1. Wprowadzenie
Private Service Connect rewolucjonizuje sposób, w jaki organizacje korzystają z usług w ekosystemie Google Cloud, zapewniając pełną obsługę adresowania IPv6 wraz z IPv4. Łączy w sobie zwiększone bezpieczeństwo, uproszczoną łączność, większą wydajność i scentralizowane zarządzanie, dzięki czemu jest idealnym rozwiązaniem dla firm poszukujących solidnego, niezawodnego i wydajnego modelu korzystania z usług, który jest gotowy na przyszłość sieci. Niezależnie od tego, czy budujesz chmurę hybrydową, udostępniasz usługi w całej organizacji, czy uzyskujesz dostęp do usług innych firm, PSC zapewnia bezproblemową i bezpieczną ścieżkę do wykorzystania pełnego potencjału Google Cloud przy jednoczesnym korzystaniu z zalet protokołu IPv6.
Czego się nauczysz
- Najważniejsze zalety PSC 64
- Obsługiwane tłumaczenie Private Service Connect 64
- Omówienie podwójnego stosu ULA
- Wymagania związane z siecią
- Tworzenie usługi producenta Private Service Connect
- Tworzenie punktu końcowego Private Service Connect
- Nawiązywanie połączenia z punktem końcowym usługi Private Service Connect z maszyny wirtualnej IPv4
- Nawiązywanie połączenia z punktem końcowym Private Service Connect z maszyny wirtualnej z dwoma stosami protokołów
Czego potrzebujesz
- Projekt Google Cloud z uprawnieniami właściciela
2. Co utworzysz
Utworzysz sieć producenta, aby wdrożyć serwer WWW Apache jako opublikowaną usługę za pomocą Private Service Connect (PSC). Po opublikowaniu wykonaj te czynności, aby sprawdzić dostęp do usługi Producer:
- Z sieci VPC konsumenta, instancji GCE IPv4, kieruj ruch do punktu końcowego PSC IPv4, aby uzyskać dostęp do usługi producenta.
- Z sieci VPC konsumenta, instancji GCE z dwoma stosami protokołów, kieruj ruch do punktu końcowego PSC IPv6, aby uzyskać dostęp do usługi producenta.
Najważniejsze zalety PSC 64
- Bezproblemowa integracja: PSC bezproblemowo integruje się z sieciami VPC skonfigurowanymi pod kątem IPv6, co pozwala korzystać z zalet adresowania IPv6 w przypadku połączeń z usługami.
- Obsługa podwójnego stosu: PSC obsługuje konfiguracje z podwójnym stosem, co umożliwia jednoczesne korzystanie z IPv4 i IPv6 w tej samej sieci VPC, zapewniając elastyczność i przyszłościowe rozwiązanie dla Twojej sieci.
- Uproszczone przejście: PSC upraszcza przejście do IPv6, umożliwiając stopniowe wdrażanie IPv6 obok istniejącej infrastruktury IPv4.
- Obsługa producenta: producent nie musi stosować podwójnego stosu. Konsument może wdrożyć punkt końcowy PSC IPv4 lub IPv6.
3. Obsługiwane tłumaczenie Private Service Connect 64 i 66
Kwestie związane z konsumentami
Wersja IP punktu końcowego może być IPv4 lub IPv6, ale nie obie jednocześnie. Klienci mogą używać adresu IPv4, jeśli podsieć adresu jest jednostosowa. Klienci mogą używać adresu IPv4 lub IPv6, jeśli podsieć adresu ma podwójny stos. Konsumenci mogą łączyć punkty końcowe IPv4 i IPv6 z tym samym załącznikiem usługi, co może być przydatne podczas migracji usług do IPv6.
Uwagi dla producentów
Wersja IP reguły przekierowania producenta określa wersję IP przyłącza usługi i ruchu wychodzącego z przyłącza usługi. Wersja IP przyłącza usługi może być IPv4 lub IPv6, ale nie obie jednocześnie. Usługodawcy mogą używać adresu IPv4, jeśli podsieć adresu jest pojedyncza. Producenci mogą używać adresu IPv4 lub IPv6, jeśli podsieć adresu ma podwójny stos.
Wersja IP adresu IP reguły przekazywania producenta musi być zgodna z typem stosu podsieci NAT załącznika usługi.
- Jeśli reguła przekierowania producenta jest IPv4, podsieć NAT może być stosowana w konfiguracji z pojedynczym lub podwójnym stosem.
- Jeśli reguła przekierowania producenta jest IPv6, podsieć NAT musi mieć podwójny stos.
W przypadku obsługiwanych konfiguracji możliwe są te kombinacje:
- Punkt końcowy IPv4 do połączenia z usługą IPv4
- Punkt końcowy IPv6 do połączenia z usługą IPv6
- Punkt końcowy IPv6 do przyłącza usługi IPv4 W tej konfiguracji usługa Private Service Connect automatycznie tłumaczy między tymi 2 wersjami IP.
Te elementy nie są obsługiwane:
Usługa Private Service Connect nie obsługuje łączenia punktu końcowego IPv4 z przyłączem usługi IPv6. W takim przypadku utworzenie punktu końcowego nie powiedzie się i wyświetli się ten komunikat o błędzie:
Reguła przekierowania Private Service Connect z adresem IPv4 nie może kierować ruchu do usługi IPv6.
4. Omówienie podwójnego stosu ULA
Google Cloud obsługuje tworzenie prywatnych podsieci IPv6 ULA i maszyn wirtualnych. RFC 4193 definiuje schemat adresowania IPv6 dla komunikacji lokalnej, który idealnie sprawdza się w przypadku komunikacji w ramach sieci VPC. Adresy ULA nie są routowane globalnie, więc maszyny wirtualne są całkowicie odizolowane od internetu, co zapewnia zachowanie podobne do RFC-1918 przy użyciu protokołu IPv6. Google Cloud umożliwia tworzenie prefiksów ULA sieci VPC /48, dzięki czemu wszystkie podsieci IPv6 ULA /64 są przypisywane z tego zakresu sieci VPC.
Podobnie jak w przypadku globalnie unikalnych zewnętrznych adresów IPv6 obsługiwanych przez Google Cloud, każda podsieć z włączonym adresem IPv6 ULA otrzyma podsieć /64 z zakresu ULA sieci VPC /48, a każdej maszynie wirtualnej zostanie przypisany adres /96 z tej podsieci.
RFC4193 definiuje przestrzeń adresową IPv6 w zakresie fc00::/7. Adresy ULA można przydzielać i używać w sieciach/witrynach prywatnych. Google Cloud przypisuje wszystkie adresy ULA z zakresu fd20::/20. Te adresy są kierowane tylko w obrębie sieci VPC i nie są kierowane w globalnym internecie IPv6.
Adresy ULA przypisane przez Google Cloud są unikalne we wszystkich sieciach VPC. Google Cloud dba o to, aby żadne 2 sieci VPC nie miały przypisanego tego samego prefiksu ULA. Eliminuje to problem z nakładającymi się zakresami w sieciach VPC.
Możesz zezwolić Google Cloud na automatyczne przypisanie do Twojej sieci prefiksu /48 lub wybrać konkretny prefiks IPv6 /48. Jeśli podany prefiks IPv6 jest już przypisany do innej sieci VPC lub do sieci lokalnej, możesz wybrać inny zakres.
5. Wymagania związane z siecią
Poniżej znajdziesz zestawienie wymagań sieciowych dla sieci konsumenckiej i sieci producenta:
Sieć konsumencka (wszystkie komponenty wdrożone w regionie us-central1)
Komponenty | Opis |
VPC | Sieć o stosie podwójnym wymaga sieci VPC w trybie niestandardowym z włączonym adresem ULA |
Punkt końcowy PSC |
|
Podsieci | IPv4 i podwójny stos |
GCE | IPv4 i stos podwójny |
Sieć producenta(wszystkie komponenty wdrożone w regionie us-central1)
Komponenty | Opis |
VPC | Sieć VPC w trybie niestandardowym, ULA nie jest włączona |
Podsieć NAT PSC | IPv4. Pakiety z sieci VPC klienta są tłumaczone za pomocą źródłowego NAT (SNAT), dzięki czemu ich pierwotne źródłowe adresy IP są konwertowane na źródłowe adresy IP z podsieci NAT w sieci VPC producenta. |
Reguła przekierowania PSC | IPv4. Wewnętrzny przekazujący sieciowy system równoważenia obciążenia |
Kontrola stanu | Reguła ruchu przychodzącego, która ma zastosowanie do instancji podlegających równoważeniu obciążenia i zezwalająca na ruch pochodzący z systemów kontroli stanu Google Cloud (130.211.0.0/22 i 35.191.0.0/16). |
Usługa backendu | Usługa backendu pełni funkcję pomostu między systemem równoważenia obciążenia a zasobami backendu. W tym samouczku usługa backendu jest powiązana z niezarządzaną grupą instancji. |
Niezarządzana grupa instancji | Obsługuje maszyny wirtualne, które wymagają indywidualnej konfiguracji lub dostrajania. Nie obsługuje automatycznego skalowania. |
6. Topologia ćwiczeń z programowania
7. Konfiguracja i wymagania
Samodzielne konfigurowanie środowiska
- Zaloguj się w konsoli Google Cloud i utwórz nowy projekt lub użyj istniejącego. Jeśli nie masz jeszcze konta Gmail ani Google Workspace, musisz je utworzyć.
- Nazwa projektu to wyświetlana nazwa uczestników tego projektu. Jest to ciąg znaków, który nie jest używany przez interfejsy API Google. Zawsze możesz ją zaktualizować.
- Identyfikator projektu jest unikalny we wszystkich projektach Google Cloud i nie można go zmienić po ustawieniu. Konsola Cloud automatycznie generuje unikalny ciąg znaków. Zwykle nie musisz się tym przejmować. W większości ćwiczeń z programowania musisz odwoływać się do identyfikatora projektu (zwykle oznaczanego jako
PROJECT_ID). Jeśli wygenerowany identyfikator Ci się nie podoba, możesz wygenerować inny losowy identyfikator. Możesz też spróbować własnej nazwy i sprawdzić, czy jest dostępna. Po tym kroku nie można go zmienić i pozostaje on taki przez cały czas trwania projektu. - Warto wiedzieć, że istnieje trzecia wartość, numer projektu, której używają niektóre interfejsy API. Więcej informacji o tych 3 wartościach znajdziesz w dokumentacji.
- Następnie musisz włączyć płatności w konsoli Cloud, aby korzystać z zasobów i interfejsów API Google Cloud. Wykonanie tego ćwiczenia nie będzie kosztować dużo, a może nawet nic. Aby wyłączyć zasoby i uniknąć naliczania opłat po zakończeniu tego samouczka, możesz usunąć utworzone zasoby lub projekt. Nowi użytkownicy Google Cloud mogą skorzystać z bezpłatnego okresu próbnego, w którym mają do dyspozycji środki w wysokości 300 USD.
Uruchamianie Cloud Shell
Z Google Cloud można korzystać zdalnie na laptopie, ale w tym ćwiczeniu użyjesz Google Cloud Shell, czyli środowiska wiersza poleceń działającego w chmurze.
W konsoli Google Cloud kliknij ikonę Cloud Shell na pasku narzędzi w prawym górnym rogu:
Uzyskanie dostępu do środowiska i połączenie się z nim powinno zająć tylko kilka chwil. Po zakończeniu powinno wyświetlić się coś takiego:
Ta maszyna wirtualna zawiera wszystkie potrzebne narzędzia dla programistów. Zawiera również stały katalog domowy o pojemności 5 GB i działa w Google Cloud, co znacznie zwiększa wydajność sieci i usprawnia proces uwierzytelniania. Wszystkie zadania w tym ćwiczeniu w Codelabs możesz wykonać w przeglądarce. Nie musisz niczego instalować.
8. Zanim zaczniesz
Włącz interfejsy API
W Cloud Shell sprawdź, czy identyfikator projektu jest skonfigurowany:
gcloud config list project gcloud config set project [YOUR-PROJECT-ID] project=[YOUR-PROJECT-ID] region=us-central1 echo $project echo $region
Włącz wszystkie niezbędne usługi:
gcloud services enable compute.googleapis.com
9. Tworzenie sieci VPC producenta
Sieć VPC
W Cloud Shell wykonaj te czynności:
gcloud compute networks create producer-vpc --subnet-mode custom
Tworzenie podsieci
Podsieć PSC będzie powiązana z przyłączem usługi PSC na potrzeby translacji adresów sieciowych. W przypadku produkcyjnych przypadków użycia ta podsieć musi mieć odpowiedni rozmiar, aby obsługiwać ilość ruchu przychodzącego ze wszystkich podłączonych punktów końcowych PSC. Więcej informacji znajdziesz w dokumentacji dotyczącej rozmiaru podsieci NAT usługi PSC.
W Cloud Shell utwórz podsieć NAT PSC:
gcloud compute networks subnets create producer-psc-nat-subnet --network producer-vpc --range 172.16.10.0/28 --region $region --purpose=PRIVATE_SERVICE_CONNECT
W Cloud Shell utwórz podsieć reguły przekierowania producenta:
gcloud compute networks subnets create producer-psc-fr-subnet --network producer-vpc --range 172.16.20.0/28 --region $region --enable-private-ip-google-access
W Cloud Shell utwórz podsieć maszyny wirtualnej producenta:
gcloud compute networks subnets create producer-psc-vm-subnet --network producer-vpc --range 172.16.30.0/28 --region $region --enable-private-ip-google-access
Utwórz bramę Public NAT
Maszyna wirtualna producenta wymaga dostępu do internetu, aby pobrać Apache, ale instancja GCE nie ma zewnętrznego adresu IP. Dlatego Cloud NAT zapewni ruch wychodzący do internetu na potrzeby pobierania pakietów.
W Cloud Shell utwórz router Cloud Router:
gcloud compute routers create producer-cloud-router --network producer-vpc --region us-central1
W Cloud Shell utwórz bramę Cloud NAT, która umożliwia ruch wychodzący do internetu:
gcloud compute routers nats create producer-nat-gw --router=producer-cloud-router --auto-allocate-nat-external-ips --nat-all-subnet-ip-ranges --region us-central1
Tworzenie zasad zapory sieciowej i reguł zapory sieciowej
W Cloud Shell wykonaj te czynności:
gcloud compute network-firewall-policies create producer-vpc-policy --global gcloud compute network-firewall-policies associations create --firewall-policy producer-vpc-policy --network producer-vpc --name producer-vpc --global-firewall-policy
Aby umożliwić IAP połączenie z instancjami maszyn wirtualnych, utwórz regułę zapory sieciowej, która:
- Dotyczy wszystkich instancji maszyn wirtualnych, które mają być dostępne przez IAP.
- Zezwala na ruch przychodzący z zakresu adresów IP 35.235.240.0/20. Ten zakres zawiera wszystkie adresy IP, których IAP używa do przekierowywania TCP.
W Cloud Shell wykonaj te czynności:
gcloud compute network-firewall-policies rules create 1000 --action ALLOW --firewall-policy producer-vpc-policy --description "SSH with IAP" --direction INGRESS --src-ip-ranges 35.235.240.0/20 --layer4-configs tcp:22 --global-firewall-policy
Ta reguła zapory sieciowej zezwala na ruch z zakresu sond kontroli stanu do wszystkich instancji w sieci. W środowisku produkcyjnym ta reguła zapory sieciowej powinna być ograniczona tylko do instancji powiązanych z konkretną usługą producenta.
W Cloud Shell wykonaj te czynności:
gcloud compute network-firewall-policies rules create 2000 --action ALLOW --firewall-policy producer-vpc-policy --description "allow traffic from health check probe range" --direction INGRESS --src-ip-ranges 130.211.0.0/22,35.191.0.0/16 --layer4-configs tcp:80 --global-firewall-policy
Ta reguła zapory sieciowej zezwala na ruch z zakresu podsieci NAT usługi PSC do wszystkich instancji w sieci. W środowisku produkcyjnym ta reguła zapory sieciowej powinna być ograniczona tylko do instancji powiązanych z konkretną usługą producenta.
W Cloud Shell wykonaj te czynności:
gcloud compute network-firewall-policies rules create 2001 --action ALLOW --firewall-policy producer-vpc-policy --description "allow traffic from PSC NAT subnet" --direction INGRESS --src-ip-ranges 172.16.10.0/28 --global-firewall-policy --layer4-configs=tcp
Tworzenie maszyny wirtualnej producenta
W Cloud Shell utwórz serwer WWW Apache producer-vm:
gcloud compute instances create producer-vm \
--project=$project \
--machine-type=e2-micro \
--image-family debian-12 \
--no-address \
--image-project debian-cloud \
--zone us-central1-a \
--subnet=producer-psc-vm-subnet \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install apache2 -y
sudo service apache2 restart
echo 'Welcome to Producer-VM !!' | tee /var/www/html/index.html
EOF"
W Cloud Shell utwórz niezarządzaną grupę instancji składającą się z instancji producer-vm i kontroli stanu:
gcloud compute instance-groups unmanaged create producer-instance-group --zone=us-central1-a gcloud compute instance-groups unmanaged add-instances producer-instance-group --zone=us-central1-a --instances=producer-vm gcloud compute health-checks create http hc-http-80 --port=80
10. Tworzenie usługi producenta
Tworzenie komponentów systemu równoważenia obciążenia
W Cloud Shell wykonaj te czynności:
gcloud compute backend-services create producer-backend-svc --load-balancing-scheme=internal --protocol=tcp --region=us-central1 --health-checks=hc-http-80 gcloud compute backend-services add-backend producer-backend-svc --region=us-central1 --instance-group=producer-instance-group --instance-group-zone=us-central1-a
W poniższej składni utwórz regułę przekierowania (wewnętrzny sieciowy system równoważenia obciążenia) z predefiniowanym adresem IP 172.16.2.3 powiązanym z usługą backendu producer-backend-svc.
W Cloud Shell wykonaj te czynności:
gcloud compute forwarding-rules create producer-fr --region=us-central1 --load-balancing-scheme=internal --network=producer-vpc --subnet=producer-psc-fr-subnet --address=172.16.20.3 --ip-protocol=TCP --ports=all --backend-service=producer-backend-svc --backend-service-region=us-central1
Utwórz załącznik usługi
W Cloud Shell utwórz przyłącze usługi:
gcloud compute service-attachments create ipv4-producer-svc-attachment --region=$region --producer-forwarding-rule=producer-fr --connection-preference=ACCEPT_AUTOMATIC --nat-subnets=producer-psc-nat-subnet
Następnie uzyskaj i zanotuj załącznik usługi wymieniony w identyfikatorze URI selfLink zaczynającym się od „projects”, aby skonfigurować punkt końcowy PSC w środowisku konsumenta.
selfLink: projects/<your-project-id>/regions/us-central1/serviceAttachments/ipv4-producer-svc-attachment
W Cloud Shell wykonaj te czynności:
gcloud compute service-attachments describe ipv4-producer-svc-attachment --region=$region
Przykładowe oczekiwane dane wyjściowe
user@cloudshell:~ (projectid)$ gcloud compute service-attachments describe ipv4-producer-svc-attachment --region=$region connectionPreference: ACCEPT_AUTOMATIC creationTimestamp: '2024-08-26T07:08:01.625-07:00' description: '' enableProxyProtocol: false fingerprint: USOMy1eQKyM= id: '1401660514263708334' kind: compute#serviceAttachment name: ipv4-producer-svc-attachment natSubnets: - https://www.googleapis.com/compute/v1/projects/projectid/regions/us-central1/subnetworks/producer-psc-nat-subnet pscServiceAttachmentId: high: '85245007652455400' low: '1401660514263708334' reconcileConnections: false region: https://www.googleapis.com/compute/v1/projects/projectid/regions/us-central1 selfLink: https://www.googleapis.com/compute/v1/projects/projectid/regions/us-central1/serviceAttachments/ipv4-producer-svc-attachment targetService: https://www.googleapis.com/compute/v1/projects/projectid/regions/us-central1/forwardingRules/producer-fr
W konsoli Cloud otwórz:
Usługi sieciowe → Private Service Connect → Opublikowane usługi
11. Tworzenie sieci VPC konsumenta
Sieć VPC
W Cloud Shell utwórz sieć VPC klienta z włączonym adresem IPv6 ULA:
gcloud compute networks create consumer-vpc \
--subnet-mode=custom \
--enable-ula-internal-ipv6
Google przydziela globalnie unikalną podsieć /48 do sieci VPC klienta. Aby wyświetlić przydział, wykonaj te czynności:
W konsoli Cloud otwórz:
Sieci VPC
Utwórz podsieć
W Cloud Shell utwórz podsieć IPv4 GCE:
gcloud compute networks subnets create consumer-v4-subnet --network consumer-vpc --range=192.168.10.0/28 --region $region --enable-private-ip-google-access
W Cloud Shell utwórz podsieć punktu końcowego PSC IPv4:
gcloud compute networks subnets create psc-ipv4-endpoint-subnet --network consumer-vpc --range=192.168.11.0/28 --region $region --enable-private-ip-google-access
W Cloud Shell utwórz podsieć GCE z podwójnym stosem:
gcloud compute networks subnets create consumer-dual-stack-subnet --network consumer-vpc --range=192.168.20.0/28 --stack-type=IPV4_IPV6 --ipv6-access-type=INTERNAL --region $region --enable-private-ip-google-access
W Cloud Shell utwórz podsieć punktu końcowego PSC z podwójnym stosem:
gcloud compute networks subnets create psc-dual-stack-endpoint-subnet --network consumer-vpc --range=192.168.21.0/28 --stack-type=IPV4_IPV6 --ipv6-access-type=INTERNAL --region $region --enable-private-ip-google-access
Tworzenie zasad zapory sieciowej i reguł zapory sieciowej
W Cloud Shell wykonaj te czynności:
gcloud compute network-firewall-policies create consumer-vpc-policy --global gcloud compute network-firewall-policies associations create --firewall-policy consumer-vpc-policy --network consumer-vpc --name consumer-vpc --global-firewall-policy gcloud compute network-firewall-policies rules create 1000 --action ALLOW --firewall-policy consumer-vpc-policy --description "SSH with IAP" --direction INGRESS --src-ip-ranges 35.235.240.0/20 --layer4-configs tcp:22 --global-firewall-policy
W przypadku sieci konsumenckiej wymagany jest tylko dostęp SSH z IAP.
12. Tworzenie maszyny wirtualnej, punktu końcowego PSC i testowanie łączności IPv4
Utwórz maszynę wirtualną testową
W Cloud Shell utwórz instancję GCE IPv4 w podsieci IPv4:
gcloud compute instances create consumer-vm-ipv4 --zone=us-central1-a --subnet=consumer-v4-subnet --no-address
Tworzenie statycznego adresu IP punktu końcowego PSC
W Cloud Shell utwórz statyczny adres IP dla punktu końcowego PSC.
gcloud compute addresses create psc-ipv4-endpoint-ip --region=$region --subnet=psc-ipv4-endpoint-subnet --addresses 192.168.11.13
Utwórz punkt końcowy PSC IPv4.
W Cloud Shell utwórz punkt końcowy PSC, aktualizując identyfikator URI przyłącza usługi za pomocą identyfikatora URI zarejestrowanego podczas tworzenia przyłącza usługi.
gcloud compute forwarding-rules create psc-ipv4-endpoint --region=$region --network=consumer-vpc --address=psc-ipv4-endpoint-ip --target-service-attachment=[SERVICE ATTACHMENT URI]
Sprawdź punkt końcowy PSC
Sprawdźmy, czy producent zaakceptował punkt końcowy PSC. W konsoli Cloud otwórz:
Usługi sieciowe → Private Service Connect → Połączone punkty końcowe
Sprawdź połączenie
W Cloud Shell połącz się przez SSH z instancją GCE consumer-vm-ipv4.
gcloud compute ssh --zone us-central1-a "consumer-vm-ipv4" --tunnel-through-iap --project $project
Po zalogowaniu się w instancji GCE wykonaj polecenie curl do punktu końcowego PSC, psc-ipv4-endpoint 192.168.11.13
Na instancji GCE consumer-vm-ipv4 wykonaj polecenie curl:
curl 192.168.11.13
Oczekiwane dane wyjściowe:
user@consumer-vm-ipv4:~$ curl 192.168.11.13 Welcome to Producer-VM !!
W instancji GCE consumer-vm-ipv4 wyloguj się z niej, wykonując polecenie exit, wracając do Cloud Shell.
exit
Oczekiwane dane wyjściowe:
user@consumer-vm-ipv4:~$ exit logout Connection to compute.6833450446005281720 closed.
13. Tworzenie maszyny wirtualnej i punktu końcowego PSC oraz testowanie łączności dwustackowej
Utwórz maszynę wirtualną z podwójnym stosem
W Cloud Shell utwórz instancję GCE z podwójnym stosem w podsieci z podwójnym stosem:
gcloud compute instances create consumer-vm-ipv4-ipv6 --zone=us-central1-a --subnet=consumer-dual-stack-subnet --no-address --stack-type=IPV4_IPV6
Tworzenie statycznego adresu IPv6 punktu końcowego PSC
W Cloud Shell utwórz statyczny adres IPv6 dla punktu końcowego PSC:
gcloud compute addresses create psc-ipv6-endpoint-ip --region=$region --subnet=psc-dual-stack-endpoint-subnet --ip-version=IPV6
Uzyskiwanie statycznego adresu IPv6 punktu końcowego PSC
W Cloud Shell uzyskaj adres IPv6 usługi PSC, którego użyjesz do nawiązania połączenia z usługą producenta:
gcloud compute addresses describe psc-ipv6-endpoint-ip --region=us-central1 | grep -i address:
Przykładowe dane wyjściowe:
user@cloudshell$ gcloud compute addresses describe psc-ipv6-endpoint-ip --region=us-central1 | grep -i address: address: 'fd20:2eb:7252:2::'
Utwórz punkt końcowy PSC IPv6.
W Cloud Shell utwórz punkt końcowy PSC, aktualizując identyfikator URI przyłącza usługi za pomocą identyfikatora URI zarejestrowanego podczas tworzenia przyłącza usługi.
gcloud compute forwarding-rules create psc-ipv6-endpoint --region=$region --network=consumer-vpc --address=psc-ipv6-endpoint-ip --target-service-attachment=[SERVICE ATTACHMENT URI]
Sprawdź punkt końcowy PSC
Sprawdźmy, czy producent zaakceptował punkt końcowy PSC. W konsoli Cloud otwórz:
Usługi sieciowe → Private Service Connect → Połączone punkty końcowe
Sprawdź połączenie
W Cloud Shell połącz się przez SSH z instancją GCE z dwoma stosami protokołów, consumer-vm-ipv4-ipv6, i wykonaj polecenie curl do punktu końcowego konsumentów IPv6 PSC, psc-ipv6-endpoint, aby sprawdzić dostęp do usługi producenta.
gcloud compute ssh --zone us-central1-a "consumer-vm-ipv4-ipv6" --tunnel-through-iap --project $project
Po zalogowaniu się w instancji GCE z podwójnym stosem wykonaj polecenie curl w punkcie końcowym usługi PSC, psc-dual-stack-endpoint, używając adresów IPv6 zidentyfikowanych w poprzednim kroku.
Na instancji GCE consumer-vm-ipv4-ipv6 wykonaj polecenie curl do punktu końcowego PSC IPv6 zidentyfikowanego w kroku Uzyskaj statyczny adres IPv6 punktu końcowego PSC.
curl -6 http://[insert-your-ipv6-psc-endpoint]
Oczekiwane dane wyjściowe:
user@consumer-vm-ipv4-ipv6$ curl -6 http://[fd20:2eb:7252:2::] Welcome to Producer-VM !!
W instancji GCE consumer-vm-ipv4-ipv6 wyloguj się z niej, wykonując polecenie exit, aby wrócić do Cloud Shell.
exit
Oczekiwane dane wyjściowe:
user@consumer-vm-ipv4-ipv6:~$ exit logout Connection to compute.6162185519072639197 closed.
14. Procedura czyszczenia
Usuwanie komponentów laboratorium z jednego terminala Cloud Shell
gcloud compute service-attachments delete ipv4-producer-svc-attachment --region=us-central1 -q gcloud compute forwarding-rules delete psc-ipv6-endpoint psc-ipv4-endpoint --region=us-central1 -q gcloud compute instances delete consumer-vm-ipv4 consumer-vm-ipv4-ipv6 --zone=us-central1-a -q gcloud compute network-firewall-policies rules delete 1000 --firewall-policy=consumer-vpc-policy --global-firewall-policy -q gcloud compute network-firewall-policies associations delete --firewall-policy=consumer-vpc-policy --name=consumer-vpc --global-firewall-policy -q gcloud compute network-firewall-policies delete consumer-vpc-policy --global -q gcloud compute addresses delete psc-ipv4-endpoint-ip psc-ipv6-endpoint-ip --region=us-central1 -q gcloud compute networks subnets delete consumer-v4-subnet psc-ipv4-endpoint-subnet consumer-dual-stack-subnet psc-dual-stack-endpoint-subnet --region=us-central1 -q gcloud compute networks delete consumer-vpc -q gcloud compute forwarding-rules delete producer-fr --region=us-central1 -q gcloud compute backend-services delete producer-backend-svc --region=us-central1 -q gcloud compute health-checks delete hc-http-80 -q gcloud compute network-firewall-policies rules delete 2001 --firewall-policy producer-vpc-policy --global-firewall-policy -q gcloud compute network-firewall-policies rules delete 2000 --firewall-policy producer-vpc-policy --global-firewall-policy -q gcloud compute network-firewall-policies rules delete 1000 --firewall-policy producer-vpc-policy --global-firewall-policy -q gcloud compute network-firewall-policies associations delete --firewall-policy=producer-vpc-policy --name=producer-vpc --global-firewall-policy -q gcloud compute network-firewall-policies delete producer-vpc-policy --global -q gcloud compute instance-groups unmanaged delete producer-instance-group --zone=us-central1-a -q gcloud compute instances delete producer-vm --zone=us-central1-a -q gcloud compute routers nats delete producer-nat-gw --router=producer-cloud-router --router-region=us-central1 -q gcloud compute routers delete producer-cloud-router --region=us-central1 -q gcloud compute networks subnets delete producer-psc-fr-subnet producer-psc-vm-subnet producer-psc-nat-subnet --region=us-central1 -q gcloud compute networks delete producer-vpc -q
15. Gratulacje
Gratulujemy. Usługa Private Service Connect 64 została skonfigurowana i zweryfikowana.
Utworzono infrastrukturę producenta i dowiedziano się, jak utworzyć punkt końcowy konsumenta IPv4 i IPv6 w sieci VPC konsumenta, który umożliwia połączenie z usługą producenta.
Cosmopup uważa, że ćwiczenia z programowania są świetne!!
Co dalej?
Sprawdź te ćwiczenia z programowania:
- Korzystanie z Private Service Connect do publikowania i używania usług za pomocą GKE
- Korzystanie z Private Service Connect do publikowania i używania usług
- Łączenie z usługami lokalnymi przez sieć hybrydową przy użyciu usługi Private Service Connect i wewnętrznego systemu równoważenia obciążenia serwera proxy TCP
- Dostęp do wszystkich opublikowanych ćwiczeń z kodem Private Service Connect