1. Einführung
Private Service Connect revolutioniert die Nutzung von Diensten in Google Cloud-Ökosystemen durch Organisationen und bietet neben IPv4 auch volle Unterstützung für IPv6-Adressierung. Es kombiniert verbesserte Sicherheit, vereinfachte Konnektivität, verbesserte Leistung und zentralisierte Verwaltung und ist damit eine ideale Lösung für Unternehmen, die ein robustes, zuverlässiges und effizientes Modell für die Nutzung von Diensten suchen, das für die Zukunft der Vernetzung gerüstet ist. Ob Sie eine Hybrid Cloud erstellen, Dienste in Ihrer Organisation freigeben oder auf Drittanbieterdienste zugreifen – PSC bietet einen nahtlosen und sicheren Weg, das volle Potenzial von Google Cloud zu nutzen und gleichzeitig die Vorteile von IPv6 zu nutzen.
Lerninhalte
- Wichtige Vorteile von PSC 66
- Unterstützte Übersetzung für Private Service Connect 66
- Übersicht über Dual Stack ULA
- Netzwerkanforderungen
- Private Service Connect-Producer-Dienst erstellen
- Private Service Connect-Endpunkt erstellen
- Verbindung zu einem Private Service Connect-Endpunkt von einer Dual-Stack-VM herstellen
Voraussetzungen
- Google Cloud-Projekt mit Inhaberberechtigungen
2. Aufgaben
Sie richten ein Erstellernetzwerk ein, um einen Apache-Webserver als veröffentlichten Dienst über Private Service Connect (PSC) bereitzustellen. Nach der Veröffentlichung führen Sie die folgenden Aktionen aus, um den Zugriff auf den Producer-Dienst zu validieren:
- Richten Sie von der Dual-Stack-GCE-Instanz in der VPC des Nutzers den IPv6-PSC-Endpunkt aus, um den Dienst des Erstellers zu erreichen.
Wichtige Vorteile von PSC 66
- Nahtlose Integration:PSC lässt sich nahtlos in VPC-Netzwerke integrieren, die für IPv6 konfiguriert sind. So können Sie die Vorteile der IPv6-Adressierung für Ihre Dienstverbindungen nutzen.
- Dual-Stack-Unterstützung:PSC unterstützt Dual-Stack-Konfigurationen, die die gleichzeitige Verwendung von IPv4 und IPv6 in derselben VPC ermöglichen. So wird Ihr Netzwerk flexibler und zukunftssicherer.
- Vereinfachte Umstellung:PSC vereinfacht die Umstellung auf IPv6, da Sie IPv6 nach und nach neben Ihrer vorhandenen IPv4-Infrastruktur einführen können.
- Unterstützung für Ersteller:Der Ersteller muss Dual-Stack verwenden, was zu einem reinen IPv6-PSC-Endpunkt für den Nutzer führt.
3. Unterstützte Übersetzung für Private Service Connect 64 und 66
Überlegungen für Verbraucher
Die IP-Version des Endpunkts kann entweder IPv4 oder IPv6 sein, aber nicht beides. Nutzer können eine IPv4-Adresse verwenden, wenn das Subnetz der Adresse Single-Stack ist. Nutzer können eine IPv4- oder IPv6-Adresse verwenden, wenn das Subnetz der Adresse Dual-Stack ist. Nutzer können sowohl IPv4- als auch IPv6-Endpunkte mit demselben Dienstanhang verbinden. Dies kann für die Migration von Diensten zu IPv6 hilfreich sein.
Überlegungen für Ersteller
Die IP-Version der Weiterleitungsregel des Erstellers bestimmt die IP-Version des Dienstanhangs und den Traffic, der den Dienstanhang ausgibt. Die IP-Version des Dienstanhangs kann entweder IPv4 oder IPv6 sein, aber nicht beides. Ersteller können eine IPv4-Adresse verwenden, wenn das Subnetz der Adresse Single-Stack-Subnetz ist. Ersteller können eine IPv4- oder IPv6-Adresse verwenden, wenn das Subnetz der Adresse Dual-Stack ist.
Die IP-Version der IP-Adresse der Ersteller-Weiterleitungsregel muss mit dem Stack-Typ des NAT-Subnetzes des Dienstanhangs kompatibel sein.
- Wenn die Weiterleitungsregel des Erstellers IPv4 ist, kann das NAT-Subnetz Single-Stack- oder Dual-Stack-Cluster sein.
- Wenn die Weiterleitungsregel des Erstellers IPv6 ist, muss das NAT-Subnetz ein Dual-Stack-Subnetz sein.
Für unterstützte Konfigurationen sind folgende Kombinationen möglich:
- IPv4-Endpunkt zum IPv4-Dienstanhang
- IPv6-Endpunkt zum IPv6-Dienstanhang
- IPv6-Endpunkt zu IPv4-Dienstanhang: In dieser Konfiguration übersetzt Private Service Connect automatisch zwischen den beiden IP-Versionen.
Folgendes wird nicht unterstützt:
Private Service Connect unterstützt nicht die Verbindung eines IPv4-Endpunkts mit einem IPv6-Dienstanhang. In diesem Fall schlägt die Endpunkterstellung mit der folgenden Fehlermeldung fehl:
Eine Private Service Connect-Weiterleitungsregel mit einer IPv4-Adresse kann nicht auf einen IPv6-Dienstanhang ausgerichtet werden.
4. Übersicht über Dual Stack ULA
Google Cloud unterstützt die Erstellung von privaten IPv6-Subnetzen und VMs mit ULA. In RFC 4193 wird ein IPv6-Adressierungsschema für die lokale Kommunikation definiert, das sich ideal für die VPC-interne Kommunikation eignet. ULA-Adressen können nicht global weitergeleitet werden. Ihre VMs sind also vollständig vom Internet isoliert und bieten ein RFC 1918-ähnliches Verhalten mit IPv6. In Google Cloud können /48-ULA-Präfixe für VPC-Netzwerke erstellt werden, sodass alle Ihre /64-IPv6-ULA-Subnetze aus diesem VPC-Netzwerkbereich zugewiesen werden.
Ähnlich wie bei den global eindeutigen externen IPv6-Adressen, die von Google Cloud unterstützt werden, erhält jedes ULA-IPv6-fähige Subnetz ein /64-Subnetz aus dem /48-ULA-Bereich des VPC-Netzwerks und jeder VM wird eine /96-Adresse aus diesem Subnetz zugewiesen.
In RFC4193 wird der IPv6-Adressbereich im Bereich fc00::/7 definiert. ULA-Adressen können in privaten Netzwerken/Standorten frei zugewiesen und verwendet werden. Google Cloud weist alle ULA-Adressen aus dem Bereich „fd20::/20“ zu. Diese Adressen können nur im Bereich von VPCs weitergeleitet werden und nicht im globalen IPv6-Internet.
Von Google Cloud zugewiesene ULA-Adressen sind garantiert für alle VPC-Netzwerke eindeutig. Google Cloud sorgt dafür, dass keinem VPC-Netzwerk dasselbe ULA-Präfix zugewiesen wird. Dadurch wird das Problem mit sich überschneidenden Bereichen in VPC-Netzwerken behoben.
Sie können Google Cloud entweder automatisch einen /48-Bereich für Ihr Netzwerk zuweisen lassen oder ein bestimmtes /48-IPv6-Präfix auswählen. Wenn Ihr angegebenes IPv6-Präfix bereits einer anderen VPC oder Ihrem lokalen Netzwerk zugewiesen ist, können Sie einen anderen Bereich auswählen.
5. Netzwerkanforderungen
Im Folgenden finden Sie die Netzwerk-Anforderungen für das Nutzer- und das Erstellernetzwerk:
Consumer Network (alle Komponenten in us-central1 bereitgestellt)
Komponenten | Beschreibung |
VPC | Für Dual-Stack-Netzwerke ist eine VPC im benutzerdefinierten Modus mit aktivierter ULA erforderlich |
PSC-Endpunkt | IPV6-PSC-Endpunkt für den Zugriff auf den Producer-Dienst |
Subnetz(e) | Dual-Stack |
GCE | Dual-Stack |
Ersteller-Netzwerk(alle Komponenten werden in us-central1 bereitgestellt)
Komponenten | Beschreibung |
VPC | Für Dual-Stack-Netzwerke ist eine VPC im benutzerdefinierten Modus mit aktivierter ULA erforderlich |
PSC-NAT-Subnetz | Dual-Stack. Pakete aus dem VPC-Netzwerk des Nutzers werden mithilfe von Quell-NAT (SNAT) übersetzt, sodass ihre ursprünglichen Quell-IP-Adressen in Quell-IP-Adressen aus dem NAT-Subnetz im VPC-Netzwerk des Erstellers umgewandelt werden. |
PSC-Weiterleitungsregel | Dual-Stack. Interner Passthrough-Network Load Balancer |
Eine Regel für eingehenden Traffic, die für die Instanzen mit Load-Balancing gilt und Traffic von den Google Cloud-Systemen für Systemdiagnosen zulässt (2600:2d00:1:b029::/64). | |
Backend-Dienst | Ein Back-End-Dienst fungiert als Brücke zwischen Ihrem Load-Balancer und Ihren Back-End-Ressourcen. Im Tutorial ist der Backend-Dienst mit der nicht verwalteten Instanzgruppe verknüpft. |
Nicht verwaltete Instanzgruppe | Unterstützt VMs, die eine individuelle Konfiguration oder Feinabstimmung erfordern. Autoscaling wird nicht unterstützt. |
6. Codelab-Topologie
7. Einrichtung und Anforderungen
Umgebung zum selbstbestimmten Lernen einrichten
- Melden Sie sich in der Google Cloud Console an und erstellen Sie ein neues Projekt oder verwenden Sie ein vorhandenes. Wenn Sie noch kein Gmail- oder Google Workspace-Konto haben, müssen Sie eines erstellen.
- Der Projektname ist der Anzeigename für die Teilnehmer dieses Projekts. Es handelt sich um einen String, der nicht von Google APIs verwendet wird. Sie können sie jederzeit aktualisieren.
- Die Projekt-ID ist für alle Google Cloud-Projekte eindeutig und unveränderlich (kann nach dem Festlegen nicht mehr geändert werden). In der Cloud Console wird automatisch ein eindeutiger String generiert. Normalerweise ist es nicht wichtig, wie dieser String aussieht. In den meisten Codelabs müssen Sie auf Ihre Projekt-ID verweisen (in der Regel als
PROJECT_IDangegeben). Wenn Ihnen die generierte ID nicht gefällt, können Sie eine andere zufällige ID generieren. Alternativ können Sie es mit einem eigenen Namen versuchen und sehen, ob er verfügbar ist. Sie kann nach diesem Schritt nicht mehr geändert werden und bleibt für die Dauer des Projekts bestehen. - Zur Information: Es gibt einen dritten Wert, die Projektnummer, die von einigen APIs verwendet wird. Weitere Informationen zu diesen drei Werten
- Als Nächstes müssen Sie die Abrechnung in der Cloud Console aktivieren, um Cloud-Ressourcen/-APIs zu verwenden. Die Durchführung dieses Codelabs kostet wenig oder gar nichts. Wenn Sie Ressourcen herunterfahren möchten, um Kosten zu vermeiden, die über diese Anleitung hinausgehen, können Sie die erstellten Ressourcen oder das Projekt löschen. Neue Google Cloud-Nutzer können am kostenlosen Testzeitraum mit einem Guthaben von 300$ teilnehmen.
Cloud Shell starten
Während Sie Google Cloud von Ihrem Laptop aus per Fernzugriff nutzen können, wird in diesem Codelab Google Cloud Shell verwendet, eine Befehlszeilenumgebung, die in der Cloud ausgeführt wird.
Klicken Sie in der Google Cloud Console rechts oben in der Symbolleiste auf das Cloud Shell-Symbol:
Die Bereitstellung und Verbindung mit der Umgebung sollte nur wenige Augenblicke dauern. Anschließend sehen Sie in etwa Folgendes:
Diese virtuelle Maschine verfügt über sämtliche Entwicklertools, die Sie benötigen. Sie bietet ein Basisverzeichnis mit 5 GB nichtflüchtigem Speicher und läuft in Google Cloud, was die Netzwerkleistung und Authentifizierung erheblich verbessert. Alle Aufgaben in diesem Codelab können in einem Browser ausgeführt werden. Sie müssen nichts installieren.
8. Hinweis
APIs aktivieren
Prüfen Sie in Cloud Shell, ob Ihre Projekt-ID eingerichtet ist:
gcloud config list project gcloud config set project [YOUR-PROJECT-ID] project=[YOUR-PROJECT-ID] region=us-central1 echo $project echo $region
Aktivieren Sie alle erforderlichen Dienste:
gcloud services enable compute.googleapis.com
9. Ersteller-VPC-Netzwerk erstellen
VPC-Netzwerk
Führen Sie in Cloud Shell folgende Schritte aus:
gcloud compute networks create producer-vpc --subnet-mode custom --enable-ula-internal-ipv6
Google weist der Consumer-VPC ein weltweit eindeutiges /48-Subnetz zu. So rufen Sie die Zuweisung auf:
Rufen Sie in der Cloud Console Folgendes auf:
VPC-Netzwerke
Subnetze erstellen
Das PSC-Subnetz wird zum Zweck der Network Address Translation dem PSC-Dienstanhang zugeordnet. Für Produktionsanwendungsfälle muss dieses Subnetz so dimensioniert sein, dass es die Menge an eingehendem Traffic von allen angehängten PSC-Endpunkten unterstützt. Weitere Informationen finden Sie in der Dokumentation zur Größenanpassung von PSC-NAT-Subnetzen.
Erstellen Sie in Cloud Shell das PSC-NAT-Subnetz:
gcloud compute networks subnets create producer-nat-dual-stack-subnet --network producer-vpc --range 172.16.10.0/28 --region $region --purpose=PRIVATE_SERVICE_CONNECT --stack-type=IPV4_IPV6 --ipv6-access-type=INTERNAL
Sie müssen die IPv6-Adresse des Dual-Stack-Subnetzes „producer-nat“ abrufen und notieren. Sie wird in einem späteren Schritt verwendet, um eine Ingress-Firewallregel zu erstellen, die den Zugriff des PSC-NAT-Subnetzes auf das Load-Balancer-Backend ermöglicht.
Rufen Sie in Cloud Shell das PSC-NAT-IPv6-Subnetz ab.
gcloud compute networks subnets describe producer-nat-dual-stack-subnet --region=us-central1 | grep -i internalIpv6Prefix:
Erwartetes Ergebnis:
user@cloudshell$ gcloud compute networks subnets describe producer-nat-dual-stack-subnet --region=us-central1 | grep -i internalIpv6Prefix: internalIpv6Prefix: fd20:b4a:ea9f:2:0:0:0:0/64
Erstellen Sie in Cloud Shell das Subnetz für die Weiterleitungsregel des Producers:
gcloud compute networks subnets create producer-dual-stack-fr-subnet --network producer-vpc --range 172.16.20.0/28 --region $region --enable-private-ip-google-access --stack-type=IPV4_IPV6 --ipv6-access-type=INTERNAL
Erstellen Sie in Cloud Shell das Subnetz für die Producer-VM:
gcloud compute networks subnets create producer-dual-stack-vm-subnet --network producer-vpc --range 172.16.30.0/28 --region $region --enable-private-ip-google-access --stack-type=IPV4_IPV6 --ipv6-access-type=INTERNAL
Public NAT-Gateway erstellen
Die Producer-VM benötigt Internetzugriff, um Apache herunterzuladen. Die GCE-Instanz hat jedoch keine externe IP-Adresse. Daher stellt Cloud NAT den Internetzugriff für den Paketdownload bereit.
Erstellen Sie den Cloud Router in Cloud Shell:
gcloud compute routers create producer-cloud-router --network producer-vpc --region us-central1
Erstellen Sie in Cloud Shell das Cloud NAT-Gateway, das den Internet-Egress ermöglicht:
gcloud compute routers nats create producer-nat-gw --router=producer-cloud-router --auto-allocate-nat-external-ips --nat-all-subnet-ip-ranges --region us-central1
Netzwerk-Firewallrichtlinie und Firewallregeln erstellen
Führen Sie in Cloud Shell folgende Schritte aus:
gcloud compute network-firewall-policies create producer-vpc-policy --global gcloud compute network-firewall-policies associations create --firewall-policy producer-vpc-policy --network producer-vpc --name producer-vpc --global-firewall-policy
Damit IAP eine Verbindung zu Ihren VM-Instanzen herstellen kann, erstellen Sie eine Firewallregel, die:
- Gilt für alle VM-Instanzen, die über IAP zugänglich sein sollen.
- Lässt eingehenden Traffic aus dem IP-Bereich 35.235.240.0/20 zu. Dieser Bereich enthält alle IP-Adressen, die IAP für die TCP-Weiterleitung verwendet.
Führen Sie in Cloud Shell folgende Schritte aus:
gcloud compute network-firewall-policies rules create 1000 --action ALLOW --firewall-policy producer-vpc-policy --description "SSH with IAP" --direction INGRESS --src-ip-ranges 35.235.240.0/20 --layer4-configs tcp:22 --global-firewall-policy
Die folgende Firewallregel lässt Traffic aus dem Bereich der Systemdiagnoseprüfungen zu allen Instanzen im Netzwerk zu. In einer Produktionsumgebung sollte diese Firewallregel auf die Instanzen beschränkt werden, die dem jeweiligen Erstellerdienst zugeordnet sind.
Führen Sie in Cloud Shell folgende Schritte aus:
gcloud compute network-firewall-policies rules create 2000 --action ALLOW --firewall-policy producer-vpc-policy --description "allow traffic from health check probe range" --direction INGRESS --src-ip-ranges 2600:2d00:1:b029::/64 --layer4-configs tcp:80 --global-firewall-policy
Die folgende Firewallregel lässt Traffic vom PSC-NAT-Subnetzbereich zu allen Instanzen im Netzwerk zu. In einer Produktionsumgebung sollte diese Firewallregel auf die Instanzen beschränkt werden, die dem jeweiligen Erstellerdienst zugeordnet sind.
Aktualisieren Sie die Firewallregel <insert-your-psc-nat-ipv6-subnet> mit dem IPv6-PSC-NAT-Subnetz, das Sie zuvor im Codelab erhalten haben.
Führen Sie in Cloud Shell folgende Schritte aus:
gcloud compute network-firewall-policies rules create 2001 --action ALLOW --firewall-policy producer-vpc-policy --description "allow traffic from PSC NAT subnet" --direction INGRESS --src-ip-ranges <insert-your-psc-nat-ipv6-subnet> --global-firewall-policy --layer4-configs=tcp
Producer-VM erstellen
Erstellen Sie in Cloud Shell den Apache-Webserver für die Producer-VM:
gcloud compute instances create producer-vm \
--project=$project \
--machine-type=e2-micro \
--image-family debian-12 \
--no-address \
--image-project debian-cloud \
--zone us-central1-a \
--subnet=producer-dual-stack-vm-subnet \
--stack-type=IPV4_IPV6 \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install apache2 -y
sudo service apache2 restart
echo 'Welcome to Producer-VM !!' | tee /var/www/html/index.html
EOF"
Erstellen Sie in Cloud Shell die nicht verwaltete Instanzgruppe, die aus der Instanz „producer-vm“ und der Systemdiagnose besteht:
gcloud compute instance-groups unmanaged create producer-instance-group --zone=us-central1-a gcloud compute instance-groups unmanaged add-instances producer-instance-group --zone=us-central1-a --instances=producer-vm gcloud compute health-checks create http hc-http-80 --port=80
10. Producer-Dienst erstellen
Load Balancer-Komponenten erstellen
Führen Sie in Cloud Shell folgende Schritte aus:
gcloud compute backend-services create producer-backend-svc --load-balancing-scheme=internal --protocol=tcp --region=us-central1 --health-checks=hc-http-80 gcloud compute backend-services add-backend producer-backend-svc --region=us-central1 --instance-group=producer-instance-group --instance-group-zone=us-central1-a
Eine IPv6-Adresse für die Ersteller-Weiterleitungsregel (interner Network Load Balancer) wurde zugewiesen.
Führen Sie in Cloud Shell folgende Schritte aus:
gcloud compute addresses create producer-fr-ipv6-address \
--region=us-central1 \
--subnet=producer-dual-stack-fr-subnet \
--ip-version=IPV6
Erstellen Sie mit der folgenden Syntax eine Weiterleitungsregel (interner Netzwerk-Load-Balancer) mit einer vordefinierten IPv6-Adresse producer-fr-ipv6-address, die dem Backend-Dienst „producer-backend-svc“ zugeordnet ist.
Führen Sie in Cloud Shell folgende Schritte aus:
gcloud compute forwarding-rules create producer-fr --region=us-central1 --load-balancing-scheme=internal --network=producer-vpc --subnet=producer-dual-stack-fr-subnet --address=producer-fr-ipv6-address --ip-protocol=TCP --ports=all --backend-service=producer-backend-svc --backend-service-region=us-central1 --ip-version=IPV6
Dienstanhang erstellen
Erstellen Sie in Cloud Shell den Dienstanhang:
gcloud compute service-attachments create ipv6-producer-svc-attachment --region=$region --producer-forwarding-rule=producer-fr --connection-preference=ACCEPT_AUTOMATIC --nat-subnets=producer-nat-dual-stack-subnet
Rufen Sie als Nächstes den Dienstanhang ab, der im selfLink-URI aufgeführt ist, der mit „projects“ beginnt, und notieren Sie ihn, um den PSC-Endpunkt in der Consumer-Umgebung zu konfigurieren.
selfLink: projects/<your-project-id>/regions/us-central1/serviceAttachments/ipv4-producer-svc-attachment
Führen Sie in Cloud Shell folgende Schritte aus:
gcloud compute service-attachments describe ipv6-producer-svc-attachment --region=$region
Beispiel für erwartete Ausgabe
connectionPreference: ACCEPT_AUTOMATIC creationTimestamp: '2024-08-27T05:59:17.188-07:00' description: '' enableProxyProtocol: false fingerprint: EaultrFOzc4= id: '8752850315312657226' kind: compute#serviceAttachment name: ipv6-producer-svc-attachment natSubnets: - https://www.googleapis.com/compute/v1/projects/projectid/regions/us-central1/subnetworks/producer-nat-dual-stack-subnet pscServiceAttachmentId: high: '1053877600257000' low: '8752850315312657226' reconcileConnections: false region: https://www.googleapis.com/compute/v1/projects/projectid/regions/us-central1 selfLink: https://www.googleapis.com/compute/v1/projects/projectid/regions/us-central1/serviceAttachments/ipv6-producer-svc-attachment targetService: https://www.googleapis.com/compute/v1/projects/projectid/regions/us-central1/forwardingRules/producer-fr
Rufen Sie in der Cloud Console Folgendes auf:
„Network Services“ → „Private Service Connect“ → „Published Services“
11. Nutzer-VPC-Netzwerk erstellen
VPC-Netzwerk
Erstellen Sie in Cloud Shell die Consumer-VPC mit aktiviertem IPv6-ULA:
gcloud compute networks create consumer-vpc \
--subnet-mode=custom \
--enable-ula-internal-ipv6
Google weist der Consumer-VPC ein weltweit eindeutiges /48-Subnetz zu. So rufen Sie die Zuweisung auf:
Rufen Sie in der Cloud Console Folgendes auf:
VPC-Netzwerke
Subnetz erstellen
Erstellen Sie in Cloud Shell das Dual-Stack-GCE-Subnetz:
gcloud compute networks subnets create consumer-dual-stack-subnet --network consumer-vpc --range=192.168.20.0/28 --stack-type=IPV4_IPV6 --ipv6-access-type=INTERNAL --region $region --enable-private-ip-google-access
Erstellen Sie in Cloud Shell das Dual-Stack-Subnetz für den PSC-Endpunkt:
gcloud compute networks subnets create psc-dual-stack-endpoint-subnet --network consumer-vpc --range=192.168.21.0/28 --stack-type=IPV4_IPV6 --ipv6-access-type=INTERNAL --region $region --enable-private-ip-google-access
Netzwerk-Firewallrichtlinie und Firewallregeln erstellen
Führen Sie in Cloud Shell folgende Schritte aus:
gcloud compute network-firewall-policies create consumer-vpc-policy --global gcloud compute network-firewall-policies associations create --firewall-policy consumer-vpc-policy --network consumer-vpc --name consumer-vpc --global-firewall-policy gcloud compute network-firewall-policies rules create 1000 --action ALLOW --firewall-policy consumer-vpc-policy --description "SSH with IAP" --direction INGRESS --src-ip-ranges 35.235.240.0/20 --layer4-configs tcp:22 --global-firewall-policy
Für das Verbrauchernetzwerk ist nur SSH-Zugriff über IAP erforderlich.
12. VM und PSC-Endpunkt erstellen und Dual-Stack-Konnektivität testen
Dual-Stack-Test-VM erstellen
Erstellen Sie in Cloud Shell die Dual-Stack-GCE-Instanz im Dual-Stack-Subnetz:
gcloud compute instances create consumer-vm-ipv4-ipv6 --zone=us-central1-a --subnet=consumer-dual-stack-subnet --no-address --stack-type=IPV4_IPV6
Statische IPv6-Adresse für PSC-Endpunkt erstellen
Erstellen Sie in Cloud Shell eine statische IPv6-Adresse für den PSC-Endpunkt:
gcloud compute addresses create psc-ipv6-endpoint-ip --region=$region --subnet=psc-dual-stack-endpoint-subnet --ip-version=IPV6
Statische IPv6-Adresse des PSC-Endpunkts abrufen
Rufen Sie in Cloud Shell die PSC-IPv6-Adresse ab, die Sie für den Zugriff auf den Producer-Dienst verwenden:
gcloud compute addresses describe psc-ipv6-endpoint-ip --region=us-central1 | grep -i address:
Beispielausgabe:
user@cloudshell$ gcloud compute addresses describe psc-ipv6-endpoint-ip --region=us-central1 | grep -i address: address: 'fd20:799:4ea3:1::'
IPv6-PSC-Endpunkt erstellen
Erstellen Sie in der Cloud Shell den PSC-Endpunkt, indem Sie den URI des Dienstanhangs mit dem URI aktualisieren, den Sie beim Erstellen des Dienstanhangs erfasst haben.
gcloud compute forwarding-rules create psc-ipv6-endpoint --region=$region --network=consumer-vpc --address=psc-ipv6-endpoint-ip --target-service-attachment=[SERVICE ATTACHMENT URI]
PSC-Endpunkt validieren
Prüfen wir, ob der Producer den PSC-Endpunkt akzeptiert hat. Rufen Sie in der Cloud Console Folgendes auf:
„Network Services“ → „Private Service Connect“ → „Connected Endpoints“
Konnektivität testen
Stellen Sie in Cloud Shell eine SSH-Verbindung zur Dual-Stack-GCE-Instanz consumer-vm-ipv4-ipv6 her.
gcloud compute ssh --zone us-central1-a "consumer-vm-ipv4-ipv6" --tunnel-through-iap --project $project
Nachdem Sie sich in der Dual-Stack-GCE-Instanz angemeldet haben, führen Sie einen Curl-Befehl für den PSC-Endpunkt (psc-ipv6-endpoint) mit den im vorherigen Schritt ermittelten IPv6-Adressen aus.
curl -6 http://[insert-your-ipv6-psc-endpoint]
Erwartete Ausgabe:
user@consumer-vm-ipv4-ipv6$ curl -6 http://[fd20:799:4ea3:1::] Welcome to Producer-VM !!
Melden Sie sich in der GCE-Instanz „consumer-vm-ipv4-ipv6“ ab, indem Sie „exit“ eingeben. Sie kehren dann zu Cloud Shell zurück.
exit
Erwartete Ausgabe:
user@consumer-vm-ipv4-ipv6:~$ exit logout Connection to compute.715101668351438678 closed.
13. Bereinigungsschritte
Lab-Komponenten über ein einzelnes Cloud Shell-Terminal löschen
gcloud compute forwarding-rules delete psc-ipv6-endpoint --region=us-central1 -q gcloud compute instances delete consumer-vm-ipv4-ipv6 --zone=us-central1-a -q gcloud compute network-firewall-policies rules delete 1000 --firewall-policy=consumer-vpc-policy --global-firewall-policy -q gcloud compute network-firewall-policies associations delete --firewall-policy=consumer-vpc-policy --name=consumer-vpc --global-firewall-policy -q gcloud compute network-firewall-policies delete consumer-vpc-policy --global -q gcloud compute addresses delete psc-ipv6-endpoint-ip --region=us-central1 -q gcloud compute networks subnets delete consumer-dual-stack-subnet psc-dual-stack-endpoint-subnet --region=us-central1 -q gcloud compute networks delete consumer-vpc -q gcloud compute service-attachments delete ipv6-producer-svc-attachment --region=us-central1 -q gcloud compute forwarding-rules delete producer-fr --region=us-central1 -q gcloud compute backend-services delete producer-backend-svc --region=us-central1 -q gcloud compute health-checks delete hc-http-80 -q gcloud compute network-firewall-policies rules delete 2001 --firewall-policy producer-vpc-policy --global-firewall-policy -q gcloud compute network-firewall-policies rules delete 2000 --firewall-policy producer-vpc-policy --global-firewall-policy -q gcloud compute network-firewall-policies rules delete 1000 --firewall-policy producer-vpc-policy --global-firewall-policy -q gcloud compute network-firewall-policies associations delete --firewall-policy=producer-vpc-policy --name=producer-vpc --global-firewall-policy -q gcloud compute network-firewall-policies delete producer-vpc-policy --global -q gcloud compute instance-groups unmanaged delete producer-instance-group --zone=us-central1-a -q gcloud compute instances delete producer-vm --zone=us-central1-a -q gcloud compute routers nats delete producer-nat-gw --router=producer-cloud-router --router-region=us-central1 -q gcloud compute routers delete producer-cloud-router --region=us-central1 -q gcloud compute addresses delete producer-fr-ipv6-address --region=us-central1 -q gcloud compute networks subnets delete producer-dual-stack-fr-subnet producer-dual-stack-vm-subnet producer-nat-dual-stack-subnet --region=us-central1 -q gcloud compute networks delete producer-vpc -q
14. Glückwunsch
Herzlichen Glückwunsch! Sie haben Private Service Connect 64 erfolgreich konfiguriert und validiert.
Sie haben die Infrastruktur des Erstellers erstellt und gelernt, wie Sie einen IPv6-Nutzerendpunkt im VPC-Netzwerk des Nutzers erstellen, der die Verbindung zum IPv6-Erstellerservice ermöglicht.
Cosmopup findet Codelabs toll!!
Nächste Schritte
Hier finden Sie einige Codelabs:
- Private Service Connect zum Veröffentlichen und Nutzen von Diensten mit GKE verwenden
- Private Service Connect zum Veröffentlichen und Nutzen von Diensten verwenden
- Über Hybrid Networking mit Private Service Connect und einem internen TCP-Proxy-Load-Balancer mit lokalen Diensten verbinden
- Zugriff auf alle veröffentlichten Private Service Connect-Codelabs