Giao diện kết nối dịch vụ riêng tư

1. Giới thiệu

Giao diện Private Service Connect là một tài nguyên cho phép mạng Đám mây riêng ảo (VPC) của nhà sản xuất bắt đầu kết nối với nhiều đích đến trong mạng VPC của người dùng. Mạng nhà sản xuất và mạng người dùng có thể nằm trong các dự án và tổ chức khác nhau.

Nếu một tệp đính kèm mạng chấp nhận kết nối từ giao diện Kết nối dịch vụ riêng tư, thì Google Cloud sẽ phân bổ cho giao diện đó một địa chỉ IP từ mạng con của người dùng do tệp đính kèm mạng chỉ định. Mạng của người tiêu dùng và nhà sản xuất được kết nối và có thể giao tiếp bằng cách sử dụng địa chỉ IP nội bộ.

Kết nối giữa tệp đính kèm mạng và giao diện Private Service Connect tương tự như kết nối giữa điểm cuối Private Service Connect và tệp đính kèm dịch vụ, nhưng có hai điểm khác biệt chính:

• Tệp đính kèm mạng cho phép mạng nhà sản xuất bắt đầu kết nối với mạng người dùng (luồng dịch vụ được quản lý), trong khi điểm cuối cho phép mạng người dùng bắt đầu kết nối với mạng nhà sản xuất (luồng dịch vụ được quản lý).
• Kết nối giao diện Private Service Connect là bắc cầu. Điều này có nghĩa là mạng nhà sản xuất có thể giao tiếp với các mạng khác được kết nối với mạng người tiêu dùng.

Sản phẩm bạn sẽ tạo ra

Trong hướng dẫn này, bạn sẽ xây dựng một cấu trúc Giao diện kết nối dịch vụ riêng tư (PSC) toàn diện sử dụng các quy tắc của Tường lửa trên đám mây để cho phép và từ chối kết nối từ nhà sản xuất đến máy tính của người dùng như minh hoạ trong Hình 1.

Hình 1

Bạn sẽ tạo một tệp đính kèm psc-network-attachment trong VPC của người dùng, dẫn đến các trường hợp sử dụng sau:

1. Tạo quy tắc Tường lửa trên đám mây để cho phép tệp bear truy cập vào tệp lion
2. Tạo quy tắc Tường lửa trên đám mây để từ chối quyền truy cập của bear đối với tiger
3. Tạo quy tắc Tường lửa trên đám mây để cho phép truy cập từ cosmo đến bear

Kiến thức bạn sẽ học được

• Cách tạo tệp đính kèm mạng
• Cách nhà sản xuất có thể sử dụng tệp đính kèm mạng để tạo giao diện PSC
• Cách thiết lập giao tiếp từ nhà sản xuất đến người tiêu dùng
• Cách cho phép truy cập từ máy ảo nhà sản xuất (gấu) đến máy ảo nhà tiêu dùng (sư tử)
• Cách chặn quyền truy cập từ máy ảo nhà sản xuất (gấu) đến máy ảo nhà tiêu dùng (hổ)
• Cách cho phép truy cập từ máy ảo người dùng (cosmo) vào máy ảo nhà sản xuất (bear)

Bạn cần có

• Dự án trên Google Cloud
• Quyền IAM
• Quản trị viên mạng máy tính (roles/compute.networkAdmin)
• Quản trị viên phiên bản máy tính (roles/compute.instanceAdmin)
• Quản trị viên bảo mật Compute (roles/compute.securityAdmin)

2. Trước khi bắt đầu

Cập nhật dự án để hỗ trợ hướng dẫn

Hướng dẫn này sử dụng $variables để hỗ trợ việc triển khai cấu hình gcloud trong Cloud Shell.

Trong Cloud Shell, hãy thực hiện như sau:

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid

3. Thiết lập người dùng

Tạo VPC của người dùng

Trong Cloud Shell, hãy thực hiện như sau:

gcloud compute networks create consumer-vpc --project=$projectid --subnet-mode=custom

Tạo mạng con của người dùng

Trong Cloud Shell, hãy thực hiện như sau:

gcloud compute networks subnets create lion-subnet-1 --project=$projectid --range=192.168.20.0/28 --network=consumer-vpc --region=us-central1

Trong Cloud Shell, hãy thực hiện như sau:

gcloud compute networks subnets create tiger-subnet-1 --project=$projectid --range=192.168.30.0/28 --network=consumer-vpc --region=us-central1

Trong Cloud Shell, hãy thực hiện như sau:

gcloud compute networks subnets create cosmo-subnet-1 --project=$projectid --range=192.168.40.0/28 --network=consumer-vpc --region=us-central1

Tạo mạng con tệp đính kèm mạng của Private Service Connect

Trong Cloud Shell, hãy thực hiện như sau:

gcloud compute networks subnets create intf-subnet --project=$projectid --range=192.168.10.0/28 --network=consumer-vpc --region=us-central1

Cấu hình Cloud Router và NAT

Cloud NAT được dùng trong hướng dẫn cài đặt gói phần mềm vì thực thể máy ảo không có địa chỉ IP công khai. Cloud NAT cho phép các máy ảo có địa chỉ IP riêng tư truy cập Internet.

Bên trong Cloud Shell, hãy tạo bộ định tuyến trên đám mây.

gcloud compute routers create cloud-router-for-nat --network consumer-vpc --region us-central1

Bên trong Cloud Shell, hãy tạo cổng NAT.

gcloud compute routers nats create cloud-nat-us-central1 --router=cloud-router-for-nat --auto-allocate-nat-external-ips --nat-all-subnet-ip-ranges --region us-central1

4. Bật giao dịch mua hàng trong ứng dụng

Để cho phép IAP kết nối với các phiên bản máy ảo, hãy tạo một quy tắc tường lửa:

• Áp dụng cho tất cả các phiên bản máy ảo mà bạn muốn truy cập bằng IAP.
• Cho phép lưu lượng truy cập vào từ dải IP 35.235.240.0/20. Phạm vi này chứa tất cả địa chỉ IP mà IAP sử dụng để chuyển tiếp TCP.

Bên trong Cloud Shell, hãy tạo quy tắc tường lửa IAP.

gcloud compute firewall-rules create ssh-iap-consumer \
    --network consumer-vpc \
    --allow tcp:22 \
    --source-ranges=35.235.240.0/20

5. Tạo thực thể máy ảo của người dùng

Bên trong Cloud Shell, hãy tạo thực thể máy ảo người dùng, lion.

gcloud compute instances create lion \
    --project=$projectid \
    --machine-type=e2-micro \
    --image-family debian-11 \
    --no-address \
    --image-project debian-cloud \
    --zone us-central1-a \
    --subnet=lion-subnet-1 \
    --metadata startup-script="#! /bin/bash
      sudo apt-get update
      sudo apt-get install tcpdump
      sudo apt-get install apache2 -y
      sudo service apache2 restart
      echo 'Welcome to the lion app server !!' | tee /var/www/html/index.html
      EOF"

Bên trong Cloud Shell, hãy tạo thực thể máy ảo của người dùng là tiger.

gcloud compute instances create tiger \
    --project=$projectid \
    --machine-type=e2-micro \
    --image-family debian-11 \
    --no-address \
    --image-project debian-cloud \
    --zone us-central1-a \
    --subnet=tiger-subnet-1 \
    --metadata startup-script="#! /bin/bash
      sudo apt-get update
      sudo apt-get install tcpdump
      sudo apt-get install apache2 -y
      sudo service apache2 restart
      echo 'Welcome to the tiger app server !!' | tee /var/www/html/index.html
      EOF"

Bên trong Cloud Shell, hãy tạo thực thể máy ảo người dùng, cosmo.

gcloud compute instances create cosmo \
    --project=$projectid \
    --machine-type=e2-micro \
    --image-family debian-11 \
    --no-address \
    --image-project debian-cloud \
    --zone us-central1-a \
    --subnet=cosmo-subnet-1 \
    --metadata startup-script="#! /bin/bash
      sudo apt-get update
      sudo apt-get install tcpdump
      sudo apt-get install apache2 -y
      sudo service apache2 restart
      echo 'Welcome to the cosmo app server !!' | tee /var/www/html/index.html
      EOF"

Lấy và lưu trữ Địa chỉ IP của các thực thể:

Bên trong Cloud Shell, hãy thực hiện lệnh describe đối với các phiên bản máy ảo lion và tiger.

gcloud compute instances describe lion --zone=us-central1-a | grep  networkIP:

gcloud compute instances describe tiger --zone=us-central1-a | grep  networkIP:

gcloud compute instances describe cosmo --zone=us-central1-a | grep  networkIP:

6. Tệp đính kèm mạng Private Service Connect

Tệp đính kèm mạng là tài nguyên theo khu vực đại diện cho phía người dùng của giao diện Private Service Connect. Bạn liên kết một mạng con với một tệp đính kèm mạng và nhà sản xuất sẽ chỉ định IP cho giao diện Private Service Connect từ mạng con đó. Mạng con phải ở cùng khu vực với tệp đính kèm mạng. Tệp đính kèm mạng phải ở cùng khu vực với dịch vụ nhà sản xuất.

Tạo tệp đính kèm mạng

Bên trong Cloud Shell, hãy tạo tệp đính kèm mạng.

gcloud compute network-attachments create psc-network-attachment \
    --region=us-central1 \
    --connection-preference=ACCEPT_MANUAL \
    --producer-accept-list=$projectid \
    --subnets=intf-subnet

Liệt kê các tệp đính kèm mạng

Bên trong Cloud Shell, hãy liệt kê tệp đính kèm mạng.

gcloud compute network-attachments list

Mô tả tệp đính kèm mạng

Bên trong Cloud Shell, hãy mô tả tệp đính kèm mạng.

gcloud compute network-attachments describe psc-network-attachment --region=us-central1

Ghi lại URI psc-network-attachment mà nhà sản xuất sẽ sử dụng khi tạo Giao diện kết nối dịch vụ riêng tư. Ví dụ bên dưới:

user@cloudshell$ gcloud compute network-attachments describe psc-network-attachment --region=us-central1 
connectionPreference: ACCEPT_MANUAL
creationTimestamp: '2023-06-06T20:57:12.623-07:00'
fingerprint: 4Yq6xAfaRO0=
id: '3235195049527328503'
kind: compute#networkAttachment
name: psc-network-attachment
network: https://www.googleapis.com/compute/v1/projects/$projectid/global/networks/consumer-vpc
producerAcceptLists:
- $projectid
region: https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1
selfLink: https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/networkAttachments/psc-network-attachment
subnetworks:
- https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/subnetworks/intf-subnet

7. Thiết lập Producer

Tạo mạng VPC của nhà sản xuất

Trong Cloud Shell, hãy thực hiện như sau:

gcloud compute networks create producer-vpc --project=$projectid --subnet-mode=custom

Tạo mạng con của nhà sản xuất

Bên trong Cloud Shell, hãy tạo mạng con dùng cho vNIC0 của giao diện psc.

gcloud compute networks subnets create prod-subnet --project=$projectid --range=10.20.1.0/28 --network=producer-vpc --region=us-central1

8. Bật giao dịch mua hàng trong ứng dụng

Để cho phép IAP kết nối với các phiên bản máy ảo, hãy tạo một quy tắc tường lửa:

• Áp dụng cho tất cả các phiên bản máy ảo mà bạn muốn truy cập bằng IAP.
• Cho phép lưu lượng truy cập vào từ dải IP 35.235.240.0/20. Phạm vi này chứa tất cả địa chỉ IP mà IAP sử dụng để chuyển tiếp TCP.

Bên trong Cloud Shell, hãy tạo quy tắc tường lửa IAP.

gcloud compute firewall-rules create ssh-iap-producer \
    --network producer-vpc \
    --allow tcp:22 \
    --source-ranges=35.235.240.0/20

9. Tạo giao diện Private Service Connect

Giao diện Private Service Connect là một tài nguyên cho phép mạng Đám mây riêng ảo (VPC) của nhà sản xuất bắt đầu kết nối với nhiều đích đến trong mạng VPC của người dùng. Mạng nhà sản xuất và mạng người dùng có thể nằm trong các dự án và tổ chức khác nhau.

Nếu một tệp đính kèm mạng chấp nhận kết nối từ giao diện Kết nối dịch vụ riêng tư, thì Google Cloud sẽ phân bổ cho giao diện đó một địa chỉ IP từ mạng con của người dùng do tệp đính kèm mạng chỉ định. Mạng của người tiêu dùng và nhà sản xuất được kết nối và có thể giao tiếp bằng cách sử dụng địa chỉ IP nội bộ.

Bên trong Cloud Shell, hãy tạo giao diện Private Service Connect (gấu) và chèn psc-network-attachment URI đã xác định trước đó từ đầu ra mô tả tệp đính kèm mạng.

gcloud compute instances create bear --zone us-central1-a --machine-type=f1-micro --can-ip-forward --network-interface subnet=prod-subnet,network=producer-vpc,no-address --network-interface network-attachment=https://www.googleapis.com/compute/v1/projects/$projectid/regions/us-central1/networkAttachments/psc-network-attachment

Xác thực nhiều địa chỉ MAC

Xác thực giao diện PSC được định cấu hình bằng Địa chỉ IP thích hợp. vNIC0 sẽ sử dụng mạng con prod-producer (10.20.1.0/28) và vNIC1 sẽ sử dụng mạng con intf-consumer (192.168.10.0/28).

gcloud compute instances describe bear --zone=us-central1-a | grep networkIP:

Ví dụ:

user$ gcloud compute instances describe bear --zone=us-central1-a | grep networkIP:
  networkIP: 10.20.1.2
  networkIP: 192.168.10.2

10. Cập nhật quy tắc tường lửa của người dùng

Tạo quy tắc Tường lửa trên đám mây để cho phép bear truy cập vào lion

Trong Cloud Shell, hãy tạo một quy tắc có mức độ ưu tiên cao hơn cho phép truy cập từ dải địa chỉ IP của mạng con đính kèm (intf-subnet) đến các đích đến trong dải địa chỉ của lion-subnet-1.

gcloud compute firewall-rules create allow-limited-egress-to-lion \
    --network=consumer-vpc \
    --action=ALLOW \
    --rules=ALL \
    --direction=EGRESS \
    --priority=1000 \
    --source-ranges="192.168.10.0/28" \
    --destination-ranges="192.168.20.0/28" \
    --enable-logging

Trong Cloud Shell, hãy tạo một quy tắc cho phép truy cập vào để ghi đè quy tắc từ chối truy cập ngầm ẩn cho lưu lượng truy cập từ mạng con psc-network-attachment.

gcloud compute firewall-rules create allow-ingress \
--network=consumer-vpc \
--action=ALLOW \
--rules=ALL \
--direction=INGRESS \
--priority=1000 \
--source-ranges="192.168.10.0/28" \
--enable-logging

Tạo quy tắc Tường lửa trên đám mây để từ chối quyền truy cập của gấu vào tất cả các dải (bao gồm cả hổ)

Trong Cloud Shell, hãy tạo một quy tắc có mức độ ưu tiên thấp để từ chối tất cả lưu lượng truy cập đi từ dải địa chỉ IP của mạng con của tệp đính kèm mạng, intf-subnet.

gcloud compute firewall-rules create deny-all-egress \
    --network=consumer-vpc \
    --action=DENY \
    --rules=ALL \
    --direction=EGRESS \
    --priority=65534 \
    --source-ranges="192.168.10.0/28" \
    --destination-ranges="0.0.0.0/0" \
    --enable-logging

Tạo quy tắc Tường lửa trên đám mây để cho phép truy cập từ cosmo đến bear

Trong Cloud Shell, hãy tạo một quy tắc cho phép truy cập vào để ghi đè quy tắc từ chối truy cập ngầm ẩn cho lưu lượng truy cập từ mạng con psc-network-attachment.

gcloud compute firewall-rules create vm-subnet-allow-ingress \
    --network=consumer-vpc \
    --action=ALLOW \
    --rules=ALL \
    --direction=INGRESS \
    --priority=1000 \
    --source-ranges="192.168.40.0/28" \
    --destination-ranges="192.168.10.0/28" \
    --enable-logging

11. Tạo tuyến đường linux cho giao diện PSC

Từ thực thể giao diện PSC, hãy định cấu hình các tuyến đường linux để cho phép nhà sản xuất giao tiếp với các mạng con của người dùng.

Tìm tên hệ điều hành khách của giao diện Private Service Connect

Để định cấu hình định tuyến, bạn cần biết tên hệ điều hành khách của giao diện Kết nối dịch vụ riêng tư. Tên này khác với tên giao diện trong Google Cloud.

Trong Cloud Shell, hãy mở một thẻ mới và thực hiện các bước sau:

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid

Đăng nhập vào máy ảo psc-interface, bear, bằng IAP trong Cloud Shell.

gcloud compute ssh bear --project=$projectid --zone=us-central1-a --tunnel-through-iap

Trong Cloud Shell, hãy lấy địa chỉ IP của thực thể giao diện psc

ip a

Ví dụ:

user@bear:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: ens4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 42:01:0a:14:01:02 brd ff:ff:ff:ff:ff:ff
    altname enp0s4
    inet 10.20.1.2/32 brd 10.20.1.2 scope global dynamic ens4
       valid_lft 85991sec preferred_lft 85991sec
    inet6 fe80::4001:aff:fe14:102/64 scope link 
       valid_lft forever preferred_lft forever
3: ens5: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1460 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 42:01:c0:a8:0a:02 brd ff:ff:ff:ff:ff:ff
    altname enp0s5
    inet 192.168.10.2/32 brd 192.168.10.2 scope global dynamic ens5
       valid_lft 85991sec preferred_lft 85991sec
    inet6 fe80::4001:c0ff:fea8:a02/64 scope link 
       valid_lft forever preferred_lft forever

Tìm địa chỉ IP của cổng của giao diện PSC

Trong danh sách giao diện mạng, hãy tìm và lưu trữ tên giao diện được liên kết với địa chỉ IP của giao diện Private Service Connect (Kết nối dịch vụ riêng tư) – ví dụ: ens5 (vNIC1)

Để định cấu hình định tuyến, bạn cần biết địa chỉ IP của cổng mặc định của giao diện Private Service Connect

Trong Cloud Shell, chúng ta sẽ sử dụng 1 vì giao diện PSC được liên kết với vNIC1.

curl http://metadata.google.internal/computeMetadata/v1/instance/network-interfaces/1/gateway -H "Metadata-Flavor: Google" && echo

Ví dụ tạo gw mặc định 192.168.10.1

user@bear:~$ curl http://metadata.google.internal/computeMetadata/v1/instance/network-interfaces/1/gateway -H "Metadata-Flavor: Google" && echo
192.168.10.1

Thêm tuyến đường cho mạng con của người dùng

Bạn phải thêm một tuyến vào cổng mặc định của giao diện Private Service Connect cho mỗi mạng con người dùng kết nối với giao diện Private Service Connect. Điều này đảm bảo rằng lưu lượng truy cập được liên kết với mạng của người dùng sẽ thoát khỏi giao diện Private Service Connect.

Trong thực thể bear, hãy thêm các tuyến vào mạng con của người dùng.

sudo ip route add 192.168.20.0/28 via 192.168.10.1 dev ens5
sudo ip route add 192.168.30.0/28 via 192.168.10.1 dev ens5
sudo ip route add 192.168.40.0/28 via 192.168.10.1 dev ens5

Xác thực bảng tuyến

Trong Cloud Shell, hãy xác thực các tuyến đường mới thêm.

ip route show

Ví dụ:

user@bear:~$ ip route show
default via 10.20.1.1 dev ens4 
10.20.1.0/28 via 10.20.1.1 dev ens4 
10.20.1.1 dev ens4 scope link 
192.168.10.0/28 via 192.168.10.1 dev ens5 
192.168.10.1 dev ens5 scope link 
192.168.20.0/28 via 192.168.10.1 dev ens5 
192.168.30.0/28 via 192.168.10.1 dev ens5 
192.168.40.0/28 via 192.168.10.1 dev ens5 

12. Xác thực kết nối thành công giữa gấu và sư tử

Hãy xác nhận rằng thực thể máy ảo của nhà sản xuất (bear) có thể giao tiếp với thực thể máy ảo của người tiêu dùng (lion) bằng cách thực hiện một lệnh curl.

Từ thực thể bear, hãy thực hiện một lệnh curl đối với Địa chỉ IP của lion được xác định trước đó trong hướng dẫn từ thực thể bear.

curl -v <lions IP Address>

Ví dụ:

user@bear:~$ curl -v 192.168.20.2
*   Trying 192.168.20.2:80...
* Connected to 192.168.20.2 (192.168.20.2) port 80 (#0)
> GET / HTTP/1.1
> Host: 192.168.20.2
> User-Agent: curl/7.74.0
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< Date: Tue, 06 Jun 2023 03:53:08 GMT
< Server: Apache/2.4.56 (Debian)
< Last-Modified: Mon, 05 Jun 2023 19:41:26 GMT
< ETag: "1e-5fd6716a1e11b"
< Accept-Ranges: bytes
< Content-Length: 30
< Content-Type: text/html
< 
Welcome to lion app server !!
* Connection #0 to host 192.168.20.2 left intact

13. Xác thực kết nối giữa bear và tiger bị chặn

Hãy xác nhận quy tắc tường lửa đi đang chặn quyền truy cập từ bear đến tiger bằng cách xem nhật ký tường lửa.

Từ một phiên Cloud Console mới, hãy chuyển đến phần Ghi nhật ký → Trình khám phá nhật ký → Chọn Hiển thị truy vấn

Dán chuỗi truy vấn bên dưới vào trường tìm kiếm rồi chọn luồng

jsonPayload.rule_details.reference="network:consumer-vpc/firewall:deny-all-egress"

Từ thực thể bear, hãy thực hiện một lệnh curl đối với Địa chỉ IP của tiger được xác định trước đó trong hướng dẫn từ thực thể bear. Cuối cùng, lệnh curl sẽ hết thời gian chờ.

curl -v <tiger's IP Address>

Ví dụ:

user@bear:~$ curl -v 192.168.30.2 
*   Trying 192.168.30.2:80...
* connect to 192.168.30.2 port 80 failed: Connection timed out
* Failed to connect to 192.168.30.2 port 80: Connection timed out
* Closing connection 0
curl: (28) Failed to connect to 192.168.30.2 port 80: Connection timed out

Xác thực rằng Trình khám phá nhật ký đã thu thập nhật ký tường lửa bị từ chối. Chọn một mục nhập nhật ký và mở rộng các trường lồng nhau để xem siêu dữ liệu.

14. Xác thực kết nối của cosmo to bear thành công

Mở một thẻ Cloud Shell mới và cập nhật chế độ cài đặt dự án.

Trong Cloud Shell, hãy thực hiện như sau:

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectid=YOUR-PROJECT-NAME
echo $projectid

Đăng nhập vào phiên bản cosmo bằng IAP trong Cloud Shell.

gcloud compute ssh cosmo --project=$projectid --zone=us-central1-a --tunnel-through-iap

Trong Cloud Shell, hãy ping địa chỉ IP vNIV1 của bear được xác định trước đó trong hướng dẫn

ping <bears vNIC1 IP Address>

Ví dụ:

user@cosmo:~$ ping 192.168.10.2 -c 5
PING 192.168.10.2 (192.168.10.2) 56(84) bytes of data.
64 bytes from 192.168.10.2: icmp_seq=1 ttl=64 time=0.277 ms
64 bytes from 192.168.10.2: icmp_seq=2 ttl=64 time=0.288 ms
64 bytes from 192.168.10.2: icmp_seq=3 ttl=64 time=0.265 ms
64 bytes from 192.168.10.2: icmp_seq=4 ttl=64 time=0.264 ms
64 bytes from 192.168.10.2: icmp_seq=5 ttl=64 time=0.366 ms

15. Dọn dẹp

Trong Cloud Shell, hãy xoá các thành phần hướng dẫn.

gcloud compute instances delete bear --zone=us-central1-a --quiet

gcloud compute instances delete lion --zone=us-central1-a --quiet

gcloud compute instances delete tiger --zone=us-central1-a --quiet

gcloud compute instances delete cosmo --zone=us-central1-a --quiet

gcloud compute network-attachments delete psc-network-attachment --region=us-central1 --quiet

gcloud compute firewall-rules delete allow-ingress allow-limited-egress-to-lion deny-all-egress ssh-iap-consumer ssh-iap-producer vm-subnet-allow-ingress --quiet

gcloud compute networks subnets delete cosmo-subnet-1 intf-subnet lion-subnet-1 prod-subnet tiger-subnet-1 --region=us-central1 --quiet

gcloud compute routers delete cloud-router-for-nat --region=us-central1 --quiet 

gcloud compute networks delete consumer-vpc --quiet

gcloud compute networks delete producer-vpc --quiet

16. Xin chúc mừng

Xin chúc mừng! Bạn đã định cấu hình và xác thực thành công Giao diện kết nối dịch vụ riêng tư cũng như khả năng kết nối của người dùng và nhà sản xuất bằng cách triển khai các quy tắc tường lửa.

Bạn đã tạo cơ sở hạ tầng của người dùng và thêm một tệp đính kèm mạng cho phép nhà sản xuất tạo một máy ảo nhiều nic để kết nối người dùng và nhà sản xuất. Bạn đã tìm hiểu cách tạo quy tắc tường lửa trong mạng VPC của người dùng cho phép kết nối với các thực thể trong VPC của người dùng và nhà sản xuất.

Cosmopup cho rằng các hướng dẫn này rất tuyệt vời!!

Tiếp theo là gì?

Hãy xem một số hướng dẫn sau...

• Sử dụng Private Service Connect để phát hành và sử dụng các dịch vụ bằng GKE
• Sử dụng Private Service Connect để phát hành và sử dụng dịch vụ
• Kết nối với các dịch vụ tại chỗ thông qua Mạng kết hợp bằng Private Service Connect và bộ cân bằng tải Proxy TCP nội bộ

Tài liệu đọc thêm và video

• Tổng quan về Private Service Connect
• Kết nối dịch vụ riêng tư (PSC) là gì?
• Các loại bộ cân bằng tải được hỗ trợ

Tài liệu tham khảo

• Tổng quan về trình cân bằng tải HTTP(s) nội bộ
• Tổng quan về tính năng Kiểm tra trạng thái
• Cách phát hành dịch vụ bằng Private Service Connect
• Private Service Connect – DNS tự động