1. Wprowadzenie
Omówienie
Z tego modułu dowiesz się, jak Network Connectivity Center (NCC) wykorzystuje bramę NCC do nawiązywania bezpiecznych połączeń. Użytkownicy wdrożą Secure Access Connect, aby zintegrować zewnętrzne produkty Security Service Edge (SSE), co umożliwi dokładną inspekcję i ochronę przepływów ruchu. Ta konfiguracja upraszcza zarządzanie siecią, ponieważ oferuje scentralizowany model oparty na bramie, który zabezpiecza ruch wchodzący i wychodzący ze środowisk Google Cloud.
Co utworzysz
W tym ćwiczeniu utworzysz logiczną topologię gwiazdy z centrum NCC, która będzie implementować w pełni połączoną sieć połączeń VPC w 3 różnych sieciach VPC.
Czego się nauczysz
- Hybrydowa inspekcja topologii
- Brama NCC
- Połączenia bezpiecznego dostępu
- Palo Alto Network SSE
Czego potrzebujesz
- znajomość sieci VPC GCP,
- Znajomość routera Cloud Router i routingu BGP
- To ćwiczenie wymaga 5 sieci VPC. Jedna z tych sieci VPC musi znajdować się w innym projekcie niż centrum NCC.
- Sprawdź limit:sieci i w razie potrzeby poproś o dodanie kolejnych sieci (zrzut ekranu poniżej):
Cele
- Konfigurowanie środowiska GCP
- Konfigurowanie Network Connectivity Center na potrzeby inspekcji hybrydowej
- Aprowizowanie Palo Alto Network Stratacloud Manager for SSE
- Sprawdzanie ścieżki danych
- Poznaj funkcje serwisowania NCC
- Zwalnianie miejsca używanych zasobów
Zanim zaczniesz
Konsola Google Cloud i Cloud Shell
Aby korzystać z GCP, w tym module będziemy używać zarówno konsoli Google Cloud, jak i Cloud Shell.
Konsola Google Cloud projektu centrum NCC
Konsola Cloud jest dostępna pod adresem https://console.cloud.google.com.
Skonfiguruj w Google Cloud te elementy, aby ułatwić sobie konfigurowanie Network Connectivity Center:
W konsoli Google Cloud na stronie selektora projektów wybierz lub utwórz projekt w chmurze Google Cloud.
Uwaga: jeśli zasoby utworzone podczas wykonywania tej procedury nie będą Ci później potrzebne, nie wybieraj istniejącego projektu, tylko utwórz nowy. Po jej zakończeniu możesz usunąć projekt wraz ze wszystkimi zasobami, które są z nim powiązane.
Uruchom Cloud Shell. To ćwiczenie wykorzystuje $variables, aby ułatwić implementację konfiguracji gcloud w Cloud Shell.
gcloud auth list
gcloud config list project
gcloud config set project [HUB-PROJECT-ID]
projectname=[HUB-PROJECT-ID]
echo $projectname
gcloud config set compute/zone us-central1-a
gcloud config set compute/region us-central1
Role uprawnień
Aby uzyskać dostęp do określonych interfejsów API, NCC wymaga ról uprawnień. W razie potrzeby skonfiguruj użytkownika z rolami IAM usługi NCC.
Rola/opis | Uprawnienia |
| networkconnectivity.hubs.networkconnectivity.spokes.networkconnectivity.gatewaynetworkconnectivity.locations. |
| networkconnectivity.gatewayAdvertisedRoutes.networkconnectivity.groups. networkconnectivity.hubRouteTables.networkconnectivity.hubRoutes.networkconnectivity.hubs. networkconnectivity.locations. networkconnectivity.operations.* networkconnectivity.spokes.*resourcemanager.projects.getresourcemanager.projects.list |
| networkconnectivity.gatewayAdvertisedRoutes.getnetworkconnectivity.gatewayAdvertisedRoutes.listnetworkconnectivity.groups.getnetworkconnectivity.groups.getIamPolicynetworkconnectivity.groups.listnetworkconnectivity.hubRouteTables.getnetworkconnectivity.hubRouteTables.getIamPolicynetworkconnectivity.hubRouteTables.listnetworkconnectivity.hubRoutes.getnetworkconnectivity.hubRoutes.getIamPolicynetworkconnectivity.hubRoutes.listnetworkconnectivity.hubs.getnetworkconnectivity.hubs.getIamPolicynetworkconnectivity.hubs.listnetworkconnectivity.hubs.listSpokesnetworkconnectivity.hubs.queryStatus networkconnectivity.locations.*networkconnectivity.spokes.getnetworkconnectivity.spokes.getIamPolicynetworkconnectivity.spokes.listresourcemanager.projects.getresourcemanager.projects.list |
2. Konfigurowanie środowiska sieciowego
W tej sekcji wdrożymy sieci VPC i reguły zapory sieciowej w jednym projekcie. Diagram logiczny przedstawia środowisko sieciowe, które zostanie skonfigurowane w tym kroku.
Utwórz sieci VPC i podsieci
Sieć VPC zawiera podsieci, w których zainstalujesz maszynę wirtualną GCE na potrzeby weryfikacji ścieżki danych.
gcloud compute networks create vpc1-ncc --subnet-mode custom
gcloud compute networks create vpc2-ncc --subnet-mode custom
gcloud compute networks create vpc3-ncc --subnet-mode custom
gcloud compute networks subnets create vpc1-ncc-subnet1 \
--network vpc1-ncc \
--range 10.1.1.0/24 \
--region us-central1
gcloud compute networks subnets create vpc2-ncc-subnet1 \
--network vpc2-ncc \
--range 10.1.2.0/24 \
--region us-central1
gcloud compute networks subnets create vpc3-ncc-subnet1 \
--network vpc3-ncc \
--range 10.1.3.0/24 \
--region us-central1
Konfigurowanie reguł zapory sieciowej VPC
Skonfiguruj reguły zapory sieciowej w każdej sieci VPC, aby zezwalać na:
- SSH
- Wewnętrzne zakupy w aplikacji
- zakres 10.0.0.0/8,
gcloud compute firewall-rules create ncc1-vpc-internal \
--network vpc1-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc2-vpc-internal \
--network vpc2-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc3-vpc-internal \
--network vpc3-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc1-vpc-iap \
--network vpc1-ncc \
--allow all \
--source-ranges 35.235.240.0/20
gcloud compute firewall-rules create ncc2-vpc-iap \
--network vpc2-ncc \
--allow=tcp:22 \
--source-ranges 35.235.240.0/20
gcloud compute firewall-rules create ncc3-vpc-iap \
--network vpc3-ncc \
--allow=tcp:22 \
--source-ranges 35.235.240.0/20
Konfigurowanie maszyny wirtualnej GCE w każdej sieci VPC
Aby zainstalować pakiety na „vm1-vpc1-ncc”, potrzebujesz tymczasowego dostępu do internetu.
Utwórz 4 maszyny wirtualne. Każda z nich zostanie przypisana do jednej z wcześniej utworzonych sieci VPC.
gcloud compute instances create vm1-vpc1-ncc \
--subnet vpc1-ncc-subnet1 \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc1-vm1</h3>" | tee /var/www/html/index.html'
gcloud compute instances create vm1-vpc2-ncc \
--zone us-central1-a \
--subnet vpc2-ncc-subnet1 \
--no-address \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc2-vm2</h3>" | tee /var/www/html/index.html'
gcloud compute instances create vm1-vpc3-ncc \
--zone us-central1-a \
--subnet vpc3-ncc-subnet1 \
--no-address \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc3-vm3</h3>" | tee /var/www/html/index.html'
3. Topologia inspekcji hybrydowej NCC
W tej sekcji wdrożymy centrum Network Connectivity Center dla hybrydowej topologii inspekcji. Topologia inspekcji hybrydowej NCC wdraża wstępnie ustawione zasady promieni NCC, aby obsługiwać bramę NCC. Diagram logiczny przedstawia środowisko sieciowe, które zostanie skonfigurowane w tym kroku.
Centrum NCC do sprawdzania hybrydowych szprych
Podczas tworzenia centrum NCC użyj flagi „-preset-topology=hybrid-inspection”, aby utworzyć 4 grupy typów promieni NCC. Do 4 rodzajów punktów kontaktowych NCC należą:
Grupy:bramy | Promienie bramy służą jako regionalne punkty wejścia i wyjścia dla przepływów ruchu wchodzących do Google Cloud ze środowisk lokalnych lub innych chmur. Ułatwiają inspekcję ruchu za pomocą usług SSE innych firm, takich jak Palo Alto Networks czy Symantec. Uwaga: jest to jedyna grupa, która w tej topologii może zawierać promienie bramy NCC. |
Grupy:usługi | Ta grupa działa jako „centrum” zasobów udostępnionych. Sieci w tej grupie mają połączenie ze wszystkimi innymi grupami sieci (produkcyjnymi, nieprodukcyjnymi i bramami). Sieci VPC usług współdzielonych (np. do logowania, uwierzytelniania, monitorowania lub wspólnych narzędzi) |
Grupy:prod | Przypadek użycia: przydzielanie środowisk VPC aplikacji produkcyjnych zawierających zbiory zadań o kluczowym znaczeniu (maszyny wirtualne, klastry GKE). |
Grupy:non-prod | Przypisane zasoby: nieprodukcyjne sieci VPC aplikacji używane w środowiskach programistycznych, testowych lub przejściowych. |
Konfigurowanie centrum NCC pod kątem korzystania z gotowej hybrydowej inspekcji topologii
gcloud beta network-connectivity hubs create cl-hi-hub \ --preset-topology=hybrid-inspection
Przykładowe dane wyjściowe
Create request issued for: [cl-hi-hub]
Waiting for operation [projects/"${projectname}"/locations/global/operations/operation-1759424304217-6402fe4a97da0-5de6
e5a1-2ea2de02] to complete...done.
Created hub [cl-hi-hub].
Aby sprawdzić wstępnie ustawioną tabelę routingu centrum NCC, użyj polecenia gcloud:
gcloud network-connectivity hubs describe cl-hi-hub
Przykładowe dane wyjściowe
createTime: '2026-02-18T16:14:45.828597880Z'
exportPsc: false
name: projects/"${projectname}"/locations/global/hubs/cl-hi-hub
policyMode: PRESET
routeTables:
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/gateways
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/non-prod
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/prod
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/services
spokeSummary:
state: ACTIVE
uniqueId: c0fbb826-173b-42dd-a5d2-00c2aa66fed8
updateTime: '2026-04-21T19:13:50.269721594Z'
Do grupy można dodawać promienie NCC, aby stosować zasady przepływu ruchu. Promień NCC może należeć tylko do jednej grupy. W tej wersji wprowadzamy gotową topologię HYBRID-INSPECTION, która zawiera 4 grupy: bramy, środowisko produkcyjne, środowisko nieprodukcyjne i usługi.
Wszystkie zasoby bramy NCC (w tym połączenia hybrydowe) należą do grupy bram. Promienie w grupie bram będą mogły się ze sobą komunikować, a ruch między bramami a innymi grupami promieni będzie podlegać inspekcji (w zależności od konfiguracji zasad usługi).
Reguły łączności grup promieni NCC
Grupa źródeł | Może uzyskać dostęp (dozwolone) | Brak dostępu (ograniczony) |
Grupa usług | bramy, środowisko produkcyjne, środowisko inne niż produkcyjne, usługi; | Brak |
Grupa produktów | bramy, usługi, sieci produkcyjne, | promienie inne niż produkcyjne, |
Grupa nieprodukcyjna | bramy, usługi, sieci spoke inne niż produkcyjne, | promienie produkcyjne, |
Grupa bram | bramy, usługi, środowisko produkcyjne, środowisko inne niż produkcyjne | Brak |
Użyj polecenia gcloud, aby wyświetlić listę wstępnie ustawionych grup w centrum NCC.
gcloud network-connectivity hubs groups list --hub cl-hi-hub --project "${projectname}"
Przykładowe dane wyjściowe
NAME HUB DESCRIPTION
gateways cl-hi-hub
non-prod cl-hi-hub
prod cl-hi-hub
services cl-hi-hub
W konsoli internetowej otwórz kolejno łączność sieciową > Network Connectivity Center > wybierz „cl-hi-hub”, aby wyświetlić konfigurację centrum NCC.
Środowisko VPC2 z obciążeniami jako promień w grupie NCC:prod
Użyj polecenia gcloud, aby skonfigurować sieć VPC3 zadania jako promień (zadania) i przypisać ją do grupy:prod.
gcloud network-connectivity spokes linked-vpc-network create vpc2-sp \
--hub=cl-hi-hub \
--description=codelab-vpc2-ncc-spoke \
--vpc-network=vpc2-ncc \
--global \
--group=prod
Przykładowe dane wyjściowe
Create request issued for: [vpc2-sp]
Waiting for operation [projects/"${projectname}"/locations/global/operations/operation-1776966793852-650245286757a-766d806c-1bc4fabe] to complete...done.
Created spoke [vpc2-sp].
createTime: '2026-04-23T17:53:14.083783233Z'
description: codelab-vpc2-ncc-spoke
etag: '2'
group: projects/"${projectname}"/locations/global/hubs/cl-hi-hub/groups/prod
hub: projects/"${projectname}"/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/"${projectname}"/global/networks/vpc-ncc2
name: projects/"${projectname}"/locations/global/spokes/vpc2-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: 92972784-e4ed-47e5-be22-08a516a39b0c
updateTime: '2026-04-23T17:53:55.029481722Z'
Użyj polecenia gcloud, aby wyświetlić prefiksy w tabeli routingu „prod” w centrum NCC.
gcloud network-connectivity hubs route-tables routes list --hub=cl-hi-hub --route_table=prod
Przykładowe dane wyjściowe
IP_CIDR_RANGE: 10.1.2.0/24
PRIORITY:
LOCATION: us-central1
STATE: ACTIVE
TYPE: VPC_PRIMARY_SUBNET
SITE_TO_SITE: N/A
NEXT_HOP: vpc2-ncc
HUB: cl-hi-hub
ROUTE_TABLE: prod
Skonfiguruj sieć VPC zadania 3 jako promień w grupie NCC:non-prod
Użyj polecenia gcloud, aby skonfigurować sieć VPC3 zadania jako promień (zadania) i przypisać promień do grupy:non-prod.
gcloud network-connectivity spokes linked-vpc-network create vpc3-sp \
--hub=cl-hi-hub \
--description=codelab-vpc3-ncc-spoke \
--vpc-network=vpc3-ncc \
--global \
--group=non-prod
Przykładowe dane wyjściowe
Create request issued for: [vpc3-sp]
Waiting for operation [projects/cloudnet-demo/locations/global/operations/operation-1778757016454-651c5241b83fe-18b62f78-02d70f9a] to complete...done.
Created spoke [vpc3-sp].
createTime: '2026-05-14T11:10:16.758117151Z'
description: codelab-vpc3-ncc-spoke
etag: '2'
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/non-prod
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/cloudnet-demo/global/networks/vpc3-ncc
name: projects/cloudnet-demo/locations/global/spokes/vpc3-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: efe8cfed-d77f-4636-aaae-898e73897b49
updateTime: '2026-05-14T11:10:52.880508489Z'
Użyj polecenia gcloud, aby wyświetlić prefiksy w tabeli routingu „prod” w centrum NCC.
gcloud network-connectivity hubs route-tables routes list --hub=cl-hi-hub --route_table=prod
Przykładowe dane wyjściowe
IP_CIDR_RANGE: 10.1.2.0/24
PRIORITY:
LOCATION: us-central1
STATE: ACTIVE
TYPE: VPC_PRIMARY_SUBNET
SITE_TO_SITE: N/A
NEXT_HOP: vpc2-ncc
HUB: cl-hi-hub
ROUTE_TABLE: prod
Skonfiguruj sieć VPC zadania 1 jako promień w grupie NCC:services
Użyj polecenia gcloud, aby skonfigurować sieć VPC1 zadania jako promień (zadania) i przypisać ją do grupy:services.
gcloud network-connectivity spokes linked-vpc-network create vpc1-sp \
--hub=cl-hi-hub \
--description=codelab-vpc1-ncc-spoke \
--vpc-network=vpc1-ncc \
--global \
--group=services
Przykładowe dane wyjściowe
Create request issued for: [vpc1-sp]
Waiting for operation [projects/cloudnet-demo/locations/global/operations/operation-1778758397065-651c57665f795-1af6d94f-942c9ebd] to complete...done.
Created spoke [vpc1-sp].
createTime: '2026-05-14T11:33:17.359361160Z'
description: codelab-vpc1-ncc-spoke
etag: '2'
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/services
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/cloudnet-demo/global/networks/vpc1-ncc
name: projects/cloudnet-demo/locations/global/spokes/vpc1-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: 82b29a2b-50cb-4557-8b12-3345f5a36ad6
updateTime: '2026-05-14T11:33:55.914406863Z'
Konfigurowanie promienia bramy NCC dla bram SSE w regionie us-central1
Użyj polecenia gcloud, aby utworzyć połączenie z bramą NCC w regionie us-central1:
gcloud beta network-connectivity spokes gateways create cl-ncc-gw-usc-sp \
--region=us-central1 \
--hub=cl-hi-hub \
--capacity=1g \
--ip-range-reservations=10.100.0.0/23 \
--group=gateways
Przykładowe dane wyjściowe
Create request issued for: [cl-ncc-gw-usc-sp]
Waiting for operation [projects/cloudnet-demo/locations/us-central1/operations/operation-1778758907555-651c594d36fc5-783a8d5d-8d3e341b] to complete...done.
Created spoke [cl-ncc-gw-usc-sp].
createTime: '2026-05-14T11:41:48.066042872Z'
etag: '2'
gateway:
capacity: CAPACITY_1_GBPS
ipRangeReservations:
- ipRange: 10.100.0.0/23
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/gateways
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
name: projects/cloudnet-demo/locations/us-central1/spokes/cl-ncc-gw-usc-sp
spokeType: GATEWAY
state: ACTIVE
uniqueId: ffe8e2b7-c864-4279-9d21-ca72d87083fe
updateTime: '2026-05-14T11:44:08.787947523Z'
Aby wyświetlić listę połączeń NCC, użyj polecenia gcloud:
gcloud network-connectivity spokes list
Przykładowe dane wyjściowe
NAME: vpc2-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: prod
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc2-ncc-spoke
NAME: vpc3-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: non-prod
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc3-ncc-spoke
NAME: vpc1-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: services
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc1-ncc-spoke
NAME: cl-ncc-gw-usc-sp
LOCATION: us-central1
HUB: cl-hi-hub
GROUP: gateways
TYPE:
RESOURCE COUNT: 1
DATA TRANSFER: Off
DESCRIPTION:
Sprawdź promienie NCC skonfigurowane w centrum NCC „cl-hi-hub”:
Rozgłaszanie prefiksów IP z bramy NCC do centrum NCC
Skonfiguruj bramę NCC tak, aby rozgłaszała określone prefiksy do tabeli tras centrum NCC.
gcloud beta network-connectivity spokes gateways advertised-routes create example-dot-com \
--ip-range=1.1.1.1/32 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create google-dot-com \
--ip-range=173.194.204.101/32 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create branch \
--ip-range=192.168.1.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create prod \
--ip-range=192.168.11.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create non-prod \
--ip-range=192.168.12.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
Użyj polecenia gcloud, aby wyświetlić listę rozgłaszanych tras pochodzących z promienia bramy.
gcloud beta network-connectivity spokes gateways advertised-routes list --region=us-central1
Przykładowe dane wyjściowe
Sprawdzanie rozgłaszanych tras promienia bramy NCC
W konsoli internetowej otwórz Łączność sieciowa > Network Connectivity Center. Wybierz kartę Węzły i kliknij cl-ncc-gw-usc-sp.
4. Połączenia hybrydowe Cloud Interconnect
W momencie pisania tego artykułu brama NCC obsługuje tylko połączenia Google Cloud Interconnect. Brama NCC używa globalnej sieci VPC i routerów Cloud Router w projekcie najemcy Google do zakańczania sesji przyłącza VLAN i połączenia równorzędnego BGP.
Chociaż diagram przedstawia parę połączeń międzysieciowych Cloud Interconnect i przyłączy VLAN logicznie połączonych z bramą NCC, router Cloud Router w globalnej sieci VPC dzierżawy zarządzanej przez Google jest podstawowym komponentem, który kończy przyłącza VLAN. W tej sekcji skonfigurujesz router Cloud Router powiązany z bramą NCC, aby zarządzać sesjami BGP na potrzeby łączności lokalnej.
Router Cloud Router w regionie us-central1 przypisany do bramy NCC
Użyj polecenia gcloud, aby skonfigurować router Cloud Router specjalnie dla bramy NCC.
gcloud beta compute routers create ncc-gw-usc1-cr \
--ncc-gateway=https://networkconnectivity.googleapis.com/v1/projects/"${projectid}"/locations/us-central1/spokes/cl-ncc-gw-usc-sp \
--asn=64666 \
--advertisement-mode=CUSTOM \
--set-advertisement-ranges=10.100.2.0/23 \
--region=us-central1
Przykładowe dane wyjściowe
Creating router [ncc-gw-usc1-cr]...done.
NAME REGION NCC_GATEWAY
ncc-gw-usc1-cr us-central1 cl-ncc-gw-usc-sp
- NCC_GW_NAME: pełny identyfikator URI promienia bramy NCC. Format URI jest zgodny z tym wzorcem: https://networkconnectivity.googleapis.com/v1/projects/"${projectid}"/locations/REGION/spokes/GATEWAY_SPOKE_NAME
- ADVERTISED_IP_RANGES: zakresy adresów IP, które mają być rozgłaszane w sieciach lokalnych, aby przyciągać ruch do Google Cloud.
Za pomocą tego polecenia gcloud możesz wyświetlić listę właśnie utworzonego routera
gcloud compute routers list --filter="region:(us-central1)"
Pamiętaj, że router Cloud Router nie jest powiązany z siecią VPC.
NAME REGION NETWORK
ncc-gw-usc1-cr us-central1 N/A
Utwórz przyłącza VLAN z istniejącego dedykowanego połączenia Cloud Interconnect, które będą używane jako interfejsy routera Cloud Router. W przykładowej konfiguracji poniżej jako zakresu podsieci kandydującej użyto lokalnego adresu IP. Do skonfigurowania połączenia równorzędnego BGP zostanie użyty konkretny adres hosta z tego zakresu.
gcloud compute interconnects attachments dedicated create vl2029-ead1 \
--region=us-central1 \
--interconnect=projects/some-interconnect-project/global/interconnects/interconnect-lab-sea26-zone1 \
--router=ncc-gw-usc1-cr \
--vlan=2024 \
--bandwidth=500m \
--mtu=1440 \
--candidate-subnets=169.254.222.216/29
Created [https://www.googleapis.com/compute/v1/projects/"${projectname}"/regions/us-central1/interconnectAttachments/vl2029-ead1].
gcloud compute interconnects attachments dedicated create vl3029-ead2 \
--region=us-central1 \
--interconnect=projects/some-interconnect-project/global/interconnects/interconnect-lab-sea26-zone2 \
--router=ncc-gw-usc1-cr \
--vlan=3026 \
--bandwidth=500m \
--mtu=1440 \
--candidate-subnets=169.254.220.184/29
Created [https://www.googleapis.com/compute/v1/projects/"${projectname}"/regions/us-central1/interconnectAttachments/vl3029-ead2].
Skonfiguruj router Cloud Router bramy NCC w regionie us-central1 z interfejsem
Użyj polecenia gcloud, aby powiązać przyłącze VLAN utworzone w regionie us-central z routerem Cloud Router bramy NCC.
gcloud compute routers add-interface ncc-gw-usc1-cr \
--region=us-central1 \
--interface-name=if-vl2029-ead1 \
--interconnect-attachment=vl2029-ead1
Dane wyjściowe:
Updated [https://www.googleapis.com/compute/v1/projects/cloudnet-demo/regions/us-central1/routers/ncc-gw-usc1-cr].
Skonfiguruj peera BGP dla utworzonego powyżej przyłącza VLAN.
Aby aktywować połączenie równorzędne BGP w interfejsie routera Cloud Router, użyj poniższego polecenia gcloud.
gcloud compute routers add-bgp-peer ncc-gw-usc1-cr \
--region=us-central1 \
--peer-name=bgp-vl2029-ead1 \
--interface=if-vl2029-ead1 \
--peer-asn=65112 \
--advertisement-mode=DEFAULT
Dane wyjściowe:
Creating peer [bgp-vl2029-ead1] in router [ncc-gw-usc1-cr]...done.
Skonfiguruj router Cloud Router bramy NCC w regionie us-central1 z drugim interfejsem przyłącza VLAN.
Użyj polecenia gcloud, aby dodać drugie przyłącze VLAN jako interfejs do routera Cloud Router bramy NCC.
gcloud compute routers add-interface ncc-gw-usc1-cr \
--region=us-central1 \
--interface-name=if-vl3029-ead2 \
--interconnect-attachment=vl3029-ead2
Dane wyjściowe:
Updated [https://www.googleapis.com/compute/v1/projects/cloudnet-demo/regions/us-central1/routers/ncc-gw-usc1-cr]
Aby aktywować połączenie równorzędne BGP w interfejsie routera Cloud Router, użyj poniższego polecenia gcloud.
gcloud compute routers add-bgp-peer ncc-gw-usc1-cr \
--region=us-central1 \
--peer-name=bgp-vl3029-ead2 \
--interface=if-vl3029-ead2 \
--peer-asn=65112 \
--advertisement-mode=DEFAULT
Sprawdzanie stanu komunikacji BGP z lokalnym routerem BGP
Użyj polecenia gcloud, aby sprawdzić stan połączenia równorzędnego BGP z routerem lokalnym i zobaczyć, jakie trasy router Cloud Router bramy NCC wysyła do sieci lokalnej.
gcloud compute routers get-status ncc-gw-usc1-cr \
--region=us-central1
**
--format="yaml(result.bgpPeerStatus)"
Dane wyjściowe:
Upewnij się, że stan BGP to „Established”.
result:
bgpPeerStatus:
- advertisedRoutes:
- destRange: 10.100.2.0/23
kind: compute#route
nextHopIp: 169.254.111.217
nextHopOrigin: INCOMPLETE
priority: 100
routeType: BGP
enableIpv4: true
enableIpv6: false
ipAddress: 169.254.111.217
md5AuthEnabled: false
name: bgp-vl2029-ead1
numLearnedRoutes: 2
peerIpAddress: 169.254.111.218
state: Established
status: UP
uptime: 6 minutes, 27 seconds
uptimeSeconds: '387'
- advertisedRoutes:
- destRange: 10.100.2.0/23
kind: compute#route
nextHopIp: 169.254.112.217
nextHopOrigin: INCOMPLETE
priority: 100
routeType: BGP
enableIpv4: true
enableIpv6: false
ipAddress: 169.254.112.217
md5AuthEnabled: false
name: bgp-vl3029-ead2
numLearnedRoutes: 1
peerIpAddress: 169.254.112.218
state: Established
status: UP
uptime: 1 minutes, 35 seconds
uptimeSeconds: '95'
Użyj polecenia gcloud, aby sprawdzić, jakie trasy router Cloud Router bramy NCC otrzymuje z sieci lokalnej:
gcloud compute routers get-status ncc-gw-usc1-cr \
--region=us-central1 \
--format="yaml(result.bestRoutes)"
Dane wyjściowe:
result:
bestRoutes:
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T10:02:44.265-07:00'
destRange: 172.16.0.0/16
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.111.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T09:54:04.340-07:00'
destRange: 3.3.3.0/24
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.111.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T09:58:56.189-07:00'
destRange: 4.4.4.0/24
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.112.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
Rozgłaszaj niestandardowe prefiksy GCP do sieci lokalnej**, ponieważ trasy podsieci są rozgłaszane automatycznie. Możesz reklamować trasę „podsumowującą” dla swoich prefiksów niestandardowych**.
cloud compute routers update ncc-gw-usc1-cr \
--project=cloudnet-demo \
--region=us-central1 \
--advertisement-mode custom \
--set-advertisement-groups=all_subnets \
--set-advertisement-ranges="10.1.0.0/16"
Dane wyjściowe:
Updating router [ncc-gw-usc1-cr]...done.
5. Integracja usługi SSE innej firmy z bramą NCC
Połączenie bezpiecznego dostępu to funkcja, która umożliwia łączenie zewnętrznych usług SSE z bramą NCC w celu zabezpieczenia ruchu przychodzącego i wychodzącego. Jego głównym zadaniem jest ustanowienie połączenia między GCP a dostawcą SSE innej firmy.
W tej sekcji zalogujesz się w Strata Cloud Manager, aby aktywować i skonfigurować usługę proxy SSE w bramie NCC.
Usługa składa się z 2 głównych zasobów:
- Obszar połączenia bezpiecznego dostępu: zasób globalny, który łączy projekt w chmurze Google z usługą SSE. Tworzy wspólną przestrzeń zasad bezpieczeństwa dla grupy sieci VPC lub użytkowników, udostępniając dostawcy SSE informacje o tym, które bramy powinny podlegać temu samemu zestawowi zasad bezpieczeństwa.
- Przyłącze połączenia bezpiecznego dostępu: regionalny zasób logiczny, który fizycznie umożliwia bramie NCC przetwarzanie ruchu z usługą SSE. Zawiera metadane niezbędne do nawiązania zaufania i łączności ze stosem SSE partnera.
Tworzenie domeny połączenia bezpiecznego dostępu
gcloud beta network-security secure-access-connect realms create codelab-sac-realm \
--security-service=prisma-access
Określ klucz parowania
Aby powiązać domenę połączenia bezpiecznego dostępu z Prisma Access, potrzebujesz klucza parowania. Ten ciąg alfanumeryczny będzie używany do konfigurowania i udostępniania bramy SSE za pomocą portalu internetowego Strata Cloud Manager.
gcloud beta network-security secure-access-connect realms describe codelab-sac-realm
createTime: '2026-04-21T13:48:53.760262401Z'
name: projects/"${projectname}"/locations/global/sacRealms/codelab-cden
pairingKey:
expireTime: '2026-04-28T13:48:51.107221733Z'
key: 2a52a7e2-7c95-4dc7-9155-c3234976fad4
securityService: PALO_ALTO_PRISMA_ACCESS
state: PENDING_PARTNER_ATTACHMENT
updateTime: '2026-04-21T13:48:55.874553834Z'
Utwórz obszar partnera z zarządzaną siecią Cloud WAN w Prisma Access
- Zaloguj się w Strata Cloud Manager i upewnij się, że używasz przypisanego najemcy bramy SSE.
- Aby połączyć obszar SAC z dzierżawą partnera, otwórz
Ustawienia systemu –> Integracje –> Zarządzane sieci Cloud WAN i
Kliknij „Połącz”.
- W oknie dialogowym „Połącz konto bramy Google NCC” wpisz klucz parowania domeny SAC. Aby rozpocząć tworzenie obszaru, kliknij Potwierdź.
Aktualizacja stanu bramy NCC na „Połączono” może potrwać kilka minut.
W GCP Cloud Shell użyj polecenia gcloud, aby znaleźć klucz parowania powiązany z domeną SAC.
gcloud beta network-security secure-access-connect realms describe codelab-sac-realm
Klucz parowania możesz też wyświetlić w konsoli GCP.
Dodaj klaster SSE bramy NCC jako zarządzane połączenie Cloud WAN, wykonując te czynności:
Konfiguracja > NGFW i Prisma Access > kliknij „Zakres konfiguracji” i w sekcji „Prisma Access” wybierz „Sieć zdalna”.
Na stronie Przegląd kliknij „konfiguracja” i wybierz „Połączenia zarządzanej sieci Cloud WAN”.
Kliknij „Add Managed Cloud WAN Site” (Dodaj zarządzaną witrynę Cloud WAN).
Aktywowanie instancji SSE w bramie NCC
Przejdź do konsoli GCP i użyj polecenia gcloud, aby utworzyć połączenie Secure Access Connect.
gcloud alpha network-security secure-access-connect attachments create codelab-sac-attachment-usc1 \
--location=us-central1 \
--realm=codelab-sac-realm \
--gateway=cl-ncc-gw-usc-sp
Utwórz bramę partnera
Wpisz parametry zarządzanego połączenia WAN w chmurze.
- Nazwa witryny – wpisz niepowtarzalną nazwę połączenia.
- **Typ usługi** – wybierz Google NCC Gateway jako typ usługi.
- Nazwa połączenia – wybierz lokalizację usługi GCP utworzoną podczas aktywacji i tworzenia połączenia SAC w sekcji Brama CC.
- Prisma Access Compute Location (Lokalizacja obliczeniowa Prisma Access) – wybierz lokalizację obliczeniową, w której chcesz wdrożyć integrację bramy NCC z Prisma Access.
- Przepustowość (Mb/s) – wybierz przepustowość do przydzielenia w Mb/s. Maksymalna wartość, jaką możesz przydzielić, to 10 000 Mb/s (10 Gb/s).
Maksymalna wartość, jaką możesz przydzielić, to 10 000 Mb/s (10 Gb/s).
Gdy skończysz, kliknij Zapisz.
Synchronizowanie konfiguracji instancji SSE bramy NCC
Kliknij „Push Config” (Wypchnij konfigurację), aby utworzyć instancję SSE partnera na promieniu bramy NCC.
Śledź postępy, klikając „Push Config” i wybierając „Zadania”. Poczekaj, aż wszystkie wyniki dla danego zadania zostaną ukończone.
Gdy skończysz, kliknij Gotowe.
Sprawdź stan bramy SSE partnera, klikając Konfiguracja > NGFW i Prisma Access > Zakres konfiguracji > Prisma Access > Sieci zdalne > Konfiguracja > Zarządzane połączenia Cloud WAN.
Prisma Access automatycznie udostępnia konfigurację BGP połączenia Managed Cloud WAN Connection.
6. Sprawdzanie ścieżki danych przez bramę NCC
Przejdź do konsoli Cloud Shell w GCP.
Aby wyświetlić rozgłaszane trasy pochodzące z promienia bramy, użyj polecenia gcloud:
gcloud beta network-connectivity spokes gateways advertised-routes list --region=us-central1
Połącz się przez SSH z instancją „vm1-vpc1-ncc**”** i uruchom zrzut TCP, aby śledzić pakiety ICMP z instancji „vm2-vpc2-ncc”. Przypominamy, że ta maszyna wirtualna znajduje się w sieci VPC2.
vm1-vpc1-ncc
sudo tcpdump -i any icmp -v -e -n
Ustanów sesję SSH z maszyną „vm1-vpc2-ncc**”** i wykonaj polecenie „ping” na adresie IP maszyny „vm1-vpc1-ncc”.
vm1-vpc2-ncc
ping 10.1.1.2
Dane wyjściowe:
Na maszynie wirtualnej vm1-vpc1-ncc powinien być widoczny ten ślad.
Uruchom polecenie curl na maszynie wirtualnej VM-1, aby przetestować dostępność serwera HTTP w środowisku lokalnym
vm1-vpc1-ncc
curl 172.16.101.11 -vv
Dane wyjściowe:
Nawiąż sesję SSH z maszyną „vm1-vpc2-ncc**”** i wykonaj polecenie „ping” na adres IP „1.1.1.1”.
vm1-vpc2-ncc
ping 1.1.1.1
Dane wyjściowe:
Pingi nie działają, ponieważ muszą być dozwolone w Prisma(Strata Cloud Manager). Włączmy to!
Otwórz Strata Cloud Manager –> Configuration (Konfiguracja) –> NGFW and Prisma Access (Zapora sieciowa nowej generacji i Prisma Access). Zobaczysz:
W lewym górnym rogu kliknij menu Global i wybierz „Remote Networks” (Sieci zdalne), a potem kliknij kartę „Security Services” (Usługi zabezpieczeń) i wybierz „Security Policy” (Zasady zabezpieczeń).
W prawym górnym rogu kliknij Dodaj regułę i utwórz regułę „allow icmp”, aby zezwolić na ruch ICMP między vm1-vpc2-ncc a 1.1.1.1. Gdy to zrobisz, w prawym górnym rogu kliknij „Push Config” (Wypchnij konfigurację).
Sprawdź Zadania, aby upewnić się, że konfiguracja została przesłana. Kliknij Push Config (Wypychanie konfiguracji) –> Jobs (Zadania).
Gdy zadanie zakończy się powodzeniem, ponownie przetestuj ping z vm1-vpc2-ncc.
GOTOWE!!! Udało Ci się ukończyć to ćwiczenie w Codelabs.
7. Zwalnianie miejsca w laboratorium
Usuń przyłącza VLAN
gcloud compute interconnects attachments delete vl2024-ead1 \
--region=us-central1 \
--quiet
gcloud compute interconnects attachments delete vl3026-ead2 \
--region=us-central1 \
--quiet
Usuń połączenie równorzędne BGP i interfejs BGP routera Cloud Router bramy NCC
gcloud compute routers remove-bgp-peer ncc-gw-usc1-cr \
--peer-name=bgp-vl2024-ead1 \
--region=us-central1
gcloud compute routers remove-interface ncc-gw-usc1-cr \
--interface-name=if-vl3026-ead2 \
--region=us-central1
Usuń ncc-gw-usc1-cr i ncc-gw-usc1-cr
gcloud compute routers delete ncc-gw-usc1-cr \
--region=us-central1 \
--quiet
Usuwanie rozgłaszanych tras bramy
gcloud beta network-connectivity spokes gateways advertised-routes delete ncc-gw-usc1-cr \
--region=us-central1 \
--spoke=cl-ncc-gw-usw-sp \
Usuwanie promieni VPC NCC
gcloud network-connectivity spokes delete vpc1-sp --global --quiet
gcloud network-connectivity spokes delete vpc2-sp --global --quiet
gcloud network-connectivity spokes delete vpc3-sp --global --quiet
Usuwanie promienia bramy NCC
gcloud network-connectivity spokes delete cl-ncc-gw-usc-sp --region=us-central1 \
--quiet
Usuwanie domeny bezpiecznego dostępu
gcloud beta network-security secure-access-connect realms delete codelab-sac-realm --quie
t
Usuwanie centrum NCC
gcloud network-connectivity hubs delete ncc-hub --quiet
Usuwanie reguł zapory sieciowej
gcloud compute firewall-rules delete ncc1-vpc-internal --quiet
gcloud compute firewall-rules delete ncc2-vpc-internal --quiet
gcloud compute firewall-rules delete ncc3-vpc-internal --quiet
gcloud compute firewall-rules delete ncc1-vpc-iap --quiet
gcloud compute firewall-rules delete ncc2-vpc-iap --quiet
gcloud compute firewall-rules delete ncc3-vpc-iap --quiet
Usuwanie instancji GCE
gcloud compute instances delete vm1-vpc1-ncc --zone=us-central1-a --quiet
gcloud compute instances delete vm2-vpc2-ncc --zone=us-central1-a --quiet
gcloud compute instances delete vm1-vpc3-ncc --zone=us-east1-b --quiet
Usuwanie podsieci VPC
gcloud compute networks subnets delete vpc1-ncc-subnet1 --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet2 --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet3 --region us-central1 --quiet
Usuwanie sieci VPC
gcloud compute networks delete vpc1-ncc vpc2-ncc vpc3-ncc vpc4-ncc, vpc5-ncc --quiet
8. Gratulacje!
Laboratorium Network Connectivity Center zostało ukończone.
Omówione kwestie
- Konfigurowanie hybrydowej inspekcji topologii NCC
- Promień bramy NCC
- Brama SSE Palo Alto Network w Google Cloud
- PANW: Strata Cloud Manager
Następne kroki