1. Giriş
Genel Bakış
Bu laboratuvarda kullanıcılar, Network Connectivity Center'ın (NCC) güvenli bağlantı oluşturmak için NCC ağ geçidini nasıl kullandığını keşfedecek. Kullanıcılar, üçüncü taraf Security Service Edge (SSE) ürünlerini entegre etmek için Secure Access Connect'i uygulayarak trafik akışlarının güçlü bir şekilde incelenmesini ve korunmasını sağlayacak. Bu yapılandırma, Google Cloud ortamlarına giren ve çıkan trafiği güvenli hale getirmek için merkezi bir ağ geçidi tabanlı model sunarak ağ yönetimini basitleştirir.
Ne oluşturacaksınız?
Bu codelab'de, üç farklı VPC'de tam örgü VPC bağlantı yapısı uygulayacak NCC hub'ı ile mantıksal bir hub-and-spoke topolojisi oluşturacaksınız.
Neler öğreneceksiniz?
- Karma İnceleme Topolojisi
- NCC Gateway
- Secure Access Connect
- Palo Alto Network SSE
İhtiyacınız olanlar
- GCP VPC ağı hakkında bilgi
- Cloud Router ve BGP yönlendirme bilgisi
- Bu Codelab için 5 VPC gerekir. Bu VPC'lerden biri, NCC hub'ından ayrı bir projede bulunmalıdır.
- Kota:Ağlar seçeneğini kontrol edin ve gerekirse ek ağ isteyin. Aşağıdaki ekran görüntüsünde bu işlem gösterilmektedir:
Hedefler
- GCP ortamını ayarlama
- Karma inceleme için Network Connectivity Center'ı yapılandırma
- SSE için Palo Alto Network Stratacloud Manager'ı sağlama
- Veri Yolunu Doğrulama
- NCC'nin servis verilebilirliği özelliklerini keşfedin
- Kullanılan kaynakları temizleme
Başlamadan önce
Google Cloud Console ve Cloud Shell
GCP ile etkileşim kurmak için bu laboratuvar boyunca hem Google Cloud Console hem de Cloud Shell'i kullanacağız.
NCC Hub Project Google Cloud Console
Cloud Console'a https://console.cloud.google.com adresinden ulaşabilirsiniz.
Network Connectivity Center'ı yapılandırmayı kolaylaştırmak için Google Cloud'da aşağıdaki öğeleri ayarlayın:
Google Cloud Console'daki proje seçici sayfasında bir Google Cloud projesi seçin veya oluşturun.
Not: Bu prosedürde oluşturduğunuz kaynakları saklamayı düşünmüyorsanız mevcut projeyi seçmek yerine yeni bir proje oluşturun. Bu adımları tamamladıktan sonra projeyi silerek projeyle ilişkili tüm kaynakları kaldırabilirsiniz.
Cloud Shell'i başlatın. Bu Codelab, Cloud Shell'de gcloud yapılandırma uygulamasını kolaylaştırmak için $variables kullanır.
gcloud auth list
gcloud config list project
gcloud config set project [HUB-PROJECT-ID]
projectname=[HUB-PROJECT-ID]
echo $projectname
gcloud config set compute/zone us-central1-a
gcloud config set compute/region us-central1
IAM Rolleri
NCC, belirli API'lere erişmek için IAM rollerini gerektirir. Kullanıcınızı gerektiği gibi NCC IAM rolleriyle yapılandırdığınızdan emin olun.
Rol/Açıklama | İzinler |
| networkconnectivity.hubs.networkconnectivity.spokes.networkconnectivity.gatewaynetworkconnectivity.locations. |
| networkconnectivity.gatewayAdvertisedRoutes.networkconnectivity.groups. networkconnectivity.hubRouteTables.networkconnectivity.hubRoutes.networkconnectivity.hubs. networkconnectivity.locations. networkconnectivity.operations.* networkconnectivity.spokes.*resourcemanager.projects.getresourcemanager.projects.list |
| networkconnectivity.gatewayAdvertisedRoutes.getnetworkconnectivity.gatewayAdvertisedRoutes.listnetworkconnectivity.groups.getnetworkconnectivity.groups.getIamPolicynetworkconnectivity.groups.listnetworkconnectivity.hubRouteTables.getnetworkconnectivity.hubRouteTables.getIamPolicynetworkconnectivity.hubRouteTables.listnetworkconnectivity.hubRoutes.getnetworkconnectivity.hubRoutes.getIamPolicynetworkconnectivity.hubRoutes.listnetworkconnectivity.hubs.getnetworkconnectivity.hubs.getIamPolicynetworkconnectivity.hubs.listnetworkconnectivity.hubs.listSpokesnetworkconnectivity.hubs.queryStatus networkconnectivity.locations.*networkconnectivity.spokes.getnetworkconnectivity.spokes.getIamPolicynetworkconnectivity.spokes.listresourcemanager.projects.getresourcemanager.projects.list |
2. Ağ ortamını ayarlama
Bu bölümde, VPC ağlarını ve güvenlik duvarı kurallarını tek bir projede dağıtacağız. Mantıksal diyagram, bu adımda kurulacak ağ ortamını gösterir.
VPC'leri ve alt ağları oluşturma
VPC ağı, veri yolu doğrulaması için GCE VM'yi yükleyeceğiniz alt ağları içerir.
gcloud compute networks create vpc1-ncc --subnet-mode custom
gcloud compute networks create vpc2-ncc --subnet-mode custom
gcloud compute networks create vpc3-ncc --subnet-mode custom
gcloud compute networks subnets create vpc1-ncc-subnet1 \
--network vpc1-ncc \
--range 10.1.1.0/24 \
--region us-central1
gcloud compute networks subnets create vpc2-ncc-subnet1 \
--network vpc2-ncc \
--range 10.1.2.0/24 \
--region us-central1
gcloud compute networks subnets create vpc3-ncc-subnet1 \
--network vpc3-ncc \
--range 10.1.3.0/24 \
--region us-central1
VPC güvenlik duvarı kurallarını yapılandırma
Her VPC'de güvenlik duvarı kurallarını izin verecek şekilde yapılandırın.
- SSH
- Dahili UİSA
- 10.0.0.0/8 aralığı
gcloud compute firewall-rules create ncc1-vpc-internal \
--network vpc1-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc2-vpc-internal \
--network vpc2-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc3-vpc-internal \
--network vpc3-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc1-vpc-iap \
--network vpc1-ncc \
--allow all \
--source-ranges 35.235.240.0/20
gcloud compute firewall-rules create ncc2-vpc-iap \
--network vpc2-ncc \
--allow=tcp:22 \
--source-ranges 35.235.240.0/20
gcloud compute firewall-rules create ncc3-vpc-iap \
--network vpc3-ncc \
--allow=tcp:22 \
--source-ranges 35.235.240.0/20
Her VPC'de GCE VM'yi yapılandırma
"vm1-vpc1-ncc"ye paket yüklemek için geçici internet erişimine ihtiyacınız var.
Dört sanal makine oluşturun. Her sanal makine, daha önce oluşturulan VPC'lerden birine atanır.
gcloud compute instances create vm1-vpc1-ncc \
--subnet vpc1-ncc-subnet1 \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc1-vm1</h3>" | tee /var/www/html/index.html'
gcloud compute instances create vm1-vpc2-ncc \
--zone us-central1-a \
--subnet vpc2-ncc-subnet1 \
--no-address \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc2-vm2</h3>" | tee /var/www/html/index.html'
gcloud compute instances create vm1-vpc3-ncc \
--zone us-central1-a \
--subnet vpc3-ncc-subnet1 \
--no-address \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc3-vm3</h3>" | tee /var/www/html/index.html'
3. NCC Karma İnceleme Topolojisi
Bu bölümde, hibrit inceleme topolojisi için Network Connectivity Center Hub'ı dağıtacağız. NCC karma inceleme topolojisi, özellikle NCC ağ geçidini desteklemek için önceden ayarlanmış NCC kol politikalarını uygular. Mantıksal diyagram, bu adımda kurulacak ağ ortamını gösterir.
Karma Spoke Denetimi için NCC Hub
NCC Hub oluştururken dört NCC kolu türü grubu oluşturmak için "-preset-topology=hybrid-inspection" işaretini kullanın. Dört tür NCC sözcüsü vardır:
Gruplar:ağ geçitleri | Ağ geçidi kolları, şirket içi veya diğer bulutlardan Google Cloud'a giren trafik akışları için bölgesel giriş ve çıkış noktaları olarak işlev görür. Palo Alto Networks veya Symantec gibi üçüncü taraf SSE hizmetleri aracılığıyla trafik incelemesini kolaylaştırırlar. Not: Bu topolojide NCC Gateway uçlarını içerebilen tek gruptur. |
Gruplar:hizmetler | Bu grup, paylaşılan kaynaklar için bir "merkez" görevi görür. Bu gruptaki uçlar, diğer tüm uç gruplarına (üretim, üretim dışı ve ağ geçitleri) bağlanabilir. Paylaşılan hizmet VPC'leri (ör. günlük kaydı, kimlik doğrulama, izleme veya ortak araçlar için) |
Gruplar:prod | Kullanım alanı: İş açısından kritik iş yüklerini (VM'ler, GKE kümeleri) içeren üretim uygulama VPC'lerini ayırın. |
Groups:non-prod | Atanan Kaynaklar: Geliştirme, test veya hazırlık ortamları için kullanılan üretim dışı uygulama VPC'leri. |
NCC hub'ı hibrit inceleme önceden ayarlanmış topolojisini kullanacak şekilde yapılandırma
gcloud beta network-connectivity hubs create cl-hi-hub \ --preset-topology=hybrid-inspection
Örnek çıkış
Create request issued for: [cl-hi-hub]
Waiting for operation [projects/"${projectname}"/locations/global/operations/operation-1759424304217-6402fe4a97da0-5de6
e5a1-2ea2de02] to complete...done.
Created hub [cl-hi-hub].
NCC hub'ının önceden ayarlanmış yönlendirme tablosunu doğrulamak için gcloud komutunu kullanın:
gcloud network-connectivity hubs describe cl-hi-hub
Örnek çıkış
createTime: '2026-02-18T16:14:45.828597880Z'
exportPsc: false
name: projects/"${projectname}"/locations/global/hubs/cl-hi-hub
policyMode: PRESET
routeTables:
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/gateways
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/non-prod
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/prod
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/services
spokeSummary:
state: ACTIVE
uniqueId: c0fbb826-173b-42dd-a5d2-00c2aa66fed8
updateTime: '2026-04-21T19:13:50.269721594Z'
Trafik akışı politikalarını uygulamak için NCC hub'ları bir gruba eklenebilir. Bir NCC kolu yalnızca bir grubun parçası olabilir. Bu sürümde, HYBRID-INSPECTION adlı belirli bir hazır topoloji 4 grubu kullanıma sunar: ağ geçitleri, prod, non-prod ve hizmetler.
Tüm NCC Gateway kaynakları (hibrit bağlantıları dahil) ağ geçitleri grubunun bir parçasıdır. Ağ geçitleri grubundaki kolları birbirleriyle iletişim kurabilir ve ağ geçitleri ile diğer kol grupları arasındaki trafik incelemeye tabi tutulabilir (hizmet politikası yapılandırmasına bağlı olarak).
NCC Spoke Group Bağlantı Kuralları
Kaynak grubu | Erişebilir (İzin Verildi) | Erişilemiyor (Kısıtlanmış) |
Hizmetler Grubu | ağ geçitleri, prod, non-prod, hizmetler | Yok |
Ürün Grubu | ağ geçitleri, hizmetler, prod spokes | üretim dışı konuşmacılar |
Üretim dışı grup | ağ geçitleri, hizmetler, üretim dışı kolları | üretim sözcüleri |
Gateways Group | ağ geçitleri, hizmetler, üretim, üretim dışı | Yok |
NCC Hub'daki önceden ayarlanmış grupları listelemek için gcloud komutunu kullanın.
gcloud network-connectivity hubs groups list --hub cl-hi-hub --project "${projectname}"
Örnek çıkış
NAME HUB DESCRIPTION
gateways cl-hi-hub
non-prod cl-hi-hub
prod cl-hi-hub
services cl-hi-hub
Web konsolunda, ağ bağlantısı > Network Connectivity Center'a gidin > NCC hub yapılandırmasını görüntülemek için "cl-hi-hub"ı seçin.
NCC grubu:prod'da spoke olarak Workload VPC2
İş yükü VPC3'ü (iş yükü) kolu olarak yapılandırmak ve kolu group:prod'a atamak için gcloud komutunu kullanın.
gcloud network-connectivity spokes linked-vpc-network create vpc2-sp \
--hub=cl-hi-hub \
--description=codelab-vpc2-ncc-spoke \
--vpc-network=vpc2-ncc \
--global \
--group=prod
Örnek Çıkış
Create request issued for: [vpc2-sp]
Waiting for operation [projects/"${projectname}"/locations/global/operations/operation-1776966793852-650245286757a-766d806c-1bc4fabe] to complete...done.
Created spoke [vpc2-sp].
createTime: '2026-04-23T17:53:14.083783233Z'
description: codelab-vpc2-ncc-spoke
etag: '2'
group: projects/"${projectname}"/locations/global/hubs/cl-hi-hub/groups/prod
hub: projects/"${projectname}"/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/"${projectname}"/global/networks/vpc-ncc2
name: projects/"${projectname}"/locations/global/spokes/vpc2-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: 92972784-e4ed-47e5-be22-08a516a39b0c
updateTime: '2026-04-23T17:53:55.029481722Z'
NCC hub'ının "prod" rota tablosundaki önekleri görüntülemek için gcloud komutunu kullanın.
gcloud network-connectivity hubs route-tables routes list --hub=cl-hi-hub --route_table=prod
Örnek Çıkış
IP_CIDR_RANGE: 10.1.2.0/24
PRIORITY:
LOCATION: us-central1
STATE: ACTIVE
TYPE: VPC_PRIMARY_SUBNET
SITE_TO_SITE: N/A
NEXT_HOP: vpc2-ncc
HUB: cl-hi-hub
ROUTE_TABLE: prod
İş yükü VPC3'ü NCC group:non-prod'da kol olarak yapılandırın
İş yükü VPC3'ü (iş yükü) kolu olarak yapılandırmak ve kolu group:non-prod'a atamak için gcloud komutunu kullanın.
gcloud network-connectivity spokes linked-vpc-network create vpc3-sp \
--hub=cl-hi-hub \
--description=codelab-vpc3-ncc-spoke \
--vpc-network=vpc3-ncc \
--global \
--group=non-prod
Örnek Çıkış
Create request issued for: [vpc3-sp]
Waiting for operation [projects/cloudnet-demo/locations/global/operations/operation-1778757016454-651c5241b83fe-18b62f78-02d70f9a] to complete...done.
Created spoke [vpc3-sp].
createTime: '2026-05-14T11:10:16.758117151Z'
description: codelab-vpc3-ncc-spoke
etag: '2'
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/non-prod
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/cloudnet-demo/global/networks/vpc3-ncc
name: projects/cloudnet-demo/locations/global/spokes/vpc3-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: efe8cfed-d77f-4636-aaae-898e73897b49
updateTime: '2026-05-14T11:10:52.880508489Z'
NCC hub'ının "prod" rota tablosundaki önekleri görüntülemek için gcloud komutunu kullanın.
gcloud network-connectivity hubs route-tables routes list --hub=cl-hi-hub --route_table=prod
Örnek Çıkış
IP_CIDR_RANGE: 10.1.2.0/24
PRIORITY:
LOCATION: us-central1
STATE: ACTIVE
TYPE: VPC_PRIMARY_SUBNET
SITE_TO_SITE: N/A
NEXT_HOP: vpc2-ncc
HUB: cl-hi-hub
ROUTE_TABLE: prod
NCC group:services'te iş yükü VPC1'i uç olarak yapılandırın
gcloud komutunu kullanarak iş yükü VPC1'i (iş yükü) kol olarak yapılandırın ve kolu group:services grubuna atayın.
gcloud network-connectivity spokes linked-vpc-network create vpc1-sp \
--hub=cl-hi-hub \
--description=codelab-vpc1-ncc-spoke \
--vpc-network=vpc1-ncc \
--global \
--group=services
Örnek Çıkış
Create request issued for: [vpc1-sp]
Waiting for operation [projects/cloudnet-demo/locations/global/operations/operation-1778758397065-651c57665f795-1af6d94f-942c9ebd] to complete...done.
Created spoke [vpc1-sp].
createTime: '2026-05-14T11:33:17.359361160Z'
description: codelab-vpc1-ncc-spoke
etag: '2'
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/services
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/cloudnet-demo/global/networks/vpc1-ncc
name: projects/cloudnet-demo/locations/global/spokes/vpc1-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: 82b29a2b-50cb-4557-8b12-3345f5a36ad6
updateTime: '2026-05-14T11:33:55.914406863Z'
us-central1'deki SSE ağ geçitleri için NCC Gateway spoke'u yapılandırma
us-central1'de NCC Gateway spoke oluşturmak için gcloud komutunu kullanın:
gcloud beta network-connectivity spokes gateways create cl-ncc-gw-usc-sp \
--region=us-central1 \
--hub=cl-hi-hub \
--capacity=1g \
--ip-range-reservations=10.100.0.0/23 \
--group=gateways
Örnek Çıkış
Create request issued for: [cl-ncc-gw-usc-sp]
Waiting for operation [projects/cloudnet-demo/locations/us-central1/operations/operation-1778758907555-651c594d36fc5-783a8d5d-8d3e341b] to complete...done.
Created spoke [cl-ncc-gw-usc-sp].
createTime: '2026-05-14T11:41:48.066042872Z'
etag: '2'
gateway:
capacity: CAPACITY_1_GBPS
ipRangeReservations:
- ipRange: 10.100.0.0/23
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/gateways
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
name: projects/cloudnet-demo/locations/us-central1/spokes/cl-ncc-gw-usc-sp
spokeType: GATEWAY
state: ACTIVE
uniqueId: ffe8e2b7-c864-4279-9d21-ca72d87083fe
updateTime: '2026-05-14T11:44:08.787947523Z'
NCC kolları listelemek için gcloud komutunu kullanın:
gcloud network-connectivity spokes list
Örnek Çıkış
NAME: vpc2-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: prod
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc2-ncc-spoke
NAME: vpc3-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: non-prod
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc3-ncc-spoke
NAME: vpc1-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: services
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc1-ncc-spoke
NAME: cl-ncc-gw-usc-sp
LOCATION: us-central1
HUB: cl-hi-hub
GROUP: gateways
TYPE:
RESOURCE COUNT: 1
DATA TRANSFER: Off
DESCRIPTION:
"cl-hi-hub" NCC hub'ında yapılandırılan NCC spoke'larını inceleyin:
NCC Gateway'den NCC Hub'a IP öneklerinin reklamını yapma
NCC ağ geçidini, NCC hub rota tablosuna belirli önekleri duyuracak şekilde yapılandırın.
gcloud beta network-connectivity spokes gateways advertised-routes create example-dot-com \
--ip-range=1.1.1.1/32 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create google-dot-com \
--ip-range=173.194.204.101/32 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create branch \
--ip-range=192.168.1.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create prod \
--ip-range=192.168.11.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create non-prod \
--ip-range=192.168.12.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
Ağ geçidi spoke'undan kaynaklanan duyurulan rotaları listelemek için gcloud komutunu kullanın.
gcloud beta network-connectivity spokes gateways advertised-routes list --region=us-central1
Örnek çıkış
NCC Gateway spoke'un bildirilen rotalarını inceleyin
Web konsolunda Network Connectivity > Network Connectivity Center'a gidin. Spokes (Hub'lar) sekmesini seçin: "cl-ncc-gw-usc-sp"ı tıklayın.
4. Cloud Interconnect Karma Bağlantıları
Bu makalenin yazıldığı sırada NCC Gateway yalnızca Google Cloud Interconnect'leri desteklemektedir. NCC Gateway, VLAN eki ve BGP eşleme oturumlarını sonlandırmak için Google kiracı projesinde global bir VPC ve Cloud Router'lar kullanır.
Şemada, bir NCC ağ geçidine mantıksal olarak bağlı bir çift Cloud Interconnect ve VLAN eki gösterilse de VLAN eklerini sonlandıran temel bileşenler, Google tarafından yönetilen bir kiracı global VPC'deki Cloud Router'dır. Bu bölümde, şirket içi bağlantı için BGP oturumlarını yönetmek üzere NCC ağ geçidiyle ilişkili bir Cloud Router yapılandıracaksınız.
us-central1 bölgesinde NCC Ağ Geçidi'ne özel Cloud Router
Özellikle NCC Gateway için bir Cloud Router yapılandırmak üzere gcloud komutunu kullanın.
gcloud beta compute routers create ncc-gw-usc1-cr \
--ncc-gateway=https://networkconnectivity.googleapis.com/v1/projects/"${projectid}"/locations/us-central1/spokes/cl-ncc-gw-usc-sp \
--asn=64666 \
--advertisement-mode=CUSTOM \
--set-advertisement-ranges=10.100.2.0/23 \
--region=us-central1
Örnek çıkış
Creating router [ncc-gw-usc1-cr]...done.
NAME REGION NCC_GATEWAY
ncc-gw-usc1-cr us-central1 cl-ncc-gw-usc-sp
- NCC_GW_NAME: NCC Gateway kolunun tam URI'si. URI'nin biçimi şu kalıba uyar: https://networkconnectivity.googleapis.com/v1/projects/"${projectid}"/locations/REGION/spokes/GATEWAY_SPOKE_NAME
- ADVERTISED_IP_RANGES: Google Cloud'a trafik çekmek için şirket içi ağlarda reklamı yapılacak IP aralıkları.
Yeni oluşturulan yönlendiriciyi listelemek için bu gcloud komutunu kullanın
gcloud compute routers list --filter="region:(us-central1)"
Cloud Router'ın bir VPC ile ilişkilendirilmediğini unutmayın.
NAME REGION NETWORK
ncc-gw-usc1-cr us-central1 N/A
Cloud Router'da arayüz olarak kullanılacak mevcut bir özel Cloud Interconnect'ten VLAN ekleri oluşturun. Aşağıdaki örnek yapılandırmada, aday alt ağ aralığı olarak bağlantı yerel IP adresi kullanılmaktadır. BGP eşlemesini yapılandırmak için bu aralıktaki belirli bir ana makine adresi kullanılır.
gcloud compute interconnects attachments dedicated create vl2029-ead1 \
--region=us-central1 \
--interconnect=projects/some-interconnect-project/global/interconnects/interconnect-lab-sea26-zone1 \
--router=ncc-gw-usc1-cr \
--vlan=2024 \
--bandwidth=500m \
--mtu=1440 \
--candidate-subnets=169.254.222.216/29
Created [https://www.googleapis.com/compute/v1/projects/"${projectname}"/regions/us-central1/interconnectAttachments/vl2029-ead1].
gcloud compute interconnects attachments dedicated create vl3029-ead2 \
--region=us-central1 \
--interconnect=projects/some-interconnect-project/global/interconnects/interconnect-lab-sea26-zone2 \
--router=ncc-gw-usc1-cr \
--vlan=3026 \
--bandwidth=500m \
--mtu=1440 \
--candidate-subnets=169.254.220.184/29
Created [https://www.googleapis.com/compute/v1/projects/"${projectname}"/regions/us-central1/interconnectAttachments/vl3029-ead2].
us-central1'deki NCC Gateway Cloud Router'ı arayüzle yapılandırma
us-central'da oluşturulan VLAN ekini NCC Gateway Cloud Router ile ilişkilendirmek için gcloud komutunu kullanın.
gcloud compute routers add-interface ncc-gw-usc1-cr \
--region=us-central1 \
--interface-name=if-vl2029-ead1 \
--interconnect-attachment=vl2029-ead1
Çıkış:
Updated [https://www.googleapis.com/compute/v1/projects/cloudnet-demo/regions/us-central1/routers/ncc-gw-usc1-cr].
Yukarıda oluşturulan VLAN eki için BGP eşini yapılandırın.
Cloud Router arayüzünde BGP eşlemesini etkinleştirmek için aşağıdaki gcloud komutunu kullanın.
gcloud compute routers add-bgp-peer ncc-gw-usc1-cr \
--region=us-central1 \
--peer-name=bgp-vl2029-ead1 \
--interface=if-vl2029-ead1 \
--peer-asn=65112 \
--advertisement-mode=DEFAULT
Çıkış:
Creating peer [bgp-vl2029-ead1] in router [ncc-gw-usc1-cr]...done.
us-central1'deki NCC Gateway Cloud Router'ı ikinci bir VLAN eki arayüzüyle yapılandırın.
İkinci VLAN ekini NCC Gateway'in Cloud Router'ına arayüz olarak eklemek için gcloud komutunu kullanın.
gcloud compute routers add-interface ncc-gw-usc1-cr \
--region=us-central1 \
--interface-name=if-vl3029-ead2 \
--interconnect-attachment=vl3029-ead2
Çıkış:
Updated [https://www.googleapis.com/compute/v1/projects/cloudnet-demo/regions/us-central1/routers/ncc-gw-usc1-cr]
Cloud Router arayüzünde BGP eşlemesini etkinleştirmek için aşağıdaki gcloud komutunu kullanın.
gcloud compute routers add-bgp-peer ncc-gw-usc1-cr \
--region=us-central1 \
--peer-name=bgp-vl3029-ead2 \
--interface=if-vl3029-ead2 \
--peer-asn=65112 \
--advertisement-mode=DEFAULT
Şirket içi BGP konuşucusuyla BGP eşleme durumunu doğrulama
Şirket içi yönlendirici ile BGP eş durumunu doğrulamak ve NCC Gateway Cloud Router'ın şirket içi ağa hangi rotaları gönderdiğini görmek için gcloud komutunu kullanın.
gcloud compute routers get-status ncc-gw-usc1-cr \
--region=us-central1
**
--format="yaml(result.bgpPeerStatus)"
Çıkış:
BGP durumunun "Established" (Kurulu) olduğundan emin olun.
result:
bgpPeerStatus:
- advertisedRoutes:
- destRange: 10.100.2.0/23
kind: compute#route
nextHopIp: 169.254.111.217
nextHopOrigin: INCOMPLETE
priority: 100
routeType: BGP
enableIpv4: true
enableIpv6: false
ipAddress: 169.254.111.217
md5AuthEnabled: false
name: bgp-vl2029-ead1
numLearnedRoutes: 2
peerIpAddress: 169.254.111.218
state: Established
status: UP
uptime: 6 minutes, 27 seconds
uptimeSeconds: '387'
- advertisedRoutes:
- destRange: 10.100.2.0/23
kind: compute#route
nextHopIp: 169.254.112.217
nextHopOrigin: INCOMPLETE
priority: 100
routeType: BGP
enableIpv4: true
enableIpv6: false
ipAddress: 169.254.112.217
md5AuthEnabled: false
name: bgp-vl3029-ead2
numLearnedRoutes: 1
peerIpAddress: 169.254.112.218
state: Established
status: UP
uptime: 1 minutes, 35 seconds
uptimeSeconds: '95'
NCC Gateway Cloud Router'ın şirket içi ağdan hangi rotaları aldığını görmek için gcloud komutunu kullanın:
gcloud compute routers get-status ncc-gw-usc1-cr \
--region=us-central1 \
--format="yaml(result.bestRoutes)"
Çıkış:
result:
bestRoutes:
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T10:02:44.265-07:00'
destRange: 172.16.0.0/16
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.111.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T09:54:04.340-07:00'
destRange: 3.3.3.0/24
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.111.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T09:58:56.189-07:00'
destRange: 4.4.4.0/24
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.112.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
Alt ağ rotaları otomatik olarak bildirildiğinden, GCP özel öneklerinin şirket içi ağda reklamını yapın**. Özel önekleriniz için "özet" rotası reklamı yayınlayabilirsiniz.**
cloud compute routers update ncc-gw-usc1-cr \
--project=cloudnet-demo \
--region=us-central1 \
--advertisement-mode custom \
--set-advertisement-groups=all_subnets \
--set-advertisement-ranges="10.1.0.0/16"
Çıkış:
Updating router [ncc-gw-usc1-cr]...done.
5. Üçüncü taraf SSE'yi NCC ağ geçidiyle entegre etme
Secure Access Connect, gelen ve giden trafiği güvenli hale getirmek için üçüncü taraf Security Service Edge (SSE) ürünlerini NCC Gateway'e bağlamanıza olanak tanıyan bir özelliktir. Birincil işlevi, GCP ile üçüncü taraf bir SSE sağlayıcısı arasında bağlantı oluşturmaktır.
Bu bölümde, NCC Gateway'de SSE proxy hizmetini etkinleştirmek ve yapılandırmak için Strata Cloud Manager'da oturum açacaksınız.
Hizmet iki temel kaynaktan oluşur:
- Secure Access Connect alanı: Google Cloud projenizi SSE hizmetine bağlayan küresel bir kaynaktır. Bir grup VPC veya kullanıcı için ortak bir güvenlik politikası alanı oluşturur ve hangi ağ geçitelerinin aynı güvenlik politikaları grubu tarafından yönetilmesi gerektiğini SSE sağlayıcısına gösterir.
- Secure Access Connect eki: NCC ağ geçidinin SSE hizmetiyle trafiği işlemesini fiziksel olarak sağlayan bölgesel bir mantıksal kaynaktır. İş ortağının SSE yığınıyla güven ve bağlantı oluşturmak için gerekli meta verileri içerir.
Secure Access Connect erişim alanı oluşturma
gcloud beta network-security secure-access-connect realms create codelab-sac-realm \
--security-service=prisma-access
Eşleme anahtarını belirleme
Güvenli erişim bağlantısı alanını Prisma Access ile ilişkilendirmek için eşleme anahtarına ihtiyacınız vardır. Bu alfanümerik dize, Strata Cloud Manager web portalı üzerinden SSE ağ geçidini yapılandırmak ve sağlamak için kullanılır.
gcloud beta network-security secure-access-connect realms describe codelab-sac-realm
createTime: '2026-04-21T13:48:53.760262401Z'
name: projects/"${projectname}"/locations/global/sacRealms/codelab-cden
pairingKey:
expireTime: '2026-04-28T13:48:51.107221733Z'
key: 2a52a7e2-7c95-4dc7-9155-c3234976fad4
securityService: PALO_ALTO_PRISMA_ACCESS
state: PENDING_PARTNER_ATTACHMENT
updateTime: '2026-04-21T13:48:55.874553834Z'
Prisma Access'te Managed Cloud WAN ile iş ortağı erişim alanı oluşturma
- Strata Cloud Manager'a giriş yapın ve atanan SSE ağ geçidi kiracısını kullandığınızdan emin olun.
- SAC erişim alanını iş ortağı kiracısına bağlamak için
Sistem Ayarları -> Entegrasyonlar -> Yönetilen Cloud WAN'lar ve
"Bağlan"ı tıklayın.
- "Google NCC Ağ Geçidi Hesabı Bağla" iletişim kutusuna SAC alanının eşleme anahtarını girin. Erişim alanı oluşturmaya başlamak için "Onayla"yı tıklayın.
NCC Ağ Geçidi durumunun "Bağlı" olarak güncellenmesi birkaç dakika sürer.
GCP Cloud Shell'de, gcloud komutunu kullanarak SAC alanı ile ilişkili eşleme anahtarını bulun.
gcloud beta network-security secure-access-connect realms describe codelab-sac-realm
Eşleştirme anahtarını GCP Console'da da görüntüleyebilirsiniz.
NCC Gateway SSE kümesini yönetilen Cloud WAN bağlantısı olarak eklemek için
Yapılandırma > NGFW ve Prisma Access > "Yapılandırma Kapsamı"'nı tıklayın ve "Prisma Access" bölümünde "Uzak Ağ"'ı seçin.
Genel Bakış sayfasında "kurulum"u tıklayın ve "Yönetilen Cloud WAN Bağlantıları"nı seçin.
"Yönetilen Cloud WAN Sitesi Ekle" seçeneğini tıklayın.
NCC ağ geçidinde SSE örneğini etkinleştirme
GCP Console'a geçin ve Secure Access Connect eki oluşturmak için gcloud komutunu kullanın.
gcloud alpha network-security secure-access-connect attachments create codelab-sac-attachment-usc1 \
--location=us-central1 \
--realm=codelab-sac-realm \
--gateway=cl-ncc-gw-usc-sp
İş Ortağı Ağ Geçidi'ni oluşturma
Yönetilen bulut WAN bağlantısının parametrelerini girin.
- Site Adı: Bağlantı için benzersiz bir ad girin.
- **Hizmet Türü:**Hizmet türü olarak Google NCC Gateway'i seçin.
- Bağlantı adı: N CC Gateway SAC eki etkinleştirme ve oluşturma sırasında oluşturduğunuz GCP hizmet konumunu seçin.
- Prisma Access Compute Location (Prisma Access Hesaplama Konumu): NCC Gateway'i Prisma Access ile entegre etmek istediğiniz hesaplama konumunu seçin.
- Bant genişliği (Mb/sn): Ayrılacak bant genişliğini Mb/sn cinsinden seçin. Ayırabileceğiniz maksimum hız 10.000 Mb/sn'dir (10 Gb/sn).
En fazla 10.000 Mb/sn (10 Gb/sn) ayırabilirsiniz.
İşlemi tamamladığınızda "Kaydet"i tıklayın.
NCC Gateway'in SSE örneği yapılandırmasını senkronize etme
NCC Gateway spoke'unda iş ortağı SSE örneğini oluşturmak için "Push Config"'i (Yapılandırmayı İt) seçin.
"Push Config"i tıklayıp "Jobs"u seçerek ilerleme durumunu izleyin. Belirli işiniz için tüm "Sonuç"ların tamamlanmasını bekleyin.
İşlem tamamlandığında "Bitti"'yi tıklayın.
Configuration (Yapılandırma) > NGFW and Prisma Access (NGFW ve Prisma Access) > Configuration Scope (Yapılandırma Kapsamı) > Prisma Access > Remote Networks (Uzak Ağlar) > Setup (Kurulum) > Managed Cloud WAN Connections (Yönetilen Bulut WAN Bağlantıları) bölümüne giderek iş ortağı SSE ağ geçidinin durumunu kontrol edin.
Prisma Access, Managed Cloud WAN Connection'ın BGP yapılandırmasını otomatik olarak sağlar.
6. NCC Gateway üzerinden veri yolunu doğrulama
GCP Cloud Shell Console'unuza geçin.
Ağ geçidi spoke'undan kaynaklanan, reklamı yapılan rotaları görüntülemek için gcloud komutunu kullanın:
gcloud beta network-connectivity spokes gateways advertised-routes list --region=us-central1
"vm1-vpc1-ncc**"** ile SSH bağlantısı kurun ve **"vm2-vpc2-ncc"** adresinden gelen ICMP paketlerini izlemek için TCP dökümünü başlatın. Bu sanal makinenin VPC2'de bulunduğunu hatırlatırız.
vm1-vpc1-ncc
sudo tcpdump -i any icmp -v -e -n
"vm1-vpc2-ncc**"** için bir SSH oturumu oluşturun ve "vm1-vpc1-ncc"nin IP adresini "ping"leyin.
vm1-vpc2-ncc
ping 10.1.1.2
Çıkış:
vm1-vpc1-ncc üzerinde aşağıdaki izi görmeniz gerekir.
Şirket içi erişilebilirliği test etmek için VM-1'de şirket içi HTTP sunucusuna yönelik bir curl komutu çalıştırın.
vm1-vpc1-ncc
curl 172.16.101.11 -vv
Çıkış:
"vm1-vpc2-ncc**"** ile SSH oturumu oluşturun ve "1.1.1.1" IP adresini "ping"leyin.
vm1-vpc2-ncc
ping 1.1.1.1
Çıkış:
Prisma'da(Strata Cloud Manager) izin verilmesi gerektiğinden ping'ler çalışmıyor. Haydi bu özelliği etkinleştirelim.
Strata Cloud Manager —-> Configuration —-> NGFW and Prisma Access'e (Strata Cloud Manager —-> Yapılandırma —-> NGFW ve Prisma Access) gidin. Aşağıdakileri görürsünüz:::
Sol üstte, Global açılır menüsüne basın ve "Uzak Ağlar"ı seçin, ardından "Güvenlik Hizmetleri" sekmesini tıklayın ve "Güvenlik Politikası"nı seçin. Aşağıdaki bilgilere göz atın:::
Sağ üstte Kural ekle'yi tıklayın ve vm1-vpc2-ncc ile 1.1.1.1 arasında ICMP trafiğine izin vermek için bir "allow icmp" kuralı oluşturun. İşlem tamamlandıktan sonra sağ üstte "Push Config"i (Yapılandırmayı Gönder) tıklayın.
Yapılandırmanın başarıyla gönderildiğinden emin olmak için İşler'i kontrol edin. Push Config —-> Jobs'u (Yapılandırmayı İtme —-> İşler) tıklayın.
İşlem başarılı olduktan sonra vm1-vpc2-ncc'den tekrar ping testi yapın.
BAŞARILI!!! Bu codelab'i başarıyla tamamladınız.
7. Laboratuvar temizliği
VLAN eklerini silin
gcloud compute interconnects attachments delete vl2024-ead1 \
--region=us-central1 \
--quiet
gcloud compute interconnects attachments delete vl3026-ead2 \
--region=us-central1 \
--quiet
NCC Gateway Cloud Router BGP eşini ve BGP arayüzünü silme
gcloud compute routers remove-bgp-peer ncc-gw-usc1-cr \
--peer-name=bgp-vl2024-ead1 \
--region=us-central1
gcloud compute routers remove-interface ncc-gw-usc1-cr \
--interface-name=if-vl3026-ead2 \
--region=us-central1
ncc-gw-usc1-cr ve ncc-gw-usc1-cr'yi silin
gcloud compute routers delete ncc-gw-usc1-cr \
--region=us-central1 \
--quiet
Ağ geçidi tarafından bildirilen rotaları silme
gcloud beta network-connectivity spokes gateways advertised-routes delete ncc-gw-usc1-cr \
--region=us-central1 \
--spoke=cl-ncc-gw-usw-sp \
NCC VPC uçlarını silme
gcloud network-connectivity spokes delete vpc1-sp --global --quiet
gcloud network-connectivity spokes delete vpc2-sp --global --quiet
gcloud network-connectivity spokes delete vpc3-sp --global --quiet
ncc-gateway spoke'u silme
gcloud network-connectivity spokes delete cl-ncc-gw-usc-sp --region=us-central1 \
--quiet
Güvenli erişim alanını silme
gcloud beta network-security secure-access-connect realms delete codelab-sac-realm --quie
t
NCC Hub'ı silme
gcloud network-connectivity hubs delete ncc-hub --quiet
Güvenlik Duvarı Kurallarını Silme
gcloud compute firewall-rules delete ncc1-vpc-internal --quiet
gcloud compute firewall-rules delete ncc2-vpc-internal --quiet
gcloud compute firewall-rules delete ncc3-vpc-internal --quiet
gcloud compute firewall-rules delete ncc1-vpc-iap --quiet
gcloud compute firewall-rules delete ncc2-vpc-iap --quiet
gcloud compute firewall-rules delete ncc3-vpc-iap --quiet
GCE örneklerini silme
gcloud compute instances delete vm1-vpc1-ncc --zone=us-central1-a --quiet
gcloud compute instances delete vm2-vpc2-ncc --zone=us-central1-a --quiet
gcloud compute instances delete vm1-vpc3-ncc --zone=us-east1-b --quiet
VPC alt ağlarını silme
gcloud compute networks subnets delete vpc1-ncc-subnet1 --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet2 --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet3 --region us-central1 --quiet
VPC'leri silme
gcloud compute networks delete vpc1-ncc vpc2-ncc vpc3-ncc vpc4-ncc, vpc5-ncc --quiet
8. Tebrikler!
Network Connectivity Center Laboratuvarı'nı tamamladınız.
İşlediğiniz konular
- NCC Hybrid Inspection Topology'yi yapılandırma
- NCC Gateway Spoke
- Google Cloud'da Palo Alto Network SSE ağ geçidi
- PANW: Strata Cloud Manager
Sonraki Adımlar