1. مقدمه
رابط Private Service Connect منبعی است که به یک شبکه Virtual Private Cloud (VPC) تولید کننده اجازه می دهد تا اتصالات را به مقاصد مختلف در یک شبکه VPC مصرف کننده آغاز کند. شبکه های تولید کننده و مصرف کننده می توانند در پروژه ها و سازمان های مختلف باشند.
اگر پیوست شبکه اتصالی را از رابط Private Service Connect بپذیرد، Google Cloud یک آدرس IP از یک زیرشبکه مصرف کننده که توسط پیوست شبکه مشخص شده است، به رابط اختصاص می دهد. شبکه های مصرف کننده و تولید کننده به هم متصل هستند و می توانند با استفاده از آدرس های IP داخلی ارتباط برقرار کنند.
اتصال بین یک پیوست شبکه و یک رابط Private Service Connect مشابه اتصال بین یک نقطه پایانی Private Service Connect و یک پیوست سرویس است، اما دو تفاوت اساسی دارد:
- یک پیوست شبکه به یک شبکه تولید کننده اجازه می دهد تا اتصالات را به یک شبکه مصرف کننده آغاز کند (خروج سرویس مدیریت شده)، در حالی که یک نقطه پایانی به یک شبکه مصرف کننده اجازه می دهد تا اتصال به یک شبکه تولید کننده را آغاز کند (ورود سرویس مدیریت شده).
- اتصال رابط Private Service Connect انتقالی است. این بدان معناست که یک شبکه تولید کننده می تواند با شبکه های دیگری که به شبکه مصرف کننده متصل هستند ارتباط برقرار کند.
چیزی که خواهی ساخت
در این آموزش، شما قصد دارید یک معماری واسط اتصال سرویس خصوصی (PSC) جامع بسازید که از قوانین فایروال ابری استفاده میکند تا اتصال تولیدکننده به محاسبات مصرفکننده را که در شکل 1 نشان داده شده است، مجاز و رد کند.
شکل 1
شما یک پیوست شبکه psc را در VPC مصرف کننده ایجاد خواهید کرد که منجر به موارد استفاده زیر می شود:
- یک قانون Cloud Firewall ایجاد کنید تا اجازه دسترسی از خرس به شیر را بدهد
- یک قانون Cloud Firewall ایجاد کنید، دسترسی خرس به ببر را ممنوع کنید
- یک قانون Cloud Firewall ایجاد کنید تا امکان دسترسی از cosmo به bear را فراهم کنید
چیزی که یاد خواهید گرفت
- نحوه ایجاد پیوست شبکه
- چگونه یک تولید کننده می تواند از پیوست شبکه برای ایجاد یک رابط PSC استفاده کند
- نحوه برقراری ارتباط از تولید کننده با مصرف کننده
- نحوه اجازه دسترسی از VM تولید کننده (خرس) به VM مصرف کننده (شیر)
- نحوه مسدود کردن دسترسی از VM تولید کننده (خرس) به VM مصرف کننده (ببر)
- نحوه اجازه دسترسی از VM مصرف کننده (cosmo) به VM تولید کننده (خرس)
آنچه شما نیاز دارید
- پروژه Google Cloud
- مجوزهای IAM
- مدیر شبکه محاسبه (roles/compute.networkAdmin)
- Compute Instance Admin (roles/compute.instanceAdmin)
- مدیریت امنیت محاسبه (roles/compute.securityAdmin)
2. قبل از شروع
برای پشتیبانی از آموزش، پروژه را به روز کنید
این آموزش از $variables برای کمک به پیاده سازی پیکربندی gcloud در Cloud Shell استفاده می کند.
در داخل Cloud Shell موارد زیر را انجام دهید:
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid
3. راه اندازی مصرف کننده
Consumer VPC را ایجاد کنید
در داخل Cloud Shell موارد زیر را انجام دهید:
gcloud compute networks create consumer-vpc --project=$projectid --subnet-mode=custom
زیرشبکه های مصرف کننده ایجاد کنید
در داخل Cloud Shell موارد زیر را انجام دهید:
gcloud compute networks subnets create lion-subnet-1 --project=$projectid --range=192.168.20.0/28 --network=consumer-vpc --region=us-central1
در داخل Cloud Shell موارد زیر را انجام دهید:
gcloud compute networks subnets create tiger-subnet-1 --project=$projectid --range=192.168.30.0/28 --network=consumer-vpc --region=us-central1
در داخل Cloud Shell موارد زیر را انجام دهید:
gcloud compute networks subnets create cosmo-subnet-1 --project=$projectid --range=192.168.40.0/28 --network=consumer-vpc --region=us-central1
زیرشبکه Private Service Connect Network Attachment را ایجاد کنید
در داخل Cloud Shell موارد زیر را انجام دهید:
gcloud compute networks subnets create intf-subnet --project=$projectid --range=192.168.10.0/28 --network=consumer-vpc --region=us-central1
روتر ابری و پیکربندی NAT
Cloud NAT در آموزش نصب بسته نرم افزاری استفاده می شود زیرا نمونه VM آدرس IP عمومی ندارد. Cloud NAT به ماشینهای مجازی با آدرس IP خصوصی امکان دسترسی به اینترنت را میدهد.
در داخل Cloud Shell، روتر ابری را ایجاد کنید.
gcloud compute routers create cloud-router-for-nat --network consumer-vpc --region us-central1
در داخل Cloud Shell، دروازه NAT را ایجاد کنید.
gcloud compute routers nats create cloud-nat-us-central1 --router=cloud-router-for-nat --auto-allocate-nat-external-ips --nat-all-subnet-ip-ranges --region us-central1
4. IAP را فعال کنید
برای اینکه به IAP اجازه دهید به نمونه های VM شما متصل شود، یک قانون فایروال ایجاد کنید که:
- برای تمام نمونه های VM که می خواهید با استفاده از IAP در دسترس باشند، اعمال می شود.
- به ترافیک ورودی از محدوده IP 35.235.240.0/20 اجازه می دهد. این محدوده شامل تمام آدرس های IP است که IAP برای ارسال TCP استفاده می کند.
در داخل Cloud Shell، قانون فایروال IAP را ایجاد کنید.
gcloud compute firewall-rules create ssh-iap-consumer \
--network consumer-vpc \
--allow tcp:22 \
--source-ranges=35.235.240.0/20
5. نمونه های VM مصرف کننده ایجاد کنید
در داخل Cloud Shell، نمونه vm مصرف کننده، lion را ایجاد کنید.
gcloud compute instances create lion \
--project=$projectid \
--machine-type=e2-micro \
--image-family debian-11 \
--no-address \
--image-project debian-cloud \
--zone us-central1-a \
--subnet=lion-subnet-1 \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install tcpdump
sudo apt-get install apache2 -y
sudo service apache2 restart
echo 'Welcome to the lion app server !!' | tee /var/www/html/index.html
EOF"
در داخل Cloud Shell، نمونه مصرف کننده vm، tiger را ایجاد کنید.
gcloud compute instances create tiger \
--project=$projectid \
--machine-type=e2-micro \
--image-family debian-11 \
--no-address \
--image-project debian-cloud \
--zone us-central1-a \
--subnet=tiger-subnet-1 \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install tcpdump
sudo apt-get install apache2 -y
sudo service apache2 restart
echo 'Welcome to the tiger app server !!' | tee /var/www/html/index.html
EOF"
در داخل Cloud Shell، نمونه vm مصرف کننده، cosmo را ایجاد کنید.
gcloud compute instances create cosmo \
--project=$projectid \
--machine-type=e2-micro \
--image-family debian-11 \
--no-address \
--image-project debian-cloud \
--zone us-central1-a \
--subnet=cosmo-subnet-1 \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install tcpdump
sudo apt-get install apache2 -y
sudo service apache2 restart
echo 'Welcome to the cosmo app server !!' | tee /var/www/html/index.html
EOF"
آدرس های IP نمونه ها را دریافت و ذخیره کنید:
در داخل Cloud Shell، توصیفی را در برابر نمونههای VM شیر و ببر انجام دهید.
gcloud compute instances describe lion --zone=us-central1-a | grep networkIP:
gcloud compute instances describe tiger --zone=us-central1-a | grep networkIP:
gcloud compute instances describe cosmo --zone=us-central1-a | grep networkIP:
6. پیوست شبکه Private Service Connect
پیوست های شبکه منابع منطقه ای هستند که نمایانگر سمت مصرف کننده رابط Private Service Connect هستند. شما یک زیرشبکه منفرد را با یک پیوست شبکه مرتبط میکنید، و سازنده IPها را از آن زیرشبکه به رابط Private Service Connect اختصاص میدهد. زیرشبکه باید در همان ناحیه پیوست شبکه باشد. یک پیوست شبکه باید در همان منطقه ای باشد که سرویس تولیدکننده است.
پیوست شبکه را ایجاد کنید
در داخل Cloud Shell، پیوست شبکه را ایجاد کنید.
gcloud compute network-attachments create psc-network-attachment \
--region=us-central1 \
--connection-preference=ACCEPT_MANUAL \
--producer-accept-list=$projectid \
--subnets=intf-subnet
پیوست های شبکه را فهرست کنید
در داخل Cloud Shell، پیوست شبکه را فهرست کنید.
gcloud compute network-attachments list
پیوست های شبکه را شرح دهید
در داخل Cloud Shell، پیوست شبکه را شرح دهید.
gcloud compute network-attachments describe psc-network-attachment --region=us-central1
URI پیوست شبکه psc را که توسط سازنده هنگام ایجاد رابط اتصال سرویس خصوصی استفاده می شود، یادداشت کنید. مثال زیر:
user@cloudshell$ gcloud compute network-attachments describe psc-network-attachment --region=us-central1
connectionPreference: ACCEPT_MANUAL
creationTimestamp: '2023-06-06T20:57:12.623-07:00'
fingerprint: 4Yq6xAfaRO0=
id: '3235195049527328503'
kind: compute#networkAttachment
name: psc-network-attachment
network: https://www.googleapis.com/compute/v1/projects/$projectid/global/networks/consumer-vpc
producerAcceptLists:
- $projectid
region: https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1
selfLink: https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/networkAttachments/psc-network-attachment
subnetworks:
- https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/subnetworks/intf-subnet
7. راه اندازی تولید کننده
شبکه VPC تولید کننده را ایجاد کنید
در داخل Cloud Shell، موارد زیر را انجام دهید:
gcloud compute networks create producer-vpc --project=$projectid --subnet-mode=custom
زیر شبکه های تولید کننده را ایجاد کنید
در داخل Cloud Shell، زیرشبکه مورد استفاده برای vNIC0 رابط psc را ایجاد کنید.
gcloud compute networks subnets create prod-subnet --project=$projectid --range=10.20.1.0/28 --network=producer-vpc --region=us-central1
8. IAP را فعال کنید
برای اینکه به IAP اجازه دهید به نمونه های VM شما متصل شود، یک قانون فایروال ایجاد کنید که:
- برای تمام نمونه های VM که می خواهید با استفاده از IAP در دسترس باشند، اعمال می شود.
- به ترافیک ورودی از محدوده IP 35.235.240.0/20 اجازه می دهد. این محدوده شامل تمام آدرس های IP است که IAP برای ارسال TCP استفاده می کند.
در داخل Cloud Shell، قانون فایروال IAP را ایجاد کنید.
gcloud compute firewall-rules create ssh-iap-producer \
--network producer-vpc \
--allow tcp:22 \
--source-ranges=35.235.240.0/20
9. رابط اتصال سرویس خصوصی را ایجاد کنید
رابط Private Service Connect منبعی است که به یک شبکه Virtual Private Cloud (VPC) تولید کننده اجازه می دهد تا اتصالات را به مقاصد مختلف در یک شبکه VPC مصرف کننده آغاز کند. شبکه های تولید کننده و مصرف کننده می توانند در پروژه ها و سازمان های مختلف باشند.
اگر پیوست شبکه اتصالی را از رابط Private Service Connect بپذیرد، Google Cloud یک آدرس IP از یک زیرشبکه مصرف کننده که توسط پیوست شبکه مشخص شده است، به رابط اختصاص می دهد. شبکه های مصرف کننده و تولید کننده به هم متصل هستند و می توانند با استفاده از آدرس های IP داخلی ارتباط برقرار کنند.
در داخل Cloud Shell، رابط Private Service Connect (خرس) را ایجاد کنید و UR I پیوست شبکه psc را که قبلاً شناسایی شده بود از خروجی توصیف پیوست شبکه وارد کنید.
gcloud compute instances create bear --zone us-central1-a --machine-type=f1-micro --can-ip-forward --network-interface subnet=prod-subnet,network=producer-vpc,no-address --network-interface network-attachment=https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/networkAttachments/psc-network-attachment
اعتبارسنجی چندنیک
اعتبار سنجی رابط PSC با آدرس IP مناسب پیکربندی شده است. vNIC0 از prod-subnet تولید کننده (10.20.1.0/28) و vNIC1 از زیرشبکه intf مصرف کننده (192.168.10.0/28) استفاده خواهد کرد.
gcloud compute instances describe bear --zone=us-central1-a | grep networkIP:
مثال:
user$ gcloud compute instances describe bear --zone=us-central1-a | grep networkIP:
networkIP: 10.20.1.2
networkIP: 192.168.10.2
10. قوانین فایروال مصرف کننده را به روز کنید
یک قانون Cloud Firewall ایجاد کنید تا اجازه دسترسی از خرس به شیر را بدهد
در پوسته ابری، یک قانون اولویت بالاتر ایجاد کنید که اجازه خروج از محدوده آدرس IP زیرشبکه پیوست (intf-subnet) را به مقصدهایی در محدوده آدرس lion-subnet-1 می دهد.
gcloud compute firewall-rules create allow-limited-egress-to-lion \
--network=consumer-vpc \
--action=ALLOW \
--rules=ALL \
--direction=EGRESS \
--priority=1000 \
--source-ranges="192.168.10.0/28" \
--destination-ranges="192.168.20.0/28" \
--enable-logging
در پوسته ابری، یک قانون اجازه ورود ایجاد کنید که قانون رد ورود ضمنی را برای ترافیک از زیر شبکه psc-network-attachment لغو می کند.
gcloud compute firewall-rules create allow-ingress \
--network=consumer-vpc \
--action=ALLOW \
--rules=ALL \
--direction=INGRESS \
--priority=1000 \
--source-ranges="192.168.10.0/28" \
--enable-logging
ایجاد یک قانون فایروال ابری عدم دسترسی خرس به همه محدوده ها (شامل ببر)
در پوسته ابری، یک قانون با اولویت پایین ایجاد کنید که تمام ترافیک خروجی از محدوده آدرس IP زیرشبکه پیوست شبکه، intf-subnet را رد می کند.
gcloud compute firewall-rules create deny-all-egress \
--network=consumer-vpc \
--action=DENY \
--rules=ALL \
--direction=EGRESS \
--priority=65534 \
--source-ranges="192.168.10.0/28" \
--destination-ranges="0.0.0.0/0" \
--enable-logging
یک قانون Cloud Firewall ایجاد کنید تا امکان دسترسی از cosmo به bear را فراهم کنید
در پوسته ابری، یک قانون اجازه ورود ایجاد کنید که قانون رد ورود ضمنی را برای ترافیک از زیر شبکه psc-network-attachment لغو می کند.
gcloud compute firewall-rules create vm-subnet-allow-ingress \
--network=consumer-vpc \
--action=ALLOW \
--rules=ALL \
--direction=INGRESS \
--priority=1000 \
--source-ranges="192.168.40.0/28" \
--destination-ranges="192.168.10.0/28" \
--enable-logging
11. مسیرهای لینوکس را برای رابط PSC ایجاد کنید
از نمونه رابط PSC، مسیرهای لینوکس را پیکربندی کنید تا امکان ارتباط تولیدکننده با زیرشبکه های مصرف کننده فراهم شود.
نام سیستم عامل مهمان رابط Private Service Connect خود را پیدا کنید
برای پیکربندی مسیریابی، باید نام سیستم عامل مهمان رابط Private Service Connect خود را بدانید که با نام رابط در Google Cloud متفاوت است.
Inside Cloud Shell یک تب جدید باز کنید و موارد زیر را انجام دهید:
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid
با استفاده از IAP در Cloud Shell وارد psc-interface vm شوید.
gcloud compute ssh bear --project=$projectid --zone=us-central1-a --tunnel-through-iap
در Cloud Shell آدرس IP نمونه psc-interface را بدست آورید
ip a
مثال:
user@bear:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc pfifo_fast state UP group default qlen 1000
link/ether 42:01:0a:14:01:02 brd ff:ff:ff:ff:ff:ff
altname enp0s4
inet 10.20.1.2/32 brd 10.20.1.2 scope global dynamic ens4
valid_lft 85991sec preferred_lft 85991sec
inet6 fe80::4001:aff:fe14:102/64 scope link
valid_lft forever preferred_lft forever
3: ens5: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc pfifo_fast state UP group default qlen 1000
link/ether 42:01:c0:a8:0a:02 brd ff:ff:ff:ff:ff:ff
altname enp0s5
inet 192.168.10.2/32 brd 192.168.10.2 scope global dynamic ens5
valid_lft 85991sec preferred_lft 85991sec
inet6 fe80::4001:c0ff:fea8:a02/64 scope link
valid_lft forever preferred_lft forever
IP دروازه رابط PSC خود را پیدا کنید
در لیست رابط های شبکه، نام رابطی را که با آدرس IP رابط Private Service Connect شما مرتبط است، پیدا کرده و ذخیره کنید - به عنوان مثال، ens5 (vNIC1)
برای پیکربندی مسیریابی، باید آدرس IP دروازه پیشفرض رابط Private Service Connect خود را بدانید.
در Cloud Shell از 1 استفاده خواهیم کرد زیرا رابط PSC با vNIC1 مرتبط است.
curl http://metadata.google.internal/computeMetadata/v1/instance/network-interfaces/1/gateway -H "Metadata-Flavor: Google" && echo
به عنوان مثال، gw 192.168.10.1 پیش فرض تولید می شود
user@bear:~$ curl http://metadata.google.internal/computeMetadata/v1/instance/network-interfaces/1/gateway -H "Metadata-Flavor: Google" && echo
192.168.10.1
مسیرهایی را برای زیرشبکه های مصرف کننده اضافه کنید
برای هر زیرشبکه مصرف کننده که به رابط Private Service Connect شما متصل می شود، باید یک مسیر به دروازه پیش فرض رابط Private Service Connect اضافه کنید. این تضمین می کند که ترافیک محدود به شبکه مصرف کننده از رابط Private Service Connect خارج می شود.
در مثال خرس مسیرها را به زیرشبکه های مصرف کننده اضافه کنید.
sudo ip route add 192.168.20.0/28 via 192.168.10.1 dev ens5
sudo ip route add 192.168.30.0/28 via 192.168.10.1 dev ens5
sudo ip route add 192.168.40.0/28 via 192.168.10.1 dev ens5
اعتبار سنجی جدول مسیر
در Cloud Shell مسیرهای جدید اضافه شده را تأیید کنید.
ip route show
مثال.
user@bear:~$ ip route show
default via 10.20.1.1 dev ens4
10.20.1.0/28 via 10.20.1.1 dev ens4
10.20.1.1 dev ens4 scope link
192.168.10.0/28 via 192.168.10.1 dev ens5
192.168.10.1 dev ens5 scope link
192.168.20.0/28 via 192.168.10.1 dev ens5
192.168.30.0/28 via 192.168.10.1 dev ens5
192.168.40.0/28 via 192.168.10.1 dev ens5
12. ارتباط موفق خرس به شیر را تأیید کنید
بیایید تأیید کنیم که نمونه VM تولید کننده، خرس، می تواند با انجام یک حلقه با نمونه مصرف کننده، شیر ارتباط برقرار کند.
از نمونه خرس، یک حلقه در برابر آدرس IP lion که قبلاً در آموزش از نمونه خرس شناسایی شده بود، انجام دهید.
curl -v <lions IP Address>
مثال:
user@bear:~$ curl -v 192.168.20.2
* Trying 192.168.20.2:80...
* Connected to 192.168.20.2 (192.168.20.2) port 80 (#0)
> GET / HTTP/1.1
> Host: 192.168.20.2
> User-Agent: curl/7.74.0
> Accept: */*
>
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< Date: Tue, 06 Jun 2023 03:53:08 GMT
< Server: Apache/2.4.56 (Debian)
< Last-Modified: Mon, 05 Jun 2023 19:41:26 GMT
< ETag: "1e-5fd6716a1e11b"
< Accept-Ranges: bytes
< Content-Length: 30
< Content-Type: text/html
<
Welcome to lion app server !!
* Connection #0 to host 192.168.20.2 left intact
13. اعتبارسنجی اتصال خرس به ببر مسدود شده است
بیایید تأیید کنیم که قانون دیوار آتش خروج دسترسی خرس به ببر را با مشاهده گزارشهای دیوار آتش مسدود میکند.
از یک جلسه جدید Cloud Console و رفتن به Logging → Logs Explorer → Show query را انتخاب کنید
رشته پرس و جو را در قسمت جستجو قرار دهید و سپس جریان را انتخاب کنید
jsonPayload.rule_details.reference="network:consumer-vpc/firewall:deny-all-egress"
از نمونه خرس، یک پیچ در برابر آدرس IP ببر که قبلاً در آموزش از نمونه خرس شناسایی شده بود، انجام دهید. حلقه در نهایت به پایان می رسد.
curl -v <tiger's IP Address>
مثال:
user@bear:~$ curl -v 192.168.30.2
* Trying 192.168.30.2:80...
* connect to 192.168.30.2 port 80 failed: Connection timed out
* Failed to connect to 192.168.30.2 port 80: Connection timed out
* Closing connection 0
curl: (28) Failed to connect to 192.168.30.2 port 80: Connection timed out
تأیید کنید که Log Explorer سیاهههای مربوط به فایروال رد شده را ضبط کرده است. یک ورودی گزارش را انتخاب کنید و فیلدهای تودرتو را برای مشاهده فراداده گسترش دهید.
14. اعتبارسنجی cosmo به bear اتصال موفقیت آمیز است
یک تب جدید Cloud Shell باز کنید و تنظیمات پروژه خود را به روز کنید.
در داخل Cloud Shell موارد زیر را انجام دهید:
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid
با استفاده از IAP در Cloud Shell وارد نمونه cosmo شوید.
gcloud compute ssh cosmo --project=$projectid --zone=us-central1-a --tunnel-through-iap
در Cloud Shell یک پینگ با آدرس IP vNIV1 Bear's IP که قبلا در آموزش شناسایی شده بود انجام دهید.
ping <bears vNIC1 IP Address>
مثال:
user@cosmo:~$ ping 192.168.10.2 -c 5
PING 192.168.10.2 (192.168.10.2) 56(84) bytes of data.
64 bytes from 192.168.10.2: icmp_seq=1 ttl=64 time=0.277 ms
64 bytes from 192.168.10.2: icmp_seq=2 ttl=64 time=0.288 ms
64 bytes from 192.168.10.2: icmp_seq=3 ttl=64 time=0.265 ms
64 bytes from 192.168.10.2: icmp_seq=4 ttl=64 time=0.264 ms
64 bytes from 192.168.10.2: icmp_seq=5 ttl=64 time=0.366 ms
15. پاکسازی کنید
از Cloud Shell، اجزای آموزشی را حذف کنید.
gcloud compute instances delete bear --zone=us-central1-a --quiet
gcloud compute instances delete lion --zone=us-central1-a --quiet
gcloud compute instances delete tiger --zone=us-central1-a --quiet
gcloud compute instances delete cosmo --zone=us-central1-a --quiet
gcloud compute network-attachments delete psc-network-attachment --region=us-central1 --quiet
gcloud compute firewall-rules delete allow-ingress allow-limited-egress-to-lion deny-all-egress ssh-iap-consumer ssh-iap-producer vm-subnet-allow-ingress --quiet
gcloud compute networks subnets delete cosmo-subnet-1 intf-subnet lion-subnet-1 prod-subnet tiger-subnet-1 --region=us-central1 --quiet
gcloud compute routers delete cloud-router-for-nat --region=us-central1 --quiet
gcloud compute networks delete consumer-vpc --quiet
gcloud compute networks delete producer-vpc --quiet
16. تبریک می گویم
تبریک میگوییم، شما با اجرای قوانین فایروال، یک رابط اتصال سرویس خصوصی و اتصال مصرفکننده و تولیدکننده را با موفقیت پیکربندی و تأیید کردید.
شما زیرساخت مصرف کننده را ایجاد کردید، و یک پیوست شبکه اضافه کردید که به تولید کننده اجازه می داد یک VM چندنیک برای ایجاد پل ارتباطی بین مصرف کننده و تولید کننده ایجاد کند. شما یاد گرفتید که چگونه قوانین فایروال را در شبکه VPC مصرف کننده ایجاد کنید که امکان اتصال به نمونه های موجود در VPC مصرف کننده و تولید کننده را فراهم می کند.
Cosmopup فکر می کند آموزش ها عالی هستند!!
بعدش چی؟
برخی از این آموزش ها را ببینید...
- استفاده از Private Service Connect برای انتشار و مصرف خدمات با GKE
- استفاده از Private Service Connect برای انتشار و مصرف خدمات
- با استفاده از Private Service Connect و یک متعادل کننده بار داخلی TCP Proxy از طریق شبکه هیبریدی به سرویس های اولیه متصل شوید.