Truy cập API Google từ máy chủ tại cơ sở bằng địa chỉ IPv6

1. Giới thiệu

Quyền truy cập riêng tư của Google dành cho các máy chủ lưu trữ tại cơ sở cung cấp cách thức để các hệ thống tại cơ sở kết nối với các API và dịch vụ của Google bằng cách định tuyến lưu lượng truy cập thông qua một đường hầm Cloud VPN hoặc tệp đính kèm VLAN cho giải pháp Cloud Interconnect. Quyền truy cập riêng tư vào Google dành cho máy chủ lưu trữ tại chỗ là một giải pháp thay thế cho việc kết nối với các API và dịch vụ của Google qua Internet.

Tính năng Quyền truy cập riêng của Google dành cho máy chủ cục bộ yêu cầu bạn chuyển hướng các yêu cầu về API Google đến địa chỉ IP ảo (VIP). Đối với IPv6, các địa chỉ IP sau đây được sử dụng:

  • Đối với private.googleapis.com: 2600:2d00:0002:2000::/64
  • Đối với restricted.googleapis.com: 2600:2d00:0002:1000::/64

VIP mà bạn chọn sẽ quyết định dịch vụ bạn có thể sử dụng. Trong lớp học lập trình này, chúng ta sẽ sử dụng private.googleapis.com. Để biết thêm thông tin, hãy xem phần Các lựa chọn về miền.

Lớp học lập trình này mô tả cách bật Quyền truy cập riêng tư của Google cho các máy chủ lưu trữ tại cơ sở sử dụng địa chỉ IPv6. Bạn sẽ thiết lập một mạng lưới VPC có tên là on-premises-vpc để đại diện cho một môi trường tại cơ sở hạ tầng riêng. Để triển khai, hệ thống sẽ không sử dụng vpc tại chỗ mà thay vào đó, hệ thống sẽ sử dụng kết nối mạng kết hợp với trung tâm dữ liệu tại cơ sở hạ tầng riêng hoặc nhà cung cấp dịch vụ đám mây.

Sản phẩm bạn sẽ tạo ra

Trong lớp học lập trình này, bạn sẽ xây dựng một mạng IPv6 hai đầu minh hoạ quyền truy cập tại chỗ vào API bộ nhớ trên đám mây bằng CNAME *.googleapis.com đến private.googleapis.com Địa chỉ IPv6 2600:2d00:0002:2000::/64 như minh hoạ trong Hình 1.

Hình 1

a0fc56abf24f3535.png

Kiến thức bạn sẽ học được

  • Cách tạo mạng VPC ngăn xếp kép
  • Cách tạo VPN HA bằng IPv6
  • Cách cập nhật DNS để truy cập vào tính năng Truy cập riêng tư của Google
  • Cách thiết lập và xác thực kết nối với tính năng Truy cập riêng tư của Google

Bạn cần có

  • Dự án trên Google Cloud

2. Trước khi bắt đầu

Cập nhật dự án để hỗ trợ lớp học lập trình

Lớp học lập trình này sử dụng $variables để hỗ trợ triển khai cấu hình gcloud trong Cloud Shell.

Trong Cloud Shell, hãy thực hiện như sau:

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=YOUR-PROJECT-NAME
echo $projectname

3. Tạo phương tiện công cộng-vpc

f6932f551b5acac0.png

Tạo mạng lưới VPC cho phương tiện công cộng

Trong Cloud Shell, hãy thực hiện như sau:

gcloud compute networks create transit-vpc --project=$projectname --subnet-mode=custom --mtu=1460 --enable-ula-internal-ipv6 --bgp-routing-mode=regional

4. Tạo mạng cục bộ

58d75cbc9cb20a51.pngS

Mạng lưới VPC này đại diện cho một môi trường tại cơ sở hạ tầng riêng.

Tạo mạng VPC tại chỗ

Trong Cloud Shell, hãy thực hiện như sau:

gcloud compute networks create on-premises-vpc --project=$projectname --subnet-mode=custom --mtu=1460 --enable-ula-internal-ipv6 --bgp-routing-mode=regional

Tạo mạng con

Bên trong Cloud Shell, hãy thực hiện như sau:

gcloud compute networks subnets create on-premises-subnet1-us-central1 --project=$projectname --range=172.16.10.0/27 --stack-type=IPV4_IPV6 --ipv6-access-type=INTERNAL --network=on-premises-vpc --region=us-central1

5. Tạo VPN HA (mạng riêng ảo) cho phương tiện vận chuyển-vpc và tại cơ sở-vpc

Tạo HA VPN GW cho transit-vpc

a0fc56abf24f3535.png

Khi mỗi cổng được tạo, hai địa chỉ IPv4 bên ngoài sẽ tự động được phân bổ, mỗi địa chỉ cho một giao diện cổng. Ghi lại các địa chỉ IP này để sử dụng sau này trong các bước định cấu hình.

Bên trong Cloud Shell, hãy tạo HA VPN GW với loại ngăn xếp IPV4_IPV6.

gcloud compute vpn-gateways create transit-vpc-vpngw \
   --network=transit-vpc\
   --region=us-central1 \
   --stack-type=IPV4_IPV6

Tạo HA VPN GW cho tại chỗ-vpc

Bên trong Cloud Shell, tạo HA VPN GW với loại ngăn xếp IPV4_IPV6

gcloud compute vpn-gateways create on-premises-vpc-vpngw \
   --network=on-premises-vpc\
   --region=us-central1 \
   --stack-type=IPV4_IPV6

Xác thực việc tạo HA VPN GW

Sử dụng bảng điều khiển, hãy chuyển đến Khả năng kết nối kết hợp → VPN → CLOUD VPN GATEWAYS.

c8eed6ca929935bc.png

Tạo Cloud Router cho Transit-vpc

Bên trong Cloud Shell, hãy tạo Cloud Router (Trình định tuyến trên đám mây) ở us-central1

gcloud compute routers create transit-vpc-cr-us-central1 \
   --region=us-central1 \
   --network=transit-vpc\
   --asn=65001

Tạo Cloud Router cho cơ sở hạ tầng-vpc

Bên trong Cloud Shell, hãy tạo Cloud Router (Trình định tuyến trên đám mây) ở us-central1

gcloud compute routers create on-premises-vpc-cr-us-central1 \
   --region=us-central1 \
   --network=on-premises-vpc \
   --asn=65002

Tạo đường hầm VPN cho phương thức chuyển tiếp-vpc

Bạn sẽ tạo 2 đường hầm VPN trên mỗi cổng VPN HA.

Tạo đường hầm VPN0

Bên trong Cloud Shell, hãy tạo tunnel0:

gcloud compute vpn-tunnels create transit-vpc-tunnel0 \
    --peer-gcp-gateway on-premises-vpc-vpngw \
    --region us-central1 \
    --ike-version 2 \
    --shared-secret [ZzTLxKL8fmRykwNDfCvEFIjmlYLhMucH] \
    --router transit-vpc-cr-us-central1 \
    --vpn-gateway transit-vpc-vpngw \
    --interface 0

Tạo đường hầm VPN1

Bên trong Cloud Shell, hãy tạo đường hầm 1:

gcloud compute vpn-tunnels create transit-vpc-tunnel1 \
    --peer-gcp-gateway on-premises-vpc-vpngw \
    --region us-central1 \
    --ike-version 2 \
    --shared-secret [bcyPaboPl8fSkXRmvONGJzWTrc6tRqY5] \
    --router transit-vpc-cr-us-central1 \
    --vpn-gateway transit-vpc-vpngw \
    --interface 1

Tạo đường hầm VPN cho on-premises-vpc

Bạn sẽ tạo hai đường hầm VPN trên mỗi cổng VPN HA.

Tạo đường hầm VPN0

Bên trong Cloud Shell, hãy tạo tunnel0:

gcloud compute vpn-tunnels create on-premises-tunnel0 \
    --peer-gcp-gateway transit-vpc-vpngw \
    --region us-central1 \
    --ike-version 2 \
    --shared-secret [ZzTLxKL8fmRykwNDfCvEFIjmlYLhMucH] \
    --router on-premises-vpc-cr-us-central1 \
    --vpn-gateway on-premises-vpc-vpngw \
    --interface 0

Tạo đường hầm VPN1

Bên trong Cloud Shell, hãy tạo đường hầm 1:

gcloud compute vpn-tunnels create on-premises-tunnel1 \
    --peer-gcp-gateway transit-vpc-vpngw \
    --region us-central1 \
    --ike-version 2 \
    --shared-secret [bcyPaboPl8fSkXRmvONGJzWTrc6tRqY5] \
    --router on-premises-vpc-cr-us-central1 \
    --vpn-gateway on-premises-vpc-vpngw \
    --interface 1

Xác thực việc tạo đường hầm VPN

Bằng cách sử dụng bảng điều khiển, hãy chuyển đến Khả năng kết nối kết hợp → VPN → CLOUD VPN TROUNDS.

85fd5aef4b2c4010.pngS

Tạo phiên BGP

Trong phần này, bạn sẽ định cấu hình giao diện Cloud Router và BGP ngang hàng.

Khi tạo các đường hầm VPN cho phép lưu lượng truy cập IPv6, hãy chỉ định --enable-ipv6 khi bạn chạy lệnh add-bgp-peer.

Tạo giao diện BGP và liên kết ngang cho transit-vpc

Bên trong Cloud Shell, hãy tạo giao diện BGP:

gcloud compute routers add-interface transit-vpc-cr-us-central1 \
    --interface-name if-tunnel1-to-onpremise \
    --ip-address 169.254.1.1 \
    --mask-length 30 \
    --vpn-tunnel transit-vpc-tunnel0 \
    --region us-central1

Bên trong Cloud Shell, hãy tạo máy ngang hàng BGP:

gcloud compute routers add-bgp-peer transit-vpc-cr-us-central1 \
    --peer-name bgp-on-premises-tunnel0 \
    --interface if-tunnel1-to-onpremise \
    --peer-ip-address 169.254.1.2 \
    --peer-asn 65002 \
    --region us-central1 \
    --enable-ipv6 \
    --ipv6-nexthop-address 2600:2d00:0:3:0:0:0:1 \
    --peer-ipv6-nexthop-address 2600:2d00:0:3:0:0:0:2

Bên trong Cloud Shell, hãy tạo giao diện BGP:

gcloud compute routers add-interface transit-vpc-cr-us-central1 \
    --interface-name if-tunnel2-to-onpremise \
    --ip-address 169.254.2.1 \
    --mask-length 30 \
    --vpn-tunnel transit-vpc-tunnel1 \
    --region us-central1

Bên trong Cloud Shell, hãy tạo ứng dụng ngang hàng BGP:

gcloud compute routers add-bgp-peer transit-vpc-cr-us-central1 \
    --peer-name bgp-on-premises-tunnel2 \
    --interface if-tunnel2-to-onpremise \
    --peer-ip-address 169.254.2.2 \
    --peer-asn 65002 \
    --region us-central1 \
    --enable-ipv6 \
    --ipv6-nexthop-address 2600:2d00:0:3:0:0:0:11 \
    --peer-ipv6-nexthop-address 2600:2d00:0:3:0:0:0:12

Tạo giao diện BGP và kết nối ngang hàng cho-vpc tại chỗ

Bên trong Cloud Shell, hãy tạo giao diện BGP:

gcloud compute routers add-interface on-premises-vpc-cr-us-central1\
    --interface-name if-tunnel1-to-hub-vpc \
    --ip-address 169.254.1.2 \
    --mask-length 30 \
    --vpn-tunnel on-premises-tunnel0 \
    --region us-central1

Bên trong Cloud Shell, hãy tạo máy ngang hàng BGP:

gcloud compute routers add-bgp-peer on-premises-vpc-cr-us-central1 \
    --peer-name bgp-transit-vpc-tunnel0 \
    --interface if-tunnel1-to-hub-vpc \
    --peer-ip-address 169.254.1.1 \
    --peer-asn 65001 \
    --region us-central1 \
    --enable-ipv6 \
    --ipv6-nexthop-address 2600:2d00:0:3:0:0:0:2 \
    --peer-ipv6-nexthop-address 2600:2d00:0:3:0:0:0:1

Bên trong Cloud Shell, hãy tạo giao diện BGP:

gcloud compute routers add-interface on-premises-vpc-cr-us-central1\
    --interface-name if-tunnel2-to-hub-vpc \
    --ip-address 169.254.2.2 \
    --mask-length 30 \
    --vpn-tunnel on-premises-tunnel1 \
    --region us-central1

Bên trong Cloud Shell, hãy tạo máy ngang hàng BGP:

gcloud compute routers add-bgp-peer  on-premises-vpc-cr-us-central1\
    --peer-name bgp-transit-vpc-tunnel1\
    --interface if-tunnel2-to-hub-vpc \
    --peer-ip-address 169.254.2.1 \
    --peer-asn 65001 \
    --region us-central1 \
    --enable-ipv6 \
    --ipv6-nexthop-address 2600:2d00:0:3:0:0:0:12 \
    --peer-ipv6-nexthop-address 2600:2d00:0:3:0:0:0:11

Chuyển đến phần Kết nối kết hợp → VPN để xem thông tin chi tiết về đường hầm VPN.

e100e31ea22c8124.png

Xác thực rằng Transit-vpc đang học các tuyến IPv4 và IPv6 qua VPN HA

Vì các đường hầm VPN HA và phiên BGP đã được thiết lập, nên các tuyến từ on-premises-vpc được tìm hiểu từ transit-vpc. Sử dụng bảng điều khiển, hãy chuyển đến mạng VPC → mạng VPC → Transit-vpc → ROUTES.

Quan sát các tuyến đường động IPv4 và IPv6 đã học được như minh hoạ dưới đây:

216bde7d08d75ec4.png

Xác thực rằng tại cơ sở-vpc không học các tuyến đường qua VPN HA (mạng riêng ảo)

Transit-vpc không có mạng con, do đó, Bộ định tuyến trên đám mây sẽ không quảng cáo bất kỳ mạng con nào cho on-premises-vpc. Trên bảng điều khiển, hãy chuyển đến Mạng VPC → Mạng VPC → on-premises-vpc → ROUTES (Mạng cục bộ – VPC – Tuyến).

6. Quảng cáo IPv6 private.googleapis.com VIP

Để sử dụng tính năng Quyền truy cập riêng tư của Google từ tại chỗ, bạn cần phải tạo một quảng cáo tuyến đường tuỳ chỉnh từ phương tiện công cộng. Địa chỉ IPv6 2600:2d00:0002:2000:: sẽ được quảng cáo trong môi trường tại cơ sở hạ tầng riêng và được khối lượng công việc dùng để truy cập vào các API của Google, chẳng hạn như Cloud Storage, Cloud BigQuery và Cloud Bigtable sau khi cập nhật DNS cục bộ.

Trong lớp học lập trình này, bạn sẽ cấp quyền truy cập qua API vào hầu hết các API và dịch vụ của Google, bất kể các API và dịch vụ đó có được VPC Service Controls hỗ trợ hay không.

Trên bảng điều khiển, hãy chuyển đến mục Khả năng kết nối kết hợp → Bộ định tuyến đám mây → transit-vpc-cr-us-central1, rồi chọn CHỈNH SỬA.

3e36e3b5ea741ec5.png

Trong phần Tuyến đường được quảng cáo, hãy chọn mục Tạo tuyến đường tuỳ chỉnh, cập nhật các trường dựa trên ví dụ bên dưới, chọn XONG rồi nhấp vào LƯU.

9283aba7b214f70d.png

Xác thực rằng on-premises-vpc đang tìm hiểu các tuyến IPv6

Hiện tại, IPv6 private.googleapis.com VIP được quảng cáo từ Transit-vpc, tại chỗ-vpc sẽ học được các tuyến động IPv6 dành cho VIP. Trên bảng điều khiển, hãy chuyển đến Mạng VPC → Mạng VPC → on-premises-vpc → ROUTES (Mạng cục bộ – VPC – Tuyến).

Quan sát các tuyến IPv6 được quảng cáo từ transit-vpc:

caf3b79b035b2a20.png

7. Thiết lập giao tiếp với các API của Google bằng Quyền truy cập riêng tư vào Google

Trong phần sau, chúng ta sẽ truy cập và xác thực khả năng kết nối với Cloud Storage bằng cách sử dụng VIP private.googleapis.com IPv6. Để làm như vậy, chúng ta cần thực hiện các thao tác sau trong on-premises-vpc.

  • Tạo quy tắc tường lửa cho lưu lượng vào để cho phép truy cập Proxy nhận biết danh tính (IAP) để truy cập SSH.
  • Tạo Cloud Router và Cloud NAT để tải tcpdump và dnsutils xuống.
  • Tạo một vùng Cloud DNS riêng tư cho googleapis.com.
  • Tạo một bộ chứa Cloud Storage.

Tạo quy tắc tường lửa IAP

Để cho phép IAP kết nối với các phiên bản máy ảo của bạn, hãy tạo một quy tắc tường lửa:

  • Áp dụng cho tất cả các thực thể máy ảo mà bạn muốn truy cập được bằng cách sử dụng IAP.
  • Cho phép lưu lượng truy cập vào từ dải IP 35.235.240.0/20. Dải ô này chứa tất cả địa chỉ IP mà IAP sử dụng để chuyển tiếp TCP.

Bên trong Cloud Shell, hãy tạo quy tắc tường lửa cho IAP.

gcloud compute firewall-rules create ssh-iap-on-premises-vpc \
    --network on-premises-vpc \
    --allow tcp:22 \
    --source-ranges=35.235.240.0/20

Cấu hình Cloud Router và NAT

Cloud NAT được dùng trong lớp học lập trình để cài đặt gói phần mềm vì phiên bản VM không có địa chỉ IP bên ngoài.

Bên trong Cloud Shell, hãy tạo Cloud Router.

gcloud compute routers create on-premises-cr-us-central1-nat --network on-premises-vpc --region us-central1

Bên trong Cloud Shell, hãy tạo cổng NAT.

gcloud compute routers nats create on-premises-nat-us-central1 --router=on-premises-cr-us-central1-nat --auto-allocate-nat-external-ips --nat-all-subnet-ip-ranges --region us-central1

Tạo một thực thể kiểm thử, on-premises-testbox

Tạo một thực thể kiểm thử sẽ được dùng để kiểm thử và xác thực khả năng kết nối với VIP private.googleapis.com IPv6.

Bên trong Cloud Shell, hãy tạo một thực thể.

gcloud compute instances create on-premises-testbox \
    --project=$projectname \
    --machine-type=e2-micro \
    --stack-type=IPV4_IPV6 \
    --image-family debian-10 \
    --no-address \
    --image-project debian-cloud \
    --zone us-central1-a \
    --subnet=on-premises-subnet1-us-central1 \
    --metadata startup-script="#! /bin/bash
      sudo apt-get update
      sudo apt-get install tcpdump -y
      sudo apt-get install dnsutils -y"

Tạo vùng riêng tư Cloud DNS

Chúng tôi sẽ sử dụng Cloud DNS để tạo một vùng riêng tư và bản ghi cho *.googleapis.com, dưới đây là các bước bắt buộc.

Bên trong Cloud Shell, hãy tạo một vùng DNS riêng tư v6-googleapis.com.

gcloud dns --project=$projectname managed-zones create v6-googleapis --description="" --dns-name="googleapis.com." --visibility="private" --networks="on-premises-vpc"

Bên trong Cloud Shell, hãy tạo bản ghi AAAA cho private.googleapis.com trỏ đến địa chỉ IPv6 2600:2d00:0002:2000::.

gcloud dns --project=$projectname record-sets create private.googleapis.com. --zone="v6-googleapis" --type="AAAA" --ttl="300" --rrdatas="2600:2d00:0002:2000::"

Trong Cloud Shell, hãy tạo một CNAME cho *.googleapis.com để trỏ đến private.googleapis.com.

gcloud dns --project=$projectname record-sets create *.googleapis.com. --zone="v6-googleapis" --type="CNAME" --ttl="300" --rrdatas="private.googleapis.com."

Xác thực vùng DNS riêng của Cloud DNS

Chuyển đến phần Dịch vụ mạng → Cloud DNS → v6-googleapis.

455e355195a2a48f.png

Tạo bộ chứa Cloud Storage

Trong Cloud Shell, hãy tạo một bộ chứa trên Google Cloud Storage và thay thế bucket_name bằng một tên duy nhất trên toàn cầu mà bạn muốn, thử một tên khác nếu tên đó đã được sử dụng.

gsutil mb  -l us-central1 -b on gs://bucket_name

8. Truy cập và xác thực API của Google bằng địa chỉ IPv6

Trong phần tiếp theo, bạn sẽ thực hiện SSH trên hai thiết bị đầu cuối Cloud Shell. Thiết bị đầu tiên đầu tiên được dùng để xác thực hoạt động tra cứu IPv6 bằng tcpdump, còn thiết bị thứ hai được dùng để truy cập vào bộ chứa Cloud Storage.

Bên trong Cloud Shell, hãy thực hiện một Ssh để kiểm thử thực thể on-premises-testbox (hộp kiểm thử tại chỗ).

 gcloud compute ssh --zone "us-central1-a" "on-premises-testbox" --project "$projectname"

Bên trong cửa sổ dòng lệnh Cloud Shell 1, hãy khởi động tcpdump và theo dõi cổng 53 để biết lưu lượng truy cập DNS.

sudo tcpdump -nn -i ens4 port 53

Ví dụ bên dưới.

user@on-premises-testbox:~$ sudo tcpdump -nn -i ens4 port 53

Mở một thiết bị đầu cuối Cloud Shell mới bằng cách chọn dấu "+". Sau khi mở thẻ mới, hãy cập nhật biến tên dự án.

Bên trong Cloud Shell, hãy cập nhật biến tên dự án.

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=YOUR-PROJECT-NAME
echo $projectname

Bên trong Cloud Shell 2, hãy thực hiện lệnh ssh để kiểm thử thực thể on-premises-testbox.

gcloud compute ssh --zone "us-central1-a" "on-premises-testbox" --project "$projectname"

Thực hiện lệnh dig để xác thực việc tra cứu DNS

Trong thiết bị đầu cuối Cloud Shell thứ hai, hãy thực hiện lệnh dig đối với storage.googleapis.com.

dig AAAA storage.googleapis.com

Kiểm tra PHẦN TRẢ LỜI, kho lưu trữ vùng DNS riêng tư.googleapis.com CNAME cho private.googleapis.com AAAA 2600:2d00:2:2000::, ví dụ bên dưới:

user@on-premises-testbox:~$ dig AAAA storage.googleapis.com

; <<>> DiG 9.11.5-P4-5.1+deb10u8-Debian <<>> AAAA storage.googleapis.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2782
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;storage.googleapis.com.                IN      AAAA

;; ANSWER SECTION:
storage.googleapis.com. 300     IN      CNAME   private.googleapis.com.
private.googleapis.com. 300     IN      AAAA    2600:2d00:2:2000::

;; Query time: 9 msec
;; SERVER: 169.254.169.254#53(169.254.169.254)
;; WHEN: Mon Feb 20 01:56:33 UTC 2023
;; MSG SIZE  rcvd: 101

Bên trong thiết bị đầu cuối Cloud Shell 1, hãy kiểm tra tcpdump để xác nhận thêm việc phân giải DNS thành AAAA 2600:2d00:2:2000::.

user@on-premises-testbox:~$ sudo tcpdump -nn -i ens4 port 53
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens4, link-type EN10MB (Ethernet), capture size 262144 bytes
01:56:33.473208 IP 172.16.10.3.41476 > 169.254.169.254.53: 2782+ [1au] AAAA? storage.googleapis.com. (63)
01:56:33.482580 IP 169.254.169.254.53 > 172.16.10.3.41476: 2782 2/0/1 CNAME private.googleapis.com., AAAA 2600:2d00:2:2000:: (101)

Dựa trên dig và tcpdump, chúng ta có thể kết luận rằng việc phân giải DNS đến storage.googleapis.com được thực hiện thông qua 2600:2d00:2:2000::, địa chỉ IPv6 cho private.googleapis.com.

Thực hiện lệnh gsutil list để xác thực quyền truy cập vào bộ nhớ trên đám mây

Bên trong thiết bị đầu cuối Cloud Shell thứ hai, hãy thực hiện danh sách đối với bộ nhớ đã tạo trước đó bằng gsutil. Thay đổi bucket_name thành bộ chứa mà bạn đã tạo trước đó.

gsutil -d ls gs://bucket_name

Ví dụ sử dụng bộ nhớ trên đám mây codelab-ipv6, kiểm tra kết quả gỡ lỗi cho biết storage.googleapis.comHTTP/1.1 200 OK.

user@on-premises-testbox:~$ gsutil -d ls gs://codelab-ipv6
***************************** WARNING *****************************
*** You are running gsutil with debug output enabled.
*** Be aware that debug output includes authentication credentials.
*** Make sure to remove the value of the Authorization header for
*** each HTTP request printed to the console prior to posting to
*** a public medium such as a forum post or Stack Overflow.
***************************** WARNING *****************************
gsutil version: 5.19
checksum: 49a18b9e15560adbc187bab09c51b5fd (OK)
boto version: 2.49.0
python version: 3.9.16 (main, Jan 10 2023, 02:29:25) [Clang 12.0.1 ]
OS: Linux 4.19.0-23-cloud-amd64
multiprocessing available: True
using cloud sdk: True
pass cloud sdk credentials to gsutil: True
config path(s): /etc/boto.cfg
gsutil path: /usr/lib/google-cloud-sdk/bin/gsutil
compiled crcmod: True
installed via package manager: False
editable install: False
shim enabled: False
Command being run: /usr/lib/google-cloud-sdk/platform/gsutil/gsutil -o GSUtil:default_project_id=myprojectid -o GoogleCompute:service_account=default -d ls gs://codelab-ipv6
config_file_list: ['/etc/boto.cfg']
config: [('working_dir', '/mnt/pyami'), ('debug', '0'), ('https_validate_certificates', 'true'), ('working_dir', '/mnt/pyami'), ('debug', '0'), ('default_project_id', 'myproject'), ('default_api_version', '2')]
DEBUG 0220 02:01:14.713012 multiprocess_file_storage.py] Read credential file
INFO 0220 02:01:14.714742 base_api.py] Calling method storage.objects.list with StorageObjectsListRequest: <StorageObjectsListRequest
 bucket: 'codelab-ipv6'
 delimiter: '/'
 maxResults: 1000
 projection: ProjectionValueValuesEnum(noAcl, 1)
 versions: False>
INFO 0220 02:01:14.715939 base_api.py] Making http GET to https://storage.googleapis.com/storage/v1/b/codelab-ipv6/o?alt=json&fields=prefixes%2Citems%2Fname%2CnextPageToken&delimiter=%2F&maxResults=1000&projection=noAcl&versions=False
INFO 0220 02:01:14.716369 base_api.py] Headers: {'accept': 'application/json',
 'accept-encoding': 'gzip, deflate',
 'content-length': '0',
 'user-agent': 'apitools Python/3.9.16 gsutil/5.19 (linux) analytics/disabled '
               'interactive/True command/ls google-cloud-sdk/416.0.0'}
INFO 0220 02:01:14.716875 base_api.py] Body: (none)
connect: (storage.googleapis.com, 443)
send: b'GET /storage/v1/b/codelab-ipv6/o?alt=json&fields=prefixes%2Citems%2Fname%2CnextPageToken&delimiter=%2F&maxResults=1000&projection=noAcl&versions=False HTTP/1.1\r\nHost: storage.googleapis.com\r\ncontent-length: 0\r\nuser-agent: apitools Python/3.9.16 gsutil/5.19 (linux) analytics/disabled
<SNIP>
reply: 'HTTP/1.1 200 OK\r\n'
header: X-GUploader-UploadID: ADPycdvunHlbN1WQBxDr_LefzLaH_HY1bBH22X7IxX9sF1G2Yo_7-nhYwjxUf6N7AF9Zg_JDwPxYtuNJiFutfd6qauEfohYPs7mE
header: Content-Type: application/json; charset=UTF-8
header: Date: Mon, 20 Feb 2023 02:01:14 GMT
header: Vary: Origin
header: Vary: X-Origin
header: Cache-Control: private, max-age=0, must-revalidate, no-transform
header: Expires: Mon, 20 Feb 2023 02:01:14 GMT
header: Content-Length: 3
header: Server: UploadServer
INFO 0220 02:01:14.803286 base_api.py] Response of type Objects: <Objects
 items: []
 prefixes: []>
user@on-premises-testbox:~$ 

Bên trong thiết bị đầu cuối số một của Cloud Shell, hãy kiểm tra tcpdump để xác nhận thêm độ phân giải DNS thành AAAA 2600:2d00:2:2000::.

eepakmichael@on-premises-testbox:~$ sudo tcpdump -nn -i ens4 port 53
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens4, link-type EN10MB (Ethernet), capture size 262144 bytes
02:01:14.725000 IP 172.16.10.3.48792 > 169.254.169.254.53: 7056+ A? storage.googleapis.com. (40)
02:01:14.725106 IP 172.16.10.3.48792 > 169.254.169.254.53: 50841+ AAAA? storage.googleapis.com. (40)
02:01:14.732516 IP 169.254.169.254.53 > 172.16.10.3.48792: 50841 2/0/0 CNAME private.googleapis.com., AAAA 2600:2d00:2:2000:: (90)

Thoát khỏi hệ điều hành thực thể của hộp kiểm thử tại chỗ và quay lại lời nhắc của Cloud Shell.

9. Dọn dẹp

Trong Cloud Shell, hãy thực hiện như sau:

gcloud compute vpn-tunnels delete transit-vpc-tunnel0 transit-vpc-tunnel1 on-premises-tunnel1   --region=us-central1 --quiet

gcloud compute vpn-tunnels delete on-premises-tunnel0 on-premises-tunnel1 --region=us-central1 --quiet

gcloud compute vpn-gateways delete on-premises-vpc-vpngw transit-vpc-vpngw --region=us-central1 --quiet

gcloud compute routers delete transit-vpc-cr-us-central1  on-premises-vpc-cr-us-central1 on-premises-cr-us-central1-nat --region=us-central1 --quiet

gcloud compute instances delete on-premises-testbox --zone=us-central1-a --quiet

gcloud compute networks subnets delete on-premises-subnet1-us-central1 --region=us-central1 --quiet

gcloud compute firewall-rules delete ssh-iap-on-premises-vpc --quiet

gcloud compute networks delete on-premises-vpc --quiet


gcloud compute networks delete transit-vpc --quiet

gsutil rb gs://bucket_name

gcloud dns record-sets delete *.googleapis.com. \
    --type=CNAME \
    --zone=v6-googleapis
        
gcloud dns record-sets delete private.googleapis.com. \
        --type=AAAA \
        --zone=v6-googleapis
        
gcloud dns managed-zones delete v6-googleapis

10. Xin chúc mừng

Xin chúc mừng! Bạn đã định cấu hình và xác thực thành công quyền truy cập riêng của Google bằng IPv6.

Bạn đã tạo cơ sở hạ tầng cho phương tiện công cộng và cơ sở hạ tầng tại chỗ, đồng thời tạo một vùng DNS riêng tư cho phép phân giải các miền API của Google thông qua IPv6. Bạn đã tìm hiểu cách kiểm thử và xác thực quyền truy cập IPv6 bằng cách sử dụng lệnh dig và bộ nhớ trên đám mây.

Cosmopup cho rằng lớp học lập trình thật tuyệt vời!!

8c2a10eb841f7b01.jpeg

Tiếp theo là gì?

Hãy xem một số lớp học lập trình này...

Tài liệu đọc thêm và video

Tài liệu tham khảo