Private Service Connect 64

Informazioni su questo codelab
schedule44 minuti
subjectUltimo aggiornamento: 27 agosto 2024
account_circleScritto da: Deepak Michael

Private Service Connect rivoluziona il modo in cui le organizzazioni utilizzano i servizi all'interno dell'ecosistema Google Cloud, fornendo il supporto completo per gli indirizzi IPv6 oltre a IPv4. Combina sicurezza avanzata, connettività semplificata, prestazioni migliorate e gestione centralizzata, ed è quindi una soluzione ideale per le aziende che cercano un modello di consumo di servizi solido, affidabile ed efficiente, pronto per il futuro delle reti. Che tu stia creando un cloud ibrido, condividendo servizi all'interno della tua organizzazione o accedendo a servizi di terze parti, PSC offre un percorso semplice e sicuro per sfruttare tutto il potenziale di Google Cloud, adottando al contempo i vantaggi di IPv6.

  • Vantaggi principali del PSC 64
  • Traduzione supportata da Private Service Connect 64
  • Panoramica dell'ULA a doppio livello
  • Requisiti di rete
  • Creare un servizio producer di Private Service Connect
  • Creare un endpoint Private Service Connect
  • Stabilire la connettività all'endpoint Private Service Connect da una VM IPv4
  • Stabilire la connettività all'endpoint Private Service Connect da una VM dual-stack

Che cosa ti serve

  • Progetto Google Cloud con autorizzazioni di proprietario

2. Cosa creerai

Stabilirai una rete di produttori per eseguire il deployment di un server web Apache come servizio pubblicato tramite Private Service Connect (PSC). Una volta pubblicata, dovrai eseguire le seguenti azioni per convalidare l'accesso al servizio Producer:

  • Dal VPC del consumer, istanza GCE IPv4, scegli come target l'endpoint PSC IPv4 per raggiungere il servizio del producer.
  • Dal VPC del consumer, istanza GCE dual-stack, scegli come target l'endpoint PSC IPv6 per raggiungere il servizio del producer.

Vantaggi principali del PSC 64

  • Integrazione perfetta: PSC si integra perfettamente con le reti VPC configurate per IPv6, consentendoti di sfruttare i vantaggi dell'indirizzamento IPv6 per le connessioni dei servizi.
  • Supporto del doppio stack:PSC supporta le configurazioni a doppio stack, consentendo l'utilizzo simultaneo di IPv4 e IPv6 all'interno della stessa VPC, offrendo flessibilità e adattabilità futura alla tua rete.
  • Transizione semplificata: PSC semplifica la transizione a IPv6 consentendoti di adottare gradualmente IPv6 insieme alla tua infrastruttura IPv4 esistente.
  • Assistenza al produttore: il produttore non è tenuto ad adottare il doppio stack, ma il consumatore ha la possibilità di implementare un endpoint PSC IPv4 o IPv6.

3. Traduzione supportata da Private Service Connect 64 e 66

Considerazioni per i consumatori

La versione IP dell'endpoint può essere IPv4 o IPv6, ma non entrambe. I consumatori possono utilizzare un indirizzo IPv4 se la subnet dell'indirizzo è a singolo stack. I consumatori possono utilizzare un indirizzo IPv4 o IPv6 se la subnet dell'indirizzo è a doppio stack. I consumatori possono collegare endpoint IPv4 e IPv6 allo stesso allegato del servizio, il che può essere utile per la migrazione dei servizi a IPv6.

Considerazioni per i produttori

La versione IP della regola di inoltro del producer determina la versione IP del collegamento del servizio e del traffico in uscita dal collegamento del servizio. La versione IP del collegamento del servizio può essere IPv4 o IPv6, ma non entrambe. I produttori possono utilizzare un indirizzo IPv4 se la subnet dell'indirizzo è a stack singolo. I produttori possono utilizzare un indirizzo IPv4 o IPv6 se la subnet dell'indirizzo è a doppio stack.

La versione IP dell'indirizzo IP della regola di inoltro del produttore deve essere compatibile con il tipo di stack della subnet NAT dell'attacco del servizio.

  • Se la regola di inoltro del produttore è IPv4, la subnet NAT può essere a stack singolo o a doppio stack.
  • Se la regola di inoltro del produttore è IPv6, la subnet NAT deve essere a doppio stack.

Per le configurazioni supportate sono possibili le seguenti combinazioni:

  • Endpoint IPv4 all'attacco del servizio IPv4
  • Endpoint IPv6 all'attacco del servizio IPv6
  • Endpoint IPv6 all'attacco del servizio IPv4 In questa configurazione, Private Service Connect esegue automaticamente la traduzione tra le due versioni IP.

Non è supportato quanto segue:

Private Service Connect non supporta la connessione di un endpoint IPv4 con un collegamento di servizio IPv6. In questo caso, la creazione dell'endpoint non va a buon fine con il seguente messaggio di errore:

La regola di inoltro di Private Service Connect con un indirizzo IPv4 non può avere come target un allegato di servizio IPv6.

4. Panoramica dell'ULA a doppio livello

Google Cloud supporta la creazione di VM e subnet IPv6 private ULA. L'RFC 4193 definisce uno schema di indirizzamento IPv6 per le comunicazioni locali, ideale per le comunicazioni all'interno del VPC. Gli indirizzi ULA non sono inoltrabili a livello globale, pertanto le VM sono completamente isolate da internet e forniscono un comportamento simile a RFC-1918 utilizzando IPv6. Google Cloud consente la creazione di prefissi ULA di rete VPC /48 in modo che tutte le subnet ULA IPv6 /64 vengano assegnate da quell'intervallo di rete VPC.

Analogamente agli indirizzi IPv6 esterni univoci a livello globale supportati da Google Cloud, ogni subnet abilitata IPv6 ULA riceverà una subnet /64 dall'intervallo ULA della rete VPC /48 e a ogni VM verrà assegnato un indirizzo /96 da quella subnet.

RFC4193 definisce lo spazio di indirizzi IPv6 nell'intervallo fc00::/7. Gli indirizzi ULA possono essere allocati e utilizzati liberamente all'interno di reti/siti privati. Google Cloud assegna tutti gli indirizzi ULA dall'intervallo fd20::/20. Questi indirizzi sono instradabili solo nell'ambito dei VPC e non sono instradabili nella rete IPv6 globale.

Gli indirizzi ULA assegnati da Google Cloud sono garantiti come univoci in tutte le reti VPC. Google Cloud garantisce che a nessuna delle due reti VPC venga assegnato lo stesso prefisso ULA. In questo modo, viene eliminato il problema degli intervalli sovrapposti nelle reti VPC.

Puoi lasciare che sia Google Cloud ad assegnare automaticamente /48 alla tua rete oppure puoi scegliere un prefisso IPv6 /48 specifico. Se il prefisso IPv6 specificato è già assegnato a un'altra VPC o alla tua rete on-premise, puoi scegliere un altro intervallo.

5. Requisiti di rete

Di seguito è riportata la suddivisione dei requisiti di rete per le reti del consumatore e del produttore:

Rete consumer (tutti i componenti di cui è stato eseguito il deployment in us-central1)

Componenti

Descrizione

VPC

La rete a doppio stack richiede una VPC in modalità personalizzata con ULA abilitata

Endpoint PSC

  • Endpoint PSC IPv4 utilizzato per accedere al servizio di produzione
  • Endpoint PSC IPV6 utilizzato per accedere al servizio di produzione

Subnet

IPv4 e doppio stack

GCE

IPv4 e doppio stack

Rete del produttore(tutti i componenti di cui è stato eseguito il deployment in us-central1)

Componenti

Descrizione

VPC

VPC in modalità personalizzata, ULA non abilitato

Subnet NAT PSC

IPv4. I pacchetti della rete VPC del consumer vengono tradotti utilizzando il NAT di origine (SNAT) in modo che i relativi indirizzi IP di origine originali vengano convertiti in indirizzi IP di origine della subnet NAT nella rete VPC del producer.

Regola di forwarding del PSC

IPv4. Bilanciatore del carico di rete passthrough interno

Controllo di integrità

Una regola in entrata, applicabile alle istanze con bilanciamento del carico, che consente il traffico proveniente dai sistemi di controllo di integrità di Google Cloud (130.211.0.0/22 e 35.191.0.0/16).

Servizio di backend

Un servizio di backend funge da ponte tra il bilanciatore del carico e le risorse di backend. Nel tutorial, il servizio di backend è associato al gruppo di istanze non gestite.

Gruppo di istanze non gestite

Supporta le VM che richiedono configurazione o ottimizzazione individuali. Non supporta la scalabilità automatica.

6. Topologia del codelab

b52931afd997d61.png

7. Configurazione e requisiti

Configurazione dell'ambiente a tuo ritmo

  1. Accedi alla console Google Cloud e crea un nuovo progetto o riutilizzane uno esistente. Se non hai ancora un account Gmail o Google Workspace, devi crearne uno.

fbef9caa1602edd0.png

a99b7ace416376c4.png

5e3ff691252acf41.png

  • Il nome del progetto è il nome visualizzato per i partecipanti al progetto. Si tratta di una stringa di caratteri non utilizzata dalle API di Google. Puoi sempre aggiornarlo.
  • L'ID progetto è univoco per tutti i progetti Google Cloud ed è immutabile (non può essere modificato dopo essere stato impostato). La console Cloud genera automaticamente una stringa univoca; di solito non ti interessa quale sia. Nella maggior parte dei codelab, dovrai fare riferimento al tuo ID progetto (in genere identificato come PROJECT_ID). Se l'ID generato non ti piace, puoi generarne un altro casuale. In alternativa, puoi provare il tuo e vedere se è disponibile. Non può essere modificato dopo questo passaggio e rimane invariato per tutta la durata del progetto.
  • Per tua informazione, esiste un terzo valore, un Numero progetto, utilizzato da alcune API. Scopri di più su tutti e tre questi valori nella documentazione.
  1. Successivamente, dovrai abilitare la fatturazione nella console Cloud per utilizzare le API/risorse Cloud. La partecipazione a questo codelab non ha costi, o quasi. Per arrestare le risorse ed evitare di incorrere in fatturazione al termine di questo tutorial, puoi eliminare le risorse che hai creato o il progetto. I nuovi utenti di Google Cloud sono idonei al programma Prova senza costi di 300$.

Avvia Cloud Shell

Sebbene Google Cloud possa essere utilizzato da remoto dal tuo laptop, in questo codelab utilizzerai Google Cloud Shell, un ambiente a riga di comando in esecuzione nel cloud.

Nella console Google Cloud, fai clic sull'icona di Cloud Shell nella barra degli strumenti in alto a destra:

55efc1aaa7a4d3ad.png

Dovrebbe richiedere solo pochi istanti per eseguire il provisioning e connettersi all'ambiente. Al termine, dovresti vedere qualcosa di simile a questo:

7ffe5cbb04455448.png

Questa macchina virtuale contiene tutti gli strumenti di sviluppo di cui avrai bisogno. Offre una home directory permanente da 5 GB e viene eseguita su Google Cloud, migliorando notevolmente le prestazioni e l'autenticazione di rete. Tutto il lavoro in questo codelab può essere svolto in un browser. Non devi installare nulla.

8. Prima di iniziare

Abilita API

In Cloud Shell, assicurati che l'ID progetto sia configurato:

gcloud config list project
gcloud config set project [YOUR-PROJECT-ID]
project=[YOUR-PROJECT-ID]
region=us-central1
echo $project
echo $region

Attiva tutti i servizi necessari:

gcloud services enable compute.googleapis.com

9. Crea la rete VPC del producer

Rete VPC

In Cloud Shell, svolgi i seguenti passaggi:

gcloud compute networks create producer-vpc --subnet-mode custom

Creare subnet

La subnet del PSC verrà associata al collegamento del servizio PSC ai fini della Network Address Translation. Per i casi d'uso di produzione, le dimensioni di questa subnet devono essere adeguate per supportare la quantità di traffico in entrata da tutti gli endpoint PSC collegati. Per ulteriori informazioni, consulta la documentazione relativa al dimensionamento delle sottoreti NAT PSC.

In Cloud Shell, crea la subnet NAT del PSC:

gcloud compute networks subnets create producer-psc-nat-subnet --network producer-vpc --range 172.16.10.0/28 --region $region --purpose=PRIVATE_SERVICE_CONNECT

In Cloud Shell, crea la subnet della regola di inoltro del produttore:

gcloud compute networks subnets create producer-psc-fr-subnet --network producer-vpc --range 172.16.20.0/28 --region $region --enable-private-ip-google-access

In Cloud Shell, crea la subnet della VM del produttore:

gcloud compute networks subnets create producer-psc-vm-subnet --network producer-vpc --range 172.16.30.0/28 --region $region --enable-private-ip-google-access

Crea il gateway Public NAT

La VM produttore richiede l'accesso a internet per scaricare Apache, ma l'istanza GCE non ha un IP esterno. Pertanto, Cloud NAT fornirà il traffico in uscita su internet per il download del pacchetto.

In Cloud Shell, crea il router Cloud:

gcloud compute routers create producer-cloud-router --network producer-vpc --region us-central1

In Cloud Shell, crea il gateway Cloud NAT che consente il traffico in uscita su internet:

gcloud compute routers nats create producer-nat-gw --router=producer-cloud-router --auto-allocate-nat-external-ips --nat-all-subnet-ip-ranges --region us-central1

Creare criteri firewall di rete e regole firewall

In Cloud Shell, svolgi i seguenti passaggi:

gcloud compute network-firewall-policies create producer-vpc-policy --global

gcloud compute network-firewall-policies associations create --firewall-policy producer-vpc-policy --network producer-vpc --name producer-vpc --global-firewall-policy

Per consentire a IAP di connettersi alle tue istanze VM, crea una regola firewall che:

  • Si applica a tutte le istanze VM a cui vuoi accedere tramite IAP.
  • Consente il traffico in entrata dall'intervallo IP 35.235.240.0/20. Questo intervallo contiene tutti gli indirizzi IP che utilizzati da IAP per l'inoltro TCP.

In Cloud Shell, svolgi i seguenti passaggi:

gcloud compute network-firewall-policies rules create 1000 --action ALLOW --firewall-policy producer-vpc-policy --description "SSH with IAP" --direction INGRESS --src-ip-ranges 35.235.240.0/20 --layer4-configs tcp:22  --global-firewall-policy

La seguente regola firewall consente il traffico dall'intervallo del probe del controllo di integrità a tutte le istanze della rete. In un ambiente di produzione, questa regola firewall deve essere limitata solo alle istanze associate al servizio del produttore specifico.

In Cloud Shell, svolgi i seguenti passaggi:

gcloud compute network-firewall-policies rules create 2000 --action ALLOW --firewall-policy producer-vpc-policy --description "allow traffic from health check probe range" --direction INGRESS --src-ip-ranges 130.211.0.0/22,35.191.0.0/16 --layer4-configs tcp:80 --global-firewall-policy

La seguente regola firewall consente il traffico dall'intervallo della subnet NAT del PSC a tutte le istanze della rete. In un ambiente di produzione, questa regola firewall deve essere limitata solo alle istanze associate al servizio del produttore specifico.

In Cloud Shell, svolgi i seguenti passaggi:

gcloud compute network-firewall-policies rules create 2001 --action ALLOW --firewall-policy producer-vpc-policy --description "allow traffic from PSC NAT subnet" --direction INGRESS --src-ip-ranges 172.16.10.0/28 --global-firewall-policy --layer4-configs=tcp

Crea la VM Producer

In Cloud Shell, crea il server web Apache producer-vm:

gcloud compute instances create producer-vm \
    --project=$project \
    --machine-type=e2-micro \
    --image-family debian-12 \
    --no-address \
    --image-project debian-cloud \
    --zone us-central1-a \
    --subnet=producer-psc-vm-subnet \
    --metadata startup-script="#! /bin/bash
      sudo apt-get update
      sudo apt-get install apache2 -y
      sudo service apache2 restart
      echo 'Welcome to Producer-VM !!' | tee /var/www/html/index.html
      EOF"

In Cloud Shell, crea il gruppo di istanze non gestito composto dall'istanza producer-vm e dal controllo di integrità:

gcloud compute instance-groups unmanaged create producer-instance-group --zone=us-central1-a

gcloud compute instance-groups unmanaged add-instances producer-instance-group  --zone=us-central1-a --instances=producer-vm

gcloud compute health-checks create http hc-http-80 --port=80

10. Crea servizio producer

Creare componenti del bilanciatore del carico

In Cloud Shell, svolgi i seguenti passaggi:

gcloud compute backend-services create producer-backend-svc --load-balancing-scheme=internal --protocol=tcp --region=us-central1 --health-checks=hc-http-80

gcloud compute backend-services add-backend producer-backend-svc --region=us-central1 --instance-group=producer-instance-group --instance-group-zone=us-central1-a

Nella seguente sintassi, crea una regola di inoltro (bilanciatore del carico di rete interno) con un indirizzo IP predefinito 172.16.2.3 associato al servizio di backend producer-backend-svc

In Cloud Shell, svolgi i seguenti passaggi:

gcloud compute forwarding-rules create producer-fr --region=us-central1 --load-balancing-scheme=internal --network=producer-vpc --subnet=producer-psc-fr-subnet --address=172.16.20.3 --ip-protocol=TCP --ports=all --backend-service=producer-backend-svc --backend-service-region=us-central1

Creare un collegamento al servizio

In Cloud Shell, crea il collegamento al servizio:

gcloud compute service-attachments create ipv4-producer-svc-attachment --region=$region --producer-forwarding-rule=producer-fr --connection-preference=ACCEPT_AUTOMATIC --nat-subnets=producer-psc-nat-subnet

Successivamente, ottieni e prendi nota dell'elemento Service Attachment elencato nell'URI selfLink a partire dai progetti per configurare l'endpoint PSC nell'ambiente consumer.

selfLink: projects/<your-project-id>/regions/us-central1/serviceAttachments/ipv4-producer-svc-attachment

In Cloud Shell, svolgi i seguenti passaggi:

gcloud compute service-attachments describe ipv4-producer-svc-attachment --region=$region

Esempio di output previsto

user@cloudshell:~ (projectid)$ gcloud compute service-attachments describe ipv4-producer-svc-attachment --region=$region
connectionPreference: ACCEPT_AUTOMATIC
creationTimestamp: '2024-08-26T07:08:01.625-07:00'
description: ''
enableProxyProtocol: false
fingerprint: USOMy1eQKyM=
id: '1401660514263708334'
kind: compute#serviceAttachment
name: ipv4-producer-svc-attachment
natSubnets:
- https://www.googleapis.com/compute/v1/projects/projectid/regions/us-central1/subnetworks/producer-psc-nat-subnet
pscServiceAttachmentId:
  high: '85245007652455400'
  low: '1401660514263708334'
reconcileConnections: false
region: https://www.googleapis.com/compute/v1/projects/projectid/regions/us-central1
selfLink: https://www.googleapis.com/compute/v1/projects/projectid/regions/us-central1/serviceAttachments/ipv4-producer-svc-attachment
targetService: https://www.googleapis.com/compute/v1/projects/projectid/regions/us-central1/forwardingRules/producer-fr

In Cloud Console, vai a:

Servizi di rete → Private Service Connect → Servizi pubblicati

9166d64204ec31c3.png

1b5feeca51b6533e.png

11. Crea la rete VPC consumer

Rete VPC

In Cloud Shell, crea il VPC consumer con ULA IPv6 abilitato:

gcloud compute networks create consumer-vpc \
    --subnet-mode=custom \
    --enable-ula-internal-ipv6

Google alloca una subnet /48 univoca a livello globale al VPC del consumatore. Per visualizzare l'allocazione, svolgi i seguenti passaggi:

In Cloud Console, vai a:

Reti VPC

c847bd7c20e3677d.png

Crea subnet

In Cloud Shell, crea la subnet GCE IPv4:

gcloud compute networks subnets create consumer-v4-subnet --network consumer-vpc --range=192.168.10.0/28 --region $region --enable-private-ip-google-access

In Cloud Shell, crea la subnet dell'endpoint PSC IPv4:

gcloud compute networks subnets create psc-ipv4-endpoint-subnet --network consumer-vpc --range=192.168.11.0/28 --region $region --enable-private-ip-google-access

In Cloud Shell, crea la subnet GCE dual-stack:

gcloud compute networks subnets create consumer-dual-stack-subnet --network consumer-vpc --range=192.168.20.0/28 --stack-type=IPV4_IPV6 --ipv6-access-type=INTERNAL --region $region --enable-private-ip-google-access

In Cloud Shell, crea la subnet dell'endpoint PSC a doppio stack:

gcloud compute networks subnets create psc-dual-stack-endpoint-subnet --network consumer-vpc --range=192.168.21.0/28 --stack-type=IPV4_IPV6 --ipv6-access-type=INTERNAL --region $region --enable-private-ip-google-access

Creare criteri firewall di rete e regole firewall

In Cloud Shell, svolgi i seguenti passaggi:

gcloud compute network-firewall-policies create consumer-vpc-policy --global

gcloud compute network-firewall-policies associations create --firewall-policy consumer-vpc-policy --network consumer-vpc --name consumer-vpc --global-firewall-policy

gcloud compute network-firewall-policies rules create 1000 --action ALLOW --firewall-policy consumer-vpc-policy --description "SSH with IAP" --direction INGRESS --src-ip-ranges 35.235.240.0/20 --layer4-configs tcp:22  --global-firewall-policy

Per la rete del consumatore è necessario solo l'accesso SSH da IAP.

12. Crea una VM, un endpoint PSC e testa la connettività IPv4

Crea VM di test

In Cloud Shell, crea l'istanza GCE IPv4 nella subnet IPv4:

gcloud compute instances create consumer-vm-ipv4 --zone=us-central1-a --subnet=consumer-v4-subnet --no-address

Crea l'IP statico dell'endpoint PSC

In Cloud Shell, crea un indirizzo IP statico per l'endpoint PSC.

gcloud compute addresses create psc-ipv4-endpoint-ip --region=$region --subnet=psc-ipv4-endpoint-subnet --addresses 192.168.11.13

Crea l'endpoint PSC IPv4

In Cloud Shell, crea l'endpoint PSC aggiornando l'URI DEL COLLEGAMENTO AL SERVIZIO con l'URI acquisito durante la creazione del collegamento al servizio.

gcloud compute forwarding-rules create psc-ipv4-endpoint --region=$region --network=consumer-vpc --address=psc-ipv4-endpoint-ip --target-service-attachment=[SERVICE ATTACHMENT URI]

Convalidare l'endpoint PSC

Confermiamo che il produttore ha accettato l'endpoint PSC. In Cloud Console, vai a:

Servizi di rete → Private Service Connect → Endpoint collegati

ac858b2db226e58a.png

Testa la connettività

In Cloud Shell, esegui SSH nell'istanza GCE consumer-vm-ipv4.

gcloud compute ssh --zone us-central1-a "consumer-vm-ipv4" --tunnel-through-iap --project $project

Ora che hai eseguito l'accesso all'istanza GCE, esegui un curl all'endpoint PSC, psc-ipv4-endpoint 192.168.11.13

All'interno dell'istanza GCE consumer-vm-ipv4, esegui un comando curl:

curl 192.168.11.13

Risultato previsto:

user@consumer-vm-ipv4:~$ curl 192.168.11.13
Welcome to Producer-VM !!

All'interno dell'istanza GCE consumer-vm-ipv4, esci dall'istanza e torna a Cloud Shell.

exit

Risultato previsto:

user@consumer-vm-ipv4:~$ exit
logout
Connection to compute.6833450446005281720 closed.

13. Crea una VM, un endpoint PSC e testa la connettività dual-stack

Crea la VM di test dual-stack

In Cloud Shell, crea l'istanza GCE a doppio stack nella subnet a doppio stack:

gcloud compute instances create consumer-vm-ipv4-ipv6 --zone=us-central1-a --subnet=consumer-dual-stack-subnet --no-address --stack-type=IPV4_IPV6

Crea l'indirizzo IPv6 statico dell'endpoint PSC

In Cloud Shell, crea un indirizzo IPv6 statico per l'endpoint PSC:

gcloud compute addresses create psc-ipv6-endpoint-ip --region=$region --subnet=psc-dual-stack-endpoint-subnet --ip-version=IPV6

Ottieni l'indirizzo IPv6 statico dell'endpoint PSC

In Cloud Shell, ottieni l'indirizzo IPv6 del PSC che utilizzerai per raggiungere il servizio Producer:

gcloud compute addresses describe psc-ipv6-endpoint-ip --region=us-central1 | grep -i address:

Output di esempio:

user@cloudshell$ gcloud compute addresses describe psc-ipv6-endpoint-ip --region=us-central1 | grep -i address:
address: 'fd20:2eb:7252:2::'

Crea l'endpoint PSC IPv6

In Cloud Shell, crea l'endpoint PSC aggiornando l'URI DEL COLLEGAMENTO AL SERVIZIO con l'URI acquisito durante la creazione del collegamento al servizio.

gcloud compute forwarding-rules create psc-ipv6-endpoint --region=$region --network=consumer-vpc --address=psc-ipv6-endpoint-ip --target-service-attachment=[SERVICE ATTACHMENT URI]

Convalidare l'endpoint PSC

Confermiamo che il produttore ha accettato l'endpoint PSC. In Cloud Console, vai a:

Servizi di rete → Private Service Connect → Endpoint collegati

957b74e89f3ad837.png

Testa la connettività

In Cloud Shell, esegui SSH nell'istanza GCE a doppio stack consumer-vm-ipv4-ipv6 ed esegui un comando curl all'endpoint dei consumer IPv6 di PSC, psc-ipv6-endpoint, per convalidare l'accesso al servizio Producer.

gcloud compute ssh --zone us-central1-a "consumer-vm-ipv4-ipv6" --tunnel-through-iap --project $project

Ora che hai eseguito l'accesso all'istanza GCE a doppio stack, esegui un comando curl all'endpoint psc, psc-dual-stack-endpoint, utilizzando gli indirizzi IPv6 identificati nel passaggio precedente.

All'interno dell'istanza GCE consumer-vm-ipv4-ipv6, esegui un comando curl all'endpoint PSC IPv6 identificato nel passaggio Ottieni l'IPv6 statico dell'endpoint PSC.

curl -6 http://[insert-your-ipv6-psc-endpoint]

Risultato previsto:

user@consumer-vm-ipv4-ipv6$ curl -6 http://[fd20:2eb:7252:2::]
Welcome to Producer-VM !!

All'interno dell'istanza GCE consumer-vm-ipv4-ipv6, esci dall'istanza e torna a Cloud Shell.

exit

Risultato previsto:

user@consumer-vm-ipv4-ipv6:~$ exit
logout
Connection to compute.6162185519072639197 closed.

14. Procedura di pulizia

Eliminare i componenti del lab da un singolo terminale Cloud Shell

gcloud compute service-attachments delete ipv4-producer-svc-attachment --region=us-central1 -q

gcloud compute forwarding-rules delete psc-ipv6-endpoint psc-ipv4-endpoint --region=us-central1 -q

gcloud compute instances delete consumer-vm-ipv4 consumer-vm-ipv4-ipv6 --zone=us-central1-a -q

gcloud compute network-firewall-policies rules delete 1000 --firewall-policy=consumer-vpc-policy --global-firewall-policy -q

gcloud compute network-firewall-policies associations delete --firewall-policy=consumer-vpc-policy  --name=consumer-vpc --global-firewall-policy -q

gcloud compute network-firewall-policies delete consumer-vpc-policy --global -q

gcloud compute addresses delete psc-ipv4-endpoint-ip psc-ipv6-endpoint-ip --region=us-central1 -q

gcloud compute networks subnets delete consumer-v4-subnet psc-ipv4-endpoint-subnet consumer-dual-stack-subnet psc-dual-stack-endpoint-subnet --region=us-central1 -q

gcloud compute networks delete consumer-vpc -q

gcloud compute forwarding-rules delete producer-fr --region=us-central1 -q

gcloud compute backend-services delete producer-backend-svc --region=us-central1 -q

gcloud compute health-checks delete hc-http-80 -q

gcloud compute network-firewall-policies rules delete 2001 --firewall-policy producer-vpc-policy --global-firewall-policy -q

gcloud compute network-firewall-policies rules delete 2000 --firewall-policy producer-vpc-policy --global-firewall-policy -q

gcloud compute network-firewall-policies rules delete 1000 --firewall-policy producer-vpc-policy --global-firewall-policy -q

gcloud compute network-firewall-policies associations delete --firewall-policy=producer-vpc-policy  --name=producer-vpc --global-firewall-policy -q

gcloud compute network-firewall-policies delete producer-vpc-policy --global -q

gcloud compute instance-groups unmanaged delete producer-instance-group --zone=us-central1-a -q

gcloud compute instances delete producer-vm --zone=us-central1-a -q

gcloud compute routers nats delete producer-nat-gw --router=producer-cloud-router --router-region=us-central1 -q

gcloud compute routers delete producer-cloud-router --region=us-central1 -q

gcloud compute networks subnets delete producer-psc-fr-subnet  producer-psc-vm-subnet producer-psc-nat-subnet --region=us-central1 -q

gcloud compute networks delete producer-vpc -q

15. Complimenti

Congratulazioni, hai configurato e convalidato Private Service Connect 64.

Hai creato l'infrastruttura del producer e hai imparato a creare un endpoint consumer IPv4 e IPv6 nella rete VPC del consumer che consenta la connettività al servizio Producer.

Cosmopup pensa che i codelab siano fantastici.

c911c127bffdee57.jpeg

Passaggi successivi

Dai un'occhiata ad alcuni di questi codelab…

Letture e video di approfondimento

Documentazione di riferimento