1. Введение
Обзор
В этой лабораторной работе пользователи изучат, как Центр сетевого подключения (NCC) использует шлюз NCC для установления безопасного соединения. Пользователи внедрят Secure Access Connect для интеграции сторонних продуктов Security Service Edge (SSE), что позволит осуществлять надежную проверку и защиту потоков трафика. Такая конфигурация упрощает управление сетью, предлагая централизованную модель на основе шлюза для защиты трафика, входящего и выходящего из облачных сред Google.
Что вы построите
В этом практическом занятии вы построите логическую топологию "звезда" с использованием центрального узла NCC, которая обеспечит полностью связанную сеть VPC-подключений между тремя различными VPC.
Что вы узнаете
- Гибридная топология инспекции
- NCC Gateway
- Безопасный доступ Подключение
- Palo Alto Network SSE
Что вам понадобится
- Знание сети GCP VPC
- Знание Cloud Router и маршрутизации BGP.
- Для выполнения этого задания требуется 5 виртуальных частных сетей (VPC). Одна из этих VPC должна находиться в отдельном проекте, отличном от хаба NCC.
- Проверьте свою квоту по сетям и при необходимости запросите дополнительные сети (см. скриншот ниже):
Цели
- Настройка среды GCP
- Настройка центра сетевого подключения для гибридной инспекции
- Предоставление Palo Alto Network Stratacloud Manager для SSE
- Проверить путь к данным
- Изучите характеристики ремонтопригодности NCC.
- Очистка использованных ресурсов
Прежде чем начать
Консоль Google Cloud и Cloud Shell
Для взаимодействия с GCP в ходе этой лабораторной работы мы будем использовать как консоль Google Cloud, так и Cloud Shell.
Консоль Google Cloud для проекта NCC Hub
Доступ к консоли Cloud Console можно получить по адресу https://console.cloud.google.com .
Для упрощения настройки Центра сетевого подключения настройте следующие элементы в Google Cloud:
В консоли Google Cloud на странице выбора проекта выберите или создайте проект Google Cloud.
Примечание : Если вы не планируете сохранять ресурсы, созданные в ходе этой процедуры, создайте проект вместо выбора существующего. После выполнения этих шагов вы можете удалить проект, удалив все связанные с ним ресурсы.
Запустите Cloud Shell . В этом практическом занятии используются переменные `$variables` для упрощения настройки gcloud в Cloud Shell.
gcloud auth list
gcloud config list project
gcloud config set project [HUB-PROJECT-ID]
projectname=[HUB-PROJECT-ID]
echo $projectname
gcloud config set compute/zone us-central1-a
gcloud config set compute/region us-central1
Роли IAM
Для доступа к определенным API в NCC требуются роли IAM. Убедитесь, что вы настроили пользователя с необходимыми ролями IAM в NCC.
Роль/Описание | Разрешения |
| networkconnectivity.hubs. networkconnectivity.spokes.networkconnectivity.gatewaynetworkconnectivity.locations. |
| networkconnectivity.gatewayAdvertisedRoutes. networkconnectivity.groups. networkconnectivity.hubRouteTables. networkconnectivity.hubRoutes.networkconnectivity.hubs. networkconnectivity.locations. networkconnectivity.operations.* networkconnectivity.spokes.*resourcemanager.projects.getresourcemanager.projects.list |
| networkconnectivity.gatewayAdvertisedRoutes.getnetworkconnectivity.gatewayAdvertisedRoutes.listnetworkconnectivity.groups.getnetworkconnectivity.groups.getIamPolicynetworkconnectivity.groups.listnetworkconnectivity.hubRouteTables.getnetworkconnectivity.hubRouteTables.getIamPolicynetworkconnectivity.hubRoutes.listnetworkconnectivity.hubRoutes.getnetworkconnectivity.hubRoutes.getIamPolicynetworkconnectivity.hubRoutes.listnetworkconnectivity.hubs.getnetworkconnectivity.hubs.getIamPolicynetworkconnectivity.hubs.listnetworkconnectivity.hubs.listSpokesnetworkconnectivity.hubs.queryStatus networkconnectivity.locations.*networkconnectivity.spokes.getnetworkconnectivity.spokes.getIamPolicynetworkconnectivity.spokes.listresourcemanager.projects.getresourcemanager.projects.list |
2. Настройка сетевой среды
В этом разделе мы развернем сети VPC и правила брандмауэра в рамках одного проекта. Логическая схема иллюстрирует сетевую среду, которая будет настроена на этом этапе.
Создайте VPC и подсети.
Сеть VPC содержит подсети, в которых вы установите виртуальную машину GCE для проверки пути передачи данных.
gcloud compute networks create vpc1-ncc --subnet-mode custom
gcloud compute networks create vpc2-ncc --subnet-mode custom
gcloud compute networks create vpc3-ncc --subnet-mode custom
gcloud compute networks subnets create vpc1-ncc-subnet1 \
--network vpc1-ncc \
--range 10.1.1.0/24 \
--region us-central1
gcloud compute networks subnets create vpc2-ncc-subnet1 \
--network vpc2-ncc \
--range 10.1.2.0/24 \
--region us-central1
gcloud compute networks subnets create vpc3-ncc-subnet1 \
--network vpc3-ncc \
--range 10.1.3.0/24 \
--region us-central1
Настройка правил брандмауэра VPC
Настройте правила брандмауэра в каждой VPC, чтобы разрешить
- SSH
- Внутренний IAP
- диапазон 10.0.0.0/8
gcloud compute firewall-rules create ncc1-vpc-internal \
--network vpc1-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc2-vpc-internal \
--network vpc2-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc3-vpc-internal \
--network vpc3-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc1-vpc-iap \
--network vpc1-ncc \
--allow all \
--source-ranges 35.235.240.0/20
gcloud compute firewall-rules create ncc2-vpc-iap \
--network vpc2-ncc \
--allow=tcp:22 \
--source-ranges 35.235.240.0/20
gcloud compute firewall-rules create ncc3-vpc-iap \
--network vpc3-ncc \
--allow=tcp:22 \
--source-ranges 35.235.240.0/20
Настройте виртуальную машину GCE в каждой VPC.
Для установки пакетов на виртуальную машину "vm1-vpc1-ncc" вам потребуется временный доступ в интернет.
Создайте четыре виртуальные машины, каждая из которых будет назначена одной из ранее созданных VPC.
gcloud compute instances create vm1-vpc1-ncc \
--subnet vpc1-ncc-subnet1 \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc1-vm1</h3>" | tee /var/www/html/index.html'
gcloud compute instances create vm1-vpc2-ncc \
--zone us-central1-a \
--subnet vpc2-ncc-subnet1 \
--no-address \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc2-vm2</h3>" | tee /var/www/html/index.html'
gcloud compute instances create vm1-vpc3-ncc \
--zone us-central1-a \
--subnet vpc3-ncc-subnet1 \
--no-address \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc3-vm3</h3>" | tee /var/www/html/index.html'
3. Гибридная топология инспекции NCC
В этом разделе мы развернем центр управления сетевым подключением (NCC) для гибридной топологии инспекции. Гибридная топология инспекции NCC реализует предустановленные политики NCC для поддержки шлюза NCC. Логическая схема иллюстрирует сетевую среду, которая будет настроена на этом этапе.
Центр NCC по проверке гибридных спиц
При создании NCC-хаба используйте флаг "-preset-topology=hybrid-inspection", чтобы создать четыре группы типов NCC-спиц. Четыре типа NCC-спиц включают в себя:
Группы:шлюзы | Шлюзовые узлы служат региональными точками входа и выхода для потоков трафика, поступающих в Google Cloud из локальных или других облаков. Они облегчают проверку трафика с помощью сторонних сервисов SSE, таких как Palo Alto Networks или Symante c. Примечание: это единственная группа, которая может содержать шлюзовые узлы NCC в данной топологии. |
Группы:услуги | Эта группа выступает в качестве «хаба» для общих ресурсов; периферийные узлы в этой группе имеют связь со всеми другими группами периферийных узлов (производственная среда, непроизводственная среда и шлюзы). VPC для общих сервисов (например, для логирования, аутентификации, мониторинга или общих инструментов). |
Группы:продукт | Пример использования: Выделение производственных VPC-приложений, содержащих критически важные рабочие нагрузки (виртуальные машины, кластеры GKE). |
Группы: непроизводственные | Выделенные ресурсы: VPC-сети, не используемые в производственной среде для разработки, тестирования или развертывания приложений. |
Настройте центр управления NCC для использования предустановленной гибридной топологии проверки.
gcloud beta network-connectivity hubs create cl-hi-hub \ --preset-topology=hybrid-inspection
Пример выходных данных
Create request issued for: [cl-hi-hub]
Waiting for operation [projects/"${projectname}"/locations/global/operations/operation-1759424304217-6402fe4a97da0-5de6
e5a1-2ea2de02] to complete...done.
Created hub [cl-hi-hub].
Используйте команду gcloud для проверки предварительно настроенной таблицы маршрутизации концентратора NCC:
gcloud network-connectivity hubs describe cl-hi-hub
Пример выходных данных
createTime: '2026-02-18T16:14:45.828597880Z'
exportPsc: false
name: projects/"${projectname}"/locations/global/hubs/cl-hi-hub
policyMode: PRESET
routeTables:
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/gateways
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/non-prod
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/prod
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/services
spokeSummary:
state: ACTIVE
uniqueId: c0fbb826-173b-42dd-a5d2-00c2aa66fed8
updateTime: '2026-04-21T19:13:50.269721594Z'
В группу можно добавлять дополнительные узлы NCC для применения политик управления трафиком. Один или несколько узлов NCC могут входить только в одну группу. В этом выпуске используется специальная предустановленная топология под названием HYBRID-INSPECTION, которая включает 4 группы: шлюзы, производственная среда, непроизводственная среда и сервисы.
Все ресурсы шлюза NCC (включая их гибридные соединения) входят в группу шлюзов. Радиусы в группе шлюзов смогут взаимодействовать друг с другом, а трафик между шлюзами и другими группами радиусов будет доступен для проверки (в зависимости от конфигурации политики обслуживания).
Правила подключения групп NCC Spoke
Группа источников | Доступ разрешен. | Доступ невозможен (ограниченный доступ). |
Группа услуг | шлюзы, производственная среда, непроизводственная среда, сервисы | Никто |
Производственная группа | шлюзы, сервисы, производственные точки | непродуктивные спицы |
Непроизводственная группа | шлюзы, сервисы, непроизводственные периферийные устройства | спицы продукта |
Gateways Group | шлюзы, сервисы, производственная среда, непроизводственная среда | Никто |
Используйте команду gcloud, чтобы вывести список предварительно заданных групп на NCC Hub.
gcloud network-connectivity hubs groups list --hub cl-hi-hub --project "${projectname}"
Пример выходных данных
NAME HUB DESCRIPTION
gateways cl-hi-hub
non-prod cl-hi-hub
prod cl-hi-hub
services cl-hi-hub
В веб-консоли перейдите в раздел «Сетевые подключения» > «Центр сетевых подключений» > выберите «cl-hi-hub», чтобы просмотреть конфигурацию концентратора NCC.
Рабочая нагрузка VPC2 в качестве периферийной сети в группе NCC:prod
Используйте команду gcloud для настройки VPC3 рабочей нагрузки в качестве периферийного узла (рабочей нагрузки) и назначьте этот периферийный узел группе group:prod.
gcloud network-connectivity spokes linked-vpc-network create vpc2-sp \
--hub=cl-hi-hub \
--description=codelab-vpc2-ncc-spoke \
--vpc-network=vpc2-ncc \
--global \
--group=prod
Пример выходных данных
Create request issued for: [vpc2-sp]
Waiting for operation [projects/"${projectname}"/locations/global/operations/operation-1776966793852-650245286757a-766d806c-1bc4fabe] to complete...done.
Created spoke [vpc2-sp].
createTime: '2026-04-23T17:53:14.083783233Z'
description: codelab-vpc2-ncc-spoke
etag: '2'
group: projects/"${projectname}"/locations/global/hubs/cl-hi-hub/groups/prod
hub: projects/"${projectname}"/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/"${projectname}"/global/networks/vpc-ncc2
name: projects/"${projectname}"/locations/global/spokes/vpc2-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: 92972784-e4ed-47e5-be22-08a516a39b0c
updateTime: '2026-04-23T17:53:55.029481722Z'
Используйте команду gcloud, чтобы просмотреть префиксы в таблице маршрутизации «prod» центрального узла NCC.
gcloud network-connectivity hubs route-tables routes list --hub=cl-hi-hub --route_table=prod
Пример выходных данных
IP_CIDR_RANGE: 10.1.2.0/24
PRIORITY:
LOCATION: us-central1
STATE: ACTIVE
TYPE: VPC_PRIMARY_SUBNET
SITE_TO_SITE: N/A
NEXT_HOP: vpc2-ncc
HUB: cl-hi-hub
ROUTE_TABLE: prod
Настройте рабочую нагрузку VPC3 как периферийную сеть в группе NCC:non-prod.
Используйте команду gcloud для настройки VPC3 рабочей нагрузки в качестве периферийного узла (workload) и назначьте этот периферийный узел группе group:non-prod.
gcloud network-connectivity spokes linked-vpc-network create vpc3-sp \
--hub=cl-hi-hub \
--description=codelab-vpc3-ncc-spoke \
--vpc-network=vpc3-ncc \
--global \
--group=non-prod
Пример выходных данных
Create request issued for: [vpc3-sp]
Waiting for operation [projects/cloudnet-demo/locations/global/operations/operation-1778757016454-651c5241b83fe-18b62f78-02d70f9a] to complete...done.
Created spoke [vpc3-sp].
createTime: '2026-05-14T11:10:16.758117151Z'
description: codelab-vpc3-ncc-spoke
etag: '2'
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/non-prod
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/cloudnet-demo/global/networks/vpc3-ncc
name: projects/cloudnet-demo/locations/global/spokes/vpc3-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: efe8cfed-d77f-4636-aaae-898e73897b49
updateTime: '2026-05-14T11:10:52.880508489Z'
Используйте команду gcloud, чтобы просмотреть префиксы в таблице маршрутизации «prod» центрального узла NCC.
gcloud network-connectivity hubs route-tables routes list --hub=cl-hi-hub --route_table=prod
Пример выходных данных
IP_CIDR_RANGE: 10.1.2.0/24
PRIORITY:
LOCATION: us-central1
STATE: ACTIVE
TYPE: VPC_PRIMARY_SUBNET
SITE_TO_SITE: N/A
NEXT_HOP: vpc2-ncc
HUB: cl-hi-hub
ROUTE_TABLE: prod
Настройте рабочую нагрузку VPC1 как периферийную сеть в группе NCC:services.
Используйте команду gcloud для настройки VPC1 рабочей нагрузки в качестве периферийного узла (рабочей нагрузки) и назначьте этот периферийный узел группе:services.
gcloud network-connectivity spokes linked-vpc-network create vpc1-sp \
--hub=cl-hi-hub \
--description=codelab-vpc1-ncc-spoke \
--vpc-network=vpc1-ncc \
--global \
--group=services
Пример выходных данных
Create request issued for: [vpc1-sp]
Waiting for operation [projects/cloudnet-demo/locations/global/operations/operation-1778758397065-651c57665f795-1af6d94f-942c9ebd] to complete...done.
Created spoke [vpc1-sp].
createTime: '2026-05-14T11:33:17.359361160Z'
description: codelab-vpc1-ncc-spoke
etag: '2'
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/services
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/cloudnet-demo/global/networks/vpc1-ncc
name: projects/cloudnet-demo/locations/global/spokes/vpc1-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: 82b29a2b-50cb-4557-8b12-3345f5a36ad6
updateTime: '2026-05-14T11:33:55.914406863Z'
Настройка NCC Gateway Spoke для шлюзов SSE в us-central1
Используйте команду gcloud для создания периферийного узла NCC Gateway в регионе us-central1:
gcloud beta network-connectivity spokes gateways create cl-ncc-gw-usc-sp \
--region=us-central1 \
--hub=cl-hi-hub \
--capacity=1g \
--ip-range-reservations=10.100.0.0/23 \
--group=gateways
Пример выходных данных
Create request issued for: [cl-ncc-gw-usc-sp]
Waiting for operation [projects/cloudnet-demo/locations/us-central1/operations/operation-1778758907555-651c594d36fc5-783a8d5d-8d3e341b] to complete...done.
Created spoke [cl-ncc-gw-usc-sp].
createTime: '2026-05-14T11:41:48.066042872Z'
etag: '2'
gateway:
capacity: CAPACITY_1_GBPS
ipRangeReservations:
- ipRange: 10.100.0.0/23
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/gateways
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
name: projects/cloudnet-demo/locations/us-central1/spokes/cl-ncc-gw-usc-sp
spokeType: GATEWAY
state: ACTIVE
uniqueId: ffe8e2b7-c864-4279-9d21-ca72d87083fe
updateTime: '2026-05-14T11:44:08.787947523Z'
Используйте команду gcloud для вывода списка узлов NCC:
gcloud network-connectivity spokes list
Пример выходных данных
NAME: vpc2-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: prod
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc2-ncc-spoke
NAME: vpc3-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: non-prod
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc3-ncc-spoke
NAME: vpc1-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: services
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc1-ncc-spoke
NAME: cl-ncc-gw-usc-sp
LOCATION: us-central1
HUB: cl-hi-hub
GROUP: gateways
TYPE:
RESOURCE COUNT: 1
DATA TRANSFER: Off
DESCRIPTION:
Изучите конфигурацию сетевых адаптеров NCC, установленных на хабе "cl-hi-hub":
Передача IP-префиксов с NCC Gateway на NCC Hub.
Настройте шлюз NCC таким образом, чтобы он объявлял определенные префиксы в таблице маршрутизации центрального узла NCC.
gcloud beta network-connectivity spokes gateways advertised-routes create example-dot-com \
--ip-range=1.1.1.1/32 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create google-dot-com \
--ip-range=173.194.204.101/32 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create branch \
--ip-range=192.168.1.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create prod \
--ip-range=192.168.11.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create non-prod \
--ip-range=192.168.12.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
Используйте команду gcloud, чтобы вывести список объявленных маршрутов, исходящих от периферийного шлюза.
gcloud beta network-connectivity spokes gateways advertised-routes list --region=us-central1
Пример выходных данных
Изучите заявленные маршруты периферийного узла NCC Gateway.
В веб-консоли перейдите в раздел «Сетевое подключение» > «Центр сетевого подключения» > выберите вкладку « Spokes »: нажмите «cl-ncc-gw-usc-sp ».
4. Гибридные соединения облачных сервисов.
На момент написания статьи NCC Gateway поддерживает только межсетевые соединения Google Cloud Interconnect. NCC Gateway использует глобальную VPC и облачные маршрутизаторы в проекте Google Tenant для завершения сеансов подключения VLAN и пиринга BGP.
Хотя на схеме показана пара облачных межсоединений и подключений VLAN, логически соединенных с шлюзом NCC, базовыми компонентами, завершающими подключение VLAN, являются облачные маршрутизаторы в глобальной VPC управляемого клиента Google. В этом разделе вы настроите облачный маршрутизатор, связанный со шлюзом NCC, для управления сессиями BGP для локального подключения.
NCC Gateway — специализированный облачный маршрутизатор в регионе us-central1
Используйте команду gcloud для настройки облачного маршрутизатора специально для шлюза NCC.
gcloud beta compute routers create ncc-gw-usc1-cr \
--ncc-gateway=https://networkconnectivity.googleapis.com/v1/projects/"${projectid}"/locations/us-central1/spokes/cl-ncc-gw-usc-sp \
--asn=64666 \
--advertisement-mode=CUSTOM \
--set-advertisement-ranges=10.100.2.0/23 \
--region=us-central1
Пример выходных данных
Creating router [ncc-gw-usc1-cr]...done.
NAME REGION NCC_GATEWAY
ncc-gw-usc1-cr us-central1 cl-ncc-gw-usc-sp
- NCC_GW_NAME: Полный URI периферийного узла шлюза NCC. Формат URI соответствует следующему шаблону: https://networkconnectivity.googleapis.com/v1/projects/"${projectid}"/locations/REGION/spokes/GATEWAY_SPOKE_NAME
- ADVERTISED_IP_RANGES: Диапазоны IP-адресов для рекламы в локальных сетях с целью привлечения трафика в Google Cloud.
Используйте команду gcloud, чтобы вывести список только что созданных маршрутизаторов.
gcloud compute routers list --filter="region:(us-central1)"
Обратите внимание, что облачный маршрутизатор не связан с VPC.
NAME REGION NETWORK
ncc-gw-usc1-cr us-central1 N/A
Создайте VLAN-подключения к существующему выделенному облачному межсетевому соединению, которые будут использоваться в качестве интерфейсов на облачном маршрутизаторе. В приведенном ниже примере конфигурации в качестве диапазона подсетей используется локальный IP-адрес. Для настройки BGP-пиринга будет использоваться конкретный адрес хоста из этого диапазона.
gcloud compute interconnects attachments dedicated create vl2029-ead1 \
--region=us-central1 \
--interconnect=projects/some-interconnect-project/global/interconnects/interconnect-lab-sea26-zone1 \
--router=ncc-gw-usc1-cr \
--vlan=2024 \
--bandwidth=500m \
--mtu=1440 \
--candidate-subnets=169.254.222.216/29
Created [https://www.googleapis.com/compute/v1/projects/"${projectname}"/regions/us-central1/interconnectAttachments/vl2029-ead1].
gcloud compute interconnects attachments dedicated create vl3029-ead2 \
--region=us-central1 \
--interconnect=projects/some-interconnect-project/global/interconnects/interconnect-lab-sea26-zone2 \
--router=ncc-gw-usc1-cr \
--vlan=3026 \
--bandwidth=500m \
--mtu=1440 \
--candidate-subnets=169.254.220.184/29
Created [https://www.googleapis.com/compute/v1/projects/"${projectname}"/regions/us-central1/interconnectAttachments/vl3029-ead2].
Настройте облачный маршрутизатор NCC Gateway в us-central1, указав интерфейс.
Используйте команду gcloud для сопоставления созданного в us-central подключения VLAN с облачным маршрутизатором NCC Gateway.
gcloud compute routers add-interface ncc-gw-usc1-cr \
--region=us-central1 \
--interface-name=if-vl2029-ead1 \
--interconnect-attachment=vl2029-ead1
Выход:
Updated [https://www.googleapis.com/compute/v1/projects/cloudnet-demo/regions/us-central1/routers/ncc-gw-usc1-cr].
Настройте BGP-пир для созданного выше подключения VLAN.
Используйте приведенную ниже команду gcloud для активации BGP-пиринга на интерфейсе Cloud Router.
gcloud compute routers add-bgp-peer ncc-gw-usc1-cr \
--region=us-central1 \
--peer-name=bgp-vl2029-ead1 \
--interface=if-vl2029-ead1 \
--peer-asn=65112 \
--advertisement-mode=DEFAULT
Выход:
Creating peer [bgp-vl2029-ead1] in router [ncc-gw-usc1-cr]...done.
Настройте облачный маршрутизатор NCC Gateway в us-central1, добавив второй интерфейс подключения VLAN .
Используйте команду gcloud, чтобы добавить второе подключение VLAN в качестве интерфейса к облачному маршрутизатору NCC Gateway.
gcloud compute routers add-interface ncc-gw-usc1-cr \
--region=us-central1 \
--interface-name=if-vl3029-ead2 \
--interconnect-attachment=vl3029-ead2
Выход:
Updated [https://www.googleapis.com/compute/v1/projects/cloudnet-demo/regions/us-central1/routers/ncc-gw-usc1-cr]
Используйте приведенную ниже команду gcloud для активации BGP-пиринга на интерфейсе Cloud Router.
gcloud compute routers add-bgp-peer ncc-gw-usc1-cr \
--region=us-central1 \
--peer-name=bgp-vl3029-ead2 \
--interface=if-vl3029-ead2 \
--peer-asn=65112 \
--advertisement-mode=DEFAULT
Проверьте статус BGP-пиринга с помощью локального BGP-маршрутизатора.
Используйте команду gcloud, чтобы проверить статус BGP-соединения с локальным маршрутизатором и посмотреть, какие маршруты отправляет облачный маршрутизатор NCC Gateway в локальную сеть.
gcloud compute routers get-status ncc-gw-usc1-cr \
--region=us-central1
* *
--format="yaml(result.bgpPeerStatus)"
Выход:
Убедитесь, что состояние BGP установлено на «Установлено».
result:
bgpPeerStatus:
- advertisedRoutes:
- destRange: 10.100.2.0/23
kind: compute#route
nextHopIp: 169.254.111.217
nextHopOrigin: INCOMPLETE
priority: 100
routeType: BGP
enableIpv4: true
enableIpv6: false
ipAddress: 169.254.111.217
md5AuthEnabled: false
name: bgp-vl2029-ead1
numLearnedRoutes: 2
peerIpAddress: 169.254.111.218
state: Established
status: UP
uptime: 6 minutes, 27 seconds
uptimeSeconds: '387'
- advertisedRoutes:
- destRange: 10.100.2.0/23
kind: compute#route
nextHopIp: 169.254.112.217
nextHopOrigin: INCOMPLETE
priority: 100
routeType: BGP
enableIpv4: true
enableIpv6: false
ipAddress: 169.254.112.217
md5AuthEnabled: false
name: bgp-vl3029-ead2
numLearnedRoutes: 1
peerIpAddress: 169.254.112.218
state: Established
status: UP
uptime: 1 minutes, 35 seconds
uptimeSeconds: '95'
Используйте команду gcloud, чтобы посмотреть, какие маршруты получает маршрутизатор NCC Gateway Cloud Router из локальной сети:
gcloud compute routers get-status ncc-gw-usc1-cr \
--region=us-central1 \
--format="yaml(result.bestRoutes)"
Выход:
result:
bestRoutes:
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T10:02:44.265-07:00'
destRange: 172.16.0.0/16
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.111.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T09:54:04.340-07:00'
destRange: 3.3.3.0/24
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.111.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T09:58:56.189-07:00'
destRange: 4.4.4.0/24
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.112.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
Размещайте пользовательские префиксы GCP в локальной сети**, поскольку маршруты подсети автоматически размещаются. У вас есть возможность разместить "сводный" маршрут для ваших пользовательских префиксов.**
cloud compute routers update ncc-gw-usc1-cr \
--project=cloudnet-demo \
--region=us-central1 \
--advertisement-mode custom \
--set-advertisement-groups=all_subnets \
--set-advertisement-ranges="10.1.0.0/16"
Выход:
Updating router [ncc-gw-usc1-cr]...done.
5. Интеграция сторонних решений SSE с шлюзом NCC.
Функция Secure Access Connect позволяет подключать сторонние продукты Security Service Edge (SSE) к шлюзу NCC для защиты входящего и исходящего трафика. Ее основная функция — установление связи между GCP и сторонним поставщиком SSE.
В этом разделе вам потребуется войти в Strata Cloud Manager, чтобы активировать и настроить прокси-сервис SSE в шлюзе NCC.
Данная услуга состоит из двух основных ресурсов:
- Область безопасного доступа Connect: глобальный ресурс, связывающий ваш проект Google Cloud со службой SSE. Он устанавливает общее пространство политик безопасности для группы VPC или пользователей, предоставляя поставщику SSE информацию о том, какие шлюзы должны регулироваться одним и тем же набором политик безопасности.
- Secure Access Connect Attachment: региональный логический ресурс, физически позволяющий шлюзу NCC обрабатывать трафик с использованием службы SSE. Он содержит метаданные, необходимые для установления доверия и связи со стеком SSE партнера.
Создайте защищенный доступ к области Connect.
gcloud beta network-security secure-access-connect realms create codelab-sac-realm \
--security-service=prisma-access
Определите ключ сопряжения.
Для связи области безопасного доступа с Prisma Access вам потребуется ключ сопряжения. Эта буквенно-цифровая строка будет использоваться для настройки и предоставления доступа к шлюзу SSE через веб-портал Strata Cloud Manager.
gcloud beta network-security secure-access-connect realms describe codelab-sac-realm
createTime: '2026-04-21T13:48:53.760262401Z'
name: projects/"${projectname}"/locations/global/sacRealms/codelab-cden
pairingKey:
expireTime: '2026-04-28T13:48:51.107221733Z'
key: 2a52a7e2-7c95-4dc7-9155-c3234976fad4
securityService: PALO_ALTO_PRISMA_ACCESS
state: PENDING_PARTNER_ATTACHMENT
updateTime: '2026-04-21T13:48:55.874553834Z'
Создайте партнерскую сеть с помощью управляемой облачной WAN-сети в Prisma Access.
- Войдите в Strata Cloud Manager и убедитесь, что вы используете назначенный вам клиент шлюза SSE.
- Чтобы подключить область SAC к партнерскому клиенту, перейдите по следующему пути:
Системные настройки -> Интеграции -> Управляемые облачные WAN-сети и
Нажмите « Подключиться ».
- Введите ключ сопряжения области SAC в диалоговом окне «Подключить учетную запись шлюза Google NCC». Нажмите « Подтвердить », чтобы начать создание области.
Для обновления статуса шлюза NCC до "Подключено" требуется несколько минут.
В оболочке GCP Cloud Shell используйте команду gcloud, чтобы найти ключ сопряжения, связанный с областью SAC.
gcloud beta network-security secure-access-connect realms describe codelab-sac-realm
Вы также можете просмотреть ключ сопряжения в консоли GCP.
Добавьте кластер NCC Gateway SSE в качестве управляемого облачного WAN-подключения, перейдя по следующему пути:
Настройка > NGFW и доступ к Prisma > Нажмите «Область настройки» и выберите « Удалённая сеть» в разделе «Доступ к Prisma» .
На странице «Обзор» нажмите « Настройка » и выберите « Управляемые облачные WAN-подключения ».
Нажмите «Добавить управляемый облачный WAN-сайт».
Активируйте экземпляр SSE в шлюзе NCC.
Переключитесь на консоль GCP и используйте команду gcloud для создания защищенного подключения Access Connect.
gcloud alpha network-security secure-access-connect attachments create codelab-sac-attachment-usc1 \
--location=us-central1 \
--realm=codelab-sac-realm \
--gateway=cl-ncc-gw-usc-sp
Создайте партнерский шлюз
Введите параметры для управляемого облачного WAN-подключения.
- Название сайта — Введите уникальное имя для подключения.
- **Тип услуги —** В качестве типа услуги выберите Google NCC Gateway.
- Имя подключения — выберите местоположение службы GCP, которое вы создали во время активации и создания подключения N CC Gateway SAC.
- Местоположение вычислительных ресурсов Prisma Access — Выберите местоположение вычислительных ресурсов, где вы хотите развернуть интеграцию NCC Gateway с Prisma Access.
- Пропускная способность (Мбит/с) — Выберите пропускную способность, которую необходимо выделить, в Мбит/с. Максимально возможное выделение составляет 10000 Мбит/с (10 Гбит/с).
Максимально допустимый объем выделяемого трафика составляет 10000 Мбит/с (10 Гбит/с).
После завершения нажмите кнопку « Сохранить».
Синхронизируйте конфигурацию экземпляра SSE шлюза NCC.
Выберите "Push Config" , чтобы создать экземпляр SSE для партнера на периферийном узле шлюза NCC.
Отслеживайте ход выполнения, нажав кнопку « Push Config» и выбрав « Jobs». Дождитесь завершения обработки всех результатов для вашей конкретной задачи.
После завершения нажмите « Готово» .
Проверить состояние партнерского SSE-шлюза можно, перейдя в раздел «Конфигурация» > «NGFW и Prisma Access» > «Область конфигурации» > «Prisma Access» > «Удаленные сети» > «Настройка» > «Управляемые облачные WAN-подключения».
Prisma Access автоматически настраивает конфигурацию BGP для управляемого облачного WAN-соединения.
6. Проверьте путь передачи данных через шлюз NCC.
Переключитесь на консоль GCP Cloud Shell.
Используйте команду gcloud для просмотра объявленных маршрутов, исходящих от периферийного шлюза:
gcloud beta network-connectivity spokes gateways advertised-routes list --region=us-central1
Подключитесь по SSH к "vm1-vpc1-ncc" и запустите дамп TCP для трассировки пакетов ICMP с "vm2-vpc2-ncc". Напоминаем, что эта виртуальная машина находится в VPC2.
vm1-vpc1-ncc
sudo tcpdump -i any icmp -v -e -n
Установите SSH-соединение с виртуальным модулем "vm1-vpc2-ncc" и выполните команду ping для проверки IP-адреса этого модуля.
vm1-vpc2-ncc
ping 10.1.1.2
Выход:
На vm1-vpc1-ncc вы должны увидеть трассировку, показанную ниже.
Выполните команду curl на виртуальной машине VM-1 для проверки доступности локального HTTP-сервера.
vm1-vpc1-ncc
curl 172.16.101.11 -vv
Выход:
Установите SSH-сессию с виртуальным модулем "vm1-vpc2-ncc" и выполните команду ping для IP-адреса "1.1.1.1."
vm1-vpc2-ncc
ping 1.1.1.1
Выход:
Пинги не работают, потому что для их отправки требуется разрешение в Prisma (Strata Cloud Manager). Давайте включим эту функцию!
Перейдите в Strata Cloud Manager —> Конфигурация —> NGFW и Prisma Access, вы увидите следующее:
В левом верхнем углу нажмите на выпадающее меню «Глобальные» и выберите «Удаленные сети», затем перейдите на вкладку «Службы безопасности» и выберите «Политика безопасности» (см. ниже):
Нажмите кнопку «Добавить правило» в правом верхнем углу и создайте правило «разрешить ICMP», чтобы разрешить ICMP-трафик между vm1-vpc2-ncc и 1.1.1.1. После этого нажмите кнопку «Отправить конфигурацию» в правом верхнем углу.
Убедитесь, что вы просмотрели раздел «Задания», чтобы проверить, успешно ли была отправлена конфигурация. Нажмите «Отправить конфигурацию» —> «Задания».
После успешного выполнения задания повторно проверьте пинг с vm1-vpc2-ncc.
УСПЕХ!!! Вы успешно завершили эту практическую работу!
7. Уборка лаборатории
Удалите вложения VLAN.
gcloud compute interconnects attachments delete vl2024-ead1 \
--region=us-central1 \
--quiet
gcloud compute interconnects attachments delete vl3026-ead2 \
--region=us-central1 \
--quiet
Удалите BGP-пир и BGP-интерфейс NCC Gateway Cloud Router.
gcloud compute routers remove-bgp-peer ncc-gw-usc1-cr \
--peer-name=bgp-vl2024-ead1 \
--region=us-central1
gcloud compute routers remove-interface ncc-gw-usc1-cr \
--interface-name=if-vl3026-ead2 \
--region=us-central1
Удалите ncc-gw-usc1-cr и ncc-gw-usc1-cr
gcloud compute routers delete ncc-gw-usc1-cr \
--region=us-central1 \
--quiet
Удалить объявленные маршруты шлюза
gcloud beta network-connectivity spokes gateways advertised-routes delete ncc-gw-usc1-cr \
--region=us-central1 \
--spoke=cl-ncc-gw-usw-sp \
Удалить спицы NCC VPC
gcloud network-connectivity spokes delete vpc1-sp --global --quiet
gcloud network-connectivity spokes delete vpc2-sp --global --quiet
gcloud network-connectivity spokes delete vpc3-sp --global --quiet
Удалить ncc-gateway spoke
gcloud network-connectivity spokes delete cl-ncc-gw-usc-sp --region=us-central1 \
--quiet
Удалить область защищенного доступа
gcloud beta network-security secure-access-connect realms delete codelab-sac-realm --quie
т
Удалить NCC Hub
gcloud network-connectivity hubs delete ncc-hub --quiet
Удалить правила брандмауэра
gcloud compute firewall-rules delete ncc1-vpc-internal --quiet
gcloud compute firewall-rules delete ncc2-vpc-internal --quiet
gcloud compute firewall-rules delete ncc3-vpc-internal --quiet
gcloud compute firewall-rules delete ncc1-vpc-iap --quiet
gcloud compute firewall-rules delete ncc2-vpc-iap --quiet
gcloud compute firewall-rules delete ncc3-vpc-iap --quiet
Удалить экземпляры GCE
gcloud compute instances delete vm1-vpc1-ncc --zone=us-central1-a --quiet
gcloud compute instances delete vm2-vpc2-ncc --zone=us-central1-a --quiet
gcloud compute instances delete vm1-vpc3-ncc --zone=us-east1-b --quiet
Удаление подсетей VPC
gcloud compute networks subnets delete vpc1-ncc-subnet1 --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet2 --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet3 --region us-central1 --quiet
Удалить VPC(ы)
gcloud compute networks delete vpc1-ncc vpc2-ncc vpc3-ncc vpc4-ncc, vpc5-ncc --quiet
8. Поздравляем!
Вы завершили лабораторную работу в Центре сетевого подключения!
Что вы осветили
- Настройка гибридной топологии инспекции NCC
- NCC Gateway Spoke
- Шлюз Palo Alto Network SSE в облаке Google
- PANW: Strata Cloud Manager
Следующие шаги