Lab: VPC NCC come spoke

1. Introduzione

Panoramica

In questo lab, gli utenti scopriranno come Network Connectivity Center(NCC) può essere utilizzato per stabilire la connettività tra VPC su larga scala tramite il supporto degli spoke VPC. Quando gli utenti definiscono un VPC come spoke VPC, possono connetterlo a più reti VPC tramite l'hub NCC. L'NCC con configurazione dello spoke VPC riduce la complessità operativa della gestione della connettività inter-VPC a coppie tramite il peering VPC, utilizzando invece un modello di gestione della connettività centralizzata.

Ricorda che Network Connectivity Center (NCC) è un modello di piano di controllo hub and spoke per la gestione della connettività di rete in Google Cloud. La risorsa hub fornisce un modello di gestione della connettività centralizzata per interconnettere gli spoke.

Cosa creerai

In questo codelab, creerai una topologia hub e spoke logica con l'hub NCC che implementerà un fabric di connettività VPC completamente mesh su tre VPC distinti.

Cosa imparerai a fare

  • Connettività VPC full mesh con NCC
  • Private NAT in più VPC

Che cosa ti serve

  • Conoscenza della rete VPC Google Cloud
  • Conoscenza del router Cloud e del routing BGP
  • Due progetti Google Cloud distinti
  • Questo codelab richiede 5 VPC. Una di queste VPC deve trovarsi in un progetto distinto dall'hub NCC
  • Controlla la quota:Networks e richiedi reti aggiuntive, se necessario, screenshot di seguito:

6d1b99c6da87fd84.png

Obiettivi

  • Configura l'ambiente Google Cloud
  • Configurare Network Connectivity Center con la VPC come spoke
  • Convalida percorso dati
  • Esplorare le funzionalità di riparabilità del NCC
  • Ripulire le risorse utilizzate

Prima di iniziare

Google Cloud Console e Cloud Shell

Per interagire con Google Cloud, utilizzeremo sia la console Google Cloud che Cloud Shell durante questo lab.

NCC Hub Project Console Google Cloud

Puoi accedere alla console Cloud all'indirizzo https://console.cloud.google.com.

Configura i seguenti elementi in Google Cloud per semplificare la configurazione di Network Connectivity Center:

Nella console Google Cloud, nella pagina di selezione del progetto, seleziona o crea un progetto Google Cloud.

Avvia Cloud Shell. Questo Codelab utilizza le variabili $per facilitare l'implementazione della configurazione di gcloud in Cloud Shell.

gcloud auth list
gcloud config list project
gcloud config set project [HUB-PROJECT-NAME]
projectname=[HUB-PROJECT-NAME]
echo $projectname
gcloud config set compute/zone us-central1-a
gcloud config set compute/region us-central1

Ruoli IAM

NCC richiede i ruoli IAM per accedere ad API specifiche. Assicurati di configurare l'utente con i ruoli IAM NCC come richiesto.

Ruolo/descrizione

Autorizzazioni

networkconnectivity.networkAdmin: consente agli amministratori di rete di gestire gli hub e gli spoke.

networkconnectivity.hubs.networkconnectivity.spokes.

networkconnectivity.networkSpokeManager: consente di aggiungere e gestire gli spoke in un hub. Da utilizzare in VPC condiviso in cui il progetto host è proprietario dell'hub, ma altri amministratori in altri progetti possono aggiungere spoke per i propri allegati all'hub.

networkconnectivity.spokes.**

networkconnectivity.networkUsernetworkconnectivity.networkViewer: consente agli utenti della rete di visualizzare diversi attributi di hub e spoke.

networkconnectivity.hubs.getnetworkconnectivity.hubs.listnetworkconnectivity.spokes.getnetworkconnectivity.spokes.listnetworkconnectivity.spokes.aggregatedList

2. Configura l'ambiente di rete

Panoramica

In questa sezione, eseguiremo il deployment delle reti VPC e delle regole firewall in un unico progetto. Il diagramma logico illustra l'ambiente di rete che verrà configurato in questo passaggio.

Per dimostrare il supporto degli spoke tra progetti, in un passaggio successivo implementeremo una VPC e regole firewall in un altro progetto.

245f1002db33ca98.png

Crea le VPC e le subnet

La rete VPC contiene subnet in cui installerai la VM GCE per la convalida del percorso dei dati

gcloud compute networks create vpc1-ncc --subnet-mode custom
gcloud compute networks create vpc2-ncc --subnet-mode custom
gcloud compute networks create vpc3-ncc --subnet-mode custom
gcloud compute networks create vpc4-ncc --subnet-mode custom

gcloud compute networks subnets create vpc1-ncc-subnet1 \
--network vpc1-ncc --range 10.1.1.0/24 --region us-central1

gcloud compute networks subnets create vpc1-ncc-subnet2 \
--network vpc1-ncc --range 10.1.2.0/25 --region us-central1

gcloud compute networks subnets create vpc1-ncc-subnet3 \
--network vpc1-ncc --range 10.1.2.128/25 --region us-central1

gcloud compute networks subnets create vpc2-ncc-subnet1 \
--network vpc2-ncc --range 10.2.2.0/24 --region us-central1

Intervalli di subnet supportati dalla VPC

NCC supporta tutti gli intervalli di subnet IPv4 validi, ad eccezione degli indirizzi IP pubblici utilizzati privatamente. In questo passaggio, crea intervalli IP validi in VPC4 che verranno importati nella tabella delle route dell'hub.

gcloud compute networks subnets create benchmark-testing-rfc2544 \
--network vpc4-ncc --range 198.18.0.0/15 --region us-east1

gcloud compute networks subnets create class-e-rfc5735 \
--network vpc4-ncc --range 240.0.0.0/4 --region us-east1

gcloud compute networks subnets create ietf-protcol-assignment-rfc6890 \
--network vpc4-ncc --range 192.0.0.0/24 --region us-east1

gcloud compute networks subnets create ipv6-4-relay-rfc7526 \
--network vpc4-ncc --range 192.88.99.0/24 --region us-east1

gcloud compute networks subnets create pupi \
--network vpc4-ncc --range 50.50.50.0/24 --region us-east1

gcloud compute networks subnets create test-net-1-rfc5737 \
--network vpc4-ncc --range 192.0.2.0/24 --region us-east1

gcloud compute networks subnets create test-net-2-rfc5737 \
--network vpc4-ncc --range 198.51.100.0/24 --region us-east1

gcloud compute networks subnets create test-net-3-rfc5737 \
--network vpc4-ncc --range 203.0.113.0/24 --region us-east1

Creare intervalli di subnet sovrapposti

NCC non importerà intervalli IP sovrapposti nella tabella delle route dell'hub. Gli utenti aggireranno questa limitazione in un passaggio successivo. Per il momento, crea due intervalli IP sovrapposti per VPC2 e VPC3.

gcloud compute networks subnets create overlapping-vpc2 \
--network vpc3-ncc --range 10.3.3.0/24 --region us-central1

gcloud compute networks subnets create overlapping-vpc3 \
--network vpc2-ncc --range 10.3.3.0/24 --region us-central1

Configurare le regole firewall VPC

Configura le regole del firewall su ogni VPC per consentire

  • SSH
  • IAP interno
  • Intervallo 10.0.0.0/8
gcloud compute firewall-rules create ncc1-vpc-internal \
--network vpc1-ncc \
--allow all \
--source-ranges 10.0.0.0/8

gcloud compute firewall-rules create ncc2-vpc-internal \
--network vpc2-ncc \
--allow all \
--source-ranges 10.0.0.0/8

gcloud compute firewall-rules create ncc3-vpc-internal \
--network vpc3-ncc \
--allow all \
--source-ranges 10.0.0.0/8

gcloud compute firewall-rules create ncc4-vpc-internal \
--network vpc4-ncc \
--allow all \
--source-ranges 10.0.0.0/8

gcloud compute firewall-rules create ncc1-vpc-iap \
--network vpc1-ncc \
--allow all \
--source-ranges 35.235.240.0/20

gcloud compute firewall-rules create ncc2-vpc-iap \
--network vpc2-ncc \
--allow=tcp:22 \
--source-ranges 35.235.240.0/20

gcloud compute firewall-rules create ncc3-vpc-iap \
--network vpc3-ncc \
--allow=tcp:22  \
--source-ranges 35.235.240.0/20

gcloud compute firewall-rules create ncc4-vpc-iap \
--network vpc4-ncc \
--allow=tcp:22  \
--source-ranges 35.235.240.0/20

Configura la VM GCE in ogni VPC

Per installare i pacchetti su "vm1-vpc1-ncc", devi disporre di un accesso temporaneo a internet.

Crea quattro macchine virtuali, ognuna delle quali verrà assegnata a uno dei VPC creati in precedenza

gcloud compute instances create vm1-vpc1-ncc \
--subnet vpc1-ncc-subnet1 \
--metadata=startup-script='#!/bin/bash
  apt-get update
  apt-get install apache2 -y
  apt-get install tcpdump -y
  service apache2 restart
  echo "
<h3>Web Server: www-vm1</h3>" | tee /var/www/html/index.html'


gcloud compute instances create vm2-vpc2-ncc \
--zone us-central1-a \
--subnet vpc2-ncc-subnet1 \
--no-address 

gcloud compute instances create pnat-vm-vpc2 \
--zone us-central1-a \
--subnet overlapping-vpc3 \
--no-address 


gcloud compute instances create vm1-vpc4-ncc \
--zone us-east1-b \
--subnet class-e-rfc5735 \
--no-address

3. Hub Network Connectivity Center

Panoramica

In questa sezione, configureremo un hub NCC utilizzando i comandi gcloud. L'hub NCC fungerà da control plane responsabile della creazione della configurazione di routing tra ogni spoke VPC.

8acc7651f52e251e.png

Abilita i servizi API

Se non è ancora abilitata, abilita l'API Network Connectivity:

gcloud services enable networkconnectivity.googleapis.com

Creare un hub NCC

Creare un hub NCC utilizzando il comando gcloud

gcloud network-connectivity hubs create ncc-hub

Output di esempio

Create request issued for: [ncc-hub]
Waiting for operation [projects/user-3p-dev/locations/global/operations/operation-1668793629598-5edc24b7ee3ce-dd4c765b-5ca79556] to complete...done.     
Created hub [ncc-hub]

Descrivi l'hub NCC appena creato. Prendi nota del nome e del percorso associato.

gcloud network-connectivity hubs describe ncc-hub

gcloud network-connectivity hubs describe ncc-hub
createTime: '2023-11-02T02:28:34.890423230Z'
name: projects/user-3p-dev/locations/global/hubs/ncc-hub
routeTables:
- projects/user-3p-dev/locations/global/hubs/ncc-hub/routeTables/default
state: ACTIVE
uniqueId: de749c4c-0ef8-4888-8622-1ea2d67450f8
updateTime: '2023-11-02T02:28:48.613853463Z'

NCC Hub ha introdotto una tabella di routing che definisce il piano di controllo per la creazione della connettività dei dati. Trova il nome della tabella di routing dell'hub NCC

 gcloud network-connectivity hubs route-tables list --hub=ncc-hub

NAME: default
HUB: ncc-hub
DESCRIPTION:

Trova l'URI della tabella delle route predefinite del NCC.

gcloud network-connectivity hubs route-tables describe default --hub=ncc-hub

createTime: '2023-02-24T17:32:58.786269098Z'
name: projects/user-3p-dev/locations/global/hubs/ncc-hub/routeTables/default
state: ACTIVE
uid: eb1fdc35-2209-46f3-a8d6-ad7245bfae0b
updateTime: '2023-02-24T17:33:01.852456186Z'

Elenca i contenuti della tabella di routing predefinita dell'hub NCC. Nota: la tabella dei percorsi dell'hub NCC sarà vuota fino a quando non saranno presenti gli spoke

gcloud network-connectivity hubs route-tables routes list --hub=ncc-hub --route_table=default

La tabella dei percorsi dell'hub NCC deve essere vuota.

4. NCC con spoke VPC

Panoramica

In questa sezione, configurerai tre VPC come spoke NCC utilizzando i comandi gcloud.

a70bc80037927bb0.png

Configurare le VPC come spoke NCC

Configura i seguenti VPC come spoke NCC in questo ordine

  • VPC4
  • VPC1
  • VPC2
  • VPC3

Configura VPC4 come spoke NCC e assegnalo all'hub NCC creato in precedenza. Le chiamate API spoke NCC richiedono la specifica di una località. Il flag "–global" semplifica la sintassi di gcloud consentendo all'utente di evitare di specificare un percorso URI completo durante la configurazione di un nuovo spoke NCC.

gcloud network-connectivity spokes linked-vpc-network create vpc4-spoke4 \
--hub=ncc-hub \
--vpc-network=vpc4-ncc \
--global

Configura VPC1 come spoke NCC.

Gli amministratori possono escludere l'esportazione delle route di subnet da uno spoke VPC nella tabella di route dell'hub NCC. In questa parte del codelab, crea una regola di esportazione esclusa in base a un prefisso di riepilogo per impedire l'esportazione della subnet del VPC1 nella tabella delle route dell'hub NCC.

Utilizza questo comando gcloud per elencare tutte le subnet appartenenti a VPC1.

gcloud config set accessibility/screen_reader false
gcloud compute networks subnets list --network=vpc1-ncc

Prendi nota della coppia di subnet /25 create in precedenza nella sezione di configurazione.

NAME              REGION       NETWORK   RANGE          STACK_TYPE  
vpc1-ncc-subnet1  us-central1  vpc1-ncc  10.1.1.0/24    IPV4_ONLY
vpc1-ncc-subnet2  us-central1  vpc1-ncc  10.1.2.0/25    IPV4_ONLY
vpc1-ncc-subnet3  us-central1  vpc1-ncc  10.1.2.128/25  IPV4_ONLY

Configura VPC1 come spoke NCC ed escludi l'importazione della coppia di subnet /25 nella tabella di routing dell'hub utilizzando la parola chiave "export-exclude-ranges" per filtrare la route di riepilogo /24 da quell'intervallo specifico.

gcloud network-connectivity spokes linked-vpc-network create vpc1-spoke1 \
--hub=ncc-hub \
--vpc-network=vpc1-ncc \
--exclude-export-ranges=10.1.2.0/24 \
--global

Nota: gli utenti possono filtrare fino a 16 intervalli IP univoci per ogni spoke NCC.

Elenca i contenuti della tabella di routing predefinita dell'hub NCC. Che cosa è successo alla coppia di subnet /25 nella tabella di routing dell'hub NCC?

gcloud network-connectivity hubs route-tables routes list --hub=ncc-hub --route_table=default --filter="NEXT_HOP:vpc1-ncc"

IP_CIDR_RANGE  STATE   TYPE                  NEXT_HOP  HUB      ROUTE_TABLE
10.1.1.0/24    ACTIVE  VPC_PRIMARY_SUBNET    vpc1-ncc  ncc-hub  default

Configura VPC2 come spoke NCC

gcloud network-connectivity spokes linked-vpc-network create vpc2-spoke2 \
--hub=ncc-hub \
--vpc-network=vpc2-ncc \
--global

Configura VPC3 come spoke NCC e assegnalo all'hub NCC creato in precedenza.

gcloud  network-connectivity spokes linked-vpc-network create vpc3-spoke3 \
--hub=ncc-hub \
--vpc-network=vpc3-ncc \
--global

Che cosa è successo?

ERROR: (gcloud.network-connectivity.spokes.linked-vpc-network.create) Invalid resource state for "https://www.googleapis.com/compute/v1/projects/xxxxxxxx/global/networks/vpc3-ncc": 10.3.3.0/24 (SUBNETWORK) overlaps with 10.3.3.0/24 (SUBNETWORK) from "projects/user-3p-dev/global/networks/vpc2-ncc" (peer)

L'hub NCC ha rilevato un intervallo IP sovrapposto con VPC2. Ricorda che le VPC2 e VPC3 sono state configurate con la stessa subnet IP 10.3.3.0/24.

Filtrare gli intervalli IP in sovrapposizione con l'esportazione esclusa

Al momento della stesura di questo codelab, è noto un problema per cui gli utenti devono eliminare e ricreare i raggi NCC per apportare modifiche di configurazione al filtro di esportazione.

gcloud network-connectivity spokes delete vpc2-spoke2 --global --quiet

Nota:l'eliminazione di uno spoke VPC associato a un VPC specifico richiede la scadenza di un periodo di attesa di 10 minuti per poter ricreare un nuovo spoke che fa riferimento allo stesso VPC.

gcloud  network-connectivity spokes linked-vpc-network create vpc2-spoke2 \
--hub=ncc-hub \
--vpc-network=vpc2-ncc \
--exclude-export-ranges=10.3.3.0/24 \
--global

Configura VPC3 come spoke NCC e assegnalo all'hub NCC creato in precedenza. Questo tentativo di aggiungere VPC3 come spoke a NCC dovrebbe riuscire.

gcloud network-connectivity spokes linked-vpc-network create vpc3-spoke3 \
--hub=ncc-hub \
--vpc-network=vpc3-ncc \
--exclude-export-ranges=10.3.3.0/24 \
--global

Elenca i contenuti della tabella di routing predefinita dell'hub NCC ed esamina l'output.

gcloud network-connectivity hubs route-tables routes list --hub=ncc-hub --route_table=default

Gli intervalli IP sovrapposti di VPC2 e VPC3 sono esclusi. La tabella di routing dell'hub NCC supporta tutti i tipi di intervalli IPv4 validi, ad eccezione degli indirizzi IP pubblici utilizzati privatamente (PUPI).

5. NCC con spoke tra progetti

Panoramica

Finora hai configurato gli spoke NCC che appartengono allo stesso progetto dell'hub. In questa sezione, configurerai la VPC come spoke NCC da un progetto separato diverso dall'hub NCC utilizzando i comandi gcloud.

In questo modo, i proprietari di progetti che gestiscono i propri VPC possono partecipare alla connettività di rete con NCC Hub.

e1190fa898c5097d.png

Tra progetti: Google Cloud Console e Cloud Shell

Per interagire con Google Cloud, utilizzeremo sia la console Google Cloud che Cloud Shell durante questo lab.

Console Google Cloud per Spoke tra progetti

Puoi accedere alla console Cloud all'indirizzo https://console.cloud.google.com.

Configura i seguenti elementi in Google Cloud per semplificare la configurazione di Network Connectivity Center:

Nella console Google Cloud, nella pagina di selezione del progetto, seleziona o crea un progetto Google Cloud.

Avvia Cloud Shell. Questo Codelab utilizza le variabili $per facilitare l'implementazione della configurazione di gcloud in Cloud Shell.

gcloud auth list
gcloud config list project
gcloud config set project [YOUR-CROSSPROJECT-NAME]
xprojname=[YOUR-CROSSPROJECT-NAME]
echo $xprojname
gcloud config set compute/zone us-central1-a
gcloud config set compute/region us-central1

Ruoli IAM

NCC richiede i ruoli IAM per accedere ad API specifiche. Assicurati di configurare l'utente con i ruoli IAM NCC come richiesto.

All'amministratore dello spoke tra progetti deve essere assegnato almeno il ruolo IAM "networkconnectivity.networkSpokeManager". "

La tabella seguente elenca il ruolo IAM richiesto per l'amministratore di hub e spoke NCC come riferimento.

Ruolo/descrizione

Autorizzazioni

networkconnectivity.networkAdmin: consente agli amministratori di rete di gestire gli hub e gli spoke.

networkconnectivity.hubs.networkconnectivity.spokes.

networkconnectivity.networkSpokeManager: consente di aggiungere e gestire gli spoke in un hub. Da utilizzare in VPC condiviso in cui il progetto host è proprietario dell'hub, ma altri amministratori in altri progetti possono aggiungere spoke per i propri allegati all'hub.

networkconnectivity.spokes.**

networkconnectivity.networkUsernetworkconnectivity.networkViewer: consente agli utenti della rete di visualizzare diversi attributi di hub e spoke.

networkconnectivity.hubs.getnetworkconnectivity.hubs.listnetworkconnectivity.spokes.getnetworkconnectivity.spokes.listnetworkconnectivity.spokes.aggregatedList

Crea le VPC e le subnet nel progetto tra più progetti

La rete VPC contiene subnet in cui installerai la VM GCE per la convalida del percorso dei dati

gcloud compute networks create xproject-vpc \
--subnet-mode custom

gcloud compute networks subnets create xprj-net-1 \
--network xproject-vpc \
--range 10.100.1.0/24 \
--region us-central1

URI del progetto dell'hub NCC

Utilizza questo comando gcloud per trovare l'URI dell'hub NCC. Nel passaggio successivo avrai bisogno del percorso URI per configurare il spoke NCC tra progetti.

gcloud network-connectivity hubs describe ncc-hub

VPC spoke tra progetti

Accedi all'altro progetto in cui il VPC NON fa parte del progetto NCC Hub. In Cloud Shell, utilizza questo comando per configurare una VPC come spoke NCC.

  • HUB_URI deve essere l'URI di un hub in un progetto diverso.
  • VPC_URI deve trovarsi nello stesso progetto dello spoke
  • VPC-network specifica che il VPC in questo progetto tra più progetti si unirà all'hub NCC in un altro progetto
gcloud network-connectivity spokes linked-vpc-network create xproj-spoke \
--hub=projects/[YOUR-PROJECT-NAME]/locations/global/hubs/ncc-hub \
--global \
--vpc-network=xproject-vpc

.

Create request issued for: [xproj-spoke]
Waiting for operation [projects/xproject/locations/global/operations/operation-1689790411247-600dafd351158-2b862329-19b747f1] to complete...done.                           
Created spoke [xproj-spoke].
createTime: '2023-07-19T18:13:31.388500663Z'
hub: projects/[YOUR-PROJECT-NAME]/locations/global/hubs/ncc-hub
linkedVpcNetwork:
  uri: https://www.googleapis.com/compute/v1/projects/xproject/global/networks/xproject-vpc
name: projects/xproject/locations/global/spokes/xproj-spoke
reasons:
- code: PENDING_REVIEW
  message: Spoke is Pending Review
spokeType: VPC_NETWORK
state: INACTIVE
uniqueId: 46b4d091-89e2-4760-a15d-c244dcb7ad69
updateTime: '2023-07-19T18:13:38.652800902Z'

Qual è lo stato dello spoke NCC tra progetti? Perché?

6. Rifiutare o accettare uno spoke tra progetti

Panoramica

Gli amministratori di NCC Hub devono accettare esplicitamente uno spoke tra progetti per partecipare all'hub. In questo modo, i proprietari dei progetti non possono collegare spoke non autorizzati della rete NCC alla tabella di routing globale della rete NCC. Una volta accettato o rifiutato, uno spoke può essere successivamente rifiutato o accettato tutte le volte che vuoi eseguendo i comandi precedenti.

Torna al progetto in cui si trova l'hub NCC accedendo a Cloud Shell.

Identifica i raggi tra progetti da esaminare

gcloud network-connectivity hubs list-spokes ncc-hub \
 --filter="reason:PENDING_REVIEW"

Accettare uno spoke

gcloud network-connectivity spokes accept xproj-spoke --global

(Facoltativo) Rifiutare un raggio

gcloud network-connectivity spokes reject xproj-spoke \
--global \
--details="some reason to reject"

Elenco dei rami attivi nell'hub

gcloud network-connectivity hubs list-spokes ncc-hub \
 --filter="state:ACTIVE"

NAME            PROJECT          LOCATION  TYPE         STATE   STATE REASON
Xproj-spoke     xproj            global    VPC_NETWORK  ACTIVE
vpc4-spoke4     user-3p-dev      global    VPC_NETWORK  ACTIVE
vpc1-spoke1     user-3p-dev      global    VPC_NETWORK  ACTIVE
vpc2-spoke2     user-3p-dev      global    VPC_NETWORK  ACTIVE
vpc3-spoke3     user-3p-dev      global    VPC_NETWORK  ACTIVE

Elenca i route di subnet sull'hub

Dall'output, riesci a vedere le route di subnet dallo spoke VPC tra più VPC?

gcloud network-connectivity hubs route-tables routes list \
--route_table=default \
--hub=ncc-hub \
--filter="NEXT_HOP:xprj-vpc"

IP_CIDR_RANGE  STATE   TYPE                NEXT_HOP  HUB      ROUTE_TABLE
10.100.0.0/16  ACTIVE  VPC_PRIMARY_SUBNET  xprj-vpc  ncc-hub  default

7. Private NAT tra VPC

Panoramica

In questa sezione configurerai la NAT privata per intervalli di subnet sovrapposti tra due VPC. Tieni presente che la NAT privata tra VPC richiede NCC.

Nella sezione precedente, VPC2 e VPC3 sono configurati con un intervallo di subnet sovrapposto di "10.3.3.0/24". Entrambi i VPC sono configurati come spoke NCC per escludere l'inserimento della subnet sovrapposta nella tabella di route dell'hub NCC, il che significa che non esiste un percorso di dati di livello 3 per raggiungere gli host che si trovano in quella subnet.

Utilizza questi comandi nel progetto hub NCC per trovare gli intervalli di subnet sovrapposti.

gcloud compute networks subnets list --network vpc2-ncc

gcloud compute networks subnets list --network vpc3-ncc

In vpc2-ncc, qual è il nome della subnet che contiene l'intervallo IP sovrapposto?

*Prendi nota e salva il nome della subnet da qualche parte. Configurare il NAT di origine per questo intervallo.

Configurare Private NAT

Dedica un intervallo di subnet routabile al traffico NAT di origine dalla subnet sovrapposta di VPC2. Configurando un intervallo di subnet non sovrapposto utilizzando il flag "–purpose=PRIVATE_NAT".

gcloud compute networks subnets create ncc2-spoke-nat \
--network=vpc2-ncc \
--region=us-central1 \
--range=10.10.10.0/29 \
--purpose=PRIVATE_NAT

Crea un router cloud dedicato per eseguire il NAT privato

gcloud compute routers create private-nat-cr \
--network vpc2-ncc \
--region us-central1

Configura il router cloud in modo che esegui la NAT dell'intervallo sovrapposto 10.3.3.0/24 da vpc2-ncc. Nella configurazione di esempio riportata di seguito, "overlapping-vpc3" è il nome della sottorete sovrapposta. La parola chiave "ALL" specifica che tutti gli intervalli IP nella subnet verranno sottoposti a NAT di origine.

gcloud compute routers nats create ncc2-nat \
--router=private-nat-cr \
--type=PRIVATE \
--nat-custom-subnet-ip-ranges=overlapping-vpc3:ALL \
--router-region=us-central1

I passaggi precedenti hanno creato un pool di intervalli IP NAT e la subnet specifica che verrà tradotta. In questo passaggio, crea la regola NAT "1" che traduce i pacchetti di rete corrispondenti al traffico proveniente dall'intervallo di subnet sovrapposto se la rete di destinazione segue un percorso dalla tabella di routing dell'hub NCC.

gcloud compute routers nats rules create 1 \
--router=private-nat-cr \
--region=us-central1 \
--match='nexthop.hub == "//networkconnectivity.googleapis.com/projects/$projectname/locations/global/hubs/ncc-hub"' \
--source-nat-active-ranges=ncc2-spoke-nat \
--nat=ncc2-nat

Verificare il NAT privato

gcloud compute routers nats describe ncc2-nat --router=private-nat-cr

Output di esempio

enableDynamicPortAllocation: true
enableEndpointIndependentMapping: false
endpointTypes:
- ENDPOINT_TYPE_VM
name: ncc2-nat
rules:
- action:
    sourceNatActiveRanges:
    - https://www.googleapis.com/compute/projects/yueri-3p-dev/regions/us-central1/subnetworks/ncc2-spoke-nat
  match: nexthop.hub == "//networkconnectivity.googleapis.com/projects/yueri-3p-dev/locations/global/hubs/ncc-hub"
  ruleNumber: 1
sourceSubnetworkIpRangesToNat: LIST_OF_SUBNETWORKS
subnetworks:
- name: https://www.googleapis.com/compute/projects/yueri-3p-dev/regions/us-central1/subnetworks/overlapping-vpc3
  sourceIpRangesToNat:
  - ALL_IP_RANGES
type: PRIVATE

Facoltativamente,

  • Passare alla console web
  • vai a "Servizi di rete > Cloud NAT > ncc2-nat"

Verifica che l'allocazione dinamica delle porte sia abilitata per impostazione predefinita.

114050bb65e0c4e2.png

Successivamente, verificherai il percorso dati che utilizza il percorso NAT privato configurato per VPC2.

5035b181aeaa30a8.png

Apri una sessione SSH su "vm1-vpc1-ncc" e utilizza il comando tcpdump riportato di seguito per acquisire i pacchetti provenienti dall'intervallo del pool NAT "10.10.10.0/29".

vm1-vpc1-ncc

sudo tcpdump -i any net 10.10.10.0/29 -n

Al momento della stesura di questo codelab, il NAT privato non supporta i pacchetti ICMP. Esegui una sessione SSH su "pNat-vm-vpc2" e utilizza il comando curl come mostrato di seguito per connetterti a "vm1-vpc1-ncc" sulla porta TCP 80.

pnat-vm-vpc2

curl 10.1.1.2 -v

Esamina l'output di tcpdump su "vm1-vpc1-ncc". Qual è l'indirizzo IP di origine che ha generato la sessione TCP al nostro server web su "vm1-vpc1-ncc"?

tcpdump: data link type LINUX_SLL2
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on any, link-type LINUX_SLL2 (Linux cooked v2), snapshot length 262144 bytes
19:05:27.504761 ens4  In  IP 10.10.10.2.1024 > 10.1.1.2:80: Flags [S], seq 2386228656, win 65320, options [mss 1420,sackOK,TS val 3955849029 ecr 0,nop,wscale 7], length 0
19:05:27.504805 ens4  Out IP 10.1.1.2:80 > 10.10.10.2.1024: Flags [S.], seq 48316785, ack 2386228657, win 64768, options [mss 1420,sackOK,TS val 1815983704 ecr 3955849029,nop,wscale 7], length 0
<output snipped>

8. Verificare la connettività del percorso dei dati

Fai riferimento al diagramma e verifica il percorso dei dati tra ogni macchina virtuale.

424df0ebe4510ebb.png

Accedi tramite SSH a "vm1-vpc1-ncc" e avvia il dump TCP per tracciare i pacchetti ICMP da "vm2-vpc2-ncc". Ti ricordiamo che questa VM si trova in VPC2.

vm1-vpc1-ncc

sudo tcpdump -i any icmp -v -e -n

Stabilisci una sessione SSH con "vm1-vpc2-ncc" ed esegui un "ping" sull'indirizzo IP di "vm1-vpc1-ncc".

vm1-vpc2-ncc

ping 10.1.1.2

Stabilisci una connessione SSH a "vm1-vpc2-ncc" ed esegui un "ping" all'indirizzo IP di "vm1-vpc4-ncc".

vm1-vpc2-ncc

ping 240.0.0.2

9. Esegui la pulizia

Accedi a Cloud Shell ed elimina le istanze VM nelle reti del sito hub e dei siti branch

Eliminare le configurazioni NAT VPC private

gcloud compute routers nats rules delete 1 \
--nat=ncc2-nat \
--router=private-nat-cr \
--region=us-central1 \
--quiet

gcloud compute routers nats delete ncc2-nat \
--router=private-nat-cr \
--router-region=us-central1 \
--quiet

gcloud compute routers delete private-nat-cr \
--region=us-central1 \
--quiet

Eliminare gli spoke NCC

gcloud network-connectivity spokes delete vpc1-spoke1 --global --quiet

gcloud network-connectivity spokes delete vpc2-spoke2 --global --quiet

gcloud network-connectivity spokes delete vpc3-spoke3 --global --quiet

gcloud network-connectivity spokes delete vpc4-spoke4 --global --quiet

Rifiutare uno spoke tra progetti

Rifiuta lo spoke VPC tra progetti dall'hub NCC.

gcloud network-connectivity spokes reject projects/$xprojname/locations/global/spokes/xproj-spoke \--details="cleanup" \
--global

Eliminare l'hub NCC

gcloud network-connectivity hubs delete ncc-hub --quiet

Eliminare le regole firewall

gcloud compute firewall-rules delete ncc1-vpc-internal --quiet
gcloud compute firewall-rules delete ncc2-vpc-internal --quiet
gcloud compute firewall-rules delete ncc3-vpc-internal --quiet
gcloud compute firewall-rules delete ncc4-vpc-internal --quiet
gcloud compute firewall-rules delete ncc1-vpc-iap --quiet
gcloud compute firewall-rules delete ncc2-vpc-iap --quiet
gcloud compute firewall-rules delete ncc3-vpc-iap --quiet
gcloud compute firewall-rules delete ncc4-vpc-iap --quiet

Eliminare le istanze GCE

gcloud compute instances delete vm1-vpc1-ncc --zone=us-central1-a --quiet
gcloud compute instances delete vm2-vpc2-ncc --zone=us-central1-a --quiet
gcloud compute instances delete pnat-vm-vpc2 --zone=us-central1-a --quiet
gcloud compute instances delete vm1-vpc4-ncc --zone=us-east1-b --quiet

Eliminare le subnet VPC

gcloud compute networks subnets delete ncc2-spoke-nat --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet1 --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet2 --region us-central1 --quiet
gcloud compute networks subnets delete vpc1-ncc-subnet3 --region us-central1 --quiet
gcloud compute networks subnets delete vpc2-ncc-subnet1 --region us-central1 --quiet
gcloud compute networks subnets delete overlapping-vpc2 --region us-central1 --quiet 
gcloud compute networks subnets delete overlapping-vpc3 --region us-central1 --quiet

gcloud compute networks subnets delete benchmark-testing-rfc2544 --region us-east1 --quiet
gcloud compute networks subnets delete class-e-rfc5735 --region us-east1 --quiet
gcloud compute networks subnets delete ietf-protcol-assignment-rfc6890 --region us-east1 --quiet
gcloud compute networks subnets delete ipv6-4-relay-rfc7526 --region us-east1 --quiet
gcloud compute networks subnets delete pupi --region us-east1 --quiet
gcloud compute networks subnets delete test-net-1-rfc5737 --region us-east1 --quiet
gcloud compute networks subnets delete test-net-2-rfc5737 --region us-east1 --quiet
gcloud compute networks subnets delete test-net-3-rfc5737 --region us-east1 --quiet

Eliminare i VPC

gcloud compute networks delete vpc1-ncc vpc2-ncc vpc3-ncc vpc4-ncc 
--quiet

10. Complimenti!

Hai completato il lab di Network Connectivity Center.

Argomenti trattati

  • Rete di peering VPC full mesh configurata con hub NCC
  • Filtro di esclusione per spoke NCC
  • Assistenza per gli spoke tra progetti
  • Private NAT tra VPC

Passaggi successivi

©Google, LLC o le sue società consociate. Tutti i diritti riservati. Distribuzione vietata.