1. Einführung
Private Service Connect revolutioniert die Art und Weise, wie Organisationen Dienste im Google Cloud-System nutzen. Es bietet neben IPv4 auch volle Unterstützung für IPv6-Adressen. Es kombiniert verbesserte Sicherheit, vereinfachte Konnektivität, verbesserte Leistung und eine zentrale Verwaltung. Damit ist es eine ideale Lösung für Unternehmen, die ein robustes, zuverlässiges und effizientes Modell für die Nutzung von Diensten suchen, das für die Zukunft des Networkings gerüstet ist. Ganz gleich, ob Sie eine Hybrid-Cloud erstellen, Dienste in Ihrer Organisation freigeben oder auf Dienste von Drittanbietern zugreifen: PSC bietet eine nahtlose und sichere Möglichkeit, das volle Potenzial von Google Cloud zu nutzen und gleichzeitig die Vorteile von IPv6 zu nutzen.
Aufgaben in diesem Lab
- Hauptvorteile von PSC 66
- Von Private Service Connect 66 unterstützte Übersetzung
- Dual Stack ULA – Übersicht
- Netzwerkanforderungen
- Private Service Connect-Producer-Dienst erstellen
- Private Service Connect-Endpunkt erstellen
- Verbindung von einer Dual-Stack-VM zum Private Service Connect-Endpunkt herstellen
Voraussetzungen
- Google Cloud-Projekt mit Inhaberberechtigungen
2. Aufgaben
Sie richten ein Producer-Netzwerk ein, um einen Apache-Webserver als veröffentlichten Dienst über Private Service Connect (PSC) bereitzustellen. Nach der Veröffentlichung führst du die folgenden Aktionen aus, um den Zugriff auf den Produzentendienst zu bestätigen:
- Richten Sie von der Dual-Stack-GCE-Instanz im VPC des Nutzers den IPv6-PSC-Endpunkt auf den Dienst des Erstellers aus.
Hauptvorteile von PSC 66
- Nahtlose Integration:PSC lässt sich nahtlos in VPC-Netzwerke integrieren, die für IPv6 konfiguriert sind. So können Sie die Vorteile der IPv6-Adressierung für Ihre Dienstverbindungen nutzen.
- Dual-Stack-Unterstützung:PSC unterstützt Dual-Stack-Konfigurationen, die die gleichzeitige Verwendung von IPv4 und IPv6 innerhalb desselben VPC ermöglichen. So ist Ihr Netzwerk flexibel und zukunftssicher.
- Vereinfachte Umstellung: Mit PSC wird die Umstellung auf IPv6 vereinfacht, da Sie IPv6 nach und nach neben Ihrer bestehenden IPv4-Infrastruktur einführen können.
- Unterstützung für Producer:Der Producer muss Dual-Stack verwenden, was zu einem PSC-Endpunkt des Nutzers mit reiner IPv6-Unterstützung führt.
3. Unterstützte Übersetzung für Private Service Connect 64 und 66
Aspekte für Verbraucher
Die IP-Version des Endpunkts kann entweder IPv4 oder IPv6 sein, aber nicht beides. Nutzer können eine IPv4-Adresse verwenden, wenn das Subnetz der Adresse Single-Stack ist. Nutzer können eine IPv4- oder IPv6-Adresse verwenden, wenn das Subnetz der Adresse Dual-Stack ist. Nutzer können sowohl IPv4- als auch IPv6-Endpunkte mit demselben Dienstanhang verbinden. Dies kann für die Migration von Diensten zu IPv6 hilfreich sein.
Hinweise für Produzenten
Die IP-Version der Weiterleitungsregel des Erstellers bestimmt die IP-Version des Dienstanhangs und den Traffic, der den Dienstanhang ausgibt. Die IP-Version des Dienstanhangs kann entweder IPv4 oder IPv6 sein, aber nicht beides. Ersteller können eine IPv4-Adresse verwenden, wenn das Subnetz der Adresse Single-Stack-Subnetz ist. Ersteller können eine IPv4- oder IPv6-Adresse verwenden, wenn das Subnetz der Adresse Dual-Stack ist.
Die IP-Version der IP-Adresse der Ersteller-Weiterleitungsregel muss mit dem Stack-Typ des NAT-Subnetzes des Dienstanhangs kompatibel sein.
- Wenn die Weiterleitungsregel des Erstellers IPv4 ist, kann das NAT-Subnetz Single-Stack- oder Dual-Stack-Cluster sein.
- Wenn die Weiterleitungsregel des Erstellers IPv6 ist, muss das NAT-Subnetz ein Dual-Stack-Subnetz sein.
Für unterstützte Konfigurationen sind folgende Kombinationen möglich:
- IPv4-Endpunkt zum IPv4-Dienstanhang
- IPv6-Endpunkt zum IPv6-Dienstanhang
- IPv6-Endpunkt zu IPv4-Dienstanhang: In dieser Konfiguration übersetzt Private Service Connect automatisch zwischen den beiden IP-Versionen.
Folgendes wird nicht unterstützt:
Private Service Connect unterstützt nicht die Verbindung eines IPv4-Endpunkts mit einem IPv6-Dienstanhang. In diesem Fall schlägt die Endpunkterstellung mit der folgenden Fehlermeldung fehl:
Eine Private Service Connect-Weiterleitungsregel mit einer IPv4-Adresse kann nicht auf einen IPv6-Dienstanhang ausgerichtet sein.
4. Dual Stack ULA – Übersicht
Google Cloud unterstützt das Erstellen von privaten IPv6-Subnetzen und VMs mit ULA. RFC 4193 definiert ein IPv6-Adressierungsschema für die lokale Kommunikation, das sich ideal für die VPC-interne Kommunikation eignet. ULA-Adressen sind nicht global routbar, sodass Ihre VMs vollständig vom Internet isoliert sind und ein RFC-1918-ähnliches Verhalten mit IPv6 bieten. In Google Cloud können ULA-Präfixe vom Typ /48 für VPC-Netzwerke erstellt werden, sodass alle Ihre /64-IPv6-ULA-Subnetze aus diesem VPC-Netzwerkbereich zugewiesen werden.
Ähnlich wie bei global eindeutigen externen IPv6-Adressen, die von Google Cloud unterstützt werden, erhält jedes ULA-IPv6-fähige Subnetz ein /64-Subnetz aus dem /48-ULA-Bereich des VPC-Netzwerks und jeder VM wird eine /96-Adresse aus diesem Subnetz zugewiesen.
RFC 4193 definiert den IPv6-Adressraum im Bereich fc00::/7. ULA-Adressen können innerhalb privater Netzwerke/Websites frei zugewiesen und verwendet werden. Google Cloud weist alle ULA-Adressen aus dem Bereich fd20::/20 zu. Diese Adressen können nur innerhalb von VPCs und nicht im globalen IPv6-Internet weitergeleitet werden.
Von Google Cloud zugewiesene ULA-Adressen sind in allen VPC-Netzwerken garantiert eindeutig. In Google Cloud wird dafür gesorgt, dass keinem VPC-Netzwerk dasselbe ULA-Präfix zugewiesen wird. Dadurch wird das Problem mit sich überschneidenden Bereichen in VPC-Netzwerken behoben.
Sie können Google Cloud erlauben, Ihrem Netzwerk automatisch /48 zuzuweisen, oder ein bestimmtes /48-IPv6-Präfix auswählen. Wenn das angegebene IPv6-Präfix bereits einem anderen VPC oder Ihrem lokalen Netzwerk zugewiesen ist, können Sie einen anderen Bereich auswählen.
5. Netzwerkanforderungen
Im Folgenden finden Sie eine Aufschlüsselung der Netzwerkanforderungen für das Nutzer- und das Produzentennetzwerk:
Verbrauchernetzwerk (alle Komponenten werden in us-central1 bereitgestellt)
Komponenten | Beschreibung |
VPC | Für Dual-Stack-Netzwerke ist ein VPC im benutzerdefinierten Modus mit aktivierter ULA erforderlich |
PSC-Endpunkt | IPv6-PSC-Endpunkt, der für den Zugriff auf den Erstellerdienst verwendet wird |
Subnetz(e) | Dual-Stack |
GCE | Dual-Stack |
Erstellernetzwerk(alle Komponenten in us-central1 bereitgestellt)
Komponenten | Beschreibung |
VPC | Für Dual-Stack-Netzwerke ist ein VPC im benutzerdefinierten Modus mit aktivierter ULA erforderlich |
PSC-NAT-Subnetz | Dual-Stack Pakete aus dem VPC-Netzwerk des Nutzers werden mithilfe von Quell-NAT (SNAT) übersetzt, sodass ihre ursprünglichen Quell-IP-Adressen in Quell-IP-Adressen aus dem NAT-Subnetz im VPC-Netzwerk des Erstellers umgewandelt werden. |
PSC-Weiterleitungsregel | Dual-Stack Interner Passthrough-Network Load Balancer |
Eine Regel für eingehenden Traffic, die für die Instanzen mit Load Balancing gilt und Traffic von den Google Cloud-Systemen für Systemdiagnosen zulässt (2600:2d00:1:b029::/64). | |
Backend-Dienst | Ein Back-End-Dienst dient als Brücke zwischen Ihrem Load Balancer und Ihren Back-End-Ressourcen. In dieser Anleitung ist der Back-End-Dienst mit der nicht verwalteten Instanzgruppe verknüpft. |
Nicht verwaltete Instanzgruppe | Unterstützt VMs, die eine individuelle Konfiguration oder Abstimmung erfordern. Unterstützt keine automatische Skalierung. |
6. Codelab-Topologie
7. Einrichtung und Anforderungen
Einrichtung der Umgebung im eigenen Tempo
- Melden Sie sich in der Google Cloud Console an und erstellen Sie ein neues Projekt oder verwenden Sie ein vorhandenes. Wenn Sie noch kein Gmail- oder Google Workspace-Konto haben, müssen Sie ein Konto erstellen.
- Der Projektname ist der Anzeigename für die Teilnehmer dieses Projekts. Es ist ein Zeichenstring, der von Google APIs nicht verwendet wird. Sie können ihn jederzeit aktualisieren.
- Die Projekt-ID ist für alle Google Cloud-Projekte eindeutig und kann nach der Festlegung nicht mehr geändert werden. In der Cloud Console wird automatisch ein eindeutiger String generiert. In der Regel spielt es keine Rolle, wie er lautet. In den meisten Codelabs müssen Sie auf Ihre Projekt-ID verweisen (normalerweise als
PROJECT_IDgekennzeichnet). Wenn Ihnen die generierte ID nicht gefällt, können Sie eine andere zufällige generieren. Alternativ können Sie Ihr eigenes Konto ausprobieren und prüfen, ob es verfügbar ist. Sie kann nach diesem Schritt nicht mehr geändert werden und bleibt für die Dauer des Projekts bestehen. - Zur Information: Es gibt einen dritten Wert, die Projektnummer, die von einigen APIs verwendet wird. Weitere Informationen zu diesen drei Werten finden Sie in der Dokumentation.
- Als Nächstes müssen Sie in der Cloud Console die Abrechnung aktivieren, um Cloud-Ressourcen/-APIs verwenden zu können. Die Durchführung dieses Codelabs ist kostenlos oder kostet nur sehr wenig. Wenn Sie die Ressourcen herunterfahren möchten, um Kosten nach Abschluss dieser Anleitung zu vermeiden, können Sie die von Ihnen erstellten Ressourcen oder das Projekt löschen. Neuen Google Cloud-Nutzern steht das kostenlose Testprogramm mit einem Guthaben von 300$ zur Verfügung.
Cloud Shell starten
Sie können Google Cloud zwar per Fernzugriff von Ihrem Laptop aus nutzen, in diesem Codelab verwenden Sie jedoch Google Cloud Shell, eine Befehlszeilenumgebung, die in der Cloud ausgeführt wird.
Klicken Sie in der Google Cloud Console rechts oben in der Symbolleiste auf das Cloud Shell-Symbol:
Die Bereitstellung und Verbindung mit der Umgebung sollte nur wenige Minuten dauern. Wenn der Vorgang abgeschlossen ist, sollte in etwa Folgendes angezeigt werden:
Diese virtuelle Maschine verfügt über sämtliche Entwicklertools, die Sie benötigen. Sie bietet ein Basisverzeichnis mit 5 GB nichtflüchtigem Speicher und läuft auf Google Cloud. Dadurch werden Netzwerkleistung und Authentifizierung erheblich verbessert. Alle Aufgaben in diesem Codelab können in einem Browser ausgeführt werden. Sie müssen nichts installieren.
8. Hinweis
APIs aktivieren
Prüfen Sie in Cloud Shell, ob Ihre Projekt-ID eingerichtet ist:
gcloud config list project gcloud config set project [YOUR-PROJECT-ID] project=[YOUR-PROJECT-ID] region=us-central1 echo $project echo $region
Aktivieren Sie alle erforderlichen Dienste:
gcloud services enable compute.googleapis.com
9. Ersteller-VPC-Netzwerk erstellen
VPC-Netzwerk
Führen Sie in Cloud Shell folgende Schritte aus:
gcloud compute networks create producer-vpc --subnet-mode custom --enable-ula-internal-ipv6
Google weist dem Kunden-VPC ein global eindeutiges /48-Subnetz zu. So rufen Sie die Zuweisung auf:
Rufen Sie in der Cloud Console Folgendes auf:
VPC-Netzwerke
Subnetze erstellen
Das PSC-Subnetz wird zum Zweck der Network Address Translation mit dem PSC-Dienstanhang verknüpft. Für Produktionsanwendungen muss dieses Subnetz entsprechend dimensioniert sein, um die Menge des eingehenden Traffics von allen angehängten PSC-Endpunkten zu unterstützen. Weitere Informationen finden Sie in der Dokumentation zur PSC-NAT-Subnetzgröße.
Erstellen Sie in Cloud Shell das PSC-NAT-Subnetz:
gcloud compute networks subnets create producer-nat-dual-stack-subnet --network producer-vpc --range 172.16.10.0/28 --region $region --purpose=PRIVATE_SERVICE_CONNECT --stack-type=IPV4_IPV6 --ipv6-access-type=INTERNAL
Sie müssen die IPv6-Adresse des Subnetzes „producer-nat-dual-stack“ abrufen und notieren. Sie wird in einem späteren Schritt verwendet, um eine Ingress-Firewallregel zu erstellen, die dem PSC-NAT-Subnetz den Zugriff auf das Load Balancer-Backend ermöglicht.
Rufen Sie in Cloud Shell das PSC-NAT-IPv6-Subnetz ab.
gcloud compute networks subnets describe producer-nat-dual-stack-subnet --region=us-central1 | grep -i internalIpv6Prefix:
Erwartetes Ergebnis:
user@cloudshell$ gcloud compute networks subnets describe producer-nat-dual-stack-subnet --region=us-central1 | grep -i internalIpv6Prefix: internalIpv6Prefix: fd20:b4a:ea9f:2:0:0:0:0/64
Erstellen Sie in Cloud Shell das Subnetzwerk für die Weiterleitungsregel des Producers:
gcloud compute networks subnets create producer-dual-stack-fr-subnet --network producer-vpc --range 172.16.20.0/28 --region $region --enable-private-ip-google-access --stack-type=IPV4_IPV6 --ipv6-access-type=INTERNAL
Erstellen Sie in Cloud Shell das Subnetzwerk der Producer-VM:
gcloud compute networks subnets create producer-dual-stack-vm-subnet --network producer-vpc --range 172.16.30.0/28 --region $region --enable-private-ip-google-access --stack-type=IPV4_IPV6 --ipv6-access-type=INTERNAL
Öffentliches NAT-Gateway erstellen
Die Producer-VM benötigt Internetzugriff, um Apache herunterzuladen. Die GCE-Instanz hat jedoch keine externe IP-Adresse. Daher stellt Cloud NAT den Internet-Ausgang für den Paketdownload bereit.
Erstellen Sie in Cloud Shell den Cloud Router:
gcloud compute routers create producer-cloud-router --network producer-vpc --region us-central1
Erstellen Sie in Cloud Shell das Cloud NAT-Gateway, um ausgehenden Internetverkehr zu ermöglichen:
gcloud compute routers nats create producer-nat-gw --router=producer-cloud-router --auto-allocate-nat-external-ips --nat-all-subnet-ip-ranges --region us-central1
Netzwerk-Firewallrichtlinie und Firewallregeln erstellen
Führen Sie in Cloud Shell folgende Schritte aus:
gcloud compute network-firewall-policies create producer-vpc-policy --global gcloud compute network-firewall-policies associations create --firewall-policy producer-vpc-policy --network producer-vpc --name producer-vpc --global-firewall-policy
Damit IAP eine Verbindung zu Ihren VM-Instanzen herstellen kann, erstellen Sie eine Firewallregel, die:
- Gilt für alle VM-Instanzen, die über IAP zugänglich sein sollen.
- Lässt eingehenden Traffic aus dem IP-Bereich 35.235.240.0/20 zu. Dieser Bereich enthält alle IP-Adressen, die IAP für die TCP-Weiterleitung verwendet.
Führen Sie in Cloud Shell folgende Schritte aus:
gcloud compute network-firewall-policies rules create 1000 --action ALLOW --firewall-policy producer-vpc-policy --description "SSH with IAP" --direction INGRESS --src-ip-ranges 35.235.240.0/20 --layer4-configs tcp:22 --global-firewall-policy
Die folgende Firewallregel lässt Traffic aus dem Bereich der Systemdiagnoseprüfungen zu allen Instanzen im Netzwerk zu. In einer Produktionsumgebung sollte diese Firewallregel nur auf die Instanzen beschränkt sein, die mit dem jeweiligen Erstellerdienst verknüpft sind.
Führen Sie in Cloud Shell folgende Schritte aus:
gcloud compute network-firewall-policies rules create 2000 --action ALLOW --firewall-policy producer-vpc-policy --description "allow traffic from health check probe range" --direction INGRESS --src-ip-ranges 2600:2d00:1:b029::/64 --layer4-configs tcp:80 --global-firewall-policy
Mit der folgenden Firewallregel wird Traffic aus dem PSC-NAT-Subnetzbereich zu allen Instanzen im Netzwerk zugelassen. In einer Produktionsumgebung sollte diese Firewallregel nur auf die Instanzen beschränkt sein, die mit dem jeweiligen Erstellerdienst verknüpft sind.
Aktualisieren Sie die Firewallregel <insert-your-psc-nat-ipv6-subnet> mit dem IPv6-PSC-NAT-Subnetz, das Sie zuvor im Codelab erhalten haben.
Führen Sie in Cloud Shell folgende Schritte aus:
gcloud compute network-firewall-policies rules create 2001 --action ALLOW --firewall-policy producer-vpc-policy --description "allow traffic from PSC NAT subnet" --direction INGRESS --src-ip-ranges <insert-your-psc-nat-ipv6-subnet> --global-firewall-policy --layer4-configs=tcp
Producer-VM erstellen
Erstellen Sie in Cloud Shell den Apache-Webserver „producer-vm“:
gcloud compute instances create producer-vm \
--project=$project \
--machine-type=e2-micro \
--image-family debian-12 \
--no-address \
--image-project debian-cloud \
--zone us-central1-a \
--subnet=producer-dual-stack-vm-subnet \
--stack-type=IPV4_IPV6 \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install apache2 -y
sudo service apache2 restart
echo 'Welcome to Producer-VM !!' | tee /var/www/html/index.html
EOF"
Erstellen Sie in Cloud Shell die nicht verwaltete Instanzgruppe mit der Producer-VM-Instanz und der Systemdiagnose:
gcloud compute instance-groups unmanaged create producer-instance-group --zone=us-central1-a gcloud compute instance-groups unmanaged add-instances producer-instance-group --zone=us-central1-a --instances=producer-vm gcloud compute health-checks create http hc-http-80 --port=80
10. Producer-Dienst erstellen
Load Balancer-Komponenten erstellen
Führen Sie in Cloud Shell folgende Schritte aus:
gcloud compute backend-services create producer-backend-svc --load-balancing-scheme=internal --protocol=tcp --region=us-central1 --health-checks=hc-http-80 gcloud compute backend-services add-backend producer-backend-svc --region=us-central1 --instance-group=producer-instance-group --instance-group-zone=us-central1-a
IPv6-Adresse für die Weiterleitungsregel des Erstellers (interner Netzwerk-Load Balancer) zugewiesen
Führen Sie in Cloud Shell folgende Schritte aus:
gcloud compute addresses create producer-fr-ipv6-address \
--region=us-central1 \
--subnet=producer-dual-stack-fr-subnet \
--ip-version=IPV6
Erstellen Sie mit der folgenden Syntax eine Weiterleitungsregel (interner Netzwerk-Load Balancer) mit einer vordefinierten IPv6-Adresse producer-fr-ipv6-address, die dem Backend-Dienst „producer-backend-svc“ zugeordnet ist.
Führen Sie in Cloud Shell folgende Schritte aus:
gcloud compute forwarding-rules create producer-fr --region=us-central1 --load-balancing-scheme=internal --network=producer-vpc --subnet=producer-dual-stack-fr-subnet --address=producer-fr-ipv6-address --ip-protocol=TCP --ports=all --backend-service=producer-backend-svc --backend-service-region=us-central1 --ip-version=IPV6
Dienstanhänge erstellen
Erstellen Sie in Cloud Shell den Dienstanhang:
gcloud compute service-attachments create ipv6-producer-svc-attachment --region=$region --producer-forwarding-rule=producer-fr --connection-preference=ACCEPT_AUTOMATIC --nat-subnets=producer-nat-dual-stack-subnet
Rufe als Nächstes den im selfLink-URI aufgeführten Dienstanhang ab und notiere dir die Projekte, um den PSC-Endpunkt in der Nutzerumgebung zu konfigurieren.
selfLink: projects/<your-project-id>/regions/us-central1/serviceAttachments/ipv4-producer-svc-attachment
Führen Sie in Cloud Shell folgende Schritte aus:
gcloud compute service-attachments describe ipv6-producer-svc-attachment --region=$region
Beispiel für die erwartete Ausgabe
connectionPreference: ACCEPT_AUTOMATIC creationTimestamp: '2024-08-27T05:59:17.188-07:00' description: '' enableProxyProtocol: false fingerprint: EaultrFOzc4= id: '8752850315312657226' kind: compute#serviceAttachment name: ipv6-producer-svc-attachment natSubnets: - https://www.googleapis.com/compute/v1/projects/projectid/regions/us-central1/subnetworks/producer-nat-dual-stack-subnet pscServiceAttachmentId: high: '1053877600257000' low: '8752850315312657226' reconcileConnections: false region: https://www.googleapis.com/compute/v1/projects/projectid/regions/us-central1 selfLink: https://www.googleapis.com/compute/v1/projects/projectid/regions/us-central1/serviceAttachments/ipv6-producer-svc-attachment targetService: https://www.googleapis.com/compute/v1/projects/projectid/regions/us-central1/forwardingRules/producer-fr
Rufen Sie in der Cloud Console Folgendes auf:
Netzwerkdienste → Private Service Connect → Veröffentlichte Dienste
11. Nutzer-VPC-Netzwerk erstellen
VPC-Netzwerk
Erstellen Sie in Cloud Shell die VPC des Verbrauchers mit aktivierter IPv6-ULA:
gcloud compute networks create consumer-vpc \
--subnet-mode=custom \
--enable-ula-internal-ipv6
Google weist dem Kunden-VPC ein global eindeutiges /48-Subnetz zu. So rufen Sie die Zuweisung auf:
Rufen Sie in der Cloud Console Folgendes auf:
VPC-Netzwerke
Subnetz erstellen
Erstellen Sie in Cloud Shell das Dual-Stack-GCE-Subnetz:
gcloud compute networks subnets create consumer-dual-stack-subnet --network consumer-vpc --range=192.168.20.0/28 --stack-type=IPV4_IPV6 --ipv6-access-type=INTERNAL --region $region --enable-private-ip-google-access
Erstellen Sie in Cloud Shell das Dual-Stack-Subnetz für den PSC-Endpunkt:
gcloud compute networks subnets create psc-dual-stack-endpoint-subnet --network consumer-vpc --range=192.168.21.0/28 --stack-type=IPV4_IPV6 --ipv6-access-type=INTERNAL --region $region --enable-private-ip-google-access
Netzwerk-Firewallrichtlinie und Firewallregeln erstellen
Führen Sie in Cloud Shell folgende Schritte aus:
gcloud compute network-firewall-policies create consumer-vpc-policy --global gcloud compute network-firewall-policies associations create --firewall-policy consumer-vpc-policy --network consumer-vpc --name consumer-vpc --global-firewall-policy gcloud compute network-firewall-policies rules create 1000 --action ALLOW --firewall-policy consumer-vpc-policy --description "SSH with IAP" --direction INGRESS --src-ip-ranges 35.235.240.0/20 --layer4-configs tcp:22 --global-firewall-policy
Für das Kundennetzwerk ist nur SSH über IAP-Zugriff erforderlich.
12. VM, PSC-Endpunkt erstellen und Dual-Stack-Konnektivität testen
Test-Dual-Stack-VM erstellen
Erstellen Sie in Cloud Shell die Dual-Stack-GCE-Instanz im Dual-Stack-Subnetz:
gcloud compute instances create consumer-vm-ipv4-ipv6 --zone=us-central1-a --subnet=consumer-dual-stack-subnet --no-address --stack-type=IPV4_IPV6
Statische IPv6-Adresse für PSC-Endpunkt erstellen
Erstellen Sie in Cloud Shell eine statische IPv6-Adresse für den PSC-Endpunkt:
gcloud compute addresses create psc-ipv6-endpoint-ip --region=$region --subnet=psc-dual-stack-endpoint-subnet --ip-version=IPV6
Statische IPv6-Adresse des PSC-Endpunkts abrufen
Rufen Sie in Cloud Shell die IPv6-Adresse des PSC ab, über die Sie den Producer-Dienst erreichen:
gcloud compute addresses describe psc-ipv6-endpoint-ip --region=us-central1 | grep -i address:
Beispielausgabe:
user@cloudshell$ gcloud compute addresses describe psc-ipv6-endpoint-ip --region=us-central1 | grep -i address: address: 'fd20:799:4ea3:1::'
IPv6-PSC-Endpunkt erstellen
Erstellen Sie in der Cloud Shell den PSC-Endpunkt, indem Sie den URI DES DIENSTANHÄNGS mit dem URI aktualisieren, den Sie beim Erstellen des Dienstanhangs erfasst haben.
gcloud compute forwarding-rules create psc-ipv6-endpoint --region=$region --network=consumer-vpc --address=psc-ipv6-endpoint-ip --target-service-attachment=[SERVICE ATTACHMENT URI]
PSC-Endpunkt prüfen
Prüfen wir, ob der Produzent den PSC-Endpunkt akzeptiert hat. Rufen Sie in der Cloud Console Folgendes auf:
Netzwerkdienste → Private Service Connect → Verbundene Endpunkte
Konnektivität testen
Stellen Sie in Cloud Shell eine SSH-Verbindung zur Dual-Stack-GCE-Instanz „consumer-vm-ipv4-ipv6“ her.
gcloud compute ssh --zone us-central1-a "consumer-vm-ipv4-ipv6" --tunnel-through-iap --project $project
Nachdem Sie sich in der Dual-Stack-GCE-Instanz angemeldet haben, führen Sie einen Curl-Vorgang zum psc-Endpunkt (psc-ipv6-endpoint) mit den im vorherigen Schritt ermittelten IPv6-Adressen aus.
curl -6 http://[insert-your-ipv6-psc-endpoint]
Erwartete Ausgabe:
user@consumer-vm-ipv4-ipv6$ curl -6 http://[fd20:799:4ea3:1::] Welcome to Producer-VM !!
Melden Sie sich in der GCE-Instanz „consumer-vm-ipv4-ipv6“ ab, indem Sie „exit“ eingeben. Sie werden dann zu Cloud Shell zurückgeleitet.
exit
Erwartete Ausgabe:
user@consumer-vm-ipv4-ipv6:~$ exit logout Connection to compute.715101668351438678 closed.
13. Bereinigungsschritte
Lab-Komponenten über ein einzelnes Cloud Shell-Terminal löschen
gcloud compute forwarding-rules delete psc-ipv6-endpoint --region=us-central1 -q gcloud compute instances delete consumer-vm-ipv4-ipv6 --zone=us-central1-a -q gcloud compute network-firewall-policies rules delete 1000 --firewall-policy=consumer-vpc-policy --global-firewall-policy -q gcloud compute network-firewall-policies associations delete --firewall-policy=consumer-vpc-policy --name=consumer-vpc --global-firewall-policy -q gcloud compute network-firewall-policies delete consumer-vpc-policy --global -q gcloud compute addresses delete psc-ipv6-endpoint-ip --region=us-central1 -q gcloud compute networks subnets delete consumer-dual-stack-subnet psc-dual-stack-endpoint-subnet --region=us-central1 -q gcloud compute networks delete consumer-vpc -q gcloud compute service-attachments delete ipv6-producer-svc-attachment --region=us-central1 -q gcloud compute forwarding-rules delete producer-fr --region=us-central1 -q gcloud compute backend-services delete producer-backend-svc --region=us-central1 -q gcloud compute health-checks delete hc-http-80 -q gcloud compute network-firewall-policies rules delete 2001 --firewall-policy producer-vpc-policy --global-firewall-policy -q gcloud compute network-firewall-policies rules delete 2000 --firewall-policy producer-vpc-policy --global-firewall-policy -q gcloud compute network-firewall-policies rules delete 1000 --firewall-policy producer-vpc-policy --global-firewall-policy -q gcloud compute network-firewall-policies associations delete --firewall-policy=producer-vpc-policy --name=producer-vpc --global-firewall-policy -q gcloud compute network-firewall-policies delete producer-vpc-policy --global -q gcloud compute instance-groups unmanaged delete producer-instance-group --zone=us-central1-a -q gcloud compute instances delete producer-vm --zone=us-central1-a -q gcloud compute routers nats delete producer-nat-gw --router=producer-cloud-router --router-region=us-central1 -q gcloud compute routers delete producer-cloud-router --region=us-central1 -q gcloud compute addresses delete producer-fr-ipv6-address --region=us-central1 -q gcloud compute networks subnets delete producer-dual-stack-fr-subnet producer-dual-stack-vm-subnet producer-nat-dual-stack-subnet --region=us-central1 -q gcloud compute networks delete producer-vpc -q
14. Glückwunsch
Sie haben Private Service Connect 64 erfolgreich konfiguriert und validiert.
Sie haben die Erstellerinfrastruktur erstellt und gelernt, wie Sie einen IPv6-Nutzerendpunkt im Nutzer-VPC-Netzwerk erstellen, der eine Verbindung zum IPv6-Erstellerdienst ermöglicht.
Cosmopup findet Codelabs super!
Was liegt als Nächstes an?
Sehen Sie sich einige dieser Codelabs an:
- Private Service Connect zum Veröffentlichen und Nutzen von Diensten mit GKE verwenden
- Private Service Connect zum Veröffentlichen und Nutzen von Diensten verwenden
- Über Private Service Connect und einen internen TCP-Proxy-Load Balancer eine Verbindung zu On-Premise-Diensten über Hybridnetzwerke herstellen
- Zugriff auf alle veröffentlichten Private Service Connect-Codelabs