1. บทนำ
ภาพรวม
ในแล็บนี้ ผู้ใช้จะได้สำรวจวิธีที่ Network Connectivity Center (NCC) ใช้เกตเวย์ NCC เพื่อสร้างการเชื่อมต่อที่ปลอดภัย ผู้ใช้จะใช้ Secure Access Connect เพื่อผสานรวมผลิตภัณฑ์ Security Service Edge (SSE) ของบุคคลที่สาม ซึ่งจะช่วยให้ตรวจสอบและปกป้องการไหลของการเข้าชมได้อย่างมีประสิทธิภาพ การกำหนดค่านี้ช่วยลดความซับซ้อนในการจัดการเครือข่ายด้วยการนำเสนอโมเดลที่ใช้เกตเวย์แบบรวมศูนย์สำหรับการรักษาความปลอดภัยของการรับส่งข้อมูลที่เข้าและออกจากสภาพแวดล้อม Google Cloud
สิ่งที่คุณจะสร้าง
ใน Codelab นี้ คุณจะได้สร้างโทโพโลยีฮับและสโป๊กเชิงตรรกะด้วยฮับ NCC ซึ่งจะใช้โครงสร้างการเชื่อมต่อ VPC แบบ Full Mesh ใน VPC ที่แตกต่างกัน 3 รายการ
สิ่งที่คุณจะได้เรียนรู้
- โทโพโลยีการตรวจสอบแบบผสม
- NCC Gateway
- การเชื่อมต่อเพื่อการเข้าถึงที่ปลอดภัย
- SSE ของ Palo Alto Network
สิ่งที่คุณต้องมี
- ความรู้เกี่ยวกับเครือข่าย VPC ของ GCP
- ความรู้เกี่ยวกับ Cloud Router และการกำหนดเส้นทาง BGP
- Codelab นี้ต้องใช้ VPC 5 รายการ VPC อย่างน้อย 1 รายการต้องอยู่ในโปรเจ็กต์ที่แยกต่างหากจากฮับ NCC
- ตรวจสอบโควต้า: เครือข่ายและขอเครือข่ายเพิ่มเติมหากจำเป็น ภาพหน้าจอด้านล่าง
วัตถุประสงค์
- ตั้งค่าสภาพแวดล้อม GCP
- กำหนดค่า Network Connectivity Center สำหรับการตรวจสอบแบบไฮบริด
- จัดสรร Palo Alto Network Stratacloud Manager สำหรับ SSE
- ตรวจสอบเส้นทางข้อมูล
- สำรวจฟีเจอร์ความพร้อมในการให้บริการของ NCC
- ล้างทรัพยากรที่ใช้แล้ว
ก่อนเริ่มต้น
คอนโซล Google Cloud และ Cloud Shell
หากต้องการโต้ตอบกับ GCP เราจะใช้ทั้งคอนโซล Google Cloud และ Cloud Shell ตลอดทั้ง Lab นี้
คอนโซล Google Cloud ของโปรเจ็กต์ฮับ NCC
คุณเข้าถึง Cloud Console ได้ที่ https://console.cloud.google.com
ตั้งค่ารายการต่อไปนี้ใน Google Cloud เพื่อให้กำหนดค่า Network Connectivity Center ได้ง่ายขึ้น
ในคอนโซล Google Cloud ในหน้าตัวเลือกโปรเจ็กต์ ให้เลือกหรือสร้างโปรเจ็กต์ Google Cloud
หมายเหตุ: หากไม่ต้องการเก็บทรัพยากรที่สร้างขึ้นในขั้นตอนนี้ ให้สร้างโปรเจ็กต์แทนการเลือกโปรเจ็กต์ที่มีอยู่ หลังจากทำตามขั้นตอนเหล่านี้แล้ว คุณจะลบโปรเจ็กต์ซึ่งเป็นการนำทรัพยากรทั้งหมดที่เชื่อมโยงกับโปรเจ็กต์นี้ออกได้
เปิด Cloud Shell Codelab นี้ใช้ $variables เพื่อช่วยในการติดตั้งใช้งานการกำหนดค่า gcloud ใน Cloud Shell
gcloud auth list
gcloud config list project
gcloud config set project [HUB-PROJECT-ID]
projectname=[HUB-PROJECT-ID]
echo $projectname
gcloud config set compute/zone us-central1-a
gcloud config set compute/region us-central1
บทบาท IAM
NCC กำหนดให้ใช้บทบาท IAM เพื่อเข้าถึง API บางรายการ อย่าลืมกำหนดค่าผู้ใช้ด้วยบทบาท IAM ของ NCC ตามที่จำเป็น
บทบาท/คำอธิบาย | สิทธิ์ |
| networkconnectivity.hubs.networkconnectivity.spokes.networkconnectivity.gatewaynetworkconnectivity.locations. |
| networkconnectivity.gatewayAdvertisedRoutes.networkconnectivity.groups. networkconnectivity.hubRouteTables.networkconnectivity.hubRoutes.networkconnectivity.hubs. networkconnectivity.locations. networkconnectivity.operations.* networkconnectivity.spokes.*resourcemanager.projects.getresourcemanager.projects.list |
| networkconnectivity.gatewayAdvertisedRoutes.getnetworkconnectivity.gatewayAdvertisedRoutes.listnetworkconnectivity.groups.getnetworkconnectivity.groups.getIamPolicynetworkconnectivity.groups.listnetworkconnectivity.hubRouteTables.getnetworkconnectivity.hubRouteTables.getIamPolicynetworkconnectivity.hubRouteTables.listnetworkconnectivity.hubRoutes.getnetworkconnectivity.hubRoutes.getIamPolicynetworkconnectivity.hubRoutes.listnetworkconnectivity.hubs.getnetworkconnectivity.hubs.getIamPolicynetworkconnectivity.hubs.listnetworkconnectivity.hubs.listSpokesnetworkconnectivity.hubs.queryStatus networkconnectivity.locations.*networkconnectivity.spokes.getnetworkconnectivity.spokes.getIamPolicynetworkconnectivity.spokes.listresourcemanager.projects.getresourcemanager.projects.list |
2. ตั้งค่าสภาพแวดล้อมเครือข่าย
ในส่วนนี้ เราจะทำให้เครือข่าย VPC และกฎไฟร์วอลล์ใช้งานได้ในโปรเจ็กต์เดียว แผนภาพเชิงตรรกะแสดงสภาพแวดล้อมเครือข่ายที่จะตั้งค่าในขั้นตอนนี้
สร้าง VPC และซับเน็ต
เครือข่าย VPC มีซับเน็ตที่คุณจะติดตั้ง GCE VM เพื่อตรวจสอบเส้นทางข้อมูล
gcloud compute networks create vpc1-ncc --subnet-mode custom
gcloud compute networks create vpc2-ncc --subnet-mode custom
gcloud compute networks create vpc3-ncc --subnet-mode custom
gcloud compute networks subnets create vpc1-ncc-subnet1 \
--network vpc1-ncc \
--range 10.1.1.0/24 \
--region us-central1
gcloud compute networks subnets create vpc2-ncc-subnet1 \
--network vpc2-ncc \
--range 10.1.2.0/24 \
--region us-central1
gcloud compute networks subnets create vpc3-ncc-subnet1 \
--network vpc3-ncc \
--range 10.1.3.0/24 \
--region us-central1
กำหนดค่ากฎไฟร์วอลล์ VPC
กำหนดค่ากฎไฟร์วอลล์ในแต่ละ VPC เพื่ออนุญาต
- SSH
- IAP ภายใน
- ช่วง 10.0.0.0/8
gcloud compute firewall-rules create ncc1-vpc-internal \
--network vpc1-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc2-vpc-internal \
--network vpc2-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc3-vpc-internal \
--network vpc3-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc1-vpc-iap \
--network vpc1-ncc \
--allow all \
--source-ranges 35.235.240.0/20
gcloud compute firewall-rules create ncc2-vpc-iap \
--network vpc2-ncc \
--allow=tcp:22 \
--source-ranges 35.235.240.0/20
gcloud compute firewall-rules create ncc3-vpc-iap \
--network vpc3-ncc \
--allow=tcp:22 \
--source-ranges 35.235.240.0/20
กำหนดค่า GCE VM ในแต่ละ VPC
คุณจะต้องมีสิทธิ์เข้าถึงอินเทอร์เน็ตชั่วคราวเพื่อติดตั้งแพ็กเกจใน "vm1-vpc1-ncc"
สร้างเครื่องเสมือน 4 เครื่อง โดยแต่ละเครื่องจะกำหนดให้กับ VPC ที่สร้างไว้ก่อนหน้านี้
gcloud compute instances create vm1-vpc1-ncc \
--subnet vpc1-ncc-subnet1 \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc1-vm1</h3>" | tee /var/www/html/index.html'
gcloud compute instances create vm1-vpc2-ncc \
--zone us-central1-a \
--subnet vpc2-ncc-subnet1 \
--no-address \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc2-vm2</h3>" | tee /var/www/html/index.html'
gcloud compute instances create vm1-vpc3-ncc \
--zone us-central1-a \
--subnet vpc3-ncc-subnet1 \
--no-address \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc3-vm3</h3>" | tee /var/www/html/index.html'
3. โทโพโลยีการตรวจสอบแบบไฮบริดของ NCC
ในส่วนนี้ เราจะติดตั้งใช้งานฮับ Network Connectivity Center สำหรับโทโพโลยีการตรวจสอบแบบไฮบริด โทโพโลยีการตรวจสอบแบบไฮบริดของ NCC จะใช้นโยบาย Spoke ที่กำหนดไว้ล่วงหน้าของ NCC เพื่อรองรับ NCC Gateway โดยเฉพาะ แผนภาพเชิงตรรกะแสดงสภาพแวดล้อมเครือข่ายที่จะตั้งค่าในขั้นตอนนี้
ฮับ NCC สำหรับการตรวจสอบ Spoke แบบไฮบริด
เมื่อสร้าง NCC Hub ให้ใช้แฟล็ก "-preset-topology=hybrid-inspection" เพื่อสร้างกลุ่มประเภท NCC Spoke 4 กลุ่ม NCC มี 4 ประเภท ได้แก่
Groups:gateways | Spoke เกตเวย์ทำหน้าที่เป็นจุดเข้าและออกระดับภูมิภาคสำหรับการไหลของการรับส่งข้อมูลที่เข้าสู่ Google Cloud จากภายในองค์กรหรือระบบคลาวด์อื่นๆ โดยจะช่วยให้การตรวจสอบการเข้าชมผ่านบริการ SSE ของบุคคลที่สาม เช่น Palo Alto Networks หรือ Symantec เป็นไปได้ หมายเหตุ: นี่เป็นกลุ่มเดียวที่มี Spoke ของ NCC Gateway ในโทโพโลยีนี้ได้ |
Groups:services | กลุ่มนี้ทำหน้าที่เป็น "ฮับ" สำหรับทรัพยากรที่ใช้ร่วมกัน โดยกิ่งก้านในกลุ่มนี้จะเชื่อมต่อกับกลุ่มกิ่งก้านอื่นๆ ทั้งหมด (การผลิต การทดสอบ และเกตเวย์) VPC ของบริการที่แชร์ (เช่น สำหรับการบันทึก การตรวจสอบสิทธิ์ การตรวจสอบ หรือเครื่องมือทั่วไป) |
กลุ่ม:prod | กรณีการใช้งาน: จัดสรร VPC ของแอปพลิเคชันเวอร์ชันที่ใช้งานจริงซึ่งมีภาระงานที่สำคัญต่อภารกิจ (VM, คลัสเตอร์ GKE) |
Groups:non-prod | ทรัพยากรที่กำหนด: VPC ของแอปพลิเคชันที่ไม่ใช่เวอร์ชันที่ใช้งานจริงซึ่งใช้สำหรับสภาพแวดล้อมการพัฒนา การทดสอบ หรือการจัดเตรียม |
กำหนดค่าฮับ NCC ให้ใช้โทโพโลยีที่กำหนดล่วงหน้าสำหรับการตรวจสอบแบบไฮบริด
gcloud beta network-connectivity hubs create cl-hi-hub \ --preset-topology=hybrid-inspection
ตัวอย่างเอาต์พุต
Create request issued for: [cl-hi-hub]
Waiting for operation [projects/"${projectname}"/locations/global/operations/operation-1759424304217-6402fe4a97da0-5de6
e5a1-2ea2de02] to complete...done.
Created hub [cl-hi-hub].
ใช้คำสั่ง gcloud เพื่อยืนยันตารางการกำหนดเส้นทางที่กำหนดล่วงหน้าของฮับ NCC ดังนี้
gcloud network-connectivity hubs describe cl-hi-hub
ตัวอย่างเอาต์พุต
createTime: '2026-02-18T16:14:45.828597880Z'
exportPsc: false
name: projects/"${projectname}"/locations/global/hubs/cl-hi-hub
policyMode: PRESET
routeTables:
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/gateways
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/non-prod
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/prod
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/services
spokeSummary:
state: ACTIVE
uniqueId: c0fbb826-173b-42dd-a5d2-00c2aa66fed8
updateTime: '2026-04-21T19:13:50.269721594Z'
คุณเพิ่ม Spoke ของ NCC ลงในกลุ่มเพื่อใช้นโยบายการไหลของการรับส่งข้อมูลได้ NCC spoke จะเป็นส่วนหนึ่งของกลุ่มได้เพียงกลุ่มเดียว สำหรับการเปิดตัวนี้ โทโพโลยีที่กำหนดไว้ล่วงหน้าเฉพาะที่ชื่อ HYBRID-INSPECTION จะมี 4 กลุ่ม ได้แก่ เกตเวย์, prod, non-prod และบริการ
ทรัพยากร NCC Gateway ทั้งหมด (รวมถึงการเชื่อมต่อแบบไฮบริด) เป็นส่วนหนึ่งของกลุ่มเกตเวย์ Spoke ในกลุ่มเกตเวย์จะสื่อสารกันได้ และการรับส่งข้อมูลระหว่างเกตเวย์กับกลุ่ม Spoke อื่นๆ จะมีสิทธิ์รับการตรวจสอบ (ขึ้นอยู่กับการกำหนดค่านโยบายบริการ)
กฎการเชื่อมต่อกลุ่มย่อย NCC
กลุ่มแหล่งที่มา | เข้าถึงได้ (อนุญาต) | เข้าถึงไม่ได้ (ถูกจำกัด) |
กลุ่มบริการ | เกตเวย์, prod, non-prod, บริการ | ไม่มี |
กลุ่มผลิตภัณฑ์ | เกตเวย์ บริการ Prod Spoke | Spoke ที่ไม่ใช่ของสภาพแวดล้อมการผลิต |
กลุ่มที่ไม่ใช่การผลิต | เกตเวย์ บริการ Spoke ที่ไม่ใช่เวอร์ชันที่ใช้งานจริง | โฆษกของผลิตภัณฑ์ |
Gateways Group | เกตเวย์ บริการ โปรดักชัน ที่ไม่ใช่โปรดักชัน | ไม่มี |
ใช้คำสั่ง gcloud เพื่อแสดงรายการกลุ่มที่กำหนดค่าไว้ล่วงหน้าใน NCC Hub
gcloud network-connectivity hubs groups list --hub cl-hi-hub --project "${projectname}"
ตัวอย่างเอาต์พุต
NAME HUB DESCRIPTION
gateways cl-hi-hub
non-prod cl-hi-hub
prod cl-hi-hub
services cl-hi-hub
ในคอนโซลบนเว็บ ให้ไปที่การเชื่อมต่อเครือข่าย > Network Connectivity Center > เลือก "cl-hi-hub" เพื่อดูการกำหนดค่าฮับ NCC
VPC สำหรับภาระงาน 2 เป็นเครือข่ายย่อยในกลุ่ม NCC:prod
ใช้คำสั่ง gcloud เพื่อกำหนดค่า VPC3 ของภาระงานเป็นกิ่ง (ภาระงาน) และกำหนดกิ่งให้กับกลุ่ม:prod
gcloud network-connectivity spokes linked-vpc-network create vpc2-sp \
--hub=cl-hi-hub \
--description=codelab-vpc2-ncc-spoke \
--vpc-network=vpc2-ncc \
--global \
--group=prod
ตัวอย่างเอาต์พุต
Create request issued for: [vpc2-sp]
Waiting for operation [projects/"${projectname}"/locations/global/operations/operation-1776966793852-650245286757a-766d806c-1bc4fabe] to complete...done.
Created spoke [vpc2-sp].
createTime: '2026-04-23T17:53:14.083783233Z'
description: codelab-vpc2-ncc-spoke
etag: '2'
group: projects/"${projectname}"/locations/global/hubs/cl-hi-hub/groups/prod
hub: projects/"${projectname}"/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/"${projectname}"/global/networks/vpc-ncc2
name: projects/"${projectname}"/locations/global/spokes/vpc2-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: 92972784-e4ed-47e5-be22-08a516a39b0c
updateTime: '2026-04-23T17:53:55.029481722Z'
ใช้คำสั่ง gcloud เพื่อดูคำนำหน้าในตารางเส้นทาง "prod" ของฮับ NCC
gcloud network-connectivity hubs route-tables routes list --hub=cl-hi-hub --route_table=prod
ตัวอย่างเอาต์พุต
IP_CIDR_RANGE: 10.1.2.0/24
PRIORITY:
LOCATION: us-central1
STATE: ACTIVE
TYPE: VPC_PRIMARY_SUBNET
SITE_TO_SITE: N/A
NEXT_HOP: vpc2-ncc
HUB: cl-hi-hub
ROUTE_TABLE: prod
กำหนดค่า VPC3 ของภาระงานเป็นเครือข่ายย่อยในกลุ่ม NCC:non-prod
ใช้คำสั่ง gcloud เพื่อกำหนดค่า VPC3 ของภาระงานเป็นก้าน (ภาระงาน) และกำหนดก้านให้กับกลุ่ม:non-prod
gcloud network-connectivity spokes linked-vpc-network create vpc3-sp \
--hub=cl-hi-hub \
--description=codelab-vpc3-ncc-spoke \
--vpc-network=vpc3-ncc \
--global \
--group=non-prod
ตัวอย่างเอาต์พุต
Create request issued for: [vpc3-sp]
Waiting for operation [projects/cloudnet-demo/locations/global/operations/operation-1778757016454-651c5241b83fe-18b62f78-02d70f9a] to complete...done.
Created spoke [vpc3-sp].
createTime: '2026-05-14T11:10:16.758117151Z'
description: codelab-vpc3-ncc-spoke
etag: '2'
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/non-prod
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/cloudnet-demo/global/networks/vpc3-ncc
name: projects/cloudnet-demo/locations/global/spokes/vpc3-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: efe8cfed-d77f-4636-aaae-898e73897b49
updateTime: '2026-05-14T11:10:52.880508489Z'
ใช้คำสั่ง gcloud เพื่อดูคำนำหน้าในตารางเส้นทาง "prod" ของฮับ NCC
gcloud network-connectivity hubs route-tables routes list --hub=cl-hi-hub --route_table=prod
ตัวอย่างเอาต์พุต
IP_CIDR_RANGE: 10.1.2.0/24
PRIORITY:
LOCATION: us-central1
STATE: ACTIVE
TYPE: VPC_PRIMARY_SUBNET
SITE_TO_SITE: N/A
NEXT_HOP: vpc2-ncc
HUB: cl-hi-hub
ROUTE_TABLE: prod
กำหนดค่า VPC1 ของภาระงานเป็นเครือข่ายย่อยในกลุ่ม NCC:services
ใช้คำสั่ง gcloud เพื่อกำหนดค่า VPC1 ของภาระงานเป็นก้าน (ภาระงาน) และกำหนดก้านให้กับกลุ่ม:บริการ
gcloud network-connectivity spokes linked-vpc-network create vpc1-sp \
--hub=cl-hi-hub \
--description=codelab-vpc1-ncc-spoke \
--vpc-network=vpc1-ncc \
--global \
--group=services
ตัวอย่างเอาต์พุต
Create request issued for: [vpc1-sp]
Waiting for operation [projects/cloudnet-demo/locations/global/operations/operation-1778758397065-651c57665f795-1af6d94f-942c9ebd] to complete...done.
Created spoke [vpc1-sp].
createTime: '2026-05-14T11:33:17.359361160Z'
description: codelab-vpc1-ncc-spoke
etag: '2'
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/services
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/cloudnet-demo/global/networks/vpc1-ncc
name: projects/cloudnet-demo/locations/global/spokes/vpc1-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: 82b29a2b-50cb-4557-8b12-3345f5a36ad6
updateTime: '2026-05-14T11:33:55.914406863Z'
กำหนดค่า Spoke ของ NCC Gateway สำหรับเกตเวย์ SSE ใน us-central1
ใช้คำสั่ง gcloud เพื่อสร้าง NCC Gateway Spoke ใน us-central1 ดังนี้
gcloud beta network-connectivity spokes gateways create cl-ncc-gw-usc-sp \
--region=us-central1 \
--hub=cl-hi-hub \
--capacity=1g \
--ip-range-reservations=10.100.0.0/23 \
--group=gateways
ตัวอย่างเอาต์พุต
Create request issued for: [cl-ncc-gw-usc-sp]
Waiting for operation [projects/cloudnet-demo/locations/us-central1/operations/operation-1778758907555-651c594d36fc5-783a8d5d-8d3e341b] to complete...done.
Created spoke [cl-ncc-gw-usc-sp].
createTime: '2026-05-14T11:41:48.066042872Z'
etag: '2'
gateway:
capacity: CAPACITY_1_GBPS
ipRangeReservations:
- ipRange: 10.100.0.0/23
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/gateways
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
name: projects/cloudnet-demo/locations/us-central1/spokes/cl-ncc-gw-usc-sp
spokeType: GATEWAY
state: ACTIVE
uniqueId: ffe8e2b7-c864-4279-9d21-ca72d87083fe
updateTime: '2026-05-14T11:44:08.787947523Z'
ใช้คำสั่ง gcloud เพื่อแสดงรายการ Spoke ของ NCC
gcloud network-connectivity spokes list
ตัวอย่างเอาต์พุต
NAME: vpc2-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: prod
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc2-ncc-spoke
NAME: vpc3-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: non-prod
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc3-ncc-spoke
NAME: vpc1-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: services
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc1-ncc-spoke
NAME: cl-ncc-gw-usc-sp
LOCATION: us-central1
HUB: cl-hi-hub
GROUP: gateways
TYPE:
RESOURCE COUNT: 1
DATA TRANSFER: Off
DESCRIPTION:
ตรวจสอบ Spoke ของ NCC ที่กำหนดค่าไว้ในฮับ NCC "cl-hi-hub" ดังนี้
ประกาศคำนำหน้า IP จาก NCC Gateway ไปยัง NCC Hub
กำหนดค่าเกตเวย์ NCC เพื่อประกาศคำนำหน้าที่เฉพาะเจาะจงไปยังตารางเส้นทางฮับ NCC
gcloud beta network-connectivity spokes gateways advertised-routes create example-dot-com \
--ip-range=1.1.1.1/32 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create google-dot-com \
--ip-range=173.194.204.101/32 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create branch \
--ip-range=192.168.1.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create prod \
--ip-range=192.168.11.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create non-prod \
--ip-range=192.168.12.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
ใช้คำสั่ง gcloud เพื่อแสดงเส้นทางที่ประกาศซึ่งมาจาก Spoke ของเกตเวย์
gcloud beta network-connectivity spokes gateways advertised-routes list --region=us-central1
ตัวอย่างเอาต์พุต
ตรวจสอบเส้นทางที่ประกาศของ Spoke ของ NCC Gateway
ในเว็บคอนโซล ให้ไปที่การเชื่อมต่อเครือข่าย > Network Connectivity Center > เลือกแท็บ "Spokes" แล้วคลิก "cl-ncc-gw-usc-sp"
4. การเชื่อมต่อแบบไฮบริดของ Cloud Interconnect
ในขณะที่เขียนบทความนี้ เกตเวย์ NCC รองรับเฉพาะ Google Cloud Interconnect เท่านั้น NCC Gateway ใช้ VPC ทั่วโลกและ Cloud Router ในโปรเจ็กต์ผู้เช่า Google เพื่อสิ้นสุดเซสชันไฟล์แนบ VLAN และการเพียร์ BGP
แม้ว่าแผนภาพจะแสดงคู่ของ Cloud Interconnect และไฟล์แนบ VLAN ที่เชื่อมต่อกับเกตเวย์ NCC อย่างเป็นตรรกะ แต่ Cloud Router ใน VPC ส่วนกลางของผู้เช่าที่ Google จัดการคือคอมโพเนนต์พื้นฐานที่สิ้นสุดไฟล์แนบ VLAN ในส่วนนี้ คุณจะกำหนดค่า Cloud Router ที่เชื่อมโยงกับ NCC Gateway เพื่อจัดการเซสชัน BGP สำหรับการเชื่อมต่อภายในองค์กร
Cloud Router เฉพาะของ NCC Gateway ใน us-central1
ใช้คำสั่ง gcloud เพื่อกำหนดค่า Cloud Router สำหรับเกตเวย์ NCC โดยเฉพาะ
gcloud beta compute routers create ncc-gw-usc1-cr \
--ncc-gateway=https://networkconnectivity.googleapis.com/v1/projects/"${projectid}"/locations/us-central1/spokes/cl-ncc-gw-usc-sp \
--asn=64666 \
--advertisement-mode=CUSTOM \
--set-advertisement-ranges=10.100.2.0/23 \
--region=us-central1
ตัวอย่างเอาต์พุต
Creating router [ncc-gw-usc1-cr]...done.
NAME REGION NCC_GATEWAY
ncc-gw-usc1-cr us-central1 cl-ncc-gw-usc-sp
- NCC_GW_NAME: URI แบบเต็มของ Spoke ของเกตเวย์ NCC รูปแบบของ URI เป็นไปตามรูปแบบนี้ https://networkconnectivity.googleapis.com/v1/projects/"${projectid}"/locations/REGION/spokes/GATEWAY_SPOKE_NAME
- ADVERTISED_IP_RANGES: ช่วง IP ที่จะประกาศไปยังเครือข่ายในองค์กรเพื่อดึงดูดการเข้าชมไปยัง Google Cloud
ใช้คำสั่ง gcloud นี้เพื่อแสดงรายการเราเตอร์ที่เพิ่งสร้าง
gcloud compute routers list --filter="region:(us-central1)"
โปรดทราบว่า Cloud Router ไม่ได้เชื่อมโยงกับ VPC
NAME REGION NETWORK
ncc-gw-usc1-cr us-central1 N/A
สร้างไฟล์แนบ VLAN จาก Cloud Interconnect โดยตรงที่มีอยู่ซึ่งจะใช้เป็นอินเทอร์เฟซใน Cloud Router การกำหนดค่าตัวอย่างด้านล่างใช้ที่อยู่ IP แบบลิงก์เฉพาะที่เป็นช่วงซับเน็ตที่อาจเป็นไปได้ ระบบจะใช้ที่อยู่โฮสต์ที่เฉพาะเจาะจงจากช่วงนี้เพื่อกำหนดค่าการเพียร์ BGP
gcloud compute interconnects attachments dedicated create vl2029-ead1 \
--region=us-central1 \
--interconnect=projects/some-interconnect-project/global/interconnects/interconnect-lab-sea26-zone1 \
--router=ncc-gw-usc1-cr \
--vlan=2024 \
--bandwidth=500m \
--mtu=1440 \
--candidate-subnets=169.254.222.216/29
Created [https://www.googleapis.com/compute/v1/projects/"${projectname}"/regions/us-central1/interconnectAttachments/vl2029-ead1].
gcloud compute interconnects attachments dedicated create vl3029-ead2 \
--region=us-central1 \
--interconnect=projects/some-interconnect-project/global/interconnects/interconnect-lab-sea26-zone2 \
--router=ncc-gw-usc1-cr \
--vlan=3026 \
--bandwidth=500m \
--mtu=1440 \
--candidate-subnets=169.254.220.184/29
Created [https://www.googleapis.com/compute/v1/projects/"${projectname}"/regions/us-central1/interconnectAttachments/vl3029-ead2].
กำหนดค่า Cloud Router ของเกตเวย์ NCC ใน us-central1 ด้วยอินเทอร์เฟซ
ใช้คำสั่ง gcloud เพื่อเชื่อมโยงไฟล์แนบ VLAN ที่สร้างขึ้นใน us-central กับ Cloud Router ของ NCC Gateway
gcloud compute routers add-interface ncc-gw-usc1-cr \
--region=us-central1 \
--interface-name=if-vl2029-ead1 \
--interconnect-attachment=vl2029-ead1
เอาต์พุต:
Updated [https://www.googleapis.com/compute/v1/projects/cloudnet-demo/regions/us-central1/routers/ncc-gw-usc1-cr].
กำหนดค่าเพียร์ BGP สำหรับไฟล์แนบ VLAN ที่สร้างขึ้นข้างต้น
ใช้คำสั่ง gcloud ด้านล่างเพื่อเปิดใช้งานการ Peering BGP ในอินเทอร์เฟซ Cloud Router
gcloud compute routers add-bgp-peer ncc-gw-usc1-cr \
--region=us-central1 \
--peer-name=bgp-vl2029-ead1 \
--interface=if-vl2029-ead1 \
--peer-asn=65112 \
--advertisement-mode=DEFAULT
เอาต์พุต:
Creating peer [bgp-vl2029-ead1] in router [ncc-gw-usc1-cr]...done.
กำหนดค่า Cloud Router ของเกตเวย์ NCC ใน us-central1 ด้วยอินเทอร์เฟซไฟล์แนบ VLAN ที่ 2
ใช้คำสั่ง gcloud เพื่อเพิ่มไฟล์แนบ VLAN ที่ 2 เป็นอินเทอร์เฟซไปยัง Cloud Router ของ NCC Gateway
gcloud compute routers add-interface ncc-gw-usc1-cr \
--region=us-central1 \
--interface-name=if-vl3029-ead2 \
--interconnect-attachment=vl3029-ead2
เอาต์พุต:
Updated [https://www.googleapis.com/compute/v1/projects/cloudnet-demo/regions/us-central1/routers/ncc-gw-usc1-cr]
ใช้คำสั่ง gcloud ด้านล่างเพื่อเปิดใช้งานการ Peering BGP ในอินเทอร์เฟซ Cloud Router
gcloud compute routers add-bgp-peer ncc-gw-usc1-cr \
--region=us-central1 \
--peer-name=bgp-vl3029-ead2 \
--interface=if-vl3029-ead2 \
--peer-asn=65112 \
--advertisement-mode=DEFAULT
ยืนยันสถานะการ Peering BGP กับ BGP Speaker ในองค์กร
ใช้คำสั่ง gcloud เพื่อยืนยันสถานะเพียร์ BGP กับเราเตอร์ในองค์กร และดูว่าเส้นทางใดที่ NCC Gateway Cloud Router ส่งไปยังเครือข่ายในองค์กร
gcloud compute routers get-status ncc-gw-usc1-cr \
--region=us-central1
**
--format="yaml(result.bgpPeerStatus)"
เอาต์พุต:
ตรวจสอบว่าสถานะ BGP เป็น "สร้างแล้ว"
result:
bgpPeerStatus:
- advertisedRoutes:
- destRange: 10.100.2.0/23
kind: compute#route
nextHopIp: 169.254.111.217
nextHopOrigin: INCOMPLETE
priority: 100
routeType: BGP
enableIpv4: true
enableIpv6: false
ipAddress: 169.254.111.217
md5AuthEnabled: false
name: bgp-vl2029-ead1
numLearnedRoutes: 2
peerIpAddress: 169.254.111.218
state: Established
status: UP
uptime: 6 minutes, 27 seconds
uptimeSeconds: '387'
- advertisedRoutes:
- destRange: 10.100.2.0/23
kind: compute#route
nextHopIp: 169.254.112.217
nextHopOrigin: INCOMPLETE
priority: 100
routeType: BGP
enableIpv4: true
enableIpv6: false
ipAddress: 169.254.112.217
md5AuthEnabled: false
name: bgp-vl3029-ead2
numLearnedRoutes: 1
peerIpAddress: 169.254.112.218
state: Established
status: UP
uptime: 1 minutes, 35 seconds
uptimeSeconds: '95'
ใช้คำสั่ง gcloud เพื่อดูเส้นทางที่ Cloud Router ของ NCC Gateway ได้รับจากเครือข่ายในองค์กร
gcloud compute routers get-status ncc-gw-usc1-cr \
--region=us-central1 \
--format="yaml(result.bestRoutes)"
เอาต์พุต:
result:
bestRoutes:
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T10:02:44.265-07:00'
destRange: 172.16.0.0/16
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.111.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T09:54:04.340-07:00'
destRange: 3.3.3.0/24
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.111.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T09:58:56.189-07:00'
destRange: 4.4.4.0/24
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.112.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
โฆษณาคำนำหน้าแบบกำหนดเองของ GCP ไปยัง On Prem** เนื่องจากระบบจะโฆษณาเส้นทางซับเน็ตโดยอัตโนมัติ คุณมีตัวเลือกในการโฆษณาเส้นทาง "สรุป" สำหรับคำนำหน้าที่กำหนดเอง**
cloud compute routers update ncc-gw-usc1-cr \
--project=cloudnet-demo \
--region=us-central1 \
--advertisement-mode custom \
--set-advertisement-groups=all_subnets \
--set-advertisement-ranges="10.1.0.0/16"
เอาต์พุต:
Updating router [ncc-gw-usc1-cr]...done.
5. การผสานรวม SSE ของบุคคลที่สามกับเกตเวย์ NCC
Secure Access Connect เป็นฟีเจอร์ที่ช่วยให้คุณเชื่อมต่อผลิตภัณฑ์ Security Service Edge (SSE) ของบุคคลที่สามกับ NCC Gateway เพื่อรักษาความปลอดภัยให้กับการรับส่งข้อมูลขาเข้าและขาออก ฟังก์ชันหลักคือการสร้างลิงก์ระหว่าง GCP กับผู้ให้บริการ SSE บุคคลที่สาม
ในส่วนนี้ คุณจะเข้าสู่ระบบ Strata Cloud Manager เพื่อเปิดใช้งานและกำหนดค่าบริการพร็อกซี SSE ใน NCC Gateway
บริการนี้ประกอบด้วยทรัพยากรหลัก 2 อย่าง ได้แก่
- Secure Access Connect Realm: ทรัพยากรที่เข้าถึงได้ทั่วโลกที่ลิงก์โปรเจ็กต์ Google Cloud กับบริการ SSE ซึ่งจะสร้างพื้นที่นโยบายความปลอดภัยที่ใช้ร่วมกันสำหรับกลุ่ม VPC หรือผู้ใช้ โดยจะแสดงต่อผู้ให้บริการ SSE ว่าเกตเวย์ใดบ้างที่ควรอยู่ในบังคับของนโยบายความปลอดภัยชุดเดียวกัน
- การเชื่อมต่อ Secure Access Connect: ทรัพยากรเชิงตรรกะระดับภูมิภาคที่ช่วยให้เกตเวย์ NCC ประมวลผลการรับส่งข้อมูลด้วยบริการ SSE ได้จริง โดยมีข้อมูลเมตาที่จำเป็นต่อการสร้างความน่าเชื่อถือและการเชื่อมต่อกับสแต็ก SSE ของพาร์ทเนอร์
สร้างขอบเขต Secure Access Connect
gcloud beta network-security secure-access-connect realms create codelab-sac-realm \
--security-service=prisma-access
ระบุคีย์การจับคู่
หากต้องการเชื่อมโยง Secure Access Connect Realm กับ Prisma Access คุณจะต้องมีคีย์การจับคู่ ระบบจะใช้สตริงตัวอักษรและตัวเลขนี้เพื่อกำหนดค่าและจัดสรรเกตเวย์ SSE ผ่านเว็บพอร์ทัล Strata Cloud Manager
gcloud beta network-security secure-access-connect realms describe codelab-sac-realm
createTime: '2026-04-21T13:48:53.760262401Z'
name: projects/"${projectname}"/locations/global/sacRealms/codelab-cden
pairingKey:
expireTime: '2026-04-28T13:48:51.107221733Z'
key: 2a52a7e2-7c95-4dc7-9155-c3234976fad4
securityService: PALO_ALTO_PRISMA_ACCESS
state: PENDING_PARTNER_ATTACHMENT
updateTime: '2026-04-21T13:48:55.874553834Z'
สร้างขอบเขตพาร์ทเนอร์ด้วย Managed Cloud WAN ใน Prisma Access
- เข้าสู่ระบบ Strata Cloud Manager และตรวจสอบว่าคุณใช้กลุ่มผู้ใช้เกตเวย์ SSE ที่ได้รับมอบหมาย
- หากต้องการเชื่อมต่อขอบเขต SAC กับผู้เช่าพาร์ทเนอร์ ให้ไปที่
การตั้งค่าระบบ -> การผสานรวม -> Cloud WAN ที่มีการจัดการ และ
คลิก "เชื่อมต่อ"
- ป้อนคีย์การจับคู่ของขอบเขต SAC ในกล่องโต้ตอบ "เชื่อมต่อบัญชีเกตเวย์ Google NCC" คลิก "ยืนยัน" เพื่อเริ่มสร้าง Realm
การอัปเดตสถานะเกตเวย์ NCC เป็น "เชื่อมต่อแล้ว" จะใช้เวลา 2-3 นาที
ใน GCP Cloud Shell ให้ใช้คำสั่ง gcloud เพื่อค้นหาคีย์การจับคู่ที่เชื่อมโยงกับขอบเขต SAC
gcloud beta network-security secure-access-connect realms describe codelab-sac-realm
นอกจากนี้ คุณยังดูคีย์การจับคู่ในคอนโซล GCP ได้ด้วย
เพิ่มคลัสเตอร์ SSE ของเกตเวย์ NCC เป็นการเชื่อมต่อ Cloud WAN ที่มีการจัดการโดยไปที่
การกำหนดค่า > NGFW และ Prisma Access > คลิก "ขอบเขตการกำหนดค่า" แล้วเลือก "เครือข่ายระยะไกล" ในส่วน "Prisma Access"
ในหน้าภาพรวม ให้คลิก "ตั้งค่า" แล้วเลือก "การเชื่อมต่อ Cloud WAN ที่มีการจัดการ"
คลิก "เพิ่มเว็บไซต์ Managed Cloud WAN"
เปิดใช้งานอินสแตนซ์ SSE ใน NCC Gateway
เปลี่ยนไปใช้คอนโซล GCP แล้วใช้คำสั่ง gcloud เพื่อสร้างการเชื่อมต่อ Secure Access Connect
gcloud alpha network-security secure-access-connect attachments create codelab-sac-attachment-usc1 \
--location=us-central1 \
--realm=codelab-sac-realm \
--gateway=cl-ncc-gw-usc-sp
สร้าง Partner Gateway
ป้อนพารามิเตอร์สำหรับการเชื่อมต่อ WAN ของระบบคลาวด์ที่มีการจัดการ
- ชื่อเว็บไซต์ - ป้อนชื่อที่ไม่ซ้ำกันสำหรับการเชื่อมต่อ
- **ประเภทบริการ -**เลือก Google NCC Gateway เป็นประเภทบริการ
- ชื่อการเชื่อมต่อ - เลือกตำแหน่งบริการ GCP ที่คุณสร้างขึ้นระหว่างเกตเวย์ NCC การเปิดใช้งานและการสร้างการเชื่อมต่อ SAC
- ตำแหน่งการประมวลผลของ Prisma Access - เลือกตำแหน่งการประมวลผลที่ต้องการติดตั้งใช้งานการผสานรวมเกตเวย์ NCC กับ Prisma Access
- แบนด์วิดท์ (Mbps) - เลือกแบนด์วิดท์ที่จะจัดสรรในหน่วย Mbps คุณจัดสรรได้สูงสุด 10000 Mbps (10 Gbps
คุณจัดสรรได้สูงสุด 10000 Mbps (10 Gbps)
เมื่อเสร็จแล้ว ให้คลิก "บันทึก"
ซิงค์การกำหนดค่าอินสแตนซ์ SSE ของเกตเวย์ NCC
เลือก "Push Config" เพื่อสร้างอินสแตนซ์ SSE ของพาร์ทเนอร์ใน Spoke ของ NCC Gateway
ตรวจสอบความคืบหน้าโดยคลิก "Push Config" แล้วเลือก "งาน" รอให้ "ผลลัพธ์" ทั้งหมดเสร็จสมบูรณ์สำหรับงานที่เฉพาะเจาะจง
เมื่อเสร็จแล้ว ให้คลิก "เสร็จสิ้น"
ตรวจสอบสถานะของเกตเวย์ SSE ของพาร์ทเนอร์โดยไปที่การกำหนดค่า > NGFW และ Prisma Access > ขอบเขตการกำหนดค่า > Prisma Access > เครือข่ายระยะไกล > การตั้งค่า > การเชื่อมต่อ Cloud WAN ที่มีการจัดการ
Prisma Access จะจัดสรรการกำหนดค่า BGP ของการเชื่อมต่อ Managed Cloud WAN โดยอัตโนมัติ
6. ยืนยันเส้นทางข้อมูลผ่าน NCC Gateway
เปลี่ยนไปใช้คอนโซล Cloud Shell ของ GCP
ใช้คำสั่ง gcloud เพื่อดูเส้นทางที่ประกาศซึ่งมาจาก Spoke ของเกตเวย์
gcloud beta network-connectivity spokes gateways advertised-routes list --region=us-central1
SSH ไปยัง "vm1-vpc1-ncc**"** แล้วเริ่มการดัมพ์ TCP เพื่อติดตามแพ็กเกต ICMP จาก **"vm2-vpc2-ncc"** โปรดทราบว่า VM นี้อยู่ใน VPC2
vm1-vpc1-ncc
sudo tcpdump -i any icmp -v -e -n
สร้างเซสชัน SSH ไปยัง "vm1-vpc2-ncc**"** และ "ping" ที่อยู่ IP ของ "vm1-vpc1-ncc"
vm1-vpc2-ncc
ping 10.1.1.2
เอาต์พุต:
คุณควรเห็นการติดตามด้านล่างใน vm1-vpc1-ncc
เรียกใช้คำสั่ง curl ใน VM-1 ไปยังเซิร์ฟเวอร์ HTTP ในองค์กรเพื่อทดสอบความสามารถในการเข้าถึงในองค์กร
vm1-vpc1-ncc
curl 172.16.101.11 -vv
เอาต์พุต:
สร้างเซสชัน SSH ไปยัง "vm1-vpc2-ncc**"** และ "ping" ที่อยู่ IP "1.1.1.1"
vm1-vpc2-ncc
ping 1.1.1.1
เอาต์พุต:
Ping ไม่ทำงานเนื่องจากต้องได้รับอนุญาตใน Prisma(Strata Cloud Manager) มาเปิดใช้กันเลย
ไปที่ Strata Cloud Manager —-> Configuration —-> NGFW and Prisma Access คุณจะเห็นข้อมูลด้านล่าง:::
ที่ด้านซ้ายบน ให้กดเมนูแบบเลื่อนลงส่วนกลาง แล้วเลือก "เครือข่ายระยะไกล" จากนั้นคลิกแท็บ "บริการด้านความปลอดภัย" แล้วเลือก "นโยบายความปลอดภัย" ดังที่แสดงด้านล่าง:::
คลิก "เพิ่มกฎ" ที่ด้านขวาบน แล้วสร้างกฎ "allow icmp" เพื่ออนุญาตการรับส่งข้อมูล icmp ระหว่าง vm1-vpc2-ncc กับ 1.1.1.1 เมื่อเสร็จแล้ว ให้กด "Push Config" ที่ด้านขวาบน
โปรดดูที่งานเพื่อให้แน่ใจว่าได้พุชคอนฟิกูเรชันเรียบร้อยแล้ว คลิก Push Config —-> Jobs
เมื่องานสำเร็จแล้ว ให้ทดสอบ ping อีกครั้งจาก vm1-vpc2-ncc
สำเร็จ!!! คุณทำ Codelab นี้เสร็จเรียบร้อยแล้ว
7. การล้างข้อมูลใน Lab
ลบไฟล์แนบ VLAN
gcloud compute interconnects attachments delete vl2024-ead1 \
--region=us-central1 \
--quiet
gcloud compute interconnects attachments delete vl3026-ead2 \
--region=us-central1 \
--quiet
ลบเพียร์ BGP และอินเทอร์เฟซ BGP ของ Cloud Router ของ NCC Gateway
gcloud compute routers remove-bgp-peer ncc-gw-usc1-cr \
--peer-name=bgp-vl2024-ead1 \
--region=us-central1
gcloud compute routers remove-interface ncc-gw-usc1-cr \
--interface-name=if-vl3026-ead2 \
--region=us-central1
ลบ ncc-gw-usc1-cr และ ncc-gw-usc1-cr
gcloud compute routers delete ncc-gw-usc1-cr \
--region=us-central1 \
--quiet
ลบเส้นทางที่กระจายข้อมูลของเกตเวย์
gcloud beta network-connectivity spokes gateways advertised-routes delete ncc-gw-usc1-cr \
--region=us-central1 \
--spoke=cl-ncc-gw-usw-sp \
ลบเครือข่ายย่อย NCC VPC
gcloud network-connectivity spokes delete vpc1-sp --global --quiet
gcloud network-connectivity spokes delete vpc2-sp --global --quiet
gcloud network-connectivity spokes delete vpc3-sp --global --quiet
ลบ spoke ของ ncc-gateway
gcloud network-connectivity spokes delete cl-ncc-gw-usc-sp --region=us-central1 \
--quiet
ลบขอบเขตการเข้าถึงที่ปลอดภัย
gcloud beta network-security secure-access-connect realms delete codelab-sac-realm --quie
ตัน
ลบ NCC Hub
gcloud network-connectivity hubs delete ncc-hub --quiet
ลบกฎไฟร์วอลล์
gcloud compute firewall-rules delete ncc1-vpc-internal --quiet
gcloud compute firewall-rules delete ncc2-vpc-internal --quiet
gcloud compute firewall-rules delete ncc3-vpc-internal --quiet
gcloud compute firewall-rules delete ncc1-vpc-iap --quiet
gcloud compute firewall-rules delete ncc2-vpc-iap --quiet
gcloud compute firewall-rules delete ncc3-vpc-iap --quiet
ลบอินสแตนซ์ GCE
gcloud compute instances delete vm1-vpc1-ncc --zone=us-central1-a --quiet
gcloud compute instances delete vm2-vpc2-ncc --zone=us-central1-a --quiet
gcloud compute instances delete vm1-vpc3-ncc --zone=us-east1-b --quiet
ลบซับเน็ต VPC
gcloud compute networks subnets delete vpc1-ncc-subnet1 --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet2 --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet3 --region us-central1 --quiet
ลบ VPC
gcloud compute networks delete vpc1-ncc vpc2-ncc vpc3-ncc vpc4-ncc, vpc5-ncc --quiet
8. ยินดีด้วย
คุณทำแล็บ Network Connectivity Center เสร็จแล้ว
สิ่งที่คุณครอบคลุม
- กำหนดค่าโทโพโลยีการตรวจสอบแบบไฮบริดของ NCC
- Spoke ของเกตเวย์ NCC
- เกตเวย์ SSE ของ Palo Alto Network ใน Google Cloud
- PANW: Strata Cloud Manager
ขั้นตอนถัดไป