1. Introduzione
Panoramica
In questo lab, gli utenti esploreranno in che modo Network Connectivity Center (NCC) utilizza il gateway NCC per stabilire una connettività sicura. Gli utenti implementeranno Secure Access Connect per integrare prodotti Security Service Edge (SSE) di terze parti, consentendo un'ispezione e una protezione efficaci dei flussi di traffico. Questa configurazione semplifica la gestione della rete offrendo un modello centralizzato basato su gateway per proteggere il traffico in entrata e in uscita dagli ambienti Google Cloud.
Cosa creerai
In questo codelab, creerai una topologia logica hub e spoke con l'hub NCC che implementerà un tessuto di connettività VPC completamente mesh in tre VPC distinti.
Cosa imparerai a fare
- Topologia di ispezione ibrida
- Gateway NCC
- Secure Access Connect
- Palo Alto Network SSE
Che cosa ti serve
- Conoscenza della rete VPC di GCP
- Conoscenza del router Cloud e del routing BGP
- Questo codelab richiede 5 VPC. Uno di questi VPC deve trovarsi in un progetto separato dall'hub NCC
- Controlla Quota:reti e richiedi reti aggiuntive, se necessario. Vedi lo screenshot di seguito:
Obiettivi
- Configura l'ambiente GCP
- Configura Network Connectivity Center per l'ispezione ibrida
- Provisioning di Palo Alto Network Stratacloud Manager per SSE
- Convalida del percorso dei dati
- Esplorare le funzionalità di manutenzione di NCC
- Libera spazio dalle risorse utilizzate
Prima di iniziare
console Google Cloud e Cloud Shell
Per interagire con GCP, utilizzeremo sia la console Google Cloud che Cloud Shell durante questo lab.
Console Google Cloud del progetto hub NCC
Puoi accedere alla console Cloud all'indirizzo https://console.cloud.google.com.
Configura i seguenti elementi in Google Cloud per semplificare la configurazione di Network Connectivity Center:
Nella console Google Cloud, nella pagina di selezione del progetto, seleziona o crea un progetto Google Cloud.
Nota: se non prevedi di conservare le risorse che crei in questa procedura, crea un progetto invece di selezionarne uno già esistente. Una volta completata questa procedura, puoi eliminare il progetto e tutte le relative risorse.
Avvia Cloud Shell. Questo codelab utilizza le variabili $per facilitare l'implementazione della configurazione di gcloud in Cloud Shell.
gcloud auth list
gcloud config list project
gcloud config set project [HUB-PROJECT-ID]
projectname=[HUB-PROJECT-ID]
echo $projectname
gcloud config set compute/zone us-central1-a
gcloud config set compute/region us-central1
Ruoli IAM
NCC richiede ruoli IAM per accedere ad API specifiche. Assicurati di configurare l'utente con i ruoli IAM NCC in base alle necessità.
Ruolo/Descrizione | Autorizzazioni |
| networkconnectivity.hubs.networkconnectivity.spokes.networkconnectivity.gatewaynetworkconnectivity.locations. |
| networkconnectivity.gatewayAdvertisedRoutes.networkconnectivity.groups. networkconnectivity.hubRouteTables.networkconnectivity.hubRoutes.networkconnectivity.hubs. networkconnectivity.locations. networkconnectivity.operations.* networkconnectivity.spokes.*resourcemanager.projects.getresourcemanager.projects.list |
| networkconnectivity.gatewayAdvertisedRoutes.getnetworkconnectivity.gatewayAdvertisedRoutes.listnetworkconnectivity.groups.getnetworkconnectivity.groups.getIamPolicynetworkconnectivity.groups.listnetworkconnectivity.hubRouteTables.getnetworkconnectivity.hubRouteTables.getIamPolicynetworkconnectivity.hubRouteTables.listnetworkconnectivity.hubRoutes.getnetworkconnectivity.hubRoutes.getIamPolicynetworkconnectivity.hubRoutes.listnetworkconnectivity.hubs.getnetworkconnectivity.hubs.getIamPolicynetworkconnectivity.hubs.listnetworkconnectivity.hubs.listSpokesnetworkconnectivity.hubs.queryStatus networkconnectivity.locations.*networkconnectivity.spokes.getnetworkconnectivity.spokes.getIamPolicynetworkconnectivity.spokes.listresourcemanager.projects.getresourcemanager.projects.list |
2. Configurare l'ambiente di rete
In questa sezione, eseguiremo il deployment delle reti VPC e delle regole firewall in un unico progetto. Il diagramma logico illustra l'ambiente di rete che verrà configurato in questo passaggio.
Crea i VPC e le subnet
La rete VPC contiene subnet in cui installerai la VM GCE per la convalida del percorso dei dati
gcloud compute networks create vpc1-ncc --subnet-mode custom
gcloud compute networks create vpc2-ncc --subnet-mode custom
gcloud compute networks create vpc3-ncc --subnet-mode custom
gcloud compute networks subnets create vpc1-ncc-subnet1 \
--network vpc1-ncc \
--range 10.1.1.0/24 \
--region us-central1
gcloud compute networks subnets create vpc2-ncc-subnet1 \
--network vpc2-ncc \
--range 10.1.2.0/24 \
--region us-central1
gcloud compute networks subnets create vpc3-ncc-subnet1 \
--network vpc3-ncc \
--range 10.1.3.0/24 \
--region us-central1
Configura le regole firewall VPC
Configura le regole firewall su ogni VPC per consentire
- SSH
- IAP interno
- Intervallo 10.0.0.0/8
gcloud compute firewall-rules create ncc1-vpc-internal \
--network vpc1-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc2-vpc-internal \
--network vpc2-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc3-vpc-internal \
--network vpc3-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc1-vpc-iap \
--network vpc1-ncc \
--allow all \
--source-ranges 35.235.240.0/20
gcloud compute firewall-rules create ncc2-vpc-iap \
--network vpc2-ncc \
--allow=tcp:22 \
--source-ranges 35.235.240.0/20
gcloud compute firewall-rules create ncc3-vpc-iap \
--network vpc3-ncc \
--allow=tcp:22 \
--source-ranges 35.235.240.0/20
Configura la VM GCE in ogni VPC
Per installare i pacchetti su "vm1-vpc1-ncc", devi disporre di un accesso temporaneo a internet.
Crea quattro macchine virtuali, a ognuna delle quali verrà assegnato uno dei VPC creati in precedenza.
gcloud compute instances create vm1-vpc1-ncc \
--subnet vpc1-ncc-subnet1 \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc1-vm1</h3>" | tee /var/www/html/index.html'
gcloud compute instances create vm1-vpc2-ncc \
--zone us-central1-a \
--subnet vpc2-ncc-subnet1 \
--no-address \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc2-vm2</h3>" | tee /var/www/html/index.html'
gcloud compute instances create vm1-vpc3-ncc \
--zone us-central1-a \
--subnet vpc3-ncc-subnet1 \
--no-address \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc3-vm3</h3>" | tee /var/www/html/index.html'
3. Topologia di ispezione ibrida NCC
In questa sezione, implementeremo l'hub Network Connectivity Center per la topologia di ispezione ibrida. La topologia di ispezione ibrida NCC implementa policy di spoke NCC preimpostate per supportare in modo specifico il gateway NCC. Il diagramma logico illustra l'ambiente di rete che verrà configurato in questo passaggio.
Hub NCC per l'ispezione ibrida dei raggi
Quando crei un hub NCC, utilizza il flag "-preset-topology=hybrid-inspection" per creare quattro gruppi di tipi di spoke NCC. I quattro tipi di hub NCC includono:
Groups:gateways | Gli spoke del gateway fungono da punti di ingresso e uscita regionali per i flussi di traffico che entrano in Google Cloud da on-premise o da altri cloud. Facilitano l'ispezione del traffico tramite servizi SSE di terze parti come Palo Alto Networks o Symantec. Nota: questo è l'unico gruppo che può contenere spoke del gateway NCC in questa topologia |
Groups:services | Questo gruppo funge da "hub" per le risorse condivise; gli spoke di questo gruppo hanno connettività a tutti gli altri gruppi spoke (prod, non-prod e gateway). VPC di servizio condivise (ad esempio per logging, autenticazione, monitoraggio o strumenti comuni) |
Gruppi:prod | Caso d'uso: allocare i VPC dell'applicazione di produzione contenenti workload mission-critical (VM, cluster GKE). |
Gruppi:non-prod | Risorse assegnate: VPC dell'applicazione non di produzione utilizzati per ambienti di sviluppo, test o gestione temporanea. |
Configurare l'hub NCC per utilizzare la topologia di ispezione ibrida preimpostata
gcloud beta network-connectivity hubs create cl-hi-hub \ --preset-topology=hybrid-inspection
Output di esempio
Create request issued for: [cl-hi-hub]
Waiting for operation [projects/"${projectname}"/locations/global/operations/operation-1759424304217-6402fe4a97da0-5de6
e5a1-2ea2de02] to complete...done.
Created hub [cl-hi-hub].
Utilizza il comando gcloud per verificare la tabella di routing preimpostata dell'hub NCC:
gcloud network-connectivity hubs describe cl-hi-hub
Output di esempio
createTime: '2026-02-18T16:14:45.828597880Z'
exportPsc: false
name: projects/"${projectname}"/locations/global/hubs/cl-hi-hub
policyMode: PRESET
routeTables:
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/gateways
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/non-prod
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/prod
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/services
spokeSummary:
state: ACTIVE
uniqueId: c0fbb826-173b-42dd-a5d2-00c2aa66fed8
updateTime: '2026-04-21T19:13:50.269721594Z'
Gli spoke NCC possono essere aggiunti a un gruppo per applicare le norme sul flusso di traffico. Uno o più spoke NCC possono far parte di un solo gruppo. Per questa release, una topologia preimpostata specifica denominata HYBRID-INSPECTION introduce quattro gruppi: gateway, prod, non-prod e servizi.
Tutte le risorse NCC Gateway (incluse le connessioni ibride) fanno parte del gruppo di gateway. Gli spoke nel gruppo di gateway potranno comunicare tra loro e il traffico tra i gateway e gli altri gruppi di spoke è idoneo all'ispezione (a seconda della configurazione delle policy del servizio).
Regole di connettività del gruppo spoke NCC
Gruppo di origini | Può accedere (consentito) | Impossibile accedere (con limitazioni) |
Gruppo di servizi | gateway, prod, non-prod, servizi | Nessuno |
Gruppo di prodotti | gateway, servizi, spoke di produzione | spoke non di produzione |
Gruppo non di produzione | gateway, servizi, spoke non di produzione | spoke di produzione |
Gruppo di gateway | gateway, servizi, prod, non-prod | Nessuno |
Utilizza il comando gcloud per elencare i gruppi preimpostati nell'hub NCC
gcloud network-connectivity hubs groups list --hub cl-hi-hub --project "${projectname}"
Output di esempio
NAME HUB DESCRIPTION
gateways cl-hi-hub
non-prod cl-hi-hub
prod cl-hi-hub
services cl-hi-hub
Nella console web, vai a Connettività di rete > Network Connectivity Center > seleziona "cl-hi-hub" per visualizzare la configurazione dell'hub NCC.
VPC2 del carico di lavoro come spoke nel gruppo NCC:prod
Utilizza il comando gcloud per configurare il VPC3 del workload come spoke (workload) e assegnare lo spoke al gruppo:prod
gcloud network-connectivity spokes linked-vpc-network create vpc2-sp \
--hub=cl-hi-hub \
--description=codelab-vpc2-ncc-spoke \
--vpc-network=vpc2-ncc \
--global \
--group=prod
Output di esempio
Create request issued for: [vpc2-sp]
Waiting for operation [projects/"${projectname}"/locations/global/operations/operation-1776966793852-650245286757a-766d806c-1bc4fabe] to complete...done.
Created spoke [vpc2-sp].
createTime: '2026-04-23T17:53:14.083783233Z'
description: codelab-vpc2-ncc-spoke
etag: '2'
group: projects/"${projectname}"/locations/global/hubs/cl-hi-hub/groups/prod
hub: projects/"${projectname}"/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/"${projectname}"/global/networks/vpc-ncc2
name: projects/"${projectname}"/locations/global/spokes/vpc2-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: 92972784-e4ed-47e5-be22-08a516a39b0c
updateTime: '2026-04-23T17:53:55.029481722Z'
Utilizza il comando gcloud per visualizzare i prefissi nella tabella di routing "prod " dell'hub NCC.
gcloud network-connectivity hubs route-tables routes list --hub=cl-hi-hub --route_table=prod
Output di esempio
IP_CIDR_RANGE: 10.1.2.0/24
PRIORITY:
LOCATION: us-central1
STATE: ACTIVE
TYPE: VPC_PRIMARY_SUBNET
SITE_TO_SITE: N/A
NEXT_HOP: vpc2-ncc
HUB: cl-hi-hub
ROUTE_TABLE: prod
Configura VPC3 del workload come spoke nel gruppo NCC:non-prod
Utilizza il comando gcloud per configurare VPC3 del workload come spoke (workload) e assegnarlo al gruppo:non-prod
gcloud network-connectivity spokes linked-vpc-network create vpc3-sp \
--hub=cl-hi-hub \
--description=codelab-vpc3-ncc-spoke \
--vpc-network=vpc3-ncc \
--global \
--group=non-prod
Output di esempio
Create request issued for: [vpc3-sp]
Waiting for operation [projects/cloudnet-demo/locations/global/operations/operation-1778757016454-651c5241b83fe-18b62f78-02d70f9a] to complete...done.
Created spoke [vpc3-sp].
createTime: '2026-05-14T11:10:16.758117151Z'
description: codelab-vpc3-ncc-spoke
etag: '2'
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/non-prod
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/cloudnet-demo/global/networks/vpc3-ncc
name: projects/cloudnet-demo/locations/global/spokes/vpc3-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: efe8cfed-d77f-4636-aaae-898e73897b49
updateTime: '2026-05-14T11:10:52.880508489Z'
Utilizza il comando gcloud per visualizzare i prefissi nella tabella di routing "prod " dell'hub NCC.
gcloud network-connectivity hubs route-tables routes list --hub=cl-hi-hub --route_table=prod
Output di esempio
IP_CIDR_RANGE: 10.1.2.0/24
PRIORITY:
LOCATION: us-central1
STATE: ACTIVE
TYPE: VPC_PRIMARY_SUBNET
SITE_TO_SITE: N/A
NEXT_HOP: vpc2-ncc
HUB: cl-hi-hub
ROUTE_TABLE: prod
Configura VPC1 del workload come spoke nel gruppo NCC:services
Utilizza il comando gcloud per configurare VPC1 del workload come spoke (del workload) e assegnare lo spoke al gruppo:services
gcloud network-connectivity spokes linked-vpc-network create vpc1-sp \
--hub=cl-hi-hub \
--description=codelab-vpc1-ncc-spoke \
--vpc-network=vpc1-ncc \
--global \
--group=services
Output di esempio
Create request issued for: [vpc1-sp]
Waiting for operation [projects/cloudnet-demo/locations/global/operations/operation-1778758397065-651c57665f795-1af6d94f-942c9ebd] to complete...done.
Created spoke [vpc1-sp].
createTime: '2026-05-14T11:33:17.359361160Z'
description: codelab-vpc1-ncc-spoke
etag: '2'
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/services
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/cloudnet-demo/global/networks/vpc1-ncc
name: projects/cloudnet-demo/locations/global/spokes/vpc1-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: 82b29a2b-50cb-4557-8b12-3345f5a36ad6
updateTime: '2026-05-14T11:33:55.914406863Z'
Configura lo spoke gateway NCC per i gateway SSE in us-central1
Utilizza il comando gcloud per creare uno spoke NCC Gateway in us-central1:
gcloud beta network-connectivity spokes gateways create cl-ncc-gw-usc-sp \
--region=us-central1 \
--hub=cl-hi-hub \
--capacity=1g \
--ip-range-reservations=10.100.0.0/23 \
--group=gateways
Output di esempio
Create request issued for: [cl-ncc-gw-usc-sp]
Waiting for operation [projects/cloudnet-demo/locations/us-central1/operations/operation-1778758907555-651c594d36fc5-783a8d5d-8d3e341b] to complete...done.
Created spoke [cl-ncc-gw-usc-sp].
createTime: '2026-05-14T11:41:48.066042872Z'
etag: '2'
gateway:
capacity: CAPACITY_1_GBPS
ipRangeReservations:
- ipRange: 10.100.0.0/23
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/gateways
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
name: projects/cloudnet-demo/locations/us-central1/spokes/cl-ncc-gw-usc-sp
spokeType: GATEWAY
state: ACTIVE
uniqueId: ffe8e2b7-c864-4279-9d21-ca72d87083fe
updateTime: '2026-05-14T11:44:08.787947523Z'
Utilizza il comando gcloud per elencare gli spoke NCC:
gcloud network-connectivity spokes list
Output di esempio
NAME: vpc2-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: prod
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc2-ncc-spoke
NAME: vpc3-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: non-prod
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc3-ncc-spoke
NAME: vpc1-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: services
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc1-ncc-spoke
NAME: cl-ncc-gw-usc-sp
LOCATION: us-central1
HUB: cl-hi-hub
GROUP: gateways
TYPE:
RESOURCE COUNT: 1
DATA TRANSFER: Off
DESCRIPTION:
Esamina gli spoke NCC configurati sull'hub NCC "cl-hi-hub":
Annuncia i prefissi IP dal gateway NCC all'hub NCC
Configura il gateway NCC per annunciare prefissi specifici alla tabella di routing dell'hub NCC.
gcloud beta network-connectivity spokes gateways advertised-routes create example-dot-com \
--ip-range=1.1.1.1/32 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create google-dot-com \
--ip-range=173.194.204.101/32 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create branch \
--ip-range=192.168.1.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create prod \
--ip-range=192.168.11.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create non-prod \
--ip-range=192.168.12.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
Utilizza il comando gcloud per elencare le route annunciate provenienti dallo spoke del gateway
gcloud beta network-connectivity spokes gateways advertised-routes list --region=us-central1
Output di esempio
Esamina le route annunciate dello spoke gateway NCC
Nella console web, vai a Connettività di rete > Network Connectivity Center > seleziona la scheda "Spoke": fai clic su "cl-ncc-gw-usc-sp".
4. Connessioni ibride Cloud Interconnect
Al momento della stesura, NCC Gateway supporta solo le interconnessioni Google Cloud. NCC Gateway utilizza un VPC globale e router Cloud nel progetto tenant Google per terminare le sessioni di peering BGP e il collegamento VLAN.
Anche se il diagramma mostra una coppia di Cloud Interconnect e collegamenti VLAN connessi logicamente a un gateway NCC, il router Cloud in un VPC globale del tenant gestito da Google sono i componenti sottostanti che terminano i collegamenti VLAN. In questa sezione, configurerai un router Cloud associato al gateway NCC per gestire le sessioni BGP per la connettività on-premise.
Router Cloud specifico del gateway NCC in us-central1
Utilizza il comando gcloud per configurare un router Cloud specifico per il gateway NCC.
gcloud beta compute routers create ncc-gw-usc1-cr \
--ncc-gateway=https://networkconnectivity.googleapis.com/v1/projects/"${projectid}"/locations/us-central1/spokes/cl-ncc-gw-usc-sp \
--asn=64666 \
--advertisement-mode=CUSTOM \
--set-advertisement-ranges=10.100.2.0/23 \
--region=us-central1
Output di esempio
Creating router [ncc-gw-usc1-cr]...done.
NAME REGION NCC_GATEWAY
ncc-gw-usc1-cr us-central1 cl-ncc-gw-usc-sp
- NCC_GW_NAME: l'URI completo dello spoke gateway NCC. Il formato dell'URI segue questo pattern: https://networkconnectivity.googleapis.com/v1/projects/"${projectid}"/locations/REGION/spokes/GATEWAY_SPOKE_NAME
- ADVERTISED_IP_RANGES: intervalli IP da annunciare alle reti on-premise per attirare il traffico su Google Cloud.
Utilizza questo comando gcloud per elencare il router appena creato
gcloud compute routers list --filter="region:(us-central1)"
Tieni presente che il router Cloud non è associato a un VPC
NAME REGION NETWORK
ncc-gw-usc1-cr us-central1 N/A
Crea collegamenti VLAN da un'interconnessione Cloud dedicata esistente che verrà utilizzata come interfacce sul router Cloud. La configurazione di esempio riportata di seguito utilizza un indirizzo IP link-local come intervallo di subnet candidato. Per configurare il peering BGP verrà utilizzato un indirizzo host specifico di questo intervallo.
gcloud compute interconnects attachments dedicated create vl2029-ead1 \
--region=us-central1 \
--interconnect=projects/some-interconnect-project/global/interconnects/interconnect-lab-sea26-zone1 \
--router=ncc-gw-usc1-cr \
--vlan=2024 \
--bandwidth=500m \
--mtu=1440 \
--candidate-subnets=169.254.222.216/29
Created [https://www.googleapis.com/compute/v1/projects/"${projectname}"/regions/us-central1/interconnectAttachments/vl2029-ead1].
gcloud compute interconnects attachments dedicated create vl3029-ead2 \
--region=us-central1 \
--interconnect=projects/some-interconnect-project/global/interconnects/interconnect-lab-sea26-zone2 \
--router=ncc-gw-usc1-cr \
--vlan=3026 \
--bandwidth=500m \
--mtu=1440 \
--candidate-subnets=169.254.220.184/29
Created [https://www.googleapis.com/compute/v1/projects/"${projectname}"/regions/us-central1/interconnectAttachments/vl3029-ead2].
Configura il router Cloud del gateway NCC in us-central1 con un'interfaccia
Utilizza il comando gcloud per associare il collegamento VLAN creato in us-central al router Cloud del gateway NCC.
gcloud compute routers add-interface ncc-gw-usc1-cr \
--region=us-central1 \
--interface-name=if-vl2029-ead1 \
--interconnect-attachment=vl2029-ead1
Output:
Updated [https://www.googleapis.com/compute/v1/projects/cloudnet-demo/regions/us-central1/routers/ncc-gw-usc1-cr].
Configura il peer BGP per il collegamento VLAN creato sopra.
Utilizza il comando gcloud riportato di seguito per attivare il peering BGP sull'interfaccia Cloud Router.
gcloud compute routers add-bgp-peer ncc-gw-usc1-cr \
--region=us-central1 \
--peer-name=bgp-vl2029-ead1 \
--interface=if-vl2029-ead1 \
--peer-asn=65112 \
--advertisement-mode=DEFAULT
Output:
Creating peer [bgp-vl2029-ead1] in router [ncc-gw-usc1-cr]...done.
Configura il router Cloud del gateway NCC in us-central1 con una seconda interfaccia di collegamento VLAN.
Utilizza il comando gcloud per aggiungere il secondo collegamento VLAN come interfaccia al router Cloud del gateway NCC
gcloud compute routers add-interface ncc-gw-usc1-cr \
--region=us-central1 \
--interface-name=if-vl3029-ead2 \
--interconnect-attachment=vl3029-ead2
Output:
Updated [https://www.googleapis.com/compute/v1/projects/cloudnet-demo/regions/us-central1/routers/ncc-gw-usc1-cr]
Utilizza il comando gcloud riportato di seguito per attivare il peering BGP sull'interfaccia Cloud Router.
gcloud compute routers add-bgp-peer ncc-gw-usc1-cr \
--region=us-central1 \
--peer-name=bgp-vl3029-ead2 \
--interface=if-vl3029-ead2 \
--peer-asn=65112 \
--advertisement-mode=DEFAULT
Verifica lo stato del peering BGP con il router BGP on-premise
Utilizza il comando gcloud per verificare lo stato del peer BGP con il router on-premise e per visualizzare le route che il router Cloud del gateway NCC invia alla rete on-premise.
gcloud compute routers get-status ncc-gw-usc1-cr \
--region=us-central1
**
--format="yaml(result.bgpPeerStatus)"
Output:
Assicurati che lo stato BGP sia "Established".
result:
bgpPeerStatus:
- advertisedRoutes:
- destRange: 10.100.2.0/23
kind: compute#route
nextHopIp: 169.254.111.217
nextHopOrigin: INCOMPLETE
priority: 100
routeType: BGP
enableIpv4: true
enableIpv6: false
ipAddress: 169.254.111.217
md5AuthEnabled: false
name: bgp-vl2029-ead1
numLearnedRoutes: 2
peerIpAddress: 169.254.111.218
state: Established
status: UP
uptime: 6 minutes, 27 seconds
uptimeSeconds: '387'
- advertisedRoutes:
- destRange: 10.100.2.0/23
kind: compute#route
nextHopIp: 169.254.112.217
nextHopOrigin: INCOMPLETE
priority: 100
routeType: BGP
enableIpv4: true
enableIpv6: false
ipAddress: 169.254.112.217
md5AuthEnabled: false
name: bgp-vl3029-ead2
numLearnedRoutes: 1
peerIpAddress: 169.254.112.218
state: Established
status: UP
uptime: 1 minutes, 35 seconds
uptimeSeconds: '95'
Utilizza il comando gcloud per visualizzare le route che il router Cloud del gateway NCC riceve dalla rete on-premise:
gcloud compute routers get-status ncc-gw-usc1-cr \
--region=us-central1 \
--format="yaml(result.bestRoutes)"
Output:
result:
bestRoutes:
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T10:02:44.265-07:00'
destRange: 172.16.0.0/16
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.111.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T09:54:04.340-07:00'
destRange: 3.3.3.0/24
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.111.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T09:58:56.189-07:00'
destRange: 4.4.4.0/24
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.112.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
Pubblica i prefissi personalizzati di Google Cloud in On Prem**, poiché le route di subnet vengono pubblicizzate automaticamente. Hai la possibilità di pubblicizzare una route "di riepilogo" per i tuoi prefissi personalizzati.**
cloud compute routers update ncc-gw-usc1-cr \
--project=cloudnet-demo \
--region=us-central1 \
--advertisement-mode custom \
--set-advertisement-groups=all_subnets \
--set-advertisement-ranges="10.1.0.0/16"
Output:
Updating router [ncc-gw-usc1-cr]...done.
5. Integrazione di SSE di terze parti con il gateway NCC
Secure Access Connect è una funzionalità che ti consente di connettere prodotti Security Service Edge (SSE) di terze parti al gateway NCC per proteggere il traffico in entrata e in uscita. La sua funzione principale è stabilire un collegamento tra Google Cloud e un provider SSE di terze parti.
In questa sezione, accederai a Strata Cloud Manager per attivare e configurare il servizio proxy SSE nel gateway NCC.
Il servizio è composto da due risorse principali:
- Realm Secure Access Connect:una risorsa globale che collega il tuo progetto Google Cloud al servizio SSE. Stabilisce uno spazio di policy di sicurezza condiviso per un gruppo di VPC o utenti, esponendo al fornitore SSE i gateway che devono essere regolati dallo stesso insieme di policy di sicurezza.
- Collegamento Secure Access Connect:una risorsa logica regionale che consente fisicamente a Gateway NCC di elaborare il traffico con il servizio SSE. Contiene i metadati necessari per stabilire l'affidabilità e la connettività con lo stack SSE del partner
Crea un realm Secure Access Connect
gcloud beta network-security secure-access-connect realms create codelab-sac-realm \
--security-service=prisma-access
Identificare la chiave di accoppiamento
Per associare il dominio di connessione dell'accesso sicuro a Prisma Access, ti servirà la chiave di accoppiamento. Questa stringa alfanumerica verrà utilizzata per configurare e eseguire il provisioning del gateway SSE tramite il portale web Strata Cloud Manager.
gcloud beta network-security secure-access-connect realms describe codelab-sac-realm
createTime: '2026-04-21T13:48:53.760262401Z'
name: projects/"${projectname}"/locations/global/sacRealms/codelab-cden
pairingKey:
expireTime: '2026-04-28T13:48:51.107221733Z'
key: 2a52a7e2-7c95-4dc7-9155-c3234976fad4
securityService: PALO_ALTO_PRISMA_ACCESS
state: PENDING_PARTNER_ATTACHMENT
updateTime: '2026-04-21T13:48:55.874553834Z'
Crea il realm partner con Managed Cloud WAN in Prisma Access
- Accedi a Strata Cloud Manager e assicurati di utilizzare il tenant del gateway SSE assegnato.
- Per connettere il realm SAC al tenant partner, vai a
Impostazioni di sistema -> Integrazioni -> WAN cloud gestite e
Fai clic su "Connetti".
- Inserisci la chiave di accoppiamento del dominio SAC nella finestra di dialogo "Connetti account gateway NCC di Google". Fai clic su "Conferma" per iniziare a creare il regno.
L'aggiornamento dello stato del gateway NCC a "Connesso" richiede alcuni minuti.
In GCP Cloud Shell, utilizza il comando gcloud per trovare la chiave di accoppiamento associata al realm SAC.
gcloud beta network-security secure-access-connect realms describe codelab-sac-realm
Puoi anche visualizzare la chiave di accoppiamento nella console GCP
Aggiungi il cluster SSE di NCC Gateway come connessione Cloud WAN gestita andando a
Configurazione > NGFW e Prisma Access > fai clic su "Ambito di configurazione" e seleziona "Rete remota" nella sezione "Prisma Access".
Nella pagina Panoramica, fai clic su "Configurazione" e seleziona "Connessioni Cloud WAN gestite".
Fai clic su "Aggiungi sito Cloud WAN gestito".
Attiva l'istanza SSE nel gateway NCC
Passa alla console di GCP, utilizza il comando gcloud per creare un collegamento Secure Access Connect.
gcloud alpha network-security secure-access-connect attachments create codelab-sac-attachment-usc1 \
--location=us-central1 \
--realm=codelab-sac-realm \
--gateway=cl-ncc-gw-usc-sp
Crea il Partner Gateway
Inserisci i parametri per la connessione WAN cloud gestita.
- Nome sito: inserisci un nome univoco per la connessione.
- **Tipo di servizio**: seleziona Google NCC Gateway come tipo di servizio.
- Connection Name (Nome connessione): seleziona la posizione del servizio GCP che hai creato durante l'attivazione e la creazione del collegamento SAC del gateway NCC.
- Prisma Access Compute Location: seleziona la località di calcolo in cui vuoi eseguire il deployment dell'integrazione del gateway NCC con Prisma Access.
- Larghezza di banda (Mbps): seleziona la larghezza di banda da allocare in Mbps. Il valore massimo che puoi allocare è 10.000 Mbps (10 Gbps).
Il valore massimo che puoi allocare è 10.000 Mbps (10 Gbps).
Al termine, fai clic su "Salva".
Sincronizza la configurazione dell'istanza SSE del gateway NCC
Seleziona "Push Config" per creare l'istanza SSE del partner sullo spoke gateway NCC.
Monitora l'avanzamento facendo clic su "Push Config" e selezionando "Lavori". Attendi il completamento di tutti i "Risultati" per il tuo job specifico.
Al termine, fai clic su "Fine".
Controlla lo stato del gateway SSE del partner andando su Configurazione > NGFW e Prisma Access > Ambito di configurazione > Prisma Access > Reti remote >Configurazione > Connessioni Cloud WAN gestite
Prisma Access esegue automaticamente il provisioning della configurazione BGP di Managed Cloud WAN Connection.
6. Verifica il percorso dei dati tramite il gateway NCC
Passa alla console GCP Cloud Shell
Utilizza il comando gcloud per visualizzare le route pubblicizzate provenienti dallo spoke del gateway:
gcloud beta network-connectivity spokes gateways advertised-routes list --region=us-central1
Accedi a "vm1-vpc1-ncc**"** tramite SSH e avvia TCP dump per tracciare i pacchetti ICMP da **" vm2-vpc2-ncc."** Ti ricordiamo che questa VM si trova su VPC2.
vm1-vpc1-ncc
sudo tcpdump -i any icmp -v -e -n
Stabilisci una sessione SSH con "vm1-vpc2-ncc**"** e "ping" l'indirizzo IP di "vm1-vpc1-ncc".
vm1-vpc2-ncc
ping 10.1.1.2
Output:
Dovresti vedere la traccia riportata di seguito su vm1-vpc1-ncc.
Esegui un comando curl sulla VM-1 al server HTTP on-premise per testare la raggiungibilità on-premise
vm1-vpc1-ncc
curl 172.16.101.11 -vv
Output:
Stabilisci una sessione SSH su "vm1-vpc2-ncc**"** e "ping" l'indirizzo IP "1.1.1.1".
vm1-vpc2-ncc
ping 1.1.1.1
Output:
I ping non funzionano perché devono essere consentiti in Prisma(Strata Cloud Manager). Attiviamola.
Vai a Strata Cloud Manager —-> Configuration —-> NGFW and Prisma Access, vedrai quanto segue:::
In alto a sinistra, premi il menu a discesa Globale e scegli "Reti remote", poi fai clic sulla scheda "Servizi di sicurezza" e scegli "Norme di sicurezza". Vedi di seguito:
Fai clic su Aggiungi regola in alto a destra e crea una regola "allow icmp" per consentire il traffico icmp tra vm1-vpc2-ncc e 1.1.1.1. Al termine, premi "Push Config" in alto a destra.
Controlla i job per assicurarti che la configurazione sia stata eseguita correttamente. Fai clic su Push Config —-> Jobs
Una volta completato il job, esegui di nuovo il test ping da vm1-vpc2-ncc.
OPERAZIONE RIUSCITA!!! Hai completato correttamente questo codelab.
7. Liberare spazio nel lab
Elimina i collegamenti VLAN
gcloud compute interconnects attachments delete vl2024-ead1 \
--region=us-central1 \
--quiet
gcloud compute interconnects attachments delete vl3026-ead2 \
--region=us-central1 \
--quiet
Elimina il peer BGP e l'interfaccia BGP del router Cloud NCC Gateway
gcloud compute routers remove-bgp-peer ncc-gw-usc1-cr \
--peer-name=bgp-vl2024-ead1 \
--region=us-central1
gcloud compute routers remove-interface ncc-gw-usc1-cr \
--interface-name=if-vl3026-ead2 \
--region=us-central1
Elimina ncc-gw-usc1-cr e ncc-gw-usc1-cr
gcloud compute routers delete ncc-gw-usc1-cr \
--region=us-central1 \
--quiet
Elimina le route annunciate del gateway
gcloud beta network-connectivity spokes gateways advertised-routes delete ncc-gw-usc1-cr \
--region=us-central1 \
--spoke=cl-ncc-gw-usw-sp \
Elimina gli spoke VPC NCC
gcloud network-connectivity spokes delete vpc1-sp --global --quiet
gcloud network-connectivity spokes delete vpc2-sp --global --quiet
gcloud network-connectivity spokes delete vpc3-sp --global --quiet
Elimina spoke ncc-gateway
gcloud network-connectivity spokes delete cl-ncc-gw-usc-sp --region=us-central1 \
--quiet
Elimina il realm di accesso sicuro
gcloud beta network-security secure-access-connect realms delete codelab-sac-realm --quie
t
Elimina hub NCC
gcloud network-connectivity hubs delete ncc-hub --quiet
Elimina regole firewall
gcloud compute firewall-rules delete ncc1-vpc-internal --quiet
gcloud compute firewall-rules delete ncc2-vpc-internal --quiet
gcloud compute firewall-rules delete ncc3-vpc-internal --quiet
gcloud compute firewall-rules delete ncc1-vpc-iap --quiet
gcloud compute firewall-rules delete ncc2-vpc-iap --quiet
gcloud compute firewall-rules delete ncc3-vpc-iap --quiet
Elimina istanze GCE
gcloud compute instances delete vm1-vpc1-ncc --zone=us-central1-a --quiet
gcloud compute instances delete vm2-vpc2-ncc --zone=us-central1-a --quiet
gcloud compute instances delete vm1-vpc3-ncc --zone=us-east1-b --quiet
Elimina subnet VPC
gcloud compute networks subnets delete vpc1-ncc-subnet1 --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet2 --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet3 --region us-central1 --quiet
Elimina VPC
gcloud compute networks delete vpc1-ncc vpc2-ncc vpc3-ncc vpc4-ncc, vpc5-ncc --quiet
8. Complimenti!
Hai completato il lab Network Connectivity Center.
Argomenti trattati
- Configura la topologia di ispezione ibrida NCC
- Spoke gateway NCC
- Gateway SSE di Palo Alto Networks su Google Cloud
- PANW: Strata Cloud Manager
Passaggi successivi