1. Introdução
Visão geral
Neste laboratório, os usuários vão aprender como o Network Connectivity Center (NCC) usa o gateway do NCC para estabelecer uma conectividade segura. Os usuários vão implementar o Secure Access Connect para integrar produtos de terceiros do Security Service Edge (SSE), permitindo uma inspeção e proteção robustas dos fluxos de tráfego. Essa configuração simplifica o gerenciamento de rede ao oferecer um modelo centralizado baseado em gateway para proteger o tráfego que entra e sai dos ambientes do Google Cloud.
O que você vai criar
Neste codelab, você vai criar uma topologia lógica de hub e spoke com o hub do NCC que vai implementar uma estrutura de conectividade VPC totalmente interconectada em três VPCs distintas.
O que você vai aprender
- Topologia de inspeção híbrida
- Gateway do NCC
- Conexão de acesso seguro
- SSE da Palo Alto Networks
O que é necessário
- Conhecimento da rede VPC do GCP
- Conhecimento do Cloud Router e do roteamento BGP
- Este codelab exige cinco VPCs. Uma dessas VPCs precisa estar em um projeto separado do hub do NCC.
- Verifique sua cota:redes e solicite mais redes, se necessário. Veja a captura de tela abaixo:
Objetivos
- Configurar o ambiente do GCP
- Configurar o Network Connectivity Center para inspeção híbrida
- Provisionar o Palo Alto Network Stratacloud Manager para SSE
- Validar o caminho dos dados
- Conhecer os recursos de capacidade de serviço do NCC
- Limpar os recursos usados
Antes de começar
Console do Google Cloud e Cloud Shell
Para interagir com o GCP, vamos usar o console do Google Cloud e o Cloud Shell ao longo deste laboratório.
Projeto do hub do NCC no console do Google Cloud
O console do Cloud pode ser acessado em https://console.cloud.google.com.
Configure os seguintes itens no Google Cloud para facilitar a configuração do Network Connectivity Center:
No Console do Google Cloud, na página de seletor de projetos, selecione ou crie um projeto do Google Cloud.
Observação: se você não pretende manter os recursos criados neste procedimento, crie um projeto novo em vez de selecionar um que já existe. Depois de concluir essas etapas, é possível excluir o projeto. Para fazer isso, basta remover todos os recursos associados a ele.
Inicie o Cloud Shell. Este codelab usa $variáveis para ajudar na implementação da configuração do gcloud no Cloud Shell.
gcloud auth list
gcloud config list project
gcloud config set project [HUB-PROJECT-ID]
projectname=[HUB-PROJECT-ID]
echo $projectname
gcloud config set compute/zone us-central1-a
gcloud config set compute/region us-central1
Papéis do IAM
O NCC exige papéis do IAM para acessar APIs específicas. Configure seu usuário com os papéis do IAM do NCC conforme necessário.
Função/descrição | Permissões |
| networkconnectivity.hubs.networkconnectivity.spokes.networkconnectivity.gatewaynetworkconnectivity.locations. |
| networkconnectivity.gatewayAdvertisedRoutes.networkconnectivity.groups. networkconnectivity.hubRouteTables.networkconnectivity.hubRoutes.networkconnectivity.hubs. networkconnectivity.locations. networkconnectivity.operations.* networkconnectivity.spokes.*resourcemanager.projects.getresourcemanager.projects.list |
| networkconnectivity.gatewayAdvertisedRoutes.getnetworkconnectivity.gatewayAdvertisedRoutes.listnetworkconnectivity.groups.getnetworkconnectivity.groups.getIamPolicynetworkconnectivity.groups.listnetworkconnectivity.hubRouteTables.getnetworkconnectivity.hubRouteTables.getIamPolicynetworkconnectivity.hubRouteTables.listnetworkconnectivity.hubRoutes.getnetworkconnectivity.hubRoutes.getIamPolicynetworkconnectivity.hubRoutes.listnetworkconnectivity.hubs.getnetworkconnectivity.hubs.getIamPolicynetworkconnectivity.hubs.listnetworkconnectivity.hubs.listSpokesnetworkconnectivity.hubs.queryStatus networkconnectivity.locations.*networkconnectivity.spokes.getnetworkconnectivity.spokes.getIamPolicynetworkconnectivity.spokes.listresourcemanager.projects.getresourcemanager.projects.list |
2. Configurar o ambiente de rede
Nesta seção, vamos implantar as redes VPC e as regras de firewall em um único projeto. O diagrama lógico ilustra o ambiente de rede que será configurado nesta etapa.
Criar as VPCs e as sub-redes
A rede VPC contém sub-redes em que você vai instalar a VM do GCE para validação do caminho de dados.
gcloud compute networks create vpc1-ncc --subnet-mode custom
gcloud compute networks create vpc2-ncc --subnet-mode custom
gcloud compute networks create vpc3-ncc --subnet-mode custom
gcloud compute networks subnets create vpc1-ncc-subnet1 \
--network vpc1-ncc \
--range 10.1.1.0/24 \
--region us-central1
gcloud compute networks subnets create vpc2-ncc-subnet1 \
--network vpc2-ncc \
--range 10.1.2.0/24 \
--region us-central1
gcloud compute networks subnets create vpc3-ncc-subnet1 \
--network vpc3-ncc \
--range 10.1.3.0/24 \
--region us-central1
Configurar regras de firewall da VPC
Configure regras de firewall em cada VPC para permitir
- SSH
- IAP interno
- Intervalo 10.0.0.0/8
gcloud compute firewall-rules create ncc1-vpc-internal \
--network vpc1-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc2-vpc-internal \
--network vpc2-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc3-vpc-internal \
--network vpc3-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc1-vpc-iap \
--network vpc1-ncc \
--allow all \
--source-ranges 35.235.240.0/20
gcloud compute firewall-rules create ncc2-vpc-iap \
--network vpc2-ncc \
--allow=tcp:22 \
--source-ranges 35.235.240.0/20
gcloud compute firewall-rules create ncc3-vpc-iap \
--network vpc3-ncc \
--allow=tcp:22 \
--source-ranges 35.235.240.0/20
Configurar uma VM do GCE em cada VPC
Você vai precisar de acesso temporário à Internet para instalar pacotes em "vm1-vpc1-ncc".
Crie quatro máquinas virtuais. Cada uma delas será atribuída a uma das VPCs criadas anteriormente.
gcloud compute instances create vm1-vpc1-ncc \
--subnet vpc1-ncc-subnet1 \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc1-vm1</h3>" | tee /var/www/html/index.html'
gcloud compute instances create vm1-vpc2-ncc \
--zone us-central1-a \
--subnet vpc2-ncc-subnet1 \
--no-address \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc2-vm2</h3>" | tee /var/www/html/index.html'
gcloud compute instances create vm1-vpc3-ncc \
--zone us-central1-a \
--subnet vpc3-ncc-subnet1 \
--no-address \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc3-vm3</h3>" | tee /var/www/html/index.html'
3. Topologia de inspeção híbrida do NCC
Nesta seção, vamos implantar o hub do Network Connectivity Center para a topologia de inspeção híbrida. A topologia de inspeção híbrida do NCC implementa políticas de spoke predefinidas do NCC para oferecer suporte especificamente ao gateway do NCC. O diagrama lógico ilustra o ambiente de rede que será configurado nesta etapa.
Hub do NCC para inspeção de spoke híbrido
Ao criar um hub do NCC, use a flag "-preset-topology=hybrid-inspection" para criar quatro grupos de tipos de spoke do NCC. Os quatro tipos de spokes do NCC incluem:
Grupos:gateways | Os spokes de gateway servem como pontos de entrada e saída regionais para fluxos de tráfego que entram no Google Cloud de ambientes locais ou de outras nuvens. Eles facilitam a inspeção de tráfego por serviços de SSE de terceiros, como Palo Alto Networks ou Symantec. Observação: este é o único grupo que pode conter spokes de gateway do NCC nessa topologia. |
Grupos:services | Esse grupo atua como um "hub" para recursos compartilhados. Os spokes nesse grupo têm conectividade com todos os outros grupos de spoke (produção, não produção e gateways). VPCs de serviços compartilhados (por exemplo, para geração de registros, autenticação, monitoramento ou ferramentas comuns) |
Groups:prod | Caso de uso: alocar VPCs de aplicativo de produção que contêm cargas de trabalho essenciais (VMs, clusters do GKE). |
Groups:non-prod | Recursos atribuídos: VPCs de aplicativos de não produção usadas para ambientes de desenvolvimento, teste ou preparo. |
Configurar o hub do NCC para usar a topologia predefinida de inspeção híbrida
gcloud beta network-connectivity hubs create cl-hi-hub \ --preset-topology=hybrid-inspection
Exemplo de saída
Create request issued for: [cl-hi-hub]
Waiting for operation [projects/"${projectname}"/locations/global/operations/operation-1759424304217-6402fe4a97da0-5de6
e5a1-2ea2de02] to complete...done.
Created hub [cl-hi-hub].
Use o comando gcloud para verificar a tabela de roteamento predefinida do hub do NCC:
gcloud network-connectivity hubs describe cl-hi-hub
Exemplo de saída
createTime: '2026-02-18T16:14:45.828597880Z'
exportPsc: false
name: projects/"${projectname}"/locations/global/hubs/cl-hi-hub
policyMode: PRESET
routeTables:
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/gateways
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/non-prod
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/prod
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/services
spokeSummary:
state: ACTIVE
uniqueId: c0fbb826-173b-42dd-a5d2-00c2aa66fed8
updateTime: '2026-04-21T19:13:50.269721594Z'
Os spokes do NCC podem ser adicionados a um grupo para aplicar políticas de fluxo de tráfego. Um ou mais spokes do NCC só podem fazer parte de um grupo. Nesta versão, uma topologia predefinida específica chamada HYBRID-INSPECTION apresenta quatro grupos: gateways, prod, non-prod e services.
Todos os recursos do gateway do NCC (incluindo as conexões híbridas) fazem parte do grupo de gateways. Os spokes no grupo de gateways poderão se comunicar entre si, e o tráfego entre gateways e outros grupos de spokes poderá ser inspecionado (dependendo da configuração da política de serviço).
Regras de conectividade do grupo de spokes do NCC
Grupo de origem | Pode acessar (permitido) | Não é possível acessar (restrito) |
Grupo de serviços | gateways, prod, non-prod, services | Nenhum |
Grupo de produtos | gateways, serviços, spokes de produção | spokes de não produção |
Grupo sem produção | gateways, serviços, spokes de não produção | spokes de produção |
Grupo de gateways | gateways, serviços, prod, non-prod | Nenhum |
Use o comando gcloud para listar os grupos predefinidos no hub do NCC:
gcloud network-connectivity hubs groups list --hub cl-hi-hub --project "${projectname}"
Exemplo de saída
NAME HUB DESCRIPTION
gateways cl-hi-hub
non-prod cl-hi-hub
prod cl-hi-hub
services cl-hi-hub
No console da Web, acesse "Conectividade de rede > Network Connectivity Center" e selecione "cl-hi-hub" para conferir a configuração do hub do NCC.
VPC2 de carga de trabalho como um spoke no grupo prod do NCC
Use o comando gcloud para configurar a VPC3 de carga de trabalho como um spoke (de carga de trabalho) e atribua o spoke ao grupo:prod
gcloud network-connectivity spokes linked-vpc-network create vpc2-sp \
--hub=cl-hi-hub \
--description=codelab-vpc2-ncc-spoke \
--vpc-network=vpc2-ncc \
--global \
--group=prod
Exemplo de resposta
Create request issued for: [vpc2-sp]
Waiting for operation [projects/"${projectname}"/locations/global/operations/operation-1776966793852-650245286757a-766d806c-1bc4fabe] to complete...done.
Created spoke [vpc2-sp].
createTime: '2026-04-23T17:53:14.083783233Z'
description: codelab-vpc2-ncc-spoke
etag: '2'
group: projects/"${projectname}"/locations/global/hubs/cl-hi-hub/groups/prod
hub: projects/"${projectname}"/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/"${projectname}"/global/networks/vpc-ncc2
name: projects/"${projectname}"/locations/global/spokes/vpc2-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: 92972784-e4ed-47e5-be22-08a516a39b0c
updateTime: '2026-04-23T17:53:55.029481722Z'
Use o comando gcloud para ver os prefixos na tabela de rotas "prod" do hub do NCC.
gcloud network-connectivity hubs route-tables routes list --hub=cl-hi-hub --route_table=prod
Exemplo de resposta
IP_CIDR_RANGE: 10.1.2.0/24
PRIORITY:
LOCATION: us-central1
STATE: ACTIVE
TYPE: VPC_PRIMARY_SUBNET
SITE_TO_SITE: N/A
NEXT_HOP: vpc2-ncc
HUB: cl-hi-hub
ROUTE_TABLE: prod
Configure a VPC3 de carga de trabalho como um spoke no grupo do NCC:non-prod
Use o comando gcloud para configurar a VPC3 de carga de trabalho como um spoke (de carga de trabalho) e atribuir o spoke ao grupo:non-prod
gcloud network-connectivity spokes linked-vpc-network create vpc3-sp \
--hub=cl-hi-hub \
--description=codelab-vpc3-ncc-spoke \
--vpc-network=vpc3-ncc \
--global \
--group=non-prod
Exemplo de resposta
Create request issued for: [vpc3-sp]
Waiting for operation [projects/cloudnet-demo/locations/global/operations/operation-1778757016454-651c5241b83fe-18b62f78-02d70f9a] to complete...done.
Created spoke [vpc3-sp].
createTime: '2026-05-14T11:10:16.758117151Z'
description: codelab-vpc3-ncc-spoke
etag: '2'
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/non-prod
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/cloudnet-demo/global/networks/vpc3-ncc
name: projects/cloudnet-demo/locations/global/spokes/vpc3-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: efe8cfed-d77f-4636-aaae-898e73897b49
updateTime: '2026-05-14T11:10:52.880508489Z'
Use o comando gcloud para ver os prefixos na tabela de rotas "prod" do hub do NCC.
gcloud network-connectivity hubs route-tables routes list --hub=cl-hi-hub --route_table=prod
Exemplo de resposta
IP_CIDR_RANGE: 10.1.2.0/24
PRIORITY:
LOCATION: us-central1
STATE: ACTIVE
TYPE: VPC_PRIMARY_SUBNET
SITE_TO_SITE: N/A
NEXT_HOP: vpc2-ncc
HUB: cl-hi-hub
ROUTE_TABLE: prod
Configure a VPC1 de carga de trabalho como um spoke no grupo NCC:services
Use o comando gcloud para configurar a VPC de carga de trabalho 1 como um spoke (de carga de trabalho) e atribua o spoke ao grupo:services
gcloud network-connectivity spokes linked-vpc-network create vpc1-sp \
--hub=cl-hi-hub \
--description=codelab-vpc1-ncc-spoke \
--vpc-network=vpc1-ncc \
--global \
--group=services
Exemplo de resposta
Create request issued for: [vpc1-sp]
Waiting for operation [projects/cloudnet-demo/locations/global/operations/operation-1778758397065-651c57665f795-1af6d94f-942c9ebd] to complete...done.
Created spoke [vpc1-sp].
createTime: '2026-05-14T11:33:17.359361160Z'
description: codelab-vpc1-ncc-spoke
etag: '2'
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/services
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/cloudnet-demo/global/networks/vpc1-ncc
name: projects/cloudnet-demo/locations/global/spokes/vpc1-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: 82b29a2b-50cb-4557-8b12-3345f5a36ad6
updateTime: '2026-05-14T11:33:55.914406863Z'
Configurar o spoke do gateway do NCC para gateways SSE em us-central1
Use o comando gcloud para criar um spoke de gateway do NCC em us-central1:
gcloud beta network-connectivity spokes gateways create cl-ncc-gw-usc-sp \
--region=us-central1 \
--hub=cl-hi-hub \
--capacity=1g \
--ip-range-reservations=10.100.0.0/23 \
--group=gateways
Exemplo de resposta
Create request issued for: [cl-ncc-gw-usc-sp]
Waiting for operation [projects/cloudnet-demo/locations/us-central1/operations/operation-1778758907555-651c594d36fc5-783a8d5d-8d3e341b] to complete...done.
Created spoke [cl-ncc-gw-usc-sp].
createTime: '2026-05-14T11:41:48.066042872Z'
etag: '2'
gateway:
capacity: CAPACITY_1_GBPS
ipRangeReservations:
- ipRange: 10.100.0.0/23
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/gateways
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
name: projects/cloudnet-demo/locations/us-central1/spokes/cl-ncc-gw-usc-sp
spokeType: GATEWAY
state: ACTIVE
uniqueId: ffe8e2b7-c864-4279-9d21-ca72d87083fe
updateTime: '2026-05-14T11:44:08.787947523Z'
Use o comando gcloud para listar os spokes do NCC:
gcloud network-connectivity spokes list
Exemplo de resposta
NAME: vpc2-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: prod
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc2-ncc-spoke
NAME: vpc3-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: non-prod
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc3-ncc-spoke
NAME: vpc1-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: services
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc1-ncc-spoke
NAME: cl-ncc-gw-usc-sp
LOCATION: us-central1
HUB: cl-hi-hub
GROUP: gateways
TYPE:
RESOURCE COUNT: 1
DATA TRANSFER: Off
DESCRIPTION:
Examine os spokes do NCC configurados no hub do NCC "cl-hi-hub":
Anunciar prefixos de IP do gateway do NCC para o hub do NCC
Configure o gateway do NCC para anunciar prefixos específicos à tabela de rotas do hub do NCC.
gcloud beta network-connectivity spokes gateways advertised-routes create example-dot-com \
--ip-range=1.1.1.1/32 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create google-dot-com \
--ip-range=173.194.204.101/32 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create branch \
--ip-range=192.168.1.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create prod \
--ip-range=192.168.11.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create non-prod \
--ip-range=192.168.12.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
Use o comando gcloud para listar as rotas anunciadas originadas do spoke do gateway
gcloud beta network-connectivity spokes gateways advertised-routes list --region=us-central1
Exemplo de saída
Examinar as rotas anunciadas do spoke do gateway do NCC
No console da Web, acesse Conectividade de rede > Network Connectivity Center > Selecione a guia spokes e clique em cl-ncc-gw-usc-sp.
4. Conexões híbridas do Cloud Interconnect
No momento da redação deste artigo, o gateway do NCC só é compatível com as interconexões do Google Cloud. O gateway do NCC usa uma VPC global e Cloud Routers no projeto de locatário do Google para encerrar as sessões de anexo da VLAN e de peering BGP.
Embora o diagrama mostre um par de Cloud Interconnects e anexos da VLAN logicamente conectados a um gateway do NCC, o Cloud Router em uma VPC global de locatário gerenciado pelo Google é o componente subjacente que encerra os anexos da VLAN. Nesta seção, você vai configurar um Cloud Router associado ao gateway do NCC para gerenciar sessões do BGP para conectividade local.
Cloud Router específico do gateway do NCC em us-central1
Use o comando gcloud para configurar um Cloud Router especificamente para o gateway do NCC.
gcloud beta compute routers create ncc-gw-usc1-cr \
--ncc-gateway=https://networkconnectivity.googleapis.com/v1/projects/"${projectid}"/locations/us-central1/spokes/cl-ncc-gw-usc-sp \
--asn=64666 \
--advertisement-mode=CUSTOM \
--set-advertisement-ranges=10.100.2.0/23 \
--region=us-central1
Exemplo de saída
Creating router [ncc-gw-usc1-cr]...done.
NAME REGION NCC_GATEWAY
ncc-gw-usc1-cr us-central1 cl-ncc-gw-usc-sp
- NCC_GW_NAME: o URI completo do spoke do gateway do NCC. O formato do URI segue este padrão: https://networkconnectivity.googleapis.com/v1/projects/"${projectid}"/locations/REGION/spokes/GATEWAY_SPOKE_NAME
- ADVERTISED_IP_RANGES: intervalos IP a serem anunciados para redes locais e atrair tráfego para o Google Cloud.
Use este comando gcloud para listar o roteador que acabou de ser criado
gcloud compute routers list --filter="region:(us-central1)"
O Cloud Router não está associado a uma VPC.
NAME REGION NETWORK
ncc-gw-usc1-cr us-central1 N/A
Crie anexos da VLAN de uma Interconexão dedicada do Cloud Interconnect que será usada como interfaces no Cloud Router. A configuração de exemplo abaixo usa um endereço IP local de link como um intervalo de sub-rede candidato. Um endereço de host específico desse intervalo será usado para configurar o peering do BGP.
gcloud compute interconnects attachments dedicated create vl2029-ead1 \
--region=us-central1 \
--interconnect=projects/some-interconnect-project/global/interconnects/interconnect-lab-sea26-zone1 \
--router=ncc-gw-usc1-cr \
--vlan=2024 \
--bandwidth=500m \
--mtu=1440 \
--candidate-subnets=169.254.222.216/29
Created [https://www.googleapis.com/compute/v1/projects/"${projectname}"/regions/us-central1/interconnectAttachments/vl2029-ead1].
gcloud compute interconnects attachments dedicated create vl3029-ead2 \
--region=us-central1 \
--interconnect=projects/some-interconnect-project/global/interconnects/interconnect-lab-sea26-zone2 \
--router=ncc-gw-usc1-cr \
--vlan=3026 \
--bandwidth=500m \
--mtu=1440 \
--candidate-subnets=169.254.220.184/29
Created [https://www.googleapis.com/compute/v1/projects/"${projectname}"/regions/us-central1/interconnectAttachments/vl3029-ead2].
Configure o Cloud Router do gateway do NCC em us-central1 com uma interface
Use o comando gcloud para associar o anexo da VLAN criado em us-central ao Cloud Router do gateway do NCC.
gcloud compute routers add-interface ncc-gw-usc1-cr \
--region=us-central1 \
--interface-name=if-vl2029-ead1 \
--interconnect-attachment=vl2029-ead1
Saída:
Updated [https://www.googleapis.com/compute/v1/projects/cloudnet-demo/regions/us-central1/routers/ncc-gw-usc1-cr].
Configure o peering do BGP para o anexo da VLAN criado acima.
Use o comando gcloud abaixo para ativar o peering do BGP na interface do Cloud Router.
gcloud compute routers add-bgp-peer ncc-gw-usc1-cr \
--region=us-central1 \
--peer-name=bgp-vl2029-ead1 \
--interface=if-vl2029-ead1 \
--peer-asn=65112 \
--advertisement-mode=DEFAULT
Saída:
Creating peer [bgp-vl2029-ead1] in router [ncc-gw-usc1-cr]...done.
Configure o Cloud Router do gateway do NCC em us-central1 com uma segunda interface de anexo da VLAN.
Use o comando gcloud para adicionar o segundo anexo da VLAN como uma interface ao Cloud Router do gateway do NCC.
gcloud compute routers add-interface ncc-gw-usc1-cr \
--region=us-central1 \
--interface-name=if-vl3029-ead2 \
--interconnect-attachment=vl3029-ead2
Saída:
Updated [https://www.googleapis.com/compute/v1/projects/cloudnet-demo/regions/us-central1/routers/ncc-gw-usc1-cr]
Use o comando gcloud abaixo para ativar o peering do BGP na interface do Cloud Router.
gcloud compute routers add-bgp-peer ncc-gw-usc1-cr \
--region=us-central1 \
--peer-name=bgp-vl3029-ead2 \
--interface=if-vl3029-ead2 \
--peer-asn=65112 \
--advertisement-mode=DEFAULT
Verificar o status do peering do BGP com o speaker do BGP local
Use o comando gcloud para verificar o status do peering do BGP com o roteador local e ver quais rotas o Cloud Router do gateway do NCC está enviando para a rede local.
gcloud compute routers get-status ncc-gw-usc1-cr \
--region=us-central1
**
--format="yaml(result.bgpPeerStatus)"
Saída:
Verifique se o estado do BGP é "Established".
result:
bgpPeerStatus:
- advertisedRoutes:
- destRange: 10.100.2.0/23
kind: compute#route
nextHopIp: 169.254.111.217
nextHopOrigin: INCOMPLETE
priority: 100
routeType: BGP
enableIpv4: true
enableIpv6: false
ipAddress: 169.254.111.217
md5AuthEnabled: false
name: bgp-vl2029-ead1
numLearnedRoutes: 2
peerIpAddress: 169.254.111.218
state: Established
status: UP
uptime: 6 minutes, 27 seconds
uptimeSeconds: '387'
- advertisedRoutes:
- destRange: 10.100.2.0/23
kind: compute#route
nextHopIp: 169.254.112.217
nextHopOrigin: INCOMPLETE
priority: 100
routeType: BGP
enableIpv4: true
enableIpv6: false
ipAddress: 169.254.112.217
md5AuthEnabled: false
name: bgp-vl3029-ead2
numLearnedRoutes: 1
peerIpAddress: 169.254.112.218
state: Established
status: UP
uptime: 1 minutes, 35 seconds
uptimeSeconds: '95'
Use o comando gcloud para ver quais rotas o Cloud Router do gateway do NCC está recebendo da rede local:
gcloud compute routers get-status ncc-gw-usc1-cr \
--region=us-central1 \
--format="yaml(result.bestRoutes)"
Saída:
result:
bestRoutes:
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T10:02:44.265-07:00'
destRange: 172.16.0.0/16
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.111.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T09:54:04.340-07:00'
destRange: 3.3.3.0/24
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.111.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T09:58:56.189-07:00'
destRange: 4.4.4.0/24
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.112.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
Anuncie prefixos personalizados do GCP para o ambiente local**, já que as rotas de sub-rede são anunciadas automaticamente. Você pode anunciar uma rota de "resumo" para seus prefixos personalizados.**
cloud compute routers update ncc-gw-usc1-cr \
--project=cloudnet-demo \
--region=us-central1 \
--advertisement-mode custom \
--set-advertisement-groups=all_subnets \
--set-advertisement-ranges="10.1.0.0/16"
Saída:
Updating router [ncc-gw-usc1-cr]...done.
5. Como integrar o SSE de terceiros ao gateway do NCC
O Secure Access Connect é um recurso que permite conectar produtos de Serviço de segurança de borda (SSE) de terceiros ao gateway do NCC para proteger o tráfego de entrada e saída. A principal função dele é estabelecer um link entre o GCP e um provedor de SSE terceirizado.
Nesta seção, você vai fazer login no Strata Cloud Manager para ativar e configurar o serviço de proxy SSE no gateway do NCC.
O serviço é composto por dois recursos principais:
- Realm da Conexão de Acesso Seguro:um recurso global que vincula seu projeto na nuvem do Google Cloud ao serviço de SSE. Ele estabelece um espaço de política de segurança compartilhada para um grupo de VPCs ou usuários, expondo ao provedor de SSE quais gateways devem ser regidos pelo mesmo conjunto de políticas de segurança.
- Anexo do Secure Access Connect:um recurso lógico regional que permite fisicamente que o gateway do NCC processe o tráfego com o serviço SSE. Ele contém os metadados necessários para estabelecer confiança e conectividade com a pilha SSE do parceiro.
Criar um domínio do Secure Access Connect
gcloud beta network-security secure-access-connect realms create codelab-sac-realm \
--security-service=prisma-access
Identificar a chave de pareamento
Para associar o domínio de conexão de acesso seguro ao Prisma Access, você precisa da chave de pareamento. Essa string alfanumérica será usada para configurar e provisionar o gateway SSE pelo portal da Web do Strata Cloud Manager.
gcloud beta network-security secure-access-connect realms describe codelab-sac-realm
createTime: '2026-04-21T13:48:53.760262401Z'
name: projects/"${projectname}"/locations/global/sacRealms/codelab-cden
pairingKey:
expireTime: '2026-04-28T13:48:51.107221733Z'
key: 2a52a7e2-7c95-4dc7-9155-c3234976fad4
securityService: PALO_ALTO_PRISMA_ACCESS
state: PENDING_PARTNER_ATTACHMENT
updateTime: '2026-04-21T13:48:55.874553834Z'
Criar o domínio do parceiro com a Managed Cloud WAN no Prisma Access
- Faça login no Strata Cloud Manager e verifique se você está usando o locatário do gateway SSE atribuído.
- Para conectar o escopo do SAC ao locatário do parceiro, acesse
Configurações do sistema -> Integrações -> WANs gerenciadas na nuvem e
Clique em Conectar.
- Insira a chave de pareamento do domínio do SAC na caixa de diálogo "Conectar conta do gateway do NCC do Google". Clique em Confirmar para começar a criar o domínio.
Pode levar alguns minutos para que o status do gateway do NCC seja atualizado para "Conectado".
No Cloud Shell do GCP, use o comando gcloud para encontrar a chave de pareamento associada ao domínio do SAC.
gcloud beta network-security secure-access-connect realms describe codelab-sac-realm
Também é possível conferir a chave de pareamento no console do GCP.
Adicione o cluster SSE do gateway do NCC como uma conexão gerenciada da Cloud WAN navegando até
Configuração > NGFW e Prisma Access > Clique em Escopo da configuração e selecione Rede remota na seção Prisma Access.
Na página "Visão geral", clique em Configuração e selecione Conexões gerenciadas da Cloud WAN.
Clique em Adicionar um site da Cloud WAN gerenciada.
Ativar a instância do SSE no gateway do NCC
Mude para o console do GCP e use o comando gcloud para criar um anexo do Secure Access Connect.
gcloud alpha network-security secure-access-connect attachments create codelab-sac-attachment-usc1 \
--location=us-central1 \
--realm=codelab-sac-realm \
--gateway=cl-ncc-gw-usc-sp
Criar o gateway de parceiro
Insira os parâmetros da conexão gerenciada da Cloud WAN.
- Nome do site: insira um nome exclusivo para a conexão.
- **Tipo de serviço**: selecione "Gateway do NCC do Google" como o tipo de serviço.
- Nome da conexão: selecione o local do serviço do GCP criado durante a ativação e criação do anexo do gateway SAC.
- Local de computação do Prisma Access: selecione o local de computação em que você quer implantar a integração do gateway do NCC com o Prisma Access.
- Largura de banda (Mbps): selecione a largura de banda a ser alocada em Mbps. O máximo que você pode alocar é 10.000 Mbps (10 Gbps).
O máximo que você pode alocar é 10.000 Mbps (10 Gbps).
Quando terminar, clique em Salvar.
Sincronizar a configuração da instância SSE do gateway do NCC
Selecione "Push Config" para criar a instância SSE do parceiro no spoke do gateway do NCC.
Para monitorar o progresso, clique em Push Config e selecione Jobs. Aguarde a conclusão de todos os "Resultados" do seu job específico.
Quando terminar, clique em Concluído.
Para verificar o status do gateway SSE do parceiro, acesse Configuração > NGFW e Prisma Access > Escopo da configuração > Prisma Access > Redes remotas > Configuração > Conexões gerenciadas da Cloud WAN.
O Prisma Access provisiona automaticamente a configuração do BGP da conexão gerenciada da Cloud WAN.
6. Verificar o caminho dos dados pelo gateway do NCC
Mude para o console do Cloud Shell do GCP.
Use o comando gcloud para conferir as rotas anunciadas originadas do raio do gateway:
gcloud beta network-connectivity spokes gateways advertised-routes list --region=us-central1
Conecte-se por SSH a "vm1-vpc1-ncc**"** e inicie o despejo TCP para rastrear pacotes ICMP de **" vm2-vpc2-ncc"**. Lembre-se de que essa VM reside na VPC2.
vm1-vpc1-ncc
sudo tcpdump -i any icmp -v -e -n
Estabeleça uma sessão SSH com "vm1-vpc2-ncc**"** e use "ping" para testar a conectividade com o endereço IP de "vm1-vpc1-ncc".
vm1-vpc2-ncc
ping 10.1.1.2
Saída:
Você vai ver o rastreamento abaixo em vm1-vpc1-ncc.
Execute um comando curl na VM-1 para o servidor HTTP local e teste a acessibilidade local.
vm1-vpc1-ncc
curl 172.16.101.11 -vv
Saída:
Estabeleça uma sessão SSH com "vm1-vpc2-ncc**"** e use "ping" para testar a conectividade com o endereço IP "1.1.1.1".
vm1-vpc2-ncc
ping 1.1.1.1
Saída:
Os pings não estão funcionando porque precisam ser permitidos no Prisma(Strata Cloud Manager). Vamos ativar isso!
Acesse Strata Cloud Manager —-> Configuração —-> NGFW e Prisma Access. A tela abaixo vai aparecer:::
No canto superior esquerdo, pressione o menu suspenso "Global" e escolha "Redes remotas". Em seguida, clique na guia "Serviços de segurança" e escolha "Política de segurança". Veja abaixo:::
Clique em "Adicionar regra" no canto superior direito e crie uma regra "permitir icmp" para permitir o tráfego icmp entre vm1-vpc2-ncc e 1.1.1.1. Depois, pressione "Enviar configuração" no canto superior direito.
Confira os jobs para garantir que a configuração foi enviada corretamente. Clique em "Push Config" —-> "Jobs".
Quando o job for concluído, teste o ping novamente em vm1-vpc2-ncc.
SUCESSO!!! Você concluiu este codelab.
7. Limpeza do laboratório
Exclua os anexos da VLAN
gcloud compute interconnects attachments delete vl2024-ead1 \
--region=us-central1 \
--quiet
gcloud compute interconnects attachments delete vl3026-ead2 \
--region=us-central1 \
--quiet
Excluir o peering do BGP e a interface do BGP do Cloud Router do gateway do NCC
gcloud compute routers remove-bgp-peer ncc-gw-usc1-cr \
--peer-name=bgp-vl2024-ead1 \
--region=us-central1
gcloud compute routers remove-interface ncc-gw-usc1-cr \
--interface-name=if-vl3026-ead2 \
--region=us-central1
Excluir ncc-gw-usc1-cr e ncc-gw-usc1-cr
gcloud compute routers delete ncc-gw-usc1-cr \
--region=us-central1 \
--quiet
Excluir rotas anunciadas do gateway
gcloud beta network-connectivity spokes gateways advertised-routes delete ncc-gw-usc1-cr \
--region=us-central1 \
--spoke=cl-ncc-gw-usw-sp \
Excluir spokes de VPC do NCC
gcloud network-connectivity spokes delete vpc1-sp --global --quiet
gcloud network-connectivity spokes delete vpc2-sp --global --quiet
gcloud network-connectivity spokes delete vpc3-sp --global --quiet
Excluir o spoke ncc-gateway
gcloud network-connectivity spokes delete cl-ncc-gw-usc-sp --region=us-central1 \
--quiet
Excluir o realm de acesso seguro
gcloud beta network-security secure-access-connect realms delete codelab-sac-realm --quie
t
Excluir hub do NCC
gcloud network-connectivity hubs delete ncc-hub --quiet
Excluir regras de firewall
gcloud compute firewall-rules delete ncc1-vpc-internal --quiet
gcloud compute firewall-rules delete ncc2-vpc-internal --quiet
gcloud compute firewall-rules delete ncc3-vpc-internal --quiet
gcloud compute firewall-rules delete ncc1-vpc-iap --quiet
gcloud compute firewall-rules delete ncc2-vpc-iap --quiet
gcloud compute firewall-rules delete ncc3-vpc-iap --quiet
Excluir instâncias do GCE
gcloud compute instances delete vm1-vpc1-ncc --zone=us-central1-a --quiet
gcloud compute instances delete vm2-vpc2-ncc --zone=us-central1-a --quiet
gcloud compute instances delete vm1-vpc3-ncc --zone=us-east1-b --quiet
Excluir sub-redes VPC
gcloud compute networks subnets delete vpc1-ncc-subnet1 --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet2 --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet3 --region us-central1 --quiet
Excluir VPCs
gcloud compute networks delete vpc1-ncc vpc2-ncc vpc3-ncc vpc4-ncc, vpc5-ncc --quiet
8. Parabéns!
Você concluiu o laboratório do Network Connectivity Center.
Conteúdo abordado
- Configurar a topologia de inspeção híbrida do NCC
- Spoke do gateway do NCC
- Gateway SSE da Palo Alto Networks no Google Cloud
- PANW: Strata Cloud Manager
Próximas etapas