Private Service Connect-Schnittstelle

1. Einführung

Eine Private Service Connect-Schnittstelle ist eine Ressource, mit der das VPC-Netzwerk (Virtual Private Cloud) eines Erstellers Verbindungen zu verschiedenen Zielen in einem Nutzer-VPC-Netzwerk initiieren kann. Ersteller- und Nutzernetzwerke können sich in verschiedenen Projekten und Organisationen befinden.

Wenn ein Netzwerkanhang eine Verbindung von einer Private Service Connect-Schnittstelle akzeptiert, weist Google Cloud der Schnittstelle eine IP-Adresse aus einem vom Netzwerkanhang bestimmten Nutzersubnetz zu. Die Nutzer- und Erstellernetzwerke sind verbunden und können über interne IP-Adressen kommunizieren.

Eine Verbindung zwischen einem Netzwerkanhang und einer Private Service Connect-Schnittstelle ähnelt der Verbindung zwischen einem Private Service Connect-Endpunkt und einem Dienstanhang. Es gibt dabei aber zwei wichtige Unterschiede:

• Mit einem Netzwerkanhang kann ein Erstellernetzwerk Verbindungen zu einem Nutzernetzwerk initiieren (verwalteter ausgehender Dienst), während ein Endpunkt es einem Nutzernetzwerk ermöglicht, Verbindungen zu einem Erstellernetzwerk zu initiieren (verwalteter Dienst).
• Private Service Connect-Schnittstellenverbindungen sind transitiv. Dies bedeutet, dass ein Erstellernetzwerk mit anderen Netzwerken kommunizieren kann, die mit dem Nutzernetzwerk verbunden sind.

Aufgaben

In dieser Anleitung erstellen Sie eine umfassende Private Service Connect-Schnittstellenarchitektur, die Cloud-Firewall-Regeln verwendet, um die Verbindung vom Ersteller zum Rechenzentrum des Nutzers zuzulassen oder zu verweigern, wie in Abbildung 1 dargestellt.

Abbildung 1

Sie erstellen einen einzelnen psc-network-attachment im Nutzer-VPC. Dies hat folgende Anwendungsfälle zur Folge:

1. Cloud-Firewallregel erstellen, um den Zugriff von „Bär“ auf „Löwe“ zuzulassen
2. Cloud-Firewallregel erstellen, um den Zugriff von Bär auf Tiger zu verweigern
3. Cloud-Firewallregel erstellen, um den Zugriff von cosmo auf bear zuzulassen

Aufgaben in diesem Lab

• Netzwerkanhang erstellen
• So erstellt ein Produzent mit einem Netzwerkanhang eine PSC-Schnittstelle
• Kommunikation zwischen Produzent und Verbraucher herstellen
• Zugriff von der Ersteller-VM (Bär) auf die Nutzer-VM (Löwe) zulassen
• Zugriff von der VM „Ersteller“ (Bär) auf die VM „Nutzer“ (Tiger) blockieren
• Zugriff von der Nutzer-VM (cosmo) auf die Ersteller-VM (bear) zulassen

Voraussetzungen

• Google Cloud-Projekt
• IAM-Berechtigungen
• Compute-Netzwerkadministrator (roles/compute.networkAdmin)
• Compute-Instanzadministrator (roles/compute.instanceAdmin)
• Compute-Sicherheitsadministrator (roles/compute.securityAdmin)

2. Hinweis

Projekt für die Anleitung aktualisieren

In dieser Anleitung werden $-Variablen verwendet, um die Implementierung der gcloud-Konfiguration in Cloud Shell zu unterstützen.

Führen Sie in Cloud Shell folgende Schritte aus:

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid

3. Einrichtung für Verbraucher

Nutzer-VPC erstellen

Führen Sie in Cloud Shell folgende Schritte aus:

gcloud compute networks create consumer-vpc --project=$projectid --subnet-mode=custom

Nutzersubnetze erstellen

Führen Sie in Cloud Shell folgende Schritte aus:

gcloud compute networks subnets create lion-subnet-1 --project=$projectid --range=192.168.20.0/28 --network=consumer-vpc --region=us-central1

Führen Sie in Cloud Shell folgende Schritte aus:

gcloud compute networks subnets create tiger-subnet-1 --project=$projectid --range=192.168.30.0/28 --network=consumer-vpc --region=us-central1

Führen Sie in Cloud Shell folgende Schritte aus:

gcloud compute networks subnets create cosmo-subnet-1 --project=$projectid --range=192.168.40.0/28 --network=consumer-vpc --region=us-central1

Subnetz für den Private Service Connect-Netzwerkanhang erstellen

Führen Sie in Cloud Shell folgende Schritte aus:

gcloud compute networks subnets create intf-subnet --project=$projectid --range=192.168.10.0/28 --network=consumer-vpc --region=us-central1

Cloud Router- und NAT-Konfiguration

In dieser Anleitung wird Cloud NAT für die Installation des Softwarepakets verwendet, da die VM-Instanz keine öffentliche IP-Adresse hat. Cloud NAT ermöglicht es VMs mit privaten IP-Adressen, auf das Internet zuzugreifen.

Erstellen Sie in Cloud Shell den Cloud Router.

gcloud compute routers create cloud-router-for-nat --network consumer-vpc --region us-central1

Erstellen Sie in Cloud Shell das NAT-Gateway.

gcloud compute routers nats create cloud-nat-us-central1 --router=cloud-router-for-nat --auto-allocate-nat-external-ips --nat-all-subnet-ip-ranges --region us-central1

4. IAP aktivieren

Damit IAP eine Verbindung zu Ihren VM-Instanzen herstellen kann, erstellen Sie eine Firewallregel, die:

• Gilt für alle VM-Instanzen, die über IAP zugänglich sein sollen.
• Lässt eingehenden Traffic aus dem IP-Bereich 35.235.240.0/20 zu. Dieser Bereich enthält alle IP-Adressen, die IAP für die TCP-Weiterleitung verwendet.

Erstellen Sie in Cloud Shell die IAP-Firewallregel.

gcloud compute firewall-rules create ssh-iap-consumer \
    --network consumer-vpc \
    --allow tcp:22 \
    --source-ranges=35.235.240.0/20

5. VM-Instanzen für Nutzer erstellen

Erstellen Sie in Cloud Shell die VM-Instanz „lion“.

gcloud compute instances create lion \
    --project=$projectid \
    --machine-type=e2-micro \
    --image-family debian-11 \
    --no-address \
    --image-project debian-cloud \
    --zone us-central1-a \
    --subnet=lion-subnet-1 \
    --metadata startup-script="#! /bin/bash
      sudo apt-get update
      sudo apt-get install tcpdump
      sudo apt-get install apache2 -y
      sudo service apache2 restart
      echo 'Welcome to the lion app server !!' | tee /var/www/html/index.html
      EOF"

Erstellen Sie in Cloud Shell die VM-Instanz „tiger“.

gcloud compute instances create tiger \
    --project=$projectid \
    --machine-type=e2-micro \
    --image-family debian-11 \
    --no-address \
    --image-project debian-cloud \
    --zone us-central1-a \
    --subnet=tiger-subnet-1 \
    --metadata startup-script="#! /bin/bash
      sudo apt-get update
      sudo apt-get install tcpdump
      sudo apt-get install apache2 -y
      sudo service apache2 restart
      echo 'Welcome to the tiger app server !!' | tee /var/www/html/index.html
      EOF"

Erstellen Sie in Cloud Shell die VM-Instanz „cosmo“.

gcloud compute instances create cosmo \
    --project=$projectid \
    --machine-type=e2-micro \
    --image-family debian-11 \
    --no-address \
    --image-project debian-cloud \
    --zone us-central1-a \
    --subnet=cosmo-subnet-1 \
    --metadata startup-script="#! /bin/bash
      sudo apt-get update
      sudo apt-get install tcpdump
      sudo apt-get install apache2 -y
      sudo service apache2 restart
      echo 'Welcome to the cosmo app server !!' | tee /var/www/html/index.html
      EOF"

Rufen Sie die IP-Adressen der Instanzen ab und speichern Sie sie:

Führen Sie in Cloud Shell den Befehl „describe“ für die VM-Instanzen „lion“ und „tiger“ aus.

gcloud compute instances describe lion --zone=us-central1-a | grep  networkIP:

gcloud compute instances describe tiger --zone=us-central1-a | grep  networkIP:

gcloud compute instances describe cosmo --zone=us-central1-a | grep  networkIP:

6. Private Service Connect-Netzwerkanhang

Netzwerkanhänge sind regionale Ressourcen, die die Nutzerseite einer Private Service Connect-Schnittstelle darstellen. Sie ordnen einem Netzwerkanhang ein einzelnes Subnetz zu und der Ersteller weist der Private Service Connect-Schnittstelle IP-Adressen aus diesem Subnetz zu. Das Subnetz muss sich in derselben Region wie der Netzwerkanhang befinden. Netzwerkanhänge müssen sich in derselben Region wie deren Produzentendienst befinden.

Netzwerkanhang erstellen

Erstellen Sie in Cloud Shell den Netzwerkanhang.

gcloud compute network-attachments create psc-network-attachment \
    --region=us-central1 \
    --connection-preference=ACCEPT_MANUAL \
    --producer-accept-list=$projectid \
    --subnets=intf-subnet

Netzwerkanhänge auflisten

Listen Sie in Cloud Shell die Netzwerkverbindung auf.

gcloud compute network-attachments list

Netzwerkanhänge beschreiben

Beschreiben Sie in Cloud Shell den Netzwerkanschluss.

gcloud compute network-attachments describe psc-network-attachment --region=us-central1

Notieren Sie sich den URI des psc-network-attachments, der vom Produzenten beim Erstellen der Private Service Connect-Schnittstelle verwendet wird. Beispiel unten:

user@cloudshell$ gcloud compute network-attachments describe psc-network-attachment --region=us-central1 
connectionPreference: ACCEPT_MANUAL
creationTimestamp: '2023-06-06T20:57:12.623-07:00'
fingerprint: 4Yq6xAfaRO0=
id: '3235195049527328503'
kind: compute#networkAttachment
name: psc-network-attachment
network: https://www.googleapis.com/compute/v1/projects/$projectid/global/networks/consumer-vpc
producerAcceptLists:
- $projectid
region: https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1
selfLink: https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/networkAttachments/psc-network-attachment
subnetworks:
- https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/subnetworks/intf-subnet

7. Einrichtung des Erstellers

VPC-Netzwerk für den Ersteller erstellen

Führen Sie in Cloud Shell folgende Schritte aus:

gcloud compute networks create producer-vpc --project=$projectid --subnet-mode=custom

Produzentsubnetze erstellen

Erstellen Sie in Cloud Shell das Subnetz, das für die vNIC0 der psc-Schnittstelle verwendet wird.

gcloud compute networks subnets create prod-subnet --project=$projectid --range=10.20.1.0/28 --network=producer-vpc --region=us-central1

8. IAP aktivieren

Damit IAP eine Verbindung zu Ihren VM-Instanzen herstellen kann, erstellen Sie eine Firewallregel, die:

• Gilt für alle VM-Instanzen, die über IAP zugänglich sein sollen.
• Lässt eingehenden Traffic aus dem IP-Bereich 35.235.240.0/20 zu. Dieser Bereich enthält alle IP-Adressen, die IAP für die TCP-Weiterleitung verwendet.

Erstellen Sie in Cloud Shell die IAP-Firewallregel.

gcloud compute firewall-rules create ssh-iap-producer \
    --network producer-vpc \
    --allow tcp:22 \
    --source-ranges=35.235.240.0/20

9. Private Service Connect-Schnittstelle erstellen

Eine Private Service Connect-Schnittstelle ist eine Ressource, mit der das VPC-Netzwerk (Virtual Private Cloud) eines Erstellers Verbindungen zu verschiedenen Zielen in einem Nutzer-VPC-Netzwerk initiieren kann. Ersteller- und Nutzernetzwerke können sich in verschiedenen Projekten und Organisationen befinden.

Wenn ein Netzwerkanhang eine Verbindung von einer Private Service Connect-Schnittstelle akzeptiert, weist Google Cloud der Schnittstelle eine IP-Adresse aus einem vom Netzwerkanhang bestimmten Nutzersubnetz zu. Die Nutzer- und Erstellernetzwerke sind verbunden und können über interne IP-Adressen kommunizieren.

Erstellen Sie in der Cloud Shell die Private Service Connect-Schnittstelle (bear) und fügen Sie den zuvor ermittelten psc-network-attachment-URI aus der Ausgabe der Beschreibung des Netzwerkanhangs ein.

gcloud compute instances create bear --zone us-central1-a --machine-type=f1-micro --can-ip-forward --network-interface subnet=prod-subnet,network=producer-vpc,no-address --network-interface network-attachment=https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/networkAttachments/psc-network-attachment

Multi-NIC-Validierung

Prüfen Sie, ob die PSC-Schnittstelle mit der richtigen IP-Adresse konfiguriert ist. vNIC0 verwendet das Prod-Subnetz des Producers (10.20.1.0/28) und vNIC1 das Intf-Subnetz des Verbrauchers (192.168.10.0/28).

gcloud compute instances describe bear --zone=us-central1-a | grep networkIP:

Beispiel:

user$ gcloud compute instances describe bear --zone=us-central1-a | grep networkIP:
  networkIP: 10.20.1.2
  networkIP: 192.168.10.2

10. Firewallregeln für Verbraucher aktualisieren

Cloud-Firewallregel erstellen, um den Zugriff von „bär“ auf „löwe“ zuzulassen

Erstellen Sie in Cloud Shell eine Regel mit höherer Priorität, die den ausgehenden Traffic aus dem IP-Adressbereich von „attachment-subnet“ (intf-subnet) an Ziele im Adressbereich von „lion-subnet-1“ zulässt.

gcloud compute firewall-rules create allow-limited-egress-to-lion \
    --network=consumer-vpc \
    --action=ALLOW \
    --rules=ALL \
    --direction=EGRESS \
    --priority=1000 \
    --source-ranges="192.168.10.0/28" \
    --destination-ranges="192.168.20.0/28" \
    --enable-logging

Erstellen Sie in Cloud Shell eine Regel zum Zulassen von eingehendem Traffic, die die implizite Regel zum Ablehnen von eingehendem Traffic für Traffic aus dem Subnetz „psc-network-attachment“ überschreibt.

gcloud compute firewall-rules create allow-ingress \
--network=consumer-vpc \
--action=ALLOW \
--rules=ALL \
--direction=INGRESS \
--priority=1000 \
--source-ranges="192.168.10.0/28" \
--enable-logging

Cloud-Firewallregel erstellen, die den Zugriff von „bear“ auf alle Bereiche (einschließlich „tiger“) ablehnt

Erstellen Sie in der Cloud Shell eine Regel mit niedriger Priorität, die den gesamten ausgehenden Traffic aus dem IP-Adressbereich des Subnetzes des Netzwerkanhangs, intf-subnet, ablehnt.

gcloud compute firewall-rules create deny-all-egress \
    --network=consumer-vpc \
    --action=DENY \
    --rules=ALL \
    --direction=EGRESS \
    --priority=65534 \
    --source-ranges="192.168.10.0/28" \
    --destination-ranges="0.0.0.0/0" \
    --enable-logging

Cloud-Firewallregel erstellen, um den Zugriff von „cosmo“ auf „bear“ zuzulassen

Erstellen Sie in Cloud Shell eine Regel zum Zulassen von eingehendem Traffic, die die implizite Regel zum Ablehnen von eingehendem Traffic für Traffic aus dem Subnetz „psc-network-attachment“ überschreibt.

gcloud compute firewall-rules create vm-subnet-allow-ingress \
    --network=consumer-vpc \
    --action=ALLOW \
    --rules=ALL \
    --direction=INGRESS \
    --priority=1000 \
    --source-ranges="192.168.40.0/28" \
    --destination-ranges="192.168.10.0/28" \
    --enable-logging

11. Linux-Routen für die PSC-Schnittstelle erstellen

Konfigurieren Sie über die PSC-Schnittstelleninstanz Linux-Routen, um die Kommunikation zwischen Produzenten und Nutzersubnetzen zu ermöglichen.

Namen des Gastbetriebssystems der Private Service Connect-Schnittstelle ermitteln

Zum Konfigurieren des Routings benötigen Sie den Namen des Gastbetriebssystems Ihrer Private Service Connect-Schnittstelle. Dieser unterscheidet sich vom Namen der Schnittstelle in Google Cloud.

Öffnen Sie in Cloud Shell einen neuen Tab und führen Sie die folgenden Schritte aus:

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid

Melden Sie sich in Cloud Shell mit IAP bei der VM „psc-interface“, also „bear“, an.

gcloud compute ssh bear --project=$projectid --zone=us-central1-a --tunnel-through-iap

Rufen Sie in Cloud Shell die IP-Adresse der PSC-Interface-Instanz ab.

ip a

Beispiel:

user@bear:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: ens4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 42:01:0a:14:01:02 brd ff:ff:ff:ff:ff:ff
    altname enp0s4
    inet 10.20.1.2/32 brd 10.20.1.2 scope global dynamic ens4
       valid_lft 85991sec preferred_lft 85991sec
    inet6 fe80::4001:aff:fe14:102/64 scope link 
       valid_lft forever preferred_lft forever
3: ens5: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 42:01:c0:a8:0a:02 brd ff:ff:ff:ff:ff:ff
    altname enp0s5
    inet 192.168.10.2/32 brd 192.168.10.2 scope global dynamic ens5
       valid_lft 85991sec preferred_lft 85991sec
    inet6 fe80::4001:c0ff:fea8:a02/64 scope link 
       valid_lft forever preferred_lft forever

Gateway-IP der PSC-Schnittstelle ermitteln

Suchen Sie in der Liste der Netzwerkschnittstellen den Namen der Schnittstelle, der der IP-Adresse Ihrer Private Service Connect-Schnittstelle zugeordnet ist, z. B. ens5 (vNIC1).

Zum Konfigurieren des Routings benötigen Sie die IP-Adresse des Standardgateways Ihrer Private Service Connect-Schnittstelle.

In Cloud Shell verwenden wir 1, da die PSC-Schnittstelle mit vNIC1 verknüpft ist.

curl http://metadata.google.internal/computeMetadata/v1/instance/network-interfaces/1/gateway -H "Metadata-Flavor: Google" && echo

Beispiel für das Standard-Gateway 192.168.10.1

user@bear:~$ curl http://metadata.google.internal/computeMetadata/v1/instance/network-interfaces/1/gateway -H "Metadata-Flavor: Google" && echo
192.168.10.1

Routen für Kundensubnetze hinzufügen

Sie müssen für jedes Nutzersubnetz, das eine Verbindung zu Ihrer Private Service Connect-Schnittstelle herstellt, eine Route zum Standard-Gateway Ihrer Private Service Connect-Schnittstelle hinzufügen. So wird sichergestellt, dass Traffic, der an das Nutzernetzwerk gebunden ist, über die Private Service Connect-Schnittstelle ausgeht.

Fügen Sie in der Bear-Instanz die Routen den Kundensubnetzen hinzu.

sudo ip route add 192.168.20.0/28 via 192.168.10.1 dev ens5
sudo ip route add 192.168.30.0/28 via 192.168.10.1 dev ens5
sudo ip route add 192.168.40.0/28 via 192.168.10.1 dev ens5

Routentabelle prüfen

Prüfen Sie in Cloud Shell die neu hinzugefügten Routen.

ip route show

Example.

user@bear:~$ ip route show
default via 10.20.1.1 dev ens4 
10.20.1.0/28 via 10.20.1.1 dev ens4 
10.20.1.1 dev ens4 scope link 
192.168.10.0/28 via 192.168.10.1 dev ens5 
192.168.10.1 dev ens5 scope link 
192.168.20.0/28 via 192.168.10.1 dev ens5 
192.168.30.0/28 via 192.168.10.1 dev ens5 
192.168.40.0/28 via 192.168.10.1 dev ens5 

12. Erfolgreiche Verbindung zwischen Bear und Lion prüfen

Prüfen wir mit einem Curl-Befehl, ob die VM-Instanz „bear“ (Bär) mit der Instanz „lion“ (Löwe) kommunizieren kann.

Führen Sie von der Instanz „bear“ einen Curl-Vorgang gegen die IP-Adresse von „lion“ aus, die Sie zuvor in dieser Anleitung in der Instanz „bear“ ermittelt haben.

curl -v <lions IP Address>

Beispiel:

user@bear:~$ curl -v 192.168.20.2
*   Trying 192.168.20.2:80...
* Connected to 192.168.20.2 (192.168.20.2) port 80 (#0)
> GET / HTTP/1.1
> Host: 192.168.20.2
> User-Agent: curl/7.74.0
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< Date: Tue, 06 Jun 2023 03:53:08 GMT
< Server: Apache/2.4.56 (Debian)
< Last-Modified: Mon, 05 Jun 2023 19:41:26 GMT
< ETag: "1e-5fd6716a1e11b"
< Accept-Ranges: bytes
< Content-Length: 30
< Content-Type: text/html
< 
Welcome to lion app server !!
* Connection #0 to host 192.168.20.2 left intact

13. Prüfen, ob die Verbindung zwischen Bear und Tiger blockiert ist

Sehen wir uns die Firewall-Logs an, um zu prüfen, ob die Firewallregel für ausgehenden Traffic den Zugriff von „bear“ auf „tiger“ blockiert.

Öffnen Sie eine neue Cloud Console-Sitzung und gehen Sie zu „Logging“ → „Log-Explorer“ → „Abfrage anzeigen“ auswählen.

Fügen Sie den folgenden Abfragestring in das Suchfeld ein und wählen Sie stream aus.

jsonPayload.rule_details.reference="network:consumer-vpc/firewall:deny-all-egress"

Führen Sie von der Instanz „bear“ einen Curl-Vorgang auf die IP-Adresse von „tiger“ aus, die Sie zuvor in dieser Anleitung in der Instanz „bear“ ermittelt haben. Die Curl-Anfrage läuft irgendwann ab.

curl -v <tiger's IP Address>

Beispiel:

user@bear:~$ curl -v 192.168.30.2 
*   Trying 192.168.30.2:80...
* connect to 192.168.30.2 port 80 failed: Connection timed out
* Failed to connect to 192.168.30.2 port 80: Connection timed out
* Closing connection 0
curl: (28) Failed to connect to 192.168.30.2 port 80: Connection timed out

Prüfen Sie, ob im Log-Explorer abgelehnte Firewall-Logs erfasst wurden. Wählen Sie einen Logeintrag aus und maximieren Sie verschachtelte Felder, um Metadaten anzusehen.

14. Prüfen, ob die Verbindung zu Cosmo Bear erfolgreich war

Öffnen Sie einen neuen Cloud Shell-Tab und aktualisieren Sie die Projekteinstellungen.

Führen Sie in Cloud Shell folgende Schritte aus:

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid

Melden Sie sich in Cloud Shell mit IAP bei der Cosmo-Instanz an.

gcloud compute ssh cosmo --project=$projectid --zone=us-central1-a --tunnel-through-iap

Führen Sie in Cloud Shell einen Ping auf die IP-Adresse von Bear aus, die Sie zuvor in dieser Anleitung ermittelt haben.

ping <bears vNIC1 IP Address>

Beispiel:

user@cosmo:~$ ping 192.168.10.2 -c 5
PING 192.168.10.2 (192.168.10.2) 56(84) bytes of data.
64 bytes from 192.168.10.2: icmp_seq=1 ttl=64 time=0.277 ms
64 bytes from 192.168.10.2: icmp_seq=2 ttl=64 time=0.288 ms
64 bytes from 192.168.10.2: icmp_seq=3 ttl=64 time=0.265 ms
64 bytes from 192.168.10.2: icmp_seq=4 ttl=64 time=0.264 ms
64 bytes from 192.168.10.2: icmp_seq=5 ttl=64 time=0.366 ms

15. Bereinigen

Löschen Sie in Cloud Shell die Komponenten der Anleitung.

gcloud compute instances delete bear --zone=us-central1-a --quiet

gcloud compute instances delete lion --zone=us-central1-a --quiet

gcloud compute instances delete tiger --zone=us-central1-a --quiet

gcloud compute instances delete cosmo --zone=us-central1-a --quiet

gcloud compute network-attachments delete psc-network-attachment --region=us-central1 --quiet

gcloud compute firewall-rules delete allow-ingress allow-limited-egress-to-lion deny-all-egress ssh-iap-consumer ssh-iap-producer vm-subnet-allow-ingress --quiet

gcloud compute networks subnets delete cosmo-subnet-1 intf-subnet lion-subnet-1 prod-subnet tiger-subnet-1 --region=us-central1 --quiet

gcloud compute routers delete cloud-router-for-nat --region=us-central1 --quiet 

gcloud compute networks delete consumer-vpc --quiet

gcloud compute networks delete producer-vpc --quiet

16. Glückwunsch

Herzlichen Glückwunsch! Sie haben eine Private Service Connect-Schnittstelle und die Nutzer- und Erstellerverbindung erfolgreich konfiguriert und validiert, indem Sie Firewallregeln implementiert haben.

Sie haben die Nutzerinfrastruktur erstellt und einen Netzwerkanhang hinzugefügt, mit dem der Produzent eine VM mit mehreren NICs erstellen konnte, um die Kommunikation zwischen Nutzer und Produzent zu ermöglichen. Sie haben gelernt, wie Sie Firewallregeln im VPC-Netzwerk des Nutzers erstellen, die eine Verbindung zu den Instanzen im VPC des Nutzers und des Produzenten zulassen.

Cosmopup findet Tutorials super!

Was liegt als Nächstes an?

Hier findest du einige Anleitungen:

• Private Service Connect zum Veröffentlichen und Nutzen von Diensten mit GKE verwenden
• Private Service Connect zum Veröffentlichen und Nutzen von Diensten verwenden
• Über Private Service Connect und einen internen TCP-Proxy-Load Balancer eine Verbindung zu On-Premise-Diensten über Hybridnetzwerke herstellen

Weitere Lesematerialien und Videos

• Private Service Connect – Übersicht
• Was ist Private Service Connect?
• Unterstützte Load Balancer-Typen

Referenzdokumente

• Übersicht über internen HTTP(S)-Load-Balancer
• Übersicht über Systemdiagnosen
• Dienste mit Private Service Connect veröffentlichen
• Private Service Connect – automatisches DNS