1. Wprowadzenie
Usługa Private Service Connect całkowicie zmienia sposób, w jaki organizacje korzystają z usług w ekosystemie Google Cloud, zapewniając pełną obsługę adresowania IPv6 obok IPv4. Łączy ono ulepszoną ochronę, uproszczone możliwości łączenia, większą wydajność i centralne zarządzanie, dzięki czemu stanowi idealne rozwiązanie dla firm, które poszukują niezawodnego i skutecznego modelu korzystania z usług, który jest gotowy na przyszłość sieci. Niezależnie od tego, czy tworzysz chmurę hybrydową, udostępniasz usługi w organizacji czy uzyskujesz dostęp do usług innych firm, PSC zapewnia bezproblemową i bezpieczną drogę do pełnego wykorzystania potencjału Google Cloud, a jednocześnie korzyści z IPv6.
Czego się nauczysz
- Najważniejsze zalety PSC 66
- Private Service Connect 66 supported translation
- Omówienie ULA dla podwójnej platformy
- Wymagania związane z siecią
- Tworzenie usługi producenta Private Service Connect
- Tworzenie punktu końcowego Private Service Connect
- Nawiązywanie połączenia z punktem końcowym Private Service Connect z poziomu maszyny wirtualnej z podwójnym stosem
Czego potrzebujesz
- Projekt Google Cloud z uprawnieniami właściciela
2. Co utworzysz
Utworzysz sieć producenta, aby wdrożyć serwer WWW Apache jako opublikowaną usługę za pomocą Private Service Connect (PSC). Po opublikowaniu wykonaj te czynności, aby zweryfikować dostęp do usługi Producer:
- Z sieci VPC konsumenta, instancji GCE z podwójnym stosem kieruj się na punkt końcowy PSC IPv6, aby dotrzeć do usługi producenta.
Najważniejsze zalety PSC 66
- Płynna integracja: PSC płynnie integruje się z sieciami VPC skonfigurowanymi pod kątem IPv6, co pozwala korzystać z zalet adresowania IPv6 w połączeniach usług.
- Obsługa stosu podwójnego: PSC obsługuje konfiguracje stosu podwójnego, co umożliwia jednoczesne korzystanie z IPv4 i IPv6 w ramach tej samej sieci VPC, zapewniając elastyczność i bezpieczeństwo sieci na przyszłość.
- Uproszczona migracja: PSC upraszcza przejście na IPv6, ponieważ umożliwia stopniowe wdrażanie IPv6 obok istniejącej infrastruktury IPv4.
- Obsługa producenta: producent musi przyjąć skok do wersji z podwójnym stosem, co spowoduje, że punkt końcowy PSC konsumenta będzie obsługiwał tylko IPv6.
3. Tłumaczenie obsługiwane przez Private Service Connect 64 i 66
Uwzględnienie potrzeb konsumentów
Wersja IP punktu końcowego może być IPv4 lub IPv6, ale nie obie jednocześnie. Użytkownicy mogą używać adresu IPv4, jeśli jego podsieć jest jednostosem. Użytkownicy mogą używać adresu IPv4 lub IPv6, jeśli podsieć jest adresem z podwójnym stosem. Użytkownicy mogą łączyć punkty końcowe IPv4 i IPv6 z tym samym załącznikiem usługi, co może być przydatne podczas migracji usług na IPv6.
Wskazówki dla producentów
Wersja IP reguły przekierowania producenta określa wersję IP przyłącza usługi i ruchu wychodzącego z przyłącza usługi. Wersja IP załącznika usługi może być IPv4 lub IPv6, ale nie obie naraz. Producenci mogą używać adresu IPv4, jeśli jego podsieć jest w stosie pojedynczym. Producenci mogą używać adresu IPv4 lub IPv6, jeśli podsieć adresu jest podwójnym stosem.
Wersja IP adresu IP reguły przekierowywania producenta musi być zgodna z typem stosu podsieci NAT załącznika usługi.
- Jeśli reguła przekierowania producenta to IPv4, podrzędna NAT może być z pojedynczym lub podwójnym stosem.
- Jeśli reguła przekierowania producenta to IPv6, podrzędna sieć NAT musi być o podwójnym stosie.
W przypadku obsługiwanych konfiguracji możliwe są następujące kombinacje:
- Dołączanie punktu końcowego IPv4 do usługi IPv4
- Punkt końcowy IPv6 dołączony do usługi IPv6
- Punkt końcowy IPv6 do załącznika usługi IPv4 W tej konfiguracji usługa Private Service Connect automatycznie przekształca dane między tymi dwoma wersjami adresów IP.
Te elementy nie są obsługiwane:
Usługa Private Service Connect nie obsługuje łączenia punktu końcowego IPv4 z załącznikiem usługi IPv6. W takim przypadku tworzenie punktu końcowego kończy się niepowodzeniem z komunikatem o błędzie:
Reguła przekierowania Private Service Connect z adresem IPv4 nie może być kierowana na załącznik usługi IPv6.
4. Omówienie ULA dla podwójnej platformy
Google Cloud obsługuje tworzenie prywatnych podsieci IPv6 ULA i maszyn wirtualnych. RFC 4193 definiuje schemat adresowania IPv6 do komunikacji lokalnej, który jest idealny do komunikacji w obrębie sieci VPC. Adresy ULA nie są globalnie dostępne do nawigacji, więc maszyny wirtualne są całkowicie odizolowane od Internetu, co zapewnia działanie podobne do RFC-1918 przy użyciu IPv6. Google Cloud umożliwia tworzenie prefiksów ULA sieci VPC /48, aby wszystkie podsieci ULA IPv6 /64 były przypisywane z tego zakresu sieci VPC.
Podobnie jak w przypadku globalnie unikalnych zewnętrznych adresów IPv6 obsługiwanych przez Google Cloud, każda podsieć z włączonym ULA IPv6 otrzyma podsieć /64 z zakresu ULA sieci VPC /48, a każdej maszynie wirtualnej zostanie przypisany adres /96 z tej podsieci.
RFC4193 definiuje przestrzeń adresów IPv6 w zakresie fc00::/7. Adresy ULA można przypisywać i swobodnie używać w ramach sieci lub witryn prywatnych. Google Cloud przypisuje wszystkie adresy ULA z zakresu fd20::/20. Te adresy można przekierowywać tylko w ramach sieci VPC. Nie można ich przekierowywać w globalnej sieci IPv6.
Adresy ULA przypisane przez Google Cloud są gwarantowanie unikalne we wszystkich sieciach VPC. Google Cloud zapewnia, że żadna z sieci VPC nie ma przypisanego tego samego prefiksu ULA. Pozwala to rozwiązać problem nakładających się zakresów w sieciach VPC.
Możesz pozwolić Google Cloud na automatyczne przypisanie prefiksu /48 do Twojej sieci lub wybrać konkretny prefiks /48 protokołu IPv6. Jeśli podany przez Ciebie prefiks IPv6 jest już przypisany do innej sieci VPC lub sieci lokalnej, możesz wybrać inny zakres.
5. Wymagania związane z siecią
Poniżej znajdziesz zestawienie wymagań sieci dla sieci konsumentów i producentów:
Sieć dla konsumentów (wszystkie komponenty wdrożone w regionie us-central1)
Komponenty | Opis |
VPC | Sieć o stosie podwójnym wymaga sieci VPC w trybie niestandardowym z włączoną usługą ULA |
Punkt końcowy PSC | IPV6 PSC Endpoint używany do uzyskiwania dostępu do usługi producenta |
Sieci podrzędne | Podwójny stos |
GCE | Podwójny stos |
Sieć producenta(wszystkie komponenty wdrożone w us-central1)
Komponenty | Opis |
VPC | Sieć o stosie podwójnym wymaga sieci VPC w trybie niestandardowym z włączoną usługą ULA |
Podsieć NAT PSC | Stos podwójny. Pakiety z sieci VPC konsumenta są tłumaczone za pomocą źródłowego NAT (SNAT), tak aby ich oryginalne źródłowe adresy IP zostały przekonwertowane na źródłowe adresy IP z podsieci NAT w sieci VPC producenta. |
Reguła przekierowania PSC | Stos podwójny. Wewnętrzny przekazujący sieciowy system równoważenia obciążenia |
Reguła ruchu przychodzącego, która dotyczy instancji z równoważeniem obciążenia i zezwala na ruch z systemów kontroli stanu Google Cloud (2600:2d00:1:b029::/64). | |
Usługa backendu | Usługa backendu pełni funkcję łącznika między systemem równoważenia obciążenia a zasobami backendu. W tym samouczku usługa backendu jest powiązana z grupą nienadzorowanych instancji. |
Niezarządzana grupa instancji | Obsługuje maszyny wirtualne, które wymagają indywidualnej konfiguracji lub dostosowania. Nie obsługuje automatycznego skalowania. |
6. Topologia ćwiczeń z programowania
7. Konfiguracja i wymagania
Konfiguracja środowiska w samodzielnym tempie
- Zaloguj się w konsoli Google Cloud i utwórz nowy projekt lub użyj istniejącego. Jeśli nie masz jeszcze konta Gmail ani Google Workspace, musisz je utworzyć.
- Nazwa projektu to wyświetlana nazwa uczestników tego projektu. Jest to ciąg znaków, którego nie używają interfejsy API Google. Zawsze możesz ją zaktualizować.
- Identyfikator projektu jest niepowtarzalny w ramach wszystkich projektów Google Cloud i nie można go zmienić (po ustawieniu). Konsola Cloud automatycznie generuje unikalny ciąg znaków. Zwykle nie ma znaczenia, jaki to ciąg. W większości laboratoriów z kodem musisz podać identyfikator projektu (zwykle oznaczony jako
PROJECT_ID). Jeśli nie podoba Ci się wygenerowany identyfikator, możesz wygenerować inny losowy. Możesz też spróbować użyć własnego adresu e-mail, aby sprawdzić, czy jest on dostępny. Nie można go zmienić po wykonaniu tego kroku. Pozostanie on do końca projektu. - Informacyjnie: istnieje jeszcze 3 wartość, numer projektu, której używają niektóre interfejsy API. Więcej informacji o wszystkich 3 wartościach znajdziesz w dokumentacji.
- Następnie musisz włączyć rozliczenia w konsoli Cloud, aby korzystać z zasobów i interfejsów API Cloud. Przejście przez ten samouczek nie będzie kosztowne, a być może nawet bezpłatne. Aby wyłączyć zasoby i uniknąć obciążenia opłatami po zakończeniu samouczka, możesz usunąć utworzone zasoby lub usunąć projekt. Nowi użytkownicy Google Cloud mogą skorzystać z bezpłatnego okresu próbnego, w którym mają do dyspozycji środki w wysokości 300 USD.
Uruchamianie Cloud Shell
Google Cloud można obsługiwać zdalnie z laptopa, ale w tym ćwiczeniu będziesz używać Google Cloud Shell, czyli środowiska wiersza poleceń działającego w chmurze.
W konsoli Google Cloud kliknij ikonę Cloud Shell na pasku narzędzi w prawym górnym rogu:
Uzyskanie dostępu do środowiska i połączenie się z nim powinno zająć tylko kilka chwil. Po jego zakończeniu powinno wyświetlić się coś takiego:
Ta maszyna wirtualna zawiera wszystkie potrzebne narzędzia dla programistów. Zawiera stały katalog domowy o pojemności 5 GB i działa w Google Cloud, co znacznie poprawia wydajność sieci i uwierzytelnianie. Wszystkie zadania w tym CodeLab możesz wykonać w przeglądarce. Nie musisz niczego instalować.
8. Zanim zaczniesz
Włącz interfejsy API
W Cloud Shell sprawdź, czy identyfikator projektu jest skonfigurowany:
gcloud config list project gcloud config set project [YOUR-PROJECT-ID] project=[YOUR-PROJECT-ID] region=us-central1 echo $project echo $region
Włącz wszystkie niezbędne usługi:
gcloud services enable compute.googleapis.com
9. Tworzenie sieci VPC producenta
Sieć VPC
W Cloud Shell wykonaj te czynności:
gcloud compute networks create producer-vpc --subnet-mode custom --enable-ula-internal-ipv6
Google przydziela sieci Consumer VPC unikalną podsieć /48 na całym świecie. Aby wyświetlić przydział, wykonaj te czynności:
W Cloud Console:
Sieci VPC
Tworzenie podsieci
Podsieci PSC zostaną powiązane z przyłączem usługi PSC na potrzeby tłumaczenia adresów sieciowych. W przypadku zastosowań produkcyjnych rozmiar tej podsieci musi być odpowiednio dobrany, aby obsługiwać napływający ruch ze wszystkich podłączonych punktów końcowych PSC. Aby dowiedzieć się więcej, zapoznaj się z dokumentacją dotyczącą rozmiaru podłączenia PSC NAT.
W Cloud Shell utwórz podsieć NAT PSC:
gcloud compute networks subnets create producer-nat-dual-stack-subnet --network producer-vpc --range 172.16.10.0/28 --region $region --purpose=PRIVATE_SERVICE_CONNECT --stack-type=IPV4_IPV6 --ipv6-access-type=INTERNAL
Musisz uzyskać i zapisać adres IPv6 producenta-nat-dual-stack-subnet, który zostanie użyty w dalszym kroku do utworzenia reguły zapory ogniowej dla ruchu przychodzącego, aby umożliwić podłączeniu NAT w PSC dostęp do backendu systemu równoważenia obciążenia.
W Cloud Shell uzyskaj podsieć IPv6 NAT PSC.
gcloud compute networks subnets describe producer-nat-dual-stack-subnet --region=us-central1 | grep -i internalIpv6Prefix:
Oczekiwany wynik:
user@cloudshell$ gcloud compute networks subnets describe producer-nat-dual-stack-subnet --region=us-central1 | grep -i internalIpv6Prefix: internalIpv6Prefix: fd20:b4a:ea9f:2:0:0:0:0/64
W Cloud Shell utwórz podsieć reguły przekierowania producenta:
gcloud compute networks subnets create producer-dual-stack-fr-subnet --network producer-vpc --range 172.16.20.0/28 --region $region --enable-private-ip-google-access --stack-type=IPV4_IPV6 --ipv6-access-type=INTERNAL
W Cloud Shell utwórz podsieć VM producenta:
gcloud compute networks subnets create producer-dual-stack-vm-subnet --network producer-vpc --range 172.16.30.0/28 --region $region --enable-private-ip-google-access --stack-type=IPV4_IPV6 --ipv6-access-type=INTERNAL
Tworzenie bramy Public NAT
Maszyna wirtualna producenta wymaga dostępu do internetu, aby pobrać Apache, ale instancja GCE nie ma zewnętrznego adresu IP. Dlatego Cloud NAT zapewni wyjście internetowe do pobrania pakietu.
W Cloud Shell utwórz router Cloud Router:
gcloud compute routers create producer-cloud-router --network producer-vpc --region us-central1
W Cloud Shell utwórz bramę Cloud NAT, która umożliwia wychodzące połączenia internetowe:
gcloud compute routers nats create producer-nat-gw --router=producer-cloud-router --auto-allocate-nat-external-ips --nat-all-subnet-ip-ranges --region us-central1
Tworzenie zasady zapory sieciowej i reguł zapory sieciowej
W Cloud Shell wykonaj te czynności:
gcloud compute network-firewall-policies create producer-vpc-policy --global gcloud compute network-firewall-policies associations create --firewall-policy producer-vpc-policy --network producer-vpc --name producer-vpc --global-firewall-policy
Aby umożliwić IAP połączenie z instancjami maszyn wirtualnych, utwórz regułę zapory sieciowej, która:
- dotyczy wszystkich instancji maszyn wirtualnych, które mają być dostępne przez IAP;
- Zezwala na ruch przychodzący z zakresu adresów IP 35.235.240.0/20. Ten zakres zawiera wszystkie adresy IP, których IAP używa do przekierowywania TCP.
W Cloud Shell wykonaj te czynności:
gcloud compute network-firewall-policies rules create 1000 --action ALLOW --firewall-policy producer-vpc-policy --description "SSH with IAP" --direction INGRESS --src-ip-ranges 35.235.240.0/20 --layer4-configs tcp:22 --global-firewall-policy
Poniższa reguła zapory sieciowej zezwala na ruch z zakresu sondy kontroli stanu do wszystkich instancji w sieci. W środowisku produkcyjnym ta reguła zapory sieciowej powinna być ograniczona tylko do instancji powiązanych z konkretną usługą producenta.
W Cloud Shell wykonaj te czynności:
gcloud compute network-firewall-policies rules create 2000 --action ALLOW --firewall-policy producer-vpc-policy --description "allow traffic from health check probe range" --direction INGRESS --src-ip-ranges 2600:2d00:1:b029::/64 --layer4-configs tcp:80 --global-firewall-policy
Poniższa reguła zapory sieciowej zezwala na ruch z zakresu adresów PSC NAT Subnet do wszystkich instancji w sieci. W środowisku produkcyjnym ta reguła zapory sieciowej powinna być ograniczona tylko do instancji powiązanych z konkretną usługą producenta.
Zaktualizuj regułę zapory sieciowej <insert-your-psc-nat-ipv6-subnet>, podając podsieć NAT PSC IPv6 uzyskaną wcześniej w ramach tego ćwiczenia.
W Cloud Shell wykonaj te czynności:
gcloud compute network-firewall-policies rules create 2001 --action ALLOW --firewall-policy producer-vpc-policy --description "allow traffic from PSC NAT subnet" --direction INGRESS --src-ip-ranges <insert-your-psc-nat-ipv6-subnet> --global-firewall-policy --layer4-configs=tcp
Tworzenie maszyny wirtualnej producenta
W Cloud Shell utwórz serwer WWW Apache na maszynie wirtualnej producer-vm:
gcloud compute instances create producer-vm \
--project=$project \
--machine-type=e2-micro \
--image-family debian-12 \
--no-address \
--image-project debian-cloud \
--zone us-central1-a \
--subnet=producer-dual-stack-vm-subnet \
--stack-type=IPV4_IPV6 \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install apache2 -y
sudo service apache2 restart
echo 'Welcome to Producer-VM !!' | tee /var/www/html/index.html
EOF"
W Cloud Shell utwórz niezarządzaną grupę instancji składającą się z instancji producer-vm i kontroli stanu:
gcloud compute instance-groups unmanaged create producer-instance-group --zone=us-central1-a gcloud compute instance-groups unmanaged add-instances producer-instance-group --zone=us-central1-a --instances=producer-vm gcloud compute health-checks create http hc-http-80 --port=80
10. Tworzenie usługi producenta
Tworzenie komponentów systemu równoważenia obciążenia
W Cloud Shell wykonaj te czynności:
gcloud compute backend-services create producer-backend-svc --load-balancing-scheme=internal --protocol=tcp --region=us-central1 --health-checks=hc-http-80 gcloud compute backend-services add-backend producer-backend-svc --region=us-central1 --instance-group=producer-instance-group --instance-group-zone=us-central1-a
Przydzielił adres IPv6 do reguły przekierowania producenta (wewnętrzny system równoważenia obciążenia sieci).
W Cloud Shell wykonaj te czynności:
gcloud compute addresses create producer-fr-ipv6-address \
--region=us-central1 \
--subnet=producer-dual-stack-fr-subnet \
--ip-version=IPV6
Za pomocą poniższej składni utwórz regułę przekierowania (wewnętrzny system równoważenia obciążenia sieci) z wstępnie zdefiniowanym adresem IPv6 producer-fr-ipv6-address powiązanym z usługą backendu producer-backend-svc.
W Cloud Shell wykonaj te czynności:
gcloud compute forwarding-rules create producer-fr --region=us-central1 --load-balancing-scheme=internal --network=producer-vpc --subnet=producer-dual-stack-fr-subnet --address=producer-fr-ipv6-address --ip-protocol=TCP --ports=all --backend-service=producer-backend-svc --backend-service-region=us-central1 --ip-version=IPV6
Tworzenie załącznika usługi
W Cloud Shell utwórz załącznik usługi:
gcloud compute service-attachments create ipv6-producer-svc-attachment --region=$region --producer-forwarding-rule=producer-fr --connection-preference=ACCEPT_AUTOMATIC --nat-subnets=producer-nat-dual-stack-subnet
Następnie pobierz i zapisz załącznik usługi podany w URI samolinku rozpoczynającym się od projects, aby skonfigurować punkt końcowy PSC w środowisku konsumenta.
selfLink: projects/<your-project-id>/regions/us-central1/serviceAttachments/ipv4-producer-svc-attachment
W Cloud Shell wykonaj te czynności:
gcloud compute service-attachments describe ipv6-producer-svc-attachment --region=$region
Przykład oczekiwanego wyniku
connectionPreference: ACCEPT_AUTOMATIC creationTimestamp: '2024-08-27T05:59:17.188-07:00' description: '' enableProxyProtocol: false fingerprint: EaultrFOzc4= id: '8752850315312657226' kind: compute#serviceAttachment name: ipv6-producer-svc-attachment natSubnets: - https://www.googleapis.com/compute/v1/projects/projectid/regions/us-central1/subnetworks/producer-nat-dual-stack-subnet pscServiceAttachmentId: high: '1053877600257000' low: '8752850315312657226' reconcileConnections: false region: https://www.googleapis.com/compute/v1/projects/projectid/regions/us-central1 selfLink: https://www.googleapis.com/compute/v1/projects/projectid/regions/us-central1/serviceAttachments/ipv6-producer-svc-attachment targetService: https://www.googleapis.com/compute/v1/projects/projectid/regions/us-central1/forwardingRules/producer-fr
W Cloud Console:
Usługi sieciowe → Private Service Connect → Opublikowane usługi
11. Tworzenie sieci VPC konsumenta
Sieć VPC
W Cloud Shell utwórz sieć VPC dla konsumenta z włączonym adresem ULA IPv6:
gcloud compute networks create consumer-vpc \
--subnet-mode=custom \
--enable-ula-internal-ipv6
Google przydziela sieci Consumer VPC unikalną podsieć /48 na całym świecie. Aby wyświetlić przydział, wykonaj te czynności:
W Cloud Console:
Sieci VPC
Utwórz podsieć
W Cloud Shell utwórz podsieć GCE z podwójnym stosem:
gcloud compute networks subnets create consumer-dual-stack-subnet --network consumer-vpc --range=192.168.20.0/28 --stack-type=IPV4_IPV6 --ipv6-access-type=INTERNAL --region $region --enable-private-ip-google-access
W Cloud Shell utwórz podsieć punktu końcowego PSC o podwójnym stosie:
gcloud compute networks subnets create psc-dual-stack-endpoint-subnet --network consumer-vpc --range=192.168.21.0/28 --stack-type=IPV4_IPV6 --ipv6-access-type=INTERNAL --region $region --enable-private-ip-google-access
Tworzenie zasady zapory sieciowej i reguł zapory sieciowej
W Cloud Shell wykonaj te czynności:
gcloud compute network-firewall-policies create consumer-vpc-policy --global gcloud compute network-firewall-policies associations create --firewall-policy consumer-vpc-policy --network consumer-vpc --name consumer-vpc --global-firewall-policy gcloud compute network-firewall-policies rules create 1000 --action ALLOW --firewall-policy consumer-vpc-policy --description "SSH with IAP" --direction INGRESS --src-ip-ranges 35.235.240.0/20 --layer4-configs tcp:22 --global-firewall-policy
W przypadku sieci dla konsumentów potrzebny jest tylko dostęp SSH z IAP.
12. Tworzenie maszyny wirtualnej, punktu końcowego PSC i testowanie połączeń w podwójnym stosie
Utwórz testową maszynę wirtualną z podwójnym stosem.
W Cloud Shell utwórz instancję GCE z podwójnym stosem w podsieci z podwójnym stosem:
gcloud compute instances create consumer-vm-ipv4-ipv6 --zone=us-central1-a --subnet=consumer-dual-stack-subnet --no-address --stack-type=IPV4_IPV6
Tworzenie statycznego adresu IPv6 punktu końcowego PSC
W Cloud Shell utwórz statyczny adres IPv6 dla punktu końcowego PSC:
gcloud compute addresses create psc-ipv6-endpoint-ip --region=$region --subnet=psc-dual-stack-endpoint-subnet --ip-version=IPV6
Uzyskiwanie stałego adresu IPv6 punktu końcowego PSC
W Cloud Shell uzyskaj adres IPv6 PSC, którego użyjesz do nawiązania połączenia z usługą Producer:
gcloud compute addresses describe psc-ipv6-endpoint-ip --region=us-central1 | grep -i address:
Przykładowe dane wyjściowe:
user@cloudshell$ gcloud compute addresses describe psc-ipv6-endpoint-ip --region=us-central1 | grep -i address: address: 'fd20:799:4ea3:1::'
Utwórz punkt końcowy PSC IPv6.
W Cloud Shell utwórz punkt końcowy PSC, aktualizując identyfikator URI SERVICE_ATTACHMENT za pomocą identyfikatora URI zarejestrowanego podczas tworzenia przyłącza usługi.
gcloud compute forwarding-rules create psc-ipv6-endpoint --region=$region --network=consumer-vpc --address=psc-ipv6-endpoint-ip --target-service-attachment=[SERVICE ATTACHMENT URI]
Sprawdzanie punktu końcowego PSC
Sprawdźmy, czy producent zaakceptował punkt końcowy PSC. W Cloud Console:
Usługi sieciowe → Private Service Connect → Połączone punkty końcowe
Testowanie połączenia
W Cloud Shell połącz się przez SSH z instancją GCE z podwójnym stosem, consumer-vm-ipv4-ipv6.
gcloud compute ssh --zone us-central1-a "consumer-vm-ipv4-ipv6" --tunnel-through-iap --project $project
Po zalogowaniu się w instancji GCE z podwójnym stosem wykonaj polecenie curl do punktu końcowego psc, psc-ipv6-endpoint, używając adresów IPv6 zidentyfikowanych w poprzednim kroku.
curl -6 http://[insert-your-ipv6-psc-endpoint]
Oczekiwany wynik:
user@consumer-vm-ipv4-ipv6$ curl -6 http://[fd20:799:4ea3:1::] Welcome to Producer-VM !!
W instancji GCE consumer-vm-ipv4-ipv6 wyloguj się z niej, wykonując polecenie exit, aby wrócić do Cloud Shell.
exit
Oczekiwany wynik:
user@consumer-vm-ipv4-ipv6:~$ exit logout Connection to compute.715101668351438678 closed.
13. Czyszczenie
Usuwanie komponentów laboratorium z jednego terminala Cloud Shell
gcloud compute forwarding-rules delete psc-ipv6-endpoint --region=us-central1 -q gcloud compute instances delete consumer-vm-ipv4-ipv6 --zone=us-central1-a -q gcloud compute network-firewall-policies rules delete 1000 --firewall-policy=consumer-vpc-policy --global-firewall-policy -q gcloud compute network-firewall-policies associations delete --firewall-policy=consumer-vpc-policy --name=consumer-vpc --global-firewall-policy -q gcloud compute network-firewall-policies delete consumer-vpc-policy --global -q gcloud compute addresses delete psc-ipv6-endpoint-ip --region=us-central1 -q gcloud compute networks subnets delete consumer-dual-stack-subnet psc-dual-stack-endpoint-subnet --region=us-central1 -q gcloud compute networks delete consumer-vpc -q gcloud compute service-attachments delete ipv6-producer-svc-attachment --region=us-central1 -q gcloud compute forwarding-rules delete producer-fr --region=us-central1 -q gcloud compute backend-services delete producer-backend-svc --region=us-central1 -q gcloud compute health-checks delete hc-http-80 -q gcloud compute network-firewall-policies rules delete 2001 --firewall-policy producer-vpc-policy --global-firewall-policy -q gcloud compute network-firewall-policies rules delete 2000 --firewall-policy producer-vpc-policy --global-firewall-policy -q gcloud compute network-firewall-policies rules delete 1000 --firewall-policy producer-vpc-policy --global-firewall-policy -q gcloud compute network-firewall-policies associations delete --firewall-policy=producer-vpc-policy --name=producer-vpc --global-firewall-policy -q gcloud compute network-firewall-policies delete producer-vpc-policy --global -q gcloud compute instance-groups unmanaged delete producer-instance-group --zone=us-central1-a -q gcloud compute instances delete producer-vm --zone=us-central1-a -q gcloud compute routers nats delete producer-nat-gw --router=producer-cloud-router --router-region=us-central1 -q gcloud compute routers delete producer-cloud-router --region=us-central1 -q gcloud compute addresses delete producer-fr-ipv6-address --region=us-central1 -q gcloud compute networks subnets delete producer-dual-stack-fr-subnet producer-dual-stack-vm-subnet producer-nat-dual-stack-subnet --region=us-central1 -q gcloud compute networks delete producer-vpc -q
14. Gratulacje
Gratulacje! Konfiguracja i weryfikacja Private Service Connect 64 zostały zakończone pomyślnie.
Utworzyłeś infrastrukturę producenta i dowiedziałeś się, jak utworzyć punkt końcowy IPv6 konsumenta w sieci VPC konsumenta, który umożliwiał połączenie z usługą producenta IPv6.
Cosmopup uważa, że ćwiczenia z programowania są niesamowite.
Co dalej?
Zapoznaj się z tymi ćwiczeniami z programowania
- Korzystanie z Private Service Connect do publikowania i używania usług w GKE
- Używanie Private Service Connect do publikowania i korzystania z usług
- Łączenie z usługami lokalnymi za pomocą Hybrid Networking przy użyciu Private Service Connect i wewnętrznego systemu równoważenia obciążenia serwera proxy TCP
- Dostęp do wszystkich opublikowanych laboratoriów kodu Private Service Connect