GSP210

Opis

Prywatne środowisko wirtualne w chmurze (VPC) w Google Cloud pozwala obsługiwać sieci na potrzeby instancji maszyn wirtualnych Compute Engine, kontenerów Kubernetes Engine oraz elastycznego środowiska App Engine. Inaczej mówiąc, bez sieci VPC nie da się tworzyć instancji maszyn wirtualnych, kontenerów czy aplikacji App Engine. Dlatego też każdy projekt Google Cloud ma ustawioną sieć default (domyślną).

Sieć VPC przypomina sieć fizyczną, z tym że funkcjonuje wirtualnie w Google Cloud. Sieć VPC to zasób globalny, który składa się z listy regionalnych podsieci wirtualnych w centrach danych, połączonych w sieci globalnej WAN. Sieci VPC w Google Cloud są od siebie odizolowane logicznie.

Z tego modułu dowiesz się, jak utworzyć sieć VPC w trybie automatycznym z regułami zapory sieciowej i 2 instancjami maszyn wirtualnych. Następnie poznasz połączenia instancji maszyn wirtualnych.

Cele

W tym module:

• poznasz domyślne sieci VPC,
• utworzysz sieci w trybie automatycznym z regułami zapory sieciowej,
• utworzysz instancje maszyn wirtualnych za pomocą Compute Engine,
• poznasz połączenia dla instancji maszyn wirtualnych.

Konfiguracja i wymagania

Zanim klikniesz przycisk Rozpocznij moduł

Zapoznaj się z tymi instrukcjami. Moduły mają limit czasowy i nie można ich zatrzymać. Gdy klikniesz Rozpocznij moduł, na liczniku wyświetli się informacja o tym, na jak długo udostępniamy Ci zasoby Google Cloud.

W tym praktycznym module możesz spróbować swoich sił w wykonywaniu opisywanych działań w prawdziwym środowisku chmury, a nie w jego symulacji lub wersji demonstracyjnej. Otrzymasz nowe, tymczasowe dane logowania, dzięki którym zalogujesz się i uzyskasz dostęp do Google Cloud na czas trwania modułu.

Do ukończenia modułu potrzebne będą:

• dostęp do standardowej przeglądarki internetowej (zalecamy korzystanie z przeglądarki Chrome).

Uwaga: uruchom ten moduł w oknie incognito lub przeglądania prywatnego. Dzięki temu unikniesz konfliktu między swoim kontem osobistym a kontem do nauki, co mogłoby spowodować naliczanie oddatkowych opłat na koncie osobistym.

• Odpowiednia ilość czasu na ukończenie modułu – pamiętaj, że gdy rozpoczniesz, nie możesz go wstrzymać.

Uwaga: jeśli masz już osobiste konto lub projekt w Google Cloud, nie używaj go w tym module, aby uniknąć naliczania opłat na koncie.

Rozpoczynanie modułu i logowanie się w konsoli Google Cloud

1. Kliknij przycisk Rozpocznij moduł. Jeśli moduł jest odpłatny, otworzy się wyskakujące okienko, w którym możesz wybrać formę płatności. Po lewej stronie znajduje się panel Szczegóły modułu z następującymi elementami:

   • przyciskiem Otwórz konsolę Google;
   • czasem, który Ci pozostał;
   • tymczasowymi danymi logowania, których musisz użyć w tym module;
   • innymi informacjami potrzebnymi do ukończenia modułu.

2. Kliknij Otwórz konsolę Google. Moduł uruchomi zasoby, po czym otworzy nową kartę ze stroną logowania.

   Wskazówka: otwórz karty obok siebie w osobnych oknach.

   Uwaga: jeśli pojawi się okno Wybierz konto, kliknij Użyj innego konta.

3. W razie potrzeby skopiuj nazwę użytkownika z panelu Szczegóły modułu i wklej ją w oknie logowania. Kliknij Dalej.

4. Skopiuj hasło z panelu Szczegóły modułu i wklej je w oknie powitania. Kliknij Dalej.

   Ważne: musisz użyć danych logowania z panelu po lewej stronie, a nie danych logowania Google Cloud Skills Boost. Uwaga: korzystanie z własnego konta Google Cloud w tym module może wiązać się z dodatkowymi opłatami.

5. Na kolejnych stronach wykonaj następujące czynności:

   • Zaakceptuj Warunki korzystania z usługi.
   • Nie dodawaj opcji odzyskiwania ani uwierzytelniania dwuskładnikowego (ponieważ konto ma charakter tymczasowy).
   • Nie rejestruj się w bezpłatnych wersjach próbnych.

Poczekaj, aż na karcie otworzy się konsola Google Cloud.

Uwaga: aby wyświetlić menu z listą produktów i usług Google Cloud Console, w lewym górnym rogu kliknij menu nawigacyjne.

Zadanie 1. Poznawanie sieci domyślnej

W każdym projekcie Google Cloud jest sieć default (domyślna), która składa się z podsieci, tras i reguł zapory sieciowej.

Wyświetlanie podsieci

Sieć default (domyślna) ma podsieć w każdym regionie Google Cloud.

1. W konsoli wybierz menu nawigacyjne () > Sieć VPC > Sieci VPC.

2. Kliknij sieć default (domyślną). Zwróć uwagę na szczegóły sieci default (domyślnej) oraz na podsieci.

Uwaga: każda podsieć jest powiązana z regionem Google Cloud i prywatnym blokiem adresów CIDR RFC 1918 w wewnętrznym zakresie adresów IP oraz bramie.

Wyświetlanie tras

Trasy informują sieć VPC i instancje maszyn wirtualnych, jak wysyłać ruch z instancji do miejsca docelowego w sieci lub poza Google Cloud.

Każda sieć VPC ma trasy domyślne służące do kierowania ruchu pomiędzy podsieciami i wysyłania ruchu z odpowiednich instancji do internetu.

1. W lewym okienku kliknij Trasy.

2. Na karcie Trasy efektywne wybierz sieć default (domyślną) oraz region us-central1.

Zwróć uwagę, że istnieje trasa dla każdej podsieci oraz dla domyślnej bramy internetowej (0.0.0.0./0).

Uwaga: te trasy są zarządzane za Ciebie, ale możesz utworzyć niestandardowe trasy statyczne, które będą kierować niektóre pakiety do określonych miejsc docelowych. Możesz na przykład utworzyć trasę, która wysyła cały ruch wychodzący do instancji skonfigurowanej jako brama NAT.

Wyświetlanie reguł zapory sieciowej

Każda sieć VPC wprowadza rozproszoną wirtualną zaporę sieciową, którą możesz skonfigurować. Reguły zapory sieciowej pozwalają określić, które pakiety mogą podróżować do danych miejsc docelowych.

Każda sieć VPC ma 2 niejawne reguły zapory sieciowej, które blokują wszystkie połączenia przychodzące i zezwalają na wszystkie połączenia wychodzące.

1. W panelu po lewej stronie kliknij Zapora sieciowa.

Zwróć uwagę, że w sieci default (domyślnej) są 4 reguły zapory sieciowej dotyczące ruchu przychodzącego:

• default-allow-icmp
• default-allow-internal
• default-allow-rdp
• default-allow-ssh

Uwaga: te reguły zezwalają na ruch przychodzący ICMP, RDP i SSH z dowolnego miejsca (0.0.0.0/0) oraz na każdy ruch TCP, UDP i ICMP w obrębie sieci (10.128.0.0/9). Opisy tych reguł znajdują się w kolumnach Cele, Filtry źródła, Protokoły/porty i Działanie.

Usuwanie sieci domyślnej

1. Wybierz wszystkie reguły zapory sieciowej i kliknij USUŃ.

2. W lewym okienku kliknij Sieci VPC.

3. Kliknij sieć default (domyślną).

4. Kliknij Usuń sieć VPC u góry strony.

5. Kliknij USUŃ, aby potwierdzić usunięcie sieci default (domyślnej).

   Uwaga: zanim przejdziesz dalej, zaczekaj, aż proces usuwania dobiegnie końca.

6. W lewym okienku kliknij Trasy.

   Zwróć uwagę, że nie wyświetla się żadna trasa. Może być konieczne naciśnięcie przycisku Odśwież u góry strony.

Uwaga: bez sieci VPC nie ma tras.

Tworzenie instancji maszyny wirtualnej

Sprawdź, czy utworzenie instancji maszyny wirtualnej jest możliwe bez sieci VPC.

1. W konsoli wybierz menu nawigacyjne () > Compute Engine > Instancje maszyn wirtualnych.

2. Kliknij +UTWÓRZ INSTANCJĘ, aby utworzyć nową instancję maszyny wirtualnej.

3. Wszystkie wartości pozostaw domyślne i kliknij Utwórz.

   Uwaga: wyświetli się błąd.

4. Rozwiń Opcje zaawansowane i przewiń w dół do sekcji Interfejsy sieci.

   Uwaga: pod polem Sieć wyświetli się błąd Nie ma więcej sieci dostępnych w tym projekcie.

5. Kliknij Anuluj.

Uwaga: jak można było oczekiwać, nie można utworzyć instancji maszyny wirtualnej bez sieci VPC.

Zadanie 2. Tworzenie sieci VPC i instancji maszyn wirtualnych

Utwórz sieć VPC, by możliwe było utworzenie instancji maszyn wirtualnych.

Tworzenie sieci VPC w trybie automatycznym z regułami zapory sieciowej

Zreplikuj sieć default (domyślną) przez utworzenie sieci w trybie automatycznym.

1. W konsoli wybierz menu nawigacyjne ( > Sieć VPC > Sieci VPC, a następnie kliknij +UTWÓRZ SIEĆ VPC.

2. Jako nazwę wpisz mynetwork.

3. W polu Tryb tworzenia podsieci wybierz Automatyczny.

   Podsieci są tworzone automatycznie w każdym regionie przez sieci trybu automatycznego.

4. W sekcji Reguły zapory sieciowej zaznacz wszystkie dostępne reguły.

   To te same standardowe reguły zapory sieciowej, które dotyczyły sieci domyślnej.

Uwaga: wyświetlą się również reguły deny-all-ingress i allow-all-egress, ale nie możesz ich zaznaczyć ani odznaczyć, ponieważ są niejawne. Te 2 reguły mają niższy priorytet (wyższe liczby całkowite wskazują niższe priorytety), więc reguły zezwalające na ICMP, ruch niestandardowy, RDP i SSH są uwzględniane w pierwszej kolejności.

5. Kliknij UTWÓRZ, a następnie poczekaj, aż utworzy się sieć mynetwork.

   Zwróć uwagę, że dla każdego regionu została utworzona podsieć.

6. Kliknij nazwę mynetwork i zapisz zakres adresów IP podsieci w regionie oraz . Te dane przydadzą Ci się w następnych krokach.

Uwaga: jeśli zdarzy Ci się skasować sieć domyślną, możesz ją szybko odtworzyć – wystarczy, że ponownie utworzysz sieć w trybie automatycznym, tak jak przed chwilą.

Testowanie ukończonego zadania

Kliknij Sprawdź postępy, aby zobaczyć stan realizacji zadania. Jeśli udało Ci się ukończyć zadanie, wyświetli się wynik.

Utworzenie sieci VPC

Tworzenie instancji maszyny wirtualnej w regionie

Utwórz maszynę wirtualną w regionie . Wybór regionu i strefy spowoduje określenie podsieci oraz przypisanie wewnętrznego adresu IP z zakresu adresów IP podsieci.

1. W konsoli wybierz menu nawigacyjne () > Compute Engine > Instancje maszyn wirtualnych.

2. Kliknij +UTWÓRZ INSTANCJĘ.

3. Ustaw wymienione niżej wartości, a wszystkie pozostałe pozostaw domyślne:

   Właściwość	Wartość (wpisz podaną wartość lub wybierz podaną opcję)
   Nazwa	mynet-us-vm
   Region
   Strefa
   Seria	E2
   Typ maszyny	e2-micro

4. Kliknij Utwórz, a następnie poczekaj na utworzenie instancji.

5. Sprawdź, czy wewnętrzny adres IP został przypisany z zakresu adresów IP dla podsieci w regionie .

Testowanie ukończonego zadania

Kliknij Sprawdź postępy, aby zobaczyć stan realizacji zadania. Jeśli udało Ci się ukończyć zadanie, wyświetli się wynik.

Utworzenie instancji maszyny wirtualnej w regionie

Tworzenie instancji maszyny wirtualnej w regionie

Utwórz maszynę wirtualną w regionie .

1. Kliknij +UTWÓRZ INSTANCJĘ.

2. Ustaw wymienione niżej wartości, a wszystkie pozostałe pozostaw domyślne:

   Właściwość	Wartość (wpisz podaną wartość lub wybierz podaną opcję)
   Nazwa	mynet-second-vm
   Region
   Strefa
   Seria	E2
   Typ maszyny	e2-micro

3. Kliknij Utwórz, a następnie poczekaj na utworzenie instancji.

Uwaga: jeśli wyświetli się błąd z informacją, że strefa nie ma wystarczającej ilości zasobów, żeby wykonać żądanie, spróbuj wykonać kroki 1–3 jeszcze raz w innej strefie.

4. Sprawdź, czy wewnętrzny adres IP został przypisany z zakresu adresów IP dla podsieci w regionie .

   Wewnętrzny adres IP powinien mieć postać , ponieważ format x.x.x.1 jest zarezerwowany dla bramy, a nie skonfigurowano jeszcze innych instancji w tej podsieci.

Uwaga: zewnętrzne adresy IP obu instancji maszyn wirtualnych są efemeryczne. Jeśli instancja zostanie zatrzymana, każdy efemeryczny zewnętrzny adres IP przypisany do tej instancji będzie przywrócony do ogólnej puli Compute Engine i dostępny do użycia w innych projektach.

Po ponownym uruchomieniu zatrzymanej instancji zostanie do niej przypisany nowy efemeryczny zewnętrzny adres IP. Możesz też zarezerwować statyczny zewnętrzny adres IP, który przypisze do Twojego projektu adres bez ograniczeń czasowych, do momentu, gdy zdecydujesz się z niego zrezygnować.

Testowanie ukończonego zadania

Kliknij Sprawdź postępy, aby zobaczyć stan realizacji zadania. Jeśli udało Ci się ukończyć zadanie, wyświetli się wynik.

Utworzenie instancji maszyny wirtualnej w regionie

Zadanie 3. Poznawanie połączeń dla instancji maszyn wirtualnych

Poznaj połączenia dla instancji maszyn wirtualnych. Przy użyciu tcp:22 połącz się z instancjami maszyn wirtualnych przez SSH i korzystając z ICMP, pingnij zarówno zewnętrzne, jak i wewnętrzne adresy IP Twoich instancji. Następnie sprawdź wpływ reguł zapory sieciowej na połączenie, usuwając kolejno każdą z nich.

Sprawdzanie połączenia dla instancji maszyn wirtualnych

Reguły zapory sieciowej utworzone przez Ciebie w sieci mynetwork zezwalają na ruch przychodzący SSH i IMCP w sieci mynetwork (wewnętrzny adres IP) i poza nią (zewnętrzny adres IP).

1. W konsoli wybierz menu nawigacyjne () > Compute Engine > Instancje maszyn wirtualnych.

   Zwróć uwagę na zewnętrzne i wewnętrzne adresy IP instancji mynet-second-vm.

2. W przypadku instancji mynet-us-vm kliknij SSH, by uruchomić terminal i nawiązać połączenie. Konieczne może być dwukrotne kliknięcie SSH.

   Nawiązanie połączenia SSH jest możliwe dzięki regule zapory sieciowej allow-ssh, która zezwala na ruch przychodzący z dowolnego miejsca (0.0.0.0/0) dla protokołu tcp:22.

   Uwaga: połączenie SSH będzie działać bezproblemowo, ponieważ Compute Engine wygeneruje dla Ciebie klucz SSH i będzie go przechowywać w jednej z tych lokalizacji:
   • Domyślnie Compute Engine dodaje wygenerowany klucz do metadanych projektu lub instancji.
   • Jeśli Twoje konto jest skonfigurowane do korzystania z usługi OS Login, Compute Engine będzie przechowywać wygenerowany klucz na Twoim koncie użytkownika.
   Możesz też kontrolować dostęp do instancji z systemem Linux, tworząc klucze SSH i edytując publiczne metadane klucza SSH.

3. Aby przetestować możliwość połączenia z wewnętrznym adresem IP instancji mynet-second-vm, uruchom to polecenie z wpisanym wewnętrznym adresem IP instancji mynet-second-vm:

   ping -c 3 <tu wpisz wewnętrzny adres IP instancji mynet-second-vm>

   Ping dociera do wewnętrznego adresu IP instancji mynet-second-vm dzięki regule zapory sieciowej allow-custom.

4. Aby przetestować możliwość połączenia z zewnętrznym adresem IP instancji mynet-second-vm, uruchom to polecenie z wpisanym zewnętrznym adresem IP instancji mynet-second-vm:

   ping -c 3 <tu wpisz zewnętrzny adres IP instancji mynet-second-vm>

Zadanie 4. Sprawdź swoją wiedzę

Poniżej znajdziesz pytania jednokrotnego wyboru, które pomogą Ci zrozumieć koncepcje zawarte w module. Odpowiedz na nie najlepiej, jak potrafisz.

Uwaga: zgodnie z oczekiwaniami możesz się połączyć z instancją mynet-us-vm przez SSH oraz wysłać ping do wewnętrznych i zewnętrznych adresów IP instancji mynet-second-vm. Pamiętaj, że możesz również połączyć się z instancją mynet-second-vm przez SSH i wysłać ping do wewnętrznych i zewnętrznych adresów IP instancji mynet-us-vm.

Zadanie 5. Usuwanie reguły zapory sieciowej allow-icmp

Usuń regułę zapory sieciowej allow-icmp i spróbuj wysłać ping do wewnętrznych i zewnętrznych adresów IP instancji mynet-second-vm.

1. W konsoli otwórz menu nawigacyjne () i kliknij Sieć VPC > Zapora sieciowa.

2. Zaznacz regułę mynetwork-allow-icmp.

3. Kliknij USUŃ.

4. Kliknij USUŃ, aby potwierdzić tę czynność.

   Poczekaj, aż reguła zapory sieciowej zostanie usunięta.

5. Wróć do terminala SSH instancji mynet-us-vm.

6. Aby przetestować możliwość połączenia z wewnętrznym adresem IP instancji mynet-second-vm, uruchom to polecenie z wpisanym wewnętrznym adresem IP instancji mynet-second-vm:

ping -c 3 <tu wpisz wewnętrzny adres IP instancji mynet-second-vm>

Ping dociera do wewnętrznego adresu IP instancji mynet-second-vm dzięki regule zapory sieciowej allow-custom.

7. Aby przetestować możliwość połączenia z zewnętrznym adresem IP instancji mynet-second-vm, uruchom to polecenie z wpisanym zewnętrznym adresem IP instancji mynet-second-vm:

   ping -c 3 <tu wpisz zewnętrzny adres IP instancji mynet-second-vm>

Uwaga: 100% utraty pakietów oznacza, że nie można wysłać pinga do zewnętrznego adresu IP instancji mynet-second-vm. Można się było tego spodziewać, ponieważ reguła zapory sieciowej allow-icmp została usunięta.

Zadanie 6. Usuwanie reguły zapory sieciowej allow-custom

Usuń regułę zapory sieciowej allow-custom i spróbuj wysłać ping do wewnętrznego adresu IP instancji mynet-second-vm.

1. W konsoli otwórz menu nawigacyjne () i kliknij Sieć VPC > Zapora sieciowa.

2. Zaznacz regułę mynetwork-allow-custom, a następnie kliknij USUŃ.

3. Kliknij USUŃ, aby potwierdzić tę czynność.

   Poczekaj, aż reguła zapory sieciowej zostanie usunięta.

4. Wróć do terminala SSH instancji mynet-us-vm.

5. Aby przetestować możliwość połączenia z wewnętrznym adresem IP instancji mynet-second-vm, uruchom to polecenie z wpisanym wewnętrznym adresem IP instancji mynet-second-vm:

   ping -c 3 <tu wpisz wewnętrzny adres IP instancji mynet-second-vm>

Uwaga: 100% utraty pakietów oznacza, że nie można wysłać pinga do wewnętrznego adresu IP instancji mynet-second-vm. Można się było tego spodziewać, ponieważ reguła zapory sieciowej allow-custom została usunięta.

6. Zamknij terminal SSH:

   exit

Zadanie 7. Usuwanie reguły zapory sieciowej allow-ssh

Usuń regułę zapory sieciowej allow-ssh i spróbuj połączyć się przez SSH z instancją mynet-us-vm.

1. W konsoli otwórz menu nawigacyjne () i kliknij Sieć VPC > Zapora sieciowa.

2. Zaznacz regułę mynetwork-allow-ssh, a następnie kliknij USUŃ.

3. Kliknij USUŃ, aby potwierdzić tę czynność.

   Poczekaj, aż reguła zapory sieciowej zostanie usunięta.

4. W konsoli wybierz Menu nawigacyjne () > Compute Engine > Instancje maszyn wirtualnych.

5. W przypadku instancji mynet-us-vm kliknij SSH, by uruchomić terminal i nawiązać połączenie.

Uwaga: komunikat Nie udało się nawiązać połączenia oznacza, że nie można nawiązać połączenia SSH z instancją mynet-us-vm, ponieważ reguła allow-ssh została usunięta.

Gratulacje!

W tym module zapoznaliśmy się z siecią domyślną i jej podsieciami, trasami oraz regułami zapory sieciowej. Usunęliśmy sieć domyślną i przekonaliśmy się, że nie można utworzyć żadnych instancji maszyn wirtualnych bez sieci VPC. W ten sposób utworzyliśmy nową sieć VPC w trybie automatycznym z podsieciami, trasami i regułami zapory sieciowej oraz 2 instancje maszyn wirtualnych. Następnie przetestowaliśmy połączenia instancji maszyn wirtualnych i zbadaliśmy wpływ, jaki mają na nie reguły zapory sieciowej.

Ukończ kurs

Ten moduł do samodzielnego ukończenia jest częścią kursu Networking in the Google Cloud. Każdy kurs składa się z zestawu powiązanych ze sobą modułów, które razem tworzą ścieżkę szkoleniową. Za ukończenie kursu otrzymujesz odznakę – stanowi ona potwierdzenie Twojego osiągnięcia. Swoje odznaki możesz ustawiać jako widoczne publicznie, a także podać do nich linki w swoim CV lub w mediach społecznościowych. Jeśli zapiszesz się na ten kurs, ukończony dziś moduł zostanie w nim automatycznie zaliczony. Wszystkie dostępne kursy znajdziesz w katalogu Google Cloud Skills Boost.

Przejdź do kolejnego modułu

Możesz uczyć się dalej w ramach modułu Wiele sieci VPC lub sprawdzić inne propozycje:

• Usprawnianie wydajności sieci I
• Dostosowywanie topologii sieci za pomocą podsieci

Kolejne kroki / Więcej informacji

Więcej informacji o środowiskach VPC Google znajdziesz w opisie sieci prywatnego środowiska wirtualnego w chmurze (VPC) (w języku angielskim).

Ostatnia aktualizacja instrukcji: 1 września 2023 r.

Ostatni test modułu: 1 września 2023 r.

Copyright 2024 Google LLC. Wszelkie prawa zastrzeżone. Google i logo Google są znakami towarowymi Google LLC. Wszelkie inne nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów, z którymi są powiązane.