1. Giới thiệu
Tổng quan
Trong phòng thí nghiệm này, người dùng sẽ khám phá cách Network Connectivity Center (NCC) sử dụng NCC Gateway để thiết lập kết nối an toàn. Người dùng sẽ triển khai Secure Access Connect để tích hợp các sản phẩm Security Service Edge (SSE) của bên thứ ba, cho phép kiểm tra và bảo vệ lưu lượng truy cập một cách mạnh mẽ. Cấu hình này đơn giản hoá việc quản lý mạng bằng cách cung cấp một mô hình tập trung dựa trên cổng để bảo mật lưu lượng truy cập ra vào môi trường Google Cloud.
Sản phẩm bạn sẽ tạo ra
Trong lớp học lập trình này, bạn sẽ tạo một cấu trúc liên kết trung tâm và mạng con logic bằng trung tâm NCC. Cấu trúc này sẽ triển khai một cấu trúc kết nối VPC hoàn toàn liên kết trên 3 VPC riêng biệt.
Kiến thức bạn sẽ học được
- Cấu trúc liên kết kiểm tra kết hợp
- NCC Gateway
- Secure Access Connect
- SSE của Palo Alto Network
Bạn cần có
- Kiến thức về mạng VPC của GCP
- Kiến thức về Cloud Router và định tuyến BGP
- Lớp học lập trình này yêu cầu 5 VPC. Một trong các VPC đó phải nằm trong một dự án riêng biệt với trung tâm NCC
- Kiểm tra Hạn mức:Mạng truyền hình và yêu cầu bổ sung Mạng truyền hình nếu cần, ảnh chụp màn hình bên dưới:
Mục tiêu
- Thiết lập môi trường GCP
- Định cấu hình Network Connectivity Center cho tính năng Kiểm tra kết hợp
- Cung cấp Palo Alto Network Stratacloud Manager cho SSE
- Xác thực đường dẫn dữ liệu
- Khám phá các tính năng về khả năng sử dụng dịch vụ NCC
- Dọn dẹp các tài nguyên đã dùng
Trước khi bắt đầu
Bảng điều khiển Google Cloud và Cloud Shell
Để tương tác với GCP, chúng ta sẽ sử dụng cả Bảng điều khiển Google Cloud và Cloud Shell trong suốt bài tập thực hành này.
Dự án NCC Hub trên Google Cloud Console
Bạn có thể truy cập vào Cloud Console tại https://console.cloud.google.com.
Thiết lập các mục sau trong Google Cloud để dễ dàng định cấu hình Network Connectivity Center:
Trong Google Cloud Console, trên trang chọn dự án, hãy chọn hoặc tạo một dự án Google Cloud.
Lưu ý: Nếu bạn không có ý định giữ lại các tài nguyên mà bạn tạo trong quy trình này, hãy tạo một dự án thay vì chọn một dự án hiện có. Sau khi hoàn tất các bước này, bạn có thể xoá dự án và loại bỏ mọi tài nguyên liên quan đến dự án
Khởi chạy Cloud Shell. Lớp học lập trình này sử dụng $variables để hỗ trợ việc triển khai cấu hình gcloud trong Cloud Shell.
gcloud auth list
gcloud config list project
gcloud config set project [HUB-PROJECT-ID]
projectname=[HUB-PROJECT-ID]
echo $projectname
gcloud config set compute/zone us-central1-a
gcloud config set compute/region us-central1
Vai trò IAM
NCC yêu cầu các vai trò IAM truy cập vào các API cụ thể. Hãy nhớ định cấu hình người dùng của bạn bằng các vai trò NCC IAM theo yêu cầu.
Vai trò/Nội dung mô tả | Quyền |
| networkconnectivity.hubs.networkconnectivity.spokes.networkconnectivity.gatewaynetworkconnectivity.locations. |
| networkconnectivity.gatewayAdvertisedRoutes.networkconnectivity.groups. networkconnectivity.hubRouteTables.networkconnectivity.hubRoutes.networkconnectivity.hubs. networkconnectivity.locations. networkconnectivity.operations.* networkconnectivity.spokes.*resourcemanager.projects.getresourcemanager.projects.list |
| networkconnectivity.gatewayAdvertisedRoutes.getnetworkconnectivity.gatewayAdvertisedRoutes.listnetworkconnectivity.groups.getnetworkconnectivity.groups.getIamPolicynetworkconnectivity.groups.listnetworkconnectivity.hubRouteTables.getnetworkconnectivity.hubRouteTables.getIamPolicynetworkconnectivity.hubRouteTables.listnetworkconnectivity.hubRoutes.getnetworkconnectivity.hubRoutes.getIamPolicynetworkconnectivity.hubRoutes.listnetworkconnectivity.hubs.getnetworkconnectivity.hubs.getIamPolicynetworkconnectivity.hubs.listnetworkconnectivity.hubs.listSpokesnetworkconnectivity.hubs.queryStatus networkconnectivity.locations.*networkconnectivity.spokes.getnetworkconnectivity.spokes.getIamPolicynetworkconnectivity.spokes.listresourcemanager.projects.getresourcemanager.projects.list |
2. Thiết lập môi trường mạng
Trong phần này, chúng ta sẽ triển khai mạng VPC và các quy tắc tường lửa trong một dự án duy nhất. Sơ đồ logic minh hoạ môi trường mạng sẽ được thiết lập trong bước này.
Tạo VPC và Mạng con
Mạng VPC chứa các mạng con mà bạn sẽ cài đặt GCE VM để xác thực đường dẫn dữ liệu
gcloud compute networks create vpc1-ncc --subnet-mode custom
gcloud compute networks create vpc2-ncc --subnet-mode custom
gcloud compute networks create vpc3-ncc --subnet-mode custom
gcloud compute networks subnets create vpc1-ncc-subnet1 \
--network vpc1-ncc \
--range 10.1.1.0/24 \
--region us-central1
gcloud compute networks subnets create vpc2-ncc-subnet1 \
--network vpc2-ncc \
--range 10.1.2.0/24 \
--region us-central1
gcloud compute networks subnets create vpc3-ncc-subnet1 \
--network vpc3-ncc \
--range 10.1.3.0/24 \
--region us-central1
Định cấu hình các quy tắc tường lửa VPC
Định cấu hình các quy tắc về tường lửa trên mỗi VPC để cho phép
- SSH
- Giao dịch mua hàng trong ứng dụng (IAP) nội bộ
- Dải 10.0.0.0/8
gcloud compute firewall-rules create ncc1-vpc-internal \
--network vpc1-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc2-vpc-internal \
--network vpc2-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc3-vpc-internal \
--network vpc3-ncc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create ncc1-vpc-iap \
--network vpc1-ncc \
--allow all \
--source-ranges 35.235.240.0/20
gcloud compute firewall-rules create ncc2-vpc-iap \
--network vpc2-ncc \
--allow=tcp:22 \
--source-ranges 35.235.240.0/20
gcloud compute firewall-rules create ncc3-vpc-iap \
--network vpc3-ncc \
--allow=tcp:22 \
--source-ranges 35.235.240.0/20
Định cấu hình máy ảo GCE trong mỗi VPC
Bạn sẽ cần có quyền truy cập Internet tạm thời để cài đặt các gói trên "vm1-vpc1-ncc".
Tạo 4 máy ảo, mỗi máy ảo sẽ được chỉ định cho một trong các VPC đã tạo trước đó.
gcloud compute instances create vm1-vpc1-ncc \
--subnet vpc1-ncc-subnet1 \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc1-vm1</h3>" | tee /var/www/html/index.html'
gcloud compute instances create vm1-vpc2-ncc \
--zone us-central1-a \
--subnet vpc2-ncc-subnet1 \
--no-address \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc2-vm2</h3>" | tee /var/www/html/index.html'
gcloud compute instances create vm1-vpc3-ncc \
--zone us-central1-a \
--subnet vpc3-ncc-subnet1 \
--no-address \
--metadata=startup-script='#!/bin/bash
apt-get update
apt-get install apache2 -y
apt-get install tcpdump -y
service apache2 restart
echo "
<h3>Web Server: vpc3-vm3</h3>" | tee /var/www/html/index.html'
3. Cấu trúc kiểm tra kết hợp của NCC
Trong phần này, chúng ta sẽ triển khai Trung tâm Network Connectivity Center cho Cấu trúc liên kết kiểm tra kết hợp. Cấu trúc liên kết kiểm tra kết hợp NCC triển khai các chính sách trung tâm NCC đặt sẵn để hỗ trợ riêng cho Cổng NCC. Sơ đồ logic minh hoạ môi trường mạng sẽ được thiết lập trong bước này.
Trung tâm NCC để kiểm tra các trung tâm kết hợp
Khi tạo một NCC Hub, hãy dùng cờ "-preset-topology=hybrid-inspection" để tạo 4 nhóm loại NCC spoke. Có 4 loại trung tâm NCC:
Nhóm:gateways | Các cổng trung tâm đóng vai trò là điểm vào và ra theo khu vực cho các luồng lưu lượng truy cập vào Google Cloud từ cơ sở tại chỗ hoặc các đám mây khác. Các dịch vụ này hỗ trợ việc kiểm tra lưu lượng truy cập thông qua các dịch vụ SSE của bên thứ ba, chẳng hạn như Palo Alto Networks hoặc Symantec. Lưu ý: Đây là nhóm duy nhất có thể chứa các thành phần NCC Gateway trong cấu trúc liên kết này |
Groups:services | Nhóm này đóng vai trò là "trung tâm" cho các tài nguyên dùng chung; các nhóm nhánh trong nhóm này có khả năng kết nối với tất cả các nhóm nhánh khác (nhóm sản xuất, nhóm không sản xuất và nhóm cổng). VPC dịch vụ dùng chung (ví dụ: để ghi nhật ký, xác thực, giám sát hoặc các công cụ phổ biến) |
Groups:prod | Trường hợp sử dụng: Phân bổ các VPC ứng dụng sản xuất chứa khối lượng công việc quan trọng (máy ảo, cụm GKE). |
Nhóm:non-prod | Tài nguyên được chỉ định: VPC ứng dụng không phải là ứng dụng phát hành công khai được dùng cho môi trường phát triển, kiểm thử hoặc dàn dựng. |
Định cấu hình trung tâm NCC để sử dụng cấu trúc liên kết đặt sẵn cho hoạt động kiểm tra kết hợp
gcloud beta network-connectivity hubs create cl-hi-hub \ --preset-topology=hybrid-inspection
Ví dụ về đầu ra
Create request issued for: [cl-hi-hub]
Waiting for operation [projects/"${projectname}"/locations/global/operations/operation-1759424304217-6402fe4a97da0-5de6
e5a1-2ea2de02] to complete...done.
Created hub [cl-hi-hub].
Sử dụng lệnh gcloud để xác minh bảng định tuyến đặt sẵn của trung tâm NCC:
gcloud network-connectivity hubs describe cl-hi-hub
Ví dụ về đầu ra
createTime: '2026-02-18T16:14:45.828597880Z'
exportPsc: false
name: projects/"${projectname}"/locations/global/hubs/cl-hi-hub
policyMode: PRESET
routeTables:
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/gateways
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/non-prod
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/prod
- projects/"${projectname}"/locations/global/hubs/cl-hi-hub/routeTables/services
spokeSummary:
state: ACTIVE
uniqueId: c0fbb826-173b-42dd-a5d2-00c2aa66fed8
updateTime: '2026-04-21T19:13:50.269721594Z'
Bạn có thể thêm các spoke NCC vào một nhóm để áp dụng các chính sách về luồng lưu lượng truy cập. Một(hoặc nhiều) trung tâm NCC chỉ có thể thuộc về một nhóm. Đối với bản phát hành này, một cấu trúc liên kết đặt sẵn cụ thể có tên là HYBRID-INSPECTION (KIỂM TRA KẾT HỢP) sẽ giới thiệu 4 nhóm: cổng, prod, non-prod và dịch vụ.
Tất cả các tài nguyên NCC Gateway (bao gồm cả các kết nối kết hợp) đều thuộc nhóm cổng. Các spoke trong nhóm cổng sẽ có thể giao tiếp với nhau và lưu lượng truy cập giữa các cổng và các nhóm spoke khác sẽ đủ điều kiện để kiểm tra (tuỳ thuộc vào cấu hình chính sách dịch vụ).
Quy tắc kết nối nhóm trung tâm NCC
Nhóm nguồn | Có thể truy cập (Được phép) | Không truy cập được (Bị hạn chế) |
Nhóm dịch vụ | gateway, prod, non-prod, services | Không có |
Prod Group | cổng, dịch vụ, prod spokes | non-prod spokes |
Nhóm không phải sản phẩm | cổng, dịch vụ, các nhánh không phải là sản phẩm | prod spokes |
Gateways Group | gateway, services, prod, non-prod | Không có |
Sử dụng lệnh gcloud để liệt kê các nhóm được đặt sẵn trên NCC Hub
gcloud network-connectivity hubs groups list --hub cl-hi-hub --project "${projectname}"
Ví dụ về đầu ra
NAME HUB DESCRIPTION
gateways cl-hi-hub
non-prod cl-hi-hub
prod cl-hi-hub
services cl-hi-hub
Trên bảng điều khiển web, hãy chuyển đến phần kết nối mạng > Network Connectivity Center > chọn "cl-hi-hub" để xem cấu hình trung tâm NCC
Workload VPC2 là một mạng con trong nhóm NCC:prod
Sử dụng lệnh gcloud để định cấu hình VPC3 cho khối lượng công việc làm một mạng nhánh (khối lượng công việc) và chỉ định mạng nhánh cho nhóm:prod
gcloud network-connectivity spokes linked-vpc-network create vpc2-sp \
--hub=cl-hi-hub \
--description=codelab-vpc2-ncc-spoke \
--vpc-network=vpc2-ncc \
--global \
--group=prod
Ví dụ về kết quả đầu ra
Create request issued for: [vpc2-sp]
Waiting for operation [projects/"${projectname}"/locations/global/operations/operation-1776966793852-650245286757a-766d806c-1bc4fabe] to complete...done.
Created spoke [vpc2-sp].
createTime: '2026-04-23T17:53:14.083783233Z'
description: codelab-vpc2-ncc-spoke
etag: '2'
group: projects/"${projectname}"/locations/global/hubs/cl-hi-hub/groups/prod
hub: projects/"${projectname}"/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/"${projectname}"/global/networks/vpc-ncc2
name: projects/"${projectname}"/locations/global/spokes/vpc2-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: 92972784-e4ed-47e5-be22-08a516a39b0c
updateTime: '2026-04-23T17:53:55.029481722Z'
Sử dụng lệnh gcloud để xem các tiền tố trong bảng định tuyến "prod" của trung tâm NCC.
gcloud network-connectivity hubs route-tables routes list --hub=cl-hi-hub --route_table=prod
Ví dụ về kết quả đầu ra
IP_CIDR_RANGE: 10.1.2.0/24
PRIORITY:
LOCATION: us-central1
STATE: ACTIVE
TYPE: VPC_PRIMARY_SUBNET
SITE_TO_SITE: N/A
NEXT_HOP: vpc2-ncc
HUB: cl-hi-hub
ROUTE_TABLE: prod
Định cấu hình VPC3 cho khối lượng công việc làm mạng con trong nhóm NCC:non-prod
Sử dụng lệnh gcloud để định cấu hình VPC3 cho khối lượng công việc dưới dạng một mạng nhánh (khối lượng công việc) và chỉ định mạng nhánh cho nhóm:non-prod
gcloud network-connectivity spokes linked-vpc-network create vpc3-sp \
--hub=cl-hi-hub \
--description=codelab-vpc3-ncc-spoke \
--vpc-network=vpc3-ncc \
--global \
--group=non-prod
Ví dụ về kết quả đầu ra
Create request issued for: [vpc3-sp]
Waiting for operation [projects/cloudnet-demo/locations/global/operations/operation-1778757016454-651c5241b83fe-18b62f78-02d70f9a] to complete...done.
Created spoke [vpc3-sp].
createTime: '2026-05-14T11:10:16.758117151Z'
description: codelab-vpc3-ncc-spoke
etag: '2'
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/non-prod
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/cloudnet-demo/global/networks/vpc3-ncc
name: projects/cloudnet-demo/locations/global/spokes/vpc3-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: efe8cfed-d77f-4636-aaae-898e73897b49
updateTime: '2026-05-14T11:10:52.880508489Z'
Sử dụng lệnh gcloud để xem các tiền tố trong bảng định tuyến "prod" của trung tâm NCC.
gcloud network-connectivity hubs route-tables routes list --hub=cl-hi-hub --route_table=prod
Ví dụ về kết quả đầu ra
IP_CIDR_RANGE: 10.1.2.0/24
PRIORITY:
LOCATION: us-central1
STATE: ACTIVE
TYPE: VPC_PRIMARY_SUBNET
SITE_TO_SITE: N/A
NEXT_HOP: vpc2-ncc
HUB: cl-hi-hub
ROUTE_TABLE: prod
Định cấu hình VPC1 cho khối lượng công việc làm mạng con trong nhóm NCC:services
Sử dụng lệnh gcloud để định cấu hình VPC1 của khối lượng công việc làm một mạng nhánh (khối lượng công việc) và chỉ định mạng nhánh đó cho nhóm:dịch vụ
gcloud network-connectivity spokes linked-vpc-network create vpc1-sp \
--hub=cl-hi-hub \
--description=codelab-vpc1-ncc-spoke \
--vpc-network=vpc1-ncc \
--global \
--group=services
Ví dụ về kết quả đầu ra
Create request issued for: [vpc1-sp]
Waiting for operation [projects/cloudnet-demo/locations/global/operations/operation-1778758397065-651c57665f795-1af6d94f-942c9ebd] to complete...done.
Created spoke [vpc1-sp].
createTime: '2026-05-14T11:33:17.359361160Z'
description: codelab-vpc1-ncc-spoke
etag: '2'
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/services
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
linkedVpcNetwork:
uri: https://www.googleapis.com/compute/v1/projects/cloudnet-demo/global/networks/vpc1-ncc
name: projects/cloudnet-demo/locations/global/spokes/vpc1-sp
spokeType: VPC_NETWORK
state: ACTIVE
uniqueId: 82b29a2b-50cb-4557-8b12-3345f5a36ad6
updateTime: '2026-05-14T11:33:55.914406863Z'
Định cấu hình mạng con Cổng NCC cho các cổng SSE ở us-central1
Sử dụng lệnh gcloud để tạo một spoke NCC Gateway trong us-central1:
gcloud beta network-connectivity spokes gateways create cl-ncc-gw-usc-sp \
--region=us-central1 \
--hub=cl-hi-hub \
--capacity=1g \
--ip-range-reservations=10.100.0.0/23 \
--group=gateways
Ví dụ về kết quả đầu ra
Create request issued for: [cl-ncc-gw-usc-sp]
Waiting for operation [projects/cloudnet-demo/locations/us-central1/operations/operation-1778758907555-651c594d36fc5-783a8d5d-8d3e341b] to complete...done.
Created spoke [cl-ncc-gw-usc-sp].
createTime: '2026-05-14T11:41:48.066042872Z'
etag: '2'
gateway:
capacity: CAPACITY_1_GBPS
ipRangeReservations:
- ipRange: 10.100.0.0/23
group: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub/groups/gateways
hub: projects/cloudnet-demo/locations/global/hubs/cl-hi-hub
name: projects/cloudnet-demo/locations/us-central1/spokes/cl-ncc-gw-usc-sp
spokeType: GATEWAY
state: ACTIVE
uniqueId: ffe8e2b7-c864-4279-9d21-ca72d87083fe
updateTime: '2026-05-14T11:44:08.787947523Z'
Sử dụng lệnh gcloud để liệt kê các spoke NCC:
gcloud network-connectivity spokes list
Ví dụ về kết quả đầu ra
NAME: vpc2-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: prod
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc2-ncc-spoke
NAME: vpc3-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: non-prod
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc3-ncc-spoke
NAME: vpc1-sp
LOCATION: global
HUB: cl-hi-hub
GROUP: services
TYPE: VPC network
RESOURCE COUNT: 1
DATA TRANSFER: N/A
DESCRIPTION: codelab-vpc1-ncc-spoke
NAME: cl-ncc-gw-usc-sp
LOCATION: us-central1
HUB: cl-hi-hub
GROUP: gateways
TYPE:
RESOURCE COUNT: 1
DATA TRANSFER: Off
DESCRIPTION:
Kiểm tra các spoke NCC được định cấu hình trên trung tâm NCC "cl-hi-hub":
Quảng cáo tiền tố IP từ Cổng NCC đến Trung tâm NCC
Định cấu hình Cổng NCC để thông báo các tiền tố cụ thể cho bảng định tuyến trung tâm NCC.
gcloud beta network-connectivity spokes gateways advertised-routes create example-dot-com \
--ip-range=1.1.1.1/32 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create google-dot-com \
--ip-range=173.194.204.101/32 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create branch \
--ip-range=192.168.1.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create prod \
--ip-range=192.168.11.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
gcloud beta network-connectivity spokes gateways advertised-routes create non-prod \
--ip-range=192.168.12.0/24 \
--priority=200 \
--advertise-to-hub \
--region=us-central1 \
--spoke=cl-ncc-gw-usc-sp
Sử dụng lệnh gcloud để liệt kê các tuyến đường được quảng cáo bắt nguồn từ cổng trung tâm
gcloud beta network-connectivity spokes gateways advertised-routes list --region=us-central1
Ví dụ về đầu ra
Kiểm tra các tuyến đường được quảng cáo của NCC Gateway
Trên bảng điều khiển web, hãy chuyển đến Network Connectivity > Network Connectivity Center > Chọn thẻ "Spokes" (Trung tâm kết nối mạng > Trung tâm kết nối mạng > Trung tâm kết nối mạng): nhấp vào "cl-ncc-gw-usc-sp".
4. Kết nối kết hợp Cloud Interconnect
Tại thời điểm viết bài này, Cổng NCC chỉ hỗ trợ Google Cloud Interconnect. Cổng NCC sử dụng VPC toàn cầu và Cloud Router trong dự án đối tượng thuê của Google để kết thúc phiên kết nối ngang hàng BGP và tệp đính kèm VLAN.
Mặc dù sơ đồ cho thấy một cặp Cloud Interconnect và các tệp đính kèm VLAN được kết nối một cách hợp lý với Cổng NCC, nhưng Cloud Router trong VPC toàn cầu do Google quản lý là các thành phần cơ bản kết thúc các tệp đính kèm VLAN. Trong phần này, bạn sẽ định cấu hình một Cloud Router được liên kết với Cổng NCC để quản lý các phiên BGP cho khả năng kết nối tại chỗ.
Cloud Router dành riêng cho Cổng NCC ở us-central1
Sử dụng lệnh gcloud để định cấu hình một Cloud Router dành riêng cho Cổng NCC.
gcloud beta compute routers create ncc-gw-usc1-cr \
--ncc-gateway=https://networkconnectivity.googleapis.com/v1/projects/"${projectid}"/locations/us-central1/spokes/cl-ncc-gw-usc-sp \
--asn=64666 \
--advertisement-mode=CUSTOM \
--set-advertisement-ranges=10.100.2.0/23 \
--region=us-central1
Ví dụ về đầu ra
Creating router [ncc-gw-usc1-cr]...done.
NAME REGION NCC_GATEWAY
ncc-gw-usc1-cr us-central1 cl-ncc-gw-usc-sp
- NCC_GW_NAME: URI đầy đủ của mạng con Cổng NCC. Định dạng của URI tuân theo mẫu sau: https://networkconnectivity.googleapis.com/v1/projects/"${projectid}"/locations/REGION/spokes/GATEWAY_SPOKE_NAME
- ADVERTISED_IP_RANGES: Dải IP để quảng cáo đến các mạng tại chỗ nhằm thu hút lưu lượng truy cập đến Google Cloud.
Sử dụng lệnh gcloud này để liệt kê bộ định tuyến vừa được tạo
gcloud compute routers list --filter="region:(us-central1)"
Xin lưu ý rằng Cloud Router không được liên kết với một VPC
NAME REGION NETWORK
ncc-gw-usc1-cr us-central1 N/A
Tạo các tệp đính kèm VLAN từ một Cloud Interconnect chuyên dụng hiện có sẽ được dùng làm giao diện trên Cloud Router. Cấu hình ví dụ bên dưới sử dụng địa chỉ IP liên kết cục bộ làm dải mạng con đề xuất. Một địa chỉ máy chủ lưu trữ cụ thể trong dải địa chỉ này sẽ được dùng để định cấu hình quan hệ ngang hàng BGP.
gcloud compute interconnects attachments dedicated create vl2029-ead1 \
--region=us-central1 \
--interconnect=projects/some-interconnect-project/global/interconnects/interconnect-lab-sea26-zone1 \
--router=ncc-gw-usc1-cr \
--vlan=2024 \
--bandwidth=500m \
--mtu=1440 \
--candidate-subnets=169.254.222.216/29
Created [https://www.googleapis.com/compute/v1/projects/"${projectname}"/regions/us-central1/interconnectAttachments/vl2029-ead1].
gcloud compute interconnects attachments dedicated create vl3029-ead2 \
--region=us-central1 \
--interconnect=projects/some-interconnect-project/global/interconnects/interconnect-lab-sea26-zone2 \
--router=ncc-gw-usc1-cr \
--vlan=3026 \
--bandwidth=500m \
--mtu=1440 \
--candidate-subnets=169.254.220.184/29
Created [https://www.googleapis.com/compute/v1/projects/"${projectname}"/regions/us-central1/interconnectAttachments/vl3029-ead2].
Định cấu hình Cloud Router cổng NCC trong us-central1 bằng một giao diện
Sử dụng lệnh gcloud để liên kết VLAN attachment được tạo ở us-central với NCC Gateway Cloud Router.
gcloud compute routers add-interface ncc-gw-usc1-cr \
--region=us-central1 \
--interface-name=if-vl2029-ead1 \
--interconnect-attachment=vl2029-ead1
Kết quả:
Updated [https://www.googleapis.com/compute/v1/projects/cloudnet-demo/regions/us-central1/routers/ncc-gw-usc1-cr].
Định cấu hình BGP ngang hàng cho tài nguyên đi kèm VLAN đã tạo ở trên.
Sử dụng lệnh gcloud bên dưới để kích hoạt tính năng ngang hàng BGP trên giao diện Cloud Router.
gcloud compute routers add-bgp-peer ncc-gw-usc1-cr \
--region=us-central1 \
--peer-name=bgp-vl2029-ead1 \
--interface=if-vl2029-ead1 \
--peer-asn=65112 \
--advertisement-mode=DEFAULT
Kết quả:
Creating peer [bgp-vl2029-ead1] in router [ncc-gw-usc1-cr]...done.
Định cấu hình Cloud Router cổng NCC trong us-central1 bằng giao diện tệp đính kèm VLAN thứ hai.
Sử dụng lệnh gcloud để thêm VLAN đính kèm thứ hai làm giao diện cho Bộ định tuyến đám mây của Cổng NCC
gcloud compute routers add-interface ncc-gw-usc1-cr \
--region=us-central1 \
--interface-name=if-vl3029-ead2 \
--interconnect-attachment=vl3029-ead2
Kết quả:
Updated [https://www.googleapis.com/compute/v1/projects/cloudnet-demo/regions/us-central1/routers/ncc-gw-usc1-cr]
Sử dụng lệnh gcloud bên dưới để kích hoạt tính năng ngang hàng BGP trên giao diện Cloud Router.
gcloud compute routers add-bgp-peer ncc-gw-usc1-cr \
--region=us-central1 \
--peer-name=bgp-vl3029-ead2 \
--interface=if-vl3029-ead2 \
--peer-asn=65112 \
--advertisement-mode=DEFAULT
Xác minh trạng thái ngang hàng BGP bằng loa BGP tại chỗ
Sử dụng lệnh gcloud để xác minh trạng thái của thiết bị ngang hàng BGP bằng bộ định tuyến tại chỗ và xem NCC Gateway Cloud Router đang gửi những tuyến đường nào đến mạng tại chỗ.
gcloud compute routers get-status ncc-gw-usc1-cr \
--region=us-central1
**
--format="yaml(result.bgpPeerStatus)"
Kết quả:
Đảm bảo trạng thái BGP là "Established" (Đã thiết lập).
result:
bgpPeerStatus:
- advertisedRoutes:
- destRange: 10.100.2.0/23
kind: compute#route
nextHopIp: 169.254.111.217
nextHopOrigin: INCOMPLETE
priority: 100
routeType: BGP
enableIpv4: true
enableIpv6: false
ipAddress: 169.254.111.217
md5AuthEnabled: false
name: bgp-vl2029-ead1
numLearnedRoutes: 2
peerIpAddress: 169.254.111.218
state: Established
status: UP
uptime: 6 minutes, 27 seconds
uptimeSeconds: '387'
- advertisedRoutes:
- destRange: 10.100.2.0/23
kind: compute#route
nextHopIp: 169.254.112.217
nextHopOrigin: INCOMPLETE
priority: 100
routeType: BGP
enableIpv4: true
enableIpv6: false
ipAddress: 169.254.112.217
md5AuthEnabled: false
name: bgp-vl3029-ead2
numLearnedRoutes: 1
peerIpAddress: 169.254.112.218
state: Established
status: UP
uptime: 1 minutes, 35 seconds
uptimeSeconds: '95'
Sử dụng lệnh gcloud để xem những tuyến đường mà Cloud Router của Cổng NCC đang nhận được từ mạng tại chỗ:
gcloud compute routers get-status ncc-gw-usc1-cr \
--region=us-central1 \
--format="yaml(result.bestRoutes)"
Kết quả:
result:
bestRoutes:
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T10:02:44.265-07:00'
destRange: 172.16.0.0/16
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.111.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T09:54:04.340-07:00'
destRange: 3.3.3.0/24
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.111.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
- asPaths:
- asLists:
- 65112
pathSegmentType: AS_SEQUENCE
creationTimestamp: '2026-05-14T09:58:56.189-07:00'
destRange: 4.4.4.0/24
kind: compute#route
nextHopInterRegionCost: 0
nextHopIp: 169.254.112.218
nextHopMed: 0
nextHopOrigin: IGP
priority: 65536
routeType: BGP
Quảng cáo tiền tố tuỳ chỉnh GCP cho On Prem**, vì các tuyến đường mạng con được quảng cáo tự động. Bạn có thể chọn quảng cáo một tuyến đường "tóm tắt" cho các tiền tố tuỳ chỉnh của mình.**
cloud compute routers update ncc-gw-usc1-cr \
--project=cloudnet-demo \
--region=us-central1 \
--advertisement-mode custom \
--set-advertisement-groups=all_subnets \
--set-advertisement-ranges="10.1.0.0/16"
Kết quả:
Updating router [ncc-gw-usc1-cr]...done.
5. Tích hợp SSE của bên thứ ba với Cổng NCC
Secure Access Connect là một tính năng cho phép bạn kết nối các sản phẩm Security Service Edge (SSE) của bên thứ ba với NCC Gateway để bảo mật lưu lượng truy cập đến và đi. Chức năng chính của khoá này là thiết lập mối liên kết giữa GCP và nhà cung cấp SSE bên thứ ba.
Trong phần này, bạn sẽ đăng nhập vào Strata Cloud Manager để kích hoạt và định cấu hình dịch vụ proxy SSE trong NCC Gateway.
Dịch vụ này bao gồm 2 tài nguyên chính:
- Realm Secure Access Connect: Một tài nguyên toàn cầu liên kết dự án trên đám mây của bạn trên Google Cloud với dịch vụ SSE. Nó thiết lập một không gian chính sách bảo mật chung cho một nhóm VPC hoặc người dùng, cho phép nhà cung cấp SSE biết những cổng nào chịu sự điều chỉnh của cùng một bộ chính sách bảo mật.
- Secure Access Connect Attachment: Một tài nguyên logic theo khu vực cho phép NCC Gateway xử lý lưu lượng truy cập bằng dịch vụ SSE. Khoá này chứa siêu dữ liệu cần thiết để thiết lập mối quan hệ tin cậy và khả năng kết nối với ngăn xếp SSE của đối tác
Tạo một miền Secure Access Connect
gcloud beta network-security secure-access-connect realms create codelab-sac-realm \
--security-service=prisma-access
Xác định khoá ghép nối
Để liên kết miền kết nối truy cập an toàn với Prisma Access, bạn cần có khoá ghép nối. Chuỗi gồm cả chữ và số này sẽ được dùng để định cấu hình và cung cấp cổng SSE thông qua cổng thông tin web Strata Cloud Manager.
gcloud beta network-security secure-access-connect realms describe codelab-sac-realm
createTime: '2026-04-21T13:48:53.760262401Z'
name: projects/"${projectname}"/locations/global/sacRealms/codelab-cden
pairingKey:
expireTime: '2026-04-28T13:48:51.107221733Z'
key: 2a52a7e2-7c95-4dc7-9155-c3234976fad4
securityService: PALO_ALTO_PRISMA_ACCESS
state: PENDING_PARTNER_ATTACHMENT
updateTime: '2026-04-21T13:48:55.874553834Z'
Tạo Partner Realm bằng Managed Cloud WAN trong Prisma Access
- Đăng nhập vào Strata Cloud Manager, đảm bảo rằng bạn đang sử dụng đối tượng thuê cổng SSE được chỉ định
- Để kết nối miền SAC với đối tác thuê bao, hãy chuyển đến
System Settings -> Integrations -> Managed Cloud WANs (Cài đặt hệ thống -> Tích hợp -> WAN đám mây được quản lý) và
Nhấp vào "Kết nối"
- Nhập khoá ghép nối của miền SAC trong hộp thoại "Kết nối tài khoản Google NCC Gateway". Nhấp vào "Xác nhận" để bắt đầu tạo vương quốc.
Phải mất vài phút thì trạng thái của NCC Gateway mới cập nhật thành "Đã kết nối".
Trên Cloud Shell của GCP, hãy dùng lệnh gcloud để tìm khoá ghép nối được liên kết với miền SAC.
gcloud beta network-security secure-access-connect realms describe codelab-sac-realm
Bạn cũng có thể xem khoá ghép nối trên bảng điều khiển GCP
Thêm cụm NCC Gateway SSE làm kết nối Cloud WAN được quản lý bằng cách chuyển đến
Cấu hình > NGFW và Prisma Access > Nhấp vào "Configuration Scope" (Phạm vi cấu hình) rồi chọn "Remote Network" (Mạng từ xa) trong phần "Prisma Access" (Quyền truy cập Prisma).
Trên trang Tổng quan, hãy nhấp vào "thiết lập" rồi chọn "Kết nối WAN trên đám mây được quản lý"
Nhấp vào "Thêm trang web Cloud WAN được quản lý".
Kích hoạt phiên bản SSE trong Cổng NCC
Chuyển sang bảng điều khiển GCP, sử dụng lệnh gcloud để tạo một tệp đính kèm Secure Access Connect.
gcloud alpha network-security secure-access-connect attachments create codelab-sac-attachment-usc1 \
--location=us-central1 \
--realm=codelab-sac-realm \
--gateway=cl-ncc-gw-usc-sp
Tạo Cổng đối tác
Nhập các thông số cho kết nối WAN đám mây được quản lý.
- Tên trang web – Nhập tên riêng biệt cho mối kết nối.
- **Loại dịch vụ –**Chọn Google NCC Gateway làm loại dịch vụ.
- Tên kết nối – Chọn vị trí dịch vụ GCP mà bạn đã tạo trong quá trình kích hoạt và tạo tệp đính kèm SAC Cổng CC N.
- Vị trí tính toán Prisma Access – Chọn vị trí tính toán mà bạn muốn triển khai chế độ tích hợp NCC Gateway với Prisma Access.
- Băng thông (Mb/giây) – Chọn băng thông cần phân bổ theo Mb/giây. Bạn có thể phân bổ tối đa 10.000 Mb/giây (10 Gb/giây
Bạn có thể phân bổ tối đa 10.000 Mb/giây (10 Gb/giây).
Sau khi hoàn tất, hãy nhấp vào "Lưu"
Đồng bộ hoá cấu hình phiên bản SSE của Cổng NCC
Chọn "Push Config" (Đẩy cấu hình) để tạo phiên bản SSE của đối tác trên nhánh NCC Gateway.
Theo dõi tiến trình bằng cách nhấp vào "Push Config" (Đẩy cấu hình) rồi chọn "Jobs" (Công việc). Đợi tất cả "Kết quả" hoàn tất cho Công việc cụ thể của bạn.
Khi hoàn tất, hãy nhấp vào "Xong".
Kiểm tra trạng thái của cổng SSE của đối tác bằng cách chuyển đến Configuration (Cấu hình) > NGFW and Prisma Access (NGFW và Prisma Access) > Configuration Scope (Phạm vi cấu hình) > Prisma Access > Remote Networks (Mạng từ xa) >Setup (Thiết lập) > Managed Cloud WAN Connections (Các kết nối WAN trên đám mây được quản lý)
Prisma Access tự động cung cấp cấu hình BGP của Managed Cloud WAN Connection.
6. Xác minh đường dẫn dữ liệu thông qua Cổng NCC
Chuyển sang Bảng điều khiển Google Cloud Shell
Sử dụng lệnh gcloud để xem các tuyến đường được quảng cáo bắt nguồn từ cổng trung tâm:
gcloud beta network-connectivity spokes gateways advertised-routes list --region=us-central1
SSH đến "vm1-vpc1-ncc**"** và bắt đầu kết xuất TCP để theo dõi các gói ICMP từ **" vm2-vpc2-ncc"**. Xin lưu ý rằng VM này nằm trên VPC2.
vm1-vpc1-ncc
sudo tcpdump -i any icmp -v -e -n
Thiết lập một phiên SSH đến "vm1-vpc2-ncc**"** và "ping" địa chỉ IP của "vm1-vpc1-ncc".
vm1-vpc2-ncc
ping 10.1.1.2
Kết quả:
Bạn sẽ thấy dấu vết bên dưới trên vm1-vpc1-ncc.
Chạy lệnh curl trên VM-1 đến máy chủ HTTP tại chỗ để kiểm thử khả năng kết nối tại chỗ
vm1-vpc1-ncc
curl 172.16.101.11 -vv
Kết quả:
Thiết lập một phiên SSH đến "vm1-vpc2-ncc**"** và "ping" địa chỉ IP "1.1.1.1".
vm1-vpc2-ncc
ping 1.1.1.1
Kết quả:
Lệnh ping không hoạt động vì cần được cho phép trong Prisma(Strata Cloud Manager). Hãy bật chế độ này!
Chuyển đến Strata Cloud Manager —-> Configuration (Cấu hình) —-> NGFW and Prisma Access (NGFW và Prisma Access), bạn sẽ thấy như sau:::
Ở trên cùng bên trái, hãy nhấn vào trình đơn thả xuống Global (Toàn cầu) rồi chọn "Remote Networks" (Mạng từ xa), sau đó nhấp vào thẻ "Security Services" (Dịch vụ bảo mật) rồi chọn "Security Policy" (Chính sách bảo mật), xem bên dưới:::
Nhấp vào Thêm quy tắc ở trên cùng bên phải, rồi tạo quy tắc "allow icmp" để cho phép lưu lượng truy cập ICMP (Giao thức Thông điệp Điều khiển Internet) giữa vm1-vpc2-ncc đến 1.1.1.1. Sau khi hoàn tất, hãy nhấn vào "Push Config" (Đẩy cấu hình) ở trên cùng bên phải.
Hãy nhớ xem các Công việc để đảm bảo rằng cấu hình đã được đẩy thành công. Nhấp vào Push Config —-> Jobs (Đẩy cấu hình —-> Công việc)
Sau khi công việc hoàn tất, hãy kiểm tra lại ping từ vm1-vpc2-ncc.
THÀNH CÔNG!!! Bạn đã hoàn tất thành công lớp học lập trình này!
7. Dọn dẹp phòng thí nghiệm
Xoá các tài nguyên đi kèm VLAN
gcloud compute interconnects attachments delete vl2024-ead1 \
--region=us-central1 \
--quiet
gcloud compute interconnects attachments delete vl3026-ead2 \
--region=us-central1 \
--quiet
Xoá đối tượng ngang hàng BGP và giao diện BGP của Cloud Router cổng NCC
gcloud compute routers remove-bgp-peer ncc-gw-usc1-cr \
--peer-name=bgp-vl2024-ead1 \
--region=us-central1
gcloud compute routers remove-interface ncc-gw-usc1-cr \
--interface-name=if-vl3026-ead2 \
--region=us-central1
Xoá ncc-gw-usc1-cr và ncc-gw-usc1-cr
gcloud compute routers delete ncc-gw-usc1-cr \
--region=us-central1 \
--quiet
Xoá các tuyến đường được quảng cáo trên cổng
gcloud beta network-connectivity spokes gateways advertised-routes delete ncc-gw-usc1-cr \
--region=us-central1 \
--spoke=cl-ncc-gw-usw-sp \
Xoá các mạng con VPC NCC
gcloud network-connectivity spokes delete vpc1-sp --global --quiet
gcloud network-connectivity spokes delete vpc2-sp --global --quiet
gcloud network-connectivity spokes delete vpc3-sp --global --quiet
Xoá ncc-gateway spoke
gcloud network-connectivity spokes delete cl-ncc-gw-usc-sp --region=us-central1 \
--quiet
Xoá miền truy cập an toàn
gcloud beta network-security secure-access-connect realms delete codelab-sac-realm --quie
t
Xoá NCC Hub
gcloud network-connectivity hubs delete ncc-hub --quiet
Xoá quy tắc tường lửa
gcloud compute firewall-rules delete ncc1-vpc-internal --quiet
gcloud compute firewall-rules delete ncc2-vpc-internal --quiet
gcloud compute firewall-rules delete ncc3-vpc-internal --quiet
gcloud compute firewall-rules delete ncc1-vpc-iap --quiet
gcloud compute firewall-rules delete ncc2-vpc-iap --quiet
gcloud compute firewall-rules delete ncc3-vpc-iap --quiet
Xoá các phiên bản GCE
gcloud compute instances delete vm1-vpc1-ncc --zone=us-central1-a --quiet
gcloud compute instances delete vm2-vpc2-ncc --zone=us-central1-a --quiet
gcloud compute instances delete vm1-vpc3-ncc --zone=us-east1-b --quiet
Xoá mạng con VPC
gcloud compute networks subnets delete vpc1-ncc-subnet1 --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet2 --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet3 --region us-central1 --quiet
Xoá(các) VPC
gcloud compute networks delete vpc1-ncc vpc2-ncc vpc3-ncc vpc4-ncc, vpc5-ncc --quiet
8. Xin chúc mừng!
Bạn đã hoàn thành bài thực hành Network Connectivity Center!
Nội dung bạn đã đề cập
- Định cấu hình cấu trúc liên kết kiểm tra kết hợp NCC
- Mạng con cổng NCC
- Cổng SSE của Palo Alto Network trên Google Cloud
- PANW: Strata Cloud Manager
Các bước tiếp theo