NCC Gateway Cloud Router dari jaringan lokal:
gcloud compute routers get-status ncc-gw-usc1-cr \
--region=us-central1 \
--format="yaml(result.bestRoutes)"
Output:
result:
bestRoutes:
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T10:02:44.265-07:00'
destRange: 172.16.0.0/16
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.111.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T09:54:04.340-07:00'
destRange: 3.3.3.0/24
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.111.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T09:58:56.189-07:00'
destRange: 4.4.4.0/24
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.112.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
Memberitahukan awalan kustom GCP ke On Prem**, karena rute subnet otomatis diberitahukan. Anda memiliki opsi untuk mengiklankan rute "ringkasan" untuk awalan kustom Anda.**
cloud compute routers update ncc-gw-usc1-cr \
--project=cloudnet-demo \
--region=us-central1 \
--advertisement-mode custom \
--set-advertisement-groups=all_subnets \
--set-advertisement-ranges="10.1.0.0/16"
Output:
Updating router [ncc-gw-usc1-cr]...done.
5. Mengintegrasikan SSE Pihak Ketiga dengan Gateway NCC
Secure Access Connect adalah fitur yang memungkinkan Anda menghubungkan produk Security Service Edge (SSE) pihak ketiga ke Gateway NCC untuk mengamankan traffic masuk dan keluar. Fungsi utamanya adalah untuk membuat link antara GCP dan penyedia SSE pihak ketiga.
Di bagian ini, Anda akan login ke Strata Cloud Manager untuk mengaktifkan dan mengonfigurasi layanan proxy SSE di NCC Gateway.
Layanan ini terdiri dari dua resource utama:
- Secure Access Connect Realm: Resource global yang menautkan project Google Cloud Anda ke layanan SSE. Kebijakan ini menetapkan ruang kebijakan keamanan bersama untuk sekelompok VPC atau pengguna, yang mengekspos ke penyedia SSE gateway mana yang harus diatur oleh serangkaian kebijakan keamanan yang sama.
- Secure Access Connect Attachment: Resource logis regional yang secara fisik memungkinkan NCC Gateway memproses traffic dengan layanan SSE. Objek ini menyimpan metadata yang diperlukan untuk membangun kepercayaan dan konektivitas dengan stack SSE partner
Membuat realm Secure Access Connect
gcloud beta network-security secure-access-connect realms create codelab-sac-realm \
--security-service=prisma-access
Mengidentifikasi kunci penyambungan
Untuk mengaitkan realm Secure Access Connect dengan Prisma Access, Anda memerlukan kunci penyambungan. String alfanumerik ini akan digunakan untuk mengonfigurasi dan menyediakan gateway SSE melalui portal web Strata Cloud Manager.
gcloud beta network-security secure-access-connect realms describe codelab-sac-realm
createTime: '2026-04-21T13:48:53.760262401Z'
name: projects/"${projectname}"/locations/global/sacRealms/codelab-cden
pairingKey:
expireTime: '2026-04-28T13:48:51.107221733Z'
key: 2a52a7e2-7c95-4dc7-9155-c3234976fad4
securityService: PALO_ALTO_PRISMA_ACCESS
state: PENDING_PARTNER_ATTACHMENT
updateTime: '2026-04-21T13:48:55.874553834Z'
Buat Partner Realm dengan Managed Cloud WAN di Prisma Access
- Login ke Strata Cloud Manager, pastikan Anda menggunakan tenant gateway SSE yang ditetapkan
- Untuk menghubungkan realm SAC ke tenant partner, buka
System Settings -> Integrations -> Managed Cloud WANs dan
Klik "Hubungkan"
- Masukkan kunci penyambungan realm SAC di kotak dialog "Connect Google NCC Gateway Account". Klik "Konfirmasi" untuk mulai membuat realm.
Diperlukan waktu beberapa menit agar status NCC Gateway diperbarui menjadi "Terhubung".
Di GCP Cloud Shell, gunakan perintah gcloud untuk menemukan kunci penyambungan yang terkait dengan realm SAC.
gcloud beta network-security secure-access-connect realms describe codelab-sac-realm
Anda juga dapat melihat kunci penyambungan di konsol GCP
Tambahkan cluster SSE Gateway NCC sebagai koneksi Cloud WAN terkelola dengan membuka
Configuration > NGFW and Prisma Access > Klik "Configuration Scope" dan pilih "Remote Network" di bagian "Prisma Access".
Di halaman Overview, klik "setup" dan pilih "Managed Cloud WAN Connections"
Klik "Add Managed Cloud WAN Site".
Mengaktifkan Instance SSE di Gateway NCC
Beralih ke konsol GCP, gunakan perintah gcloud untuk membuat lampiran Secure Access Connect.
gcloud alpha network-security secure-access-connect attachments create codelab-sac-attachment-usc1 \
--location=us-central1 \
--realm=codelab-sac-realm \
--gateway=cl-ncc-gw-usc-sp
Membuat Partner Gateway
Masukkan parameter untuk koneksi WAN cloud terkelola.
- Nama Situs—Masukkan nama unik untuk koneksi.
- **Jenis Layanan—**Pilih Gateway NCC Google sebagai jenis layanan.
- Nama Koneksi—Pilih lokasi layanan GCP yang Anda buat selama aktivasi dan pembuatan lampiran SAC Gateway CC N .
- Lokasi Komputasi Prisma Access—Pilih lokasi komputasi tempat Anda ingin men-deploy integrasi NCC Gateway dengan Prisma Access.
- Bandwidth (Mbps)—Pilih bandwidth yang akan dialokasikan dalam Mbps. Maksimum yang dapat Anda alokasikan adalah 10000 Mbps (10 Gbps
Kapasitas maksimum yang dapat Anda alokasikan adalah 10000 Mbps (10 Gbps).
Setelah selesai, klik "Simpan".
Menyinkronkan konfigurasi instance SSE NCC Gateway
Pilih "Push Config" untuk membuat instance SSE partner di spoke NCC Gateway.
Pantau progres dengan mengklik "Push Config", lalu pilih "Jobs". Tunggu hingga semua "Hasil" selesai untuk Tugas tertentu Anda.
Setelah selesai, klik "Selesai".
Periksa status gateway SSE partner dengan membuka Configuration > NGFW and Prisma Access > Configuration Scope > Prisma Access > Remote Networks >Setup > Managed Cloud WAN Connections
Prisma Access secara otomatis menyediakan konfigurasi BGP Managed Cloud WAN Connection.
6. Memverifikasi jalur data melalui Gateway NCC
Beralihlah ke Konsol GCP Cloud Shell Anda
Gunakan perintah gcloud untuk melihat rute yang diiklankan yang berasal dari spoke gateway:
gcloud beta network-connectivity spokes gateways advertised-routes list --region=us-central1
Gunakan SSH untuk mengakses "vm1-vpc1-ncc**"** dan mulai TCP dump untuk melacak paket ICMP dari **"vm2-vpc2-ncc"**. Sebagai pengingat, VM ini berada di VPC2.
vm1-vpc1-ncc
sudo tcpdump -i any icmp -v -e -n
Buat sesi SSH ke "vm1-vpc2-ncc**"** dan "ping" alamat IP "vm1-vpc1-ncc".
vm1-vpc2-ncc
ping 10.1.1.2
Output:
Anda akan melihat rekaman aktivitas di bawah ini di vm1-vpc1-ncc.
Jalankan perintah curl di server HTTP On-prem VM-1 untuk menguji jangkauan On-prem
vm1-vpc1-ncc
curl 172.16.101.11 -vv
Output:
Buat sesi SSH ke "vm1-vpc2-ncc**"** dan "ping" alamat IP "1.1.1.1".
vm1-vpc2-ncc
ping 1.1.1.1
Output:
Ping tidak berfungsi karena harus diizinkan di Prisma(Strata Cloud Manager). Mari kita aktifkan!
Buka Strata Cloud Manager —-> Configuration —-> NGFW and Prisma Access, Anda akan melihat hal berikut:::
Di kiri atas, tekan menu drop-down Global, lalu pilih "Remote Networks", kemudian klik tab "Security Services" dan pilih "Security Policy", lihat di bawah:::
Klik Tambahkan aturan di kanan atas, lalu buat aturan "izinkan icmp" untuk mengizinkan traffic icmp antara vm1-vpc2-ncc ke 1.1.1.1, setelah selesai tekan "Push Config" di kanan atas.
Pastikan untuk melihat Tugas guna memastikan bahwa konfigurasi berhasil dikirim. Klik Push Config —-> Jobs
Setelah tugas berhasil, uji ping lagi dari vm1-vpc2-ncc.
BERHASIL!!! Anda berhasil menyelesaikan codelab ini.
7. Pembersihan lab
Hapus lampiran VLAN
gcloud compute interconnects attachments delete vl2024-ead1 \
--region=us-central1 \
--quiet
gcloud compute interconnects attachments delete vl3026-ead2 \
--region=us-central1 \
--quiet
Hapus peer BGP dan antarmuka BGP NCC Gateway Cloud Router
gcloud compute routers remove-bgp-peer ncc-gw-usc1-cr \
--peer-name=bgp-vl2024-ead1 \
--region=us-central1
gcloud compute routers remove-interface ncc-gw-usc1-cr \
--interface-name=if-vl3026-ead2 \
--region=us-central1
Hapus ncc-gw-usc1-cr dan ncc-gw-usc1-cr
gcloud compute routers delete ncc-gw-usc1-cr \
--region=us-central1 \
--quiet
Menghapus rute yang diberitahukan gateway
gcloud beta network-connectivity spokes gateways advertised-routes delete ncc-gw-usc1-cr \
--region=us-central1 \
--spoke=cl-ncc-gw-usw-sp \
Menghapus spoke VPC NCC
gcloud network-connectivity spokes delete vpc1-sp --global --quiet
gcloud network-connectivity spokes delete vpc2-sp --global --quiet
gcloud network-connectivity spokes delete vpc3-sp --global --quiet
Hapus spoke ncc-gateway
gcloud network-connectivity spokes delete cl-ncc-gw-usc-sp --region=us-central1 \
--quiet
Menghapus realm akses aman
gcloud beta network-security secure-access-connect realms delete codelab-sac-realm --quie
t
Menghapus Hub NCC
gcloud network-connectivity hubs delete ncc-hub --quiet
Menghapus Aturan Firewall
gcloud compute firewall-rules delete ncc1-vpc-internal --quiet
gcloud compute firewall-rules delete ncc2-vpc-internal --quiet
gcloud compute firewall-rules delete ncc3-vpc-internal --quiet
gcloud compute firewall-rules delete ncc1-vpc-iap --quiet
gcloud compute firewall-rules delete ncc2-vpc-iap --quiet
gcloud compute firewall-rules delete ncc3-vpc-iap --quiet
Menghapus Instance GCE
gcloud compute instances delete vm1-vpc1-ncc --zone=us-central1-a --quiet
gcloud compute instances delete vm2-vpc2-ncc --zone=us-central1-a --quiet
gcloud compute instances delete vm1-vpc3-ncc --zone=us-east1-b --quiet
Menghapus Subnet VPC
gcloud compute networks subnets delete vpc1-ncc-subnet1 --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet2 --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet3 --region us-central1 --quiet
Menghapus VPC
gcloud compute networks delete vpc1-ncc vpc2-ncc vpc3-ncc vpc4-ncc, vpc5-ncc --quiet
8. Selamat!
Anda telah menyelesaikan Lab Network Connectivity Center.
Yang telah Anda pelajari
- Mengonfigurasi Topologi Pemeriksaan Hybrid NCC
- Spoke Gateway NCC
- Gateway SSE Palo Alto Networks di Google Cloud
- PANW: Strata Cloud Manager
Langkah Berikutnya