GSP016

Ringkasan

Dalam lab interaktif ini, Anda akan mempelajari cara menjalankan tugas networking dasar di Google Cloud (termasuk instance Compute Engine) serta perbedaan yang mungkin ada antara Google Cloud dan penyiapan lokal. Anda akan mengembangkan sebuah jaringan dan 3 subnetwork yang akan menghasilkan lingkungan status akhir ini:

Latihan lab yang akan Anda kerjakan telah diurutkan sehingga mencerminkan pengalaman developer cloud pada umumnya:

1. Menyiapkan lingkungan lab Anda dan mempelajari cara bekerja dengan lingkungan Google Cloud.
2. Men-deploy jaringan umum dengan beberapa subnet dan sejumlah region menggunakan fitur open source yang umum untuk mengeksplorasi jaringan Anda di seluruh dunia.
3. Menguji dan memantau jaringan dan instance Anda.

Apa yang akan Anda pelajari

• Konsep dan konstruksi dasar jaringan Google Cloud.
• Cara mengonfigurasi Jaringan default dan Buatan pengguna.
• Cara mengukur karakteristik performa & latensi.
• Konfigurasi keamanan dasar untuk Akses, Firewall, dan Perutean.

Prasyarat

• Pengetahuan dasar mengenai Compute Engine
• Pengetahuan dasar mengenai networking dan TCP/IP
• Pengetahuan dasar mengenai command line Unix/Linux

Penyiapan dan persyaratan

Sebelum mengklik tombol Mulai Lab

Baca petunjuk ini. Lab memiliki timer dan Anda tidak dapat menjedanya. Timer, yang dimulai saat Anda mengklik Start Lab, akan menampilkan durasi ketersediaan resource Google Cloud untuk Anda.

Lab praktik ini dapat Anda gunakan untuk melakukan sendiri aktivitas lab di lingkungan cloud sungguhan, bukan di lingkungan demo atau simulasi. Untuk mengakses lab ini, Anda akan diberi kredensial baru yang bersifat sementara dan dapat digunakan untuk login serta mengakses Google Cloud selama durasi lab.

Untuk menyelesaikan lab ini, Anda memerlukan:

• Akses ke browser internet standar (disarankan browser Chrome).

Catatan: Gunakan jendela Samaran atau browser pribadi untuk menjalankan lab ini. Hal ini akan mencegah konflik antara akun pribadi Anda dan akun Siswa yang dapat menyebabkan tagihan ekstra pada akun pribadi Anda.

• Waktu untuk menyelesaikan lab. Ingat, setelah dimulai, lab tidak dapat dijeda.

Catatan: Jika Anda sudah memiliki project atau akun pribadi Google Cloud, jangan menggunakannya untuk lab ini agar terhindar dari tagihan ekstra pada akun Anda.

Cara memulai lab dan login ke Google Cloud Console

1. Klik tombol Start Lab. Jika Anda perlu membayar lab, jendela pop-up akan terbuka untuk memilih metode pembayaran. Di sebelah kiri adalah panel Lab Details dengan berikut ini:

   • Tombol Open Google Console
   • Waktu tersisa
   • Kredensial sementara yang harus Anda gunakan untuk lab ini
   • Informasi lain, jika diperlukan, untuk menyelesaikan lab ini

2. Klik Open Google Console. Lab akan menjalankan resource, lalu membuka tab lain yang menampilkan halaman Login.

   Tips: Atur tab di jendela terpisah secara berdampingan.

   Catatan: Jika Anda melihat dialog Choose an account, klik Use Another Account.

3. Jika perlu, salin Username dari panel Lab Details dan tempel ke dialog Sign in. Klik Next.

4. Salin Password dari panel Lab Details dan tempel ke dialog Welcome. Klik Next.

   Penting: Anda harus menggunakan kredensial dari panel sebelah kiri. Jangan menggunakan kredensial Google Cloud Skills Boost. Catatan: Menggunakan akun Google Cloud sendiri untuk lab ini dapat dikenai biaya tambahan.

5. Klik halaman berikutnya:

   • Setujui persyaratan dan ketentuan.
   • Jangan tambahkan opsi pemulihan atau autentikasi 2 langkah (karena ini akun sementara).
   • Jangan daftar uji coba gratis.

Setelah beberapa saat, Cloud Console akan terbuka di tab ini.

Catatan: Anda dapat melihat menu dengan daftar Produk dan Layanan Google Cloud dengan mengklik Menu navigasi di kiri atas.

Mengaktifkan Cloud Shell

Cloud Shell adalah mesin virtual yang dilengkapi dengan berbagai alat pengembangan. Mesin virtual ini menawarkan direktori beranda persisten berkapasitas 5 GB dan berjalan di Google Cloud. Cloud Shell menyediakan akses command-line untuk resource Google Cloud Anda.

1. Klik Activate Cloud Shell di bagian atas konsol Google Cloud.

Setelah terhubung, Anda sudah diautentikasi, dan project ditetapkan ke PROJECT_ID Anda. Output berisi baris yang mendeklarasikan PROJECT_ID untuk sesi ini:

Project Cloud Platform Anda dalam sesi ini disetel ke YOUR_PROJECT_ID

gcloud adalah alat command line untuk Google Cloud. Alat ini sudah terinstal di Cloud Shell dan mendukung pelengkapan command line.

2. (Opsional) Anda dapat menampilkan daftar nama akun yang aktif dengan perintah ini:

gcloud auth list

3. Klik Authorize.

4. Output Anda sekarang akan terlihat seperti ini:

Output:

ACTIVE: * ACCOUNT: student-01-xxxxxxxxxxxx@qwiklabs.net Untuk menyetel akun aktif, jalankan: $ gcloud config set account `ACCOUNT`

5. (Opsional) Anda dapat menampilkan daftar project ID dengan perintah ini:

gcloud config list project

Output:

[core] project = <project_ID>

Contoh output:

[core] project = qwiklabs-gcp-44776a13dea667a6 Catatan: Untuk mendapatkan dokumentasi gcloud yang lengkap di Google Cloud, baca panduan ringkasan gcloud CLI.

Memahami Region dan Zona

Resource Compute Engine tertentu berada di bawah zona atau region. Region adalah lokasi geografis spesifik tempat Anda dapat menjalankan resource. Setiap region memiliki satu atau beberapa zona. Misalnya, region us-central1 menunjukkan satu region di Amerika Serikat Bagian Tengah yang memiliki zona us-central1-a, us-central1-b, us-central1-c, dan us-central1-f.

Region	Zona
Amerika Serikat Bagian Barat	us-west1-a, us-west1-b
Amerika Serikat Bagian Tengah	us-central1-a, us-central1-b, us-central1-d, us-central1-f
Amerika Serikat Bagian Timur	us-east1-b, us-east1-c, us-east1-d
Eropa Barat	europe-west1-b, europe-west1-c, europe-west1-d
Asia Timur	asia-east1-a, asia-east1-b, asia-east1-c

Resource yang ada di suatu zona disebut sebagai resource zona. Instance dan persistent disk mesin virtual berada di bawah zona. Untuk memasang persistent disk ke instance mesin virtual, kedua resource harus berada di zona yang sama. Demikian pula, jika Anda ingin menetapkan alamat IP statis ke satu instance, instance tersebut harus berada di region yang sama dengan IP statis.

Pelajari region dan zona lebih lanjut dan lihat daftar lengkap di halaman Compute Engine, Dokumentasi region dan zona.

Konsep Jaringan Google Cloud

Di Google Cloud Platform, jaringan menyediakan koneksi data ke dalam dan keluar dari resource cloud Anda (sebagian besar berupa instance Compute Engine). Mengamankan Jaringan sangatlah penting dalam mengamankan data dan mengontrol akses ke resource Anda.

Google Cloud Platform mendukung Project, Jaringan, dan Subnetwork guna menyediakan pengisolasian yang logis dan fleksibel untuk resource yang tidak terkait.

Project adalah container terluar dan digunakan untuk mengelompokkan resource yang memiliki batas kepercayaan yang sama. Banyak developer memetakan Project ke tim karena setiap Project memiliki kebijakan akses (IAM) dan daftar anggotanya sendiri. Project juga berfungsi sebagai kolektor detail penagihan dan kuota yang mencerminkan konsumsi resource. Project mencakup Jaringan yang berisi Subnetwork, Aturan firewall, dan Rute (lihat diagram arsitektur di bawah untuk ilustrasinya).

Jaringan menghubungkan resource satu sama lain dan ke dunia luar secara langsung. Dengan menggunakan Firewall, Jaringan juga menampung kebijakan akses untuk koneksi masuk dan keluar. Jaringan dapat bersifat Global (menawarkan skalabilitas horizontal di beberapa Region) atau Regional (menawarkan latensi rendah di dalam satu Region).

Subnetwork memungkinkan Anda mengelompokkan resource terkait (instance Compute Engine) ke dalam ruang alamat pribadi RFC1918. Subnetwork hanya dapat bersifat Regional. Subnetwork dapat berada dalam mode otomatis atau mode kustom.

• Jaringan mode otomatis memiliki satu subnet per region, dengan gateway dan rentang IP yang telah ditentukan. Subnet ini dibuat secara otomatis saat Anda membuat jaringan mode otomatis, dan setiap subnet memiliki nama yang sama dengan jaringan keseluruhan.
• Jaringan mode kustom tidak memiliki subnet pada waktu pembuatan. Untuk membuat instance dalam jaringan mode kustom, pertama-tama Anda perlu membuat subnetwork di region tersebut dan menentukan rentang IP. Jaringan mode kustom dapat memiliki satu atau beberapa subnet per region, atau tidak memilikinya sama sekali.

Menetapkan region dan zona

Resource Compute Engine tertentu berada di region dan zona. Region adalah lokasi geografis spesifik tempat Anda dapat menjalankan resource. Setiap region memiliki satu atau beberapa zona.

Jalankan perintah gcloud berikut di Konsol Cloud guna menetapkan region dan zona default untuk lab Anda:

gcloud config set compute/zone "{{{project_0.startup_script.primary_zone | Zone}}}" export ZONE=$(gcloud config get compute/zone) gcloud config set compute/region "{{{project_0.startup_script.primary_region | Region}}}" export REGION=$(gcloud config get compute/region)

Tugas 1. Meninjau jaringan default

Saat project baru dibuat, konfigurasi jaringan default akan menyediakan sebuah jaringan subnet otomatis ke setiap region. Anda dapat membuat hingga empat jaringan tambahan dalam sebuah project. Jaringan tambahan ini dapat berupa jaringan subnet otomatis, jaringan subnet kustom, atau jaringan lama.

Setiap instance yang dibuat di dalam subnetwork diberi alamat IPv4 dari rentang subnetwork tersebut.

• Tinjau jaringan Anda. Klik Navigation menu > VPC network.

Firewall

Untuk mengetahui informasi selengkapnya tentang cara menggunakan aturan firewall untuk mengisolasi subnetwork, baca bagian mengenai subnetwork dan aturan firewall.

Tiap jaringan memiliki firewall default yang memblokir semua traffic masuk ke instance. Untuk mengizinkan traffic masuk ke instance, Anda harus membuat aturan "izinkan" untuk firewall tersebut. Selain itu, firewall default mengizinkan traffic dari instance kecuali jika Anda mengonfigurasinya untuk memblokir koneksi keluar menggunakan konfigurasi firewall "keluar". Oleh karena itu, secara default Anda dapat membuat aturan "izinkan" untuk traffic masuk yang ingin Anda teruskan, dan aturan "tolak" untuk traffic keluar yang ingin Anda batasi. Anda juga dapat membuat kebijakan tolak default untuk traffic keluar dan mencegah koneksi eksternal sepenuhnya.

Secara umum, sebaiknya konfigurasi aturan firewall yang paling tidak permisif yang akan mendukung jenis traffic yang ingin Anda teruskan. Misalnya, jika Anda perlu mengizinkan traffic untuk menjangkau sebagian instance, tetapi perlu membatasi traffic untuk menjangkau sebagian yang lain, buatlah aturan yang mengizinkan traffic ke instance yang dikehendaki saja. Konfigurasi yang lebih ketat ini lebih mudah diprediksi dibandingkan aturan firewall luas yang mengizinkan traffic ke semua instance. Jika Anda ingin aturan "tolak" mengganti aturan "izinkan" tertentu, Anda dapat menetapkan level prioritas di setiap aturan, dan aturan dengan nomor prioritas paling rendah akan dievaluasi terlebih dahulu. Membuat set aturan pengganti yang luas dan kompleks dapat mengakibatkan diizinkannya atau diblokirnya traffic yang tidak dikehendaki.

Jaringan default secara otomatis membuat aturan firewall, seperti yang ditampilkan di bawah. Jaringan jenis apa pun yang dibuat secara manual tidak secara otomatis membuat aturan firewall. Anda harus membuat aturan firewall yang Anda perlukan untuk semua jaringan, kecuali jaringan default.

Aturan firewall masuk yang otomatis dibuat untuk jaringan default adalah sebagai berikut:

default-allow-internal	Memungkinkan koneksi jaringan dari protokol dan port mana pun antara instance pada jaringan.
default-allow-ssh	Memungkinkan koneksi SSH dari sumber apa pun ke setiap instance pada jaringan melalui TCP port 22.
default-allow-rdp	Memungkinkan koneksi RDP dari sumber apa pun ke setiap instance pada jaringan melalui TCP port 3389.
default-allow-icmp	Memungkinkan traffic ICMP dari sumber apa pun ke tiap instance pada jaringan.

• Untuk meninjau aturan Firewall default, pada Konsol klik Navigation menu > VPC network > Firewall.

Rute jaringan

Semua jaringan memiliki rute ke Internet (rute default) dan ke rentang IP di jaringan yang dibuat secara otomatis. Nama rute dibuat secara otomatis dan berbeda untuk setiap project.

• Untuk melihat Rute default, klik Navigation menu > VPC network > Routes.

Tugas 2. Membuat jaringan kustom

Membuat jaringan baru dengan rentang subnet kustom

Saat menetapkan rentang subnetwork secara manual, pertama-tama Anda membuat jaringan subnet kustom, lalu membuat subnetwork yang Anda inginkan dalam sebuah region. Anda tidak perlu segera menentukan subnetwork untuk semua region, atau bahkan tidak perlu sama sekali, tetapi Anda tidak dapat membuat instance di region yang belum memiliki subnetwork yang ditetapkan.

Saat Anda membuat subnetwork baru, Anda harus menggunakan nama yang unik dalam project tersebut untuk region tersebut, bahkan di seluruh jaringan. Dua nama yang sama dapat muncul bersamaan dalam sebuah project, asalkan keduanya berada di region berbeda. Karena ini adalah subnetwork, tidak ada rentang IPv4 tingkat jaringan atau Gateway IP, sehingga tidak ada yang ditampilkan.

Anda dapat membuat jaringan kustom dengan Konsol atau Cloud Shell. Kami akan menunjukkan cara menggunakan keduanya, tetapi Anda harus memutuskan metode yang akan digunakan selagi mengikuti lab ini. Misalnya, Anda tidak dapat menyelesaikan sebuah bagian menggunakan petunjuk untuk Konsol, kemudian beralih untuk menyelesaikan bagian yang sama menggunakan command line gcloud.

Tugas 3. Membuat jaringan kustom dengan Console

Catatan: Jika Anda memilih menggunakan command line, lewati bagian ini dan lanjutkan ke bagian Membuat Jaringan kustom dengan Cloud Shell.

1. Untuk membuat jaringan kustom, klik Navigation menu > VPC network.

2. Klik Create VPC Network, lalu beri nama dengan taw-custom-network.

3. Pada tab Custom, buat:

   • Nama subnet: subnet-
   • Region:
   • Rentang alamat IP: 10.0.0.0/16

4. Klik Done.

   

5. Sekarang klik Add Subnet lalu tambahkan 2 subnet lainnya di masing-masing region:

   • subnet-, , 10.1.0.0/16
   • subnet-, , 10.2.0.0/16

6. Klik Create untuk menyelesaikan prosesnya.

Pada tahap ini, jaringan memiliki rute ke Internet dan ke semua instance yang mungkin Anda buat. Tetapi jaringan belum memiliki aturan firewall yang mengizinkan akses ke instance, bahkan dari instance lainnya. Untuk mengizinkan akses, Anda harus membuat aturan firewall.

Lanjutkan ke bagian Menambahkan aturan firewall.

Tugas 4. Membuat jaringan kustom dengan Cloud Shell

Catatan: Jika Anda sudah membuat jaringan menggunakan Konsol, jangan lakukan latihan yang sama menggunakan Cloud Shell. Sebagai gantinya, ikuti lagi lab ini untuk berlatih menggunakan command line gcloud.

• Masukkan perintah berikut di Cloud Shell untuk membuat jaringan kustom:

gcloud compute networks create taw-custom-network --subnet-mode custom

Output:

NAME MODE IPV4_RANGE GATEWAY_IPV4 taw-custom-network custom Instances on this network will not be reachable until firewall rules are created. As an example, you can allow all internal traffic between instances as well as SSH, RDP, and ICMP by running: $ gcloud compute firewall-rules create --network taw-custom-network --allow tcp,udp,icmp --source-ranges $ gcloud compute firewall-rules create --network taw-custom-network --allow tcp:22,tcp:3389,icmp

Sekarang buat subnet untuk jaringan kustom baru Anda. Anda harus membuat tiga subnet.

1. Buat subnet- dengan prefiks IP:

gcloud compute networks subnets create subnet-{{{project_0.startup_script.primary_region | Region}}} \ --network taw-custom-network \ --region {{{project_0.startup_script.primary_region | Region}}} \ --range 10.0.0.0/16

Output:

Created [https://www.googleapis.com/compute/v1/projects/cloud-network-module-101/regions/{{{project_0.startup_script.primary_region | Region}}}/subnetworks/subnet-{{{project_0.startup_script.primary_region | Region}}}]. NAME REGION NETWORK RANGE subnet-{{{project_0.startup_script.primary_region | Region}}} {{{project_0.startup_script.primary_region | Region}}} taw-custom-network 10.0.0.0/16

2. Buat subnet- dengan prefiks IP:

gcloud compute networks subnets create subnet-{{{project_0.startup_script.secondary_region | Region}}} \ --network taw-custom-network \ --region {{{project_0.startup_script.secondary_region | Region}}} \ --range 10.1.0.0/16

Output:

Created [https://www.googleapis.com/compute/v1/projects/cloud-network-module-101/regions/{{{project_0.startup_script.secondary_region | Region}}}/subnetworks/subnet-{{{project_0.startup_script.secondary_region | Region}}}]. NAME REGION NETWORK RANGE subnet-{{{project_0.startup_script.secondary_region | Region}}} {{{project_0.startup_script.secondary_region | Region}}} taw-custom-network 10.1.0.0/16

3. Buat subnet- dengan prefiks IP:

gcloud compute networks subnets create subnet-{{{project_0.startup_script.third_region | Region}}} \ --network taw-custom-network \ --region {{{project_0.startup_script.third_region | Region}}} \ --range 10.2.0.0/16

Output:

Created [https://www.googleapis.com/compute/v1/projects/cloud-network-module-101/regions/{{{project_0.startup_script.third_region | Region}}}/subnetworks/subnet-{{{project_0.startup_script.third_region | Region}}}]. NAME REGION NETWORK RANGE subnet-{{{project_0.startup_script.secondary_region | Region}}} {{{project_0.startup_script.secondary_region | Region}}} taw-custom-network 10.2.0.0/16

4. Lihat daftar jaringan Anda:

gcloud compute networks subnets list \ --network taw-custom-network

Jika Anda membuat jaringan subnet otomatis di bagian sebelumnya, subnet tersebut juga akan dicantumkan.

Output:

NAME REGION NETWORK RANGE subnet-{{{project_0.startup_script.third_region | Region}}} {{{project_0.startup_script.third_region | Region}}} taw-custom-network 10.1.0.0/16 subnet-{{{project_0.startup_script.secondary_region | Region}}} {{{project_0.startup_script.secondary_region | Region}}} taw-custom-network 10.2.0.0/16 subnet-{{{project_0.startup_script.primary_region | Region}}} {{{project_0.startup_script.primary_region | Region}}} taw-custom-network 10.0.0.0/16

Pada tahap ini, jaringan memiliki rute ke Internet dan ke semua instance yang mungkin Anda buat. Tetapi jaringan tersebut belum memiliki aturan firewall yang mengizinkan akses ke instance, bahkan dari instance lainnya. Untuk mengizinkan akses, Anda harus membuat aturan firewall.

Tugas 5. Menambahkan aturan firewall

Untuk mengizinkan akses ke instance VM, Anda harus menerapkan aturan firewall. Kita akan menggunakan tag instance untuk menerapkan aturan firewall ke instance VM Anda. Aturan firewall akan diterapkan ke tiap VM menggunakan tag instance yang sama.

Catatan: Tag Instance digunakan oleh jaringan dan firewall untuk menerapkan aturan firewall tertentu ke instance VM yang diberi tag. Misalnya, jika ada beberapa instance yang menjalankan tugas yang sama, seperti menangani traffic dari sebuah situs besar, maka Anda dapat menambahkan tag ke instance tersebut dengan kata atau istilah yang sama, lalu menggunakan tag ini untuk mengizinkan akses HTTP ke instance tersebut dengan aturan firewall.

Tag juga tercermin dalam server metadata, jadi Anda dapat menggunakannya untuk aplikasi yang berjalan pada instance Anda.

• Mulailah dengan membuka firewall untuk mengizinkan permintaan Internet HTTP, lalu tambahkan aturan firewall lainnya. Aturan firewall dapat ditambahkan menggunakan Konsol atau Cloud Shell.

Menambahkan aturan firewall menggunakan Konsol

1. Di Konsol, buka VPC networks dari Menu, lalu klik jaringan taw-custom-networking:

2. Klik tab Firewalls, lalu Add Firewall rule.

3. Masukkan info berikut:

Kolom	Nilai	Komentar
Name	nw101-allow-http	Nama aturan baru
Targets	Specified target tags	Instance yang menerapkan aturan firewall.
Target tags	http	Tag yang kita buat
Source filter	IPv4 ranges	Kita akan membuka firewall untuk semua alamat IP dari Internet.
Source IPv4 ranges	0.0.0.0/0	Anda akan membuka firewall untuk semua alamat IP dari Internet.
Protocols and ports	Pilih Specified protocols and ports, lalu centang kotak tcp, dan ketik 80	Khusus HTTP

Layar Anda akan terlihat seperti ini:

4. Klik Create dan tunggu hingga perintah selesai. Berikutnya, Anda akan membuat aturan firewall tambahan yang diperlukan.

Menambahkan aturan firewall menggunakan Cloud Shell

Catatan: Jika Anda sudah membuat jaringan menggunakan Konsol, jangan melakukan latihan yang sama menggunakan Cloud Shell. Sebagai gantinya, ikuti lagi lab ini untuk berlatih menggunakan command line gcloud.

• Untuk membuat aturan firewall di Cloud Shell, jalankan perintah berikut:

gcloud compute firewall-rules create nw101-allow-http \ --allow tcp:80 --network taw-custom-network --source-ranges 0.0.0.0/0 \ --target-tags http

Output:

Membuat aturan firewall tambahan

Aturan firewall tambahan ini akan mengizinkan ICMP, komunikasi internal, SSH, dan RDP. Anda dapat membuatnya menggunakan Konsol (atau Cloud Shell). Ingatlah untuk menggunakan satu metode saja untuk setiap jenis aturan firewall, jangan gunakan keduanya.

• ICMP

Kolom	Nilai	Komentar
Name	nw101-allow-icmp	Nama aturan baru
Targets	Specified target tags	Pilih dari menu drop-down Targets
Target tags	rules	tag
Source filter	IPv4 ranges	Kita akan membuka firewall untuk semua alamat IP pada daftar ini.
Source IPv4 ranges	0.0.0.0/0	Kita akan membuka firewall untuk semua alamat IP dari Internet.
Protocols and ports	Pilih Specified protocols and ports, other protocols, lalu ketik icmp	Protokol dan port yang menerapkan firewall

(perintah Cloud Shell)

gcloud compute firewall-rules create "nw101-allow-icmp" --allow icmp --network "taw-custom-network" --target-tags rules

• Komunikasi Internal

Kolom	Nilai	Komentar
Name	nw101-allow-internal	Nama aturan baru
Targets	Semua instance dalam jaringan	Pilih dari menu drop-down Targets
Source filter	IPv4 ranges	Filter yang digunakan untuk menerapkan aturan ke sumber traffic tertentu
Source IPv4 ranges	10.0.0.0/16, 10.1.0.0/16, 10.2.0.0/16	Kita akan membuka firewall untuk semua alamat IP dari Internet.
Protocols and ports	Pilih Specified protocols and ports, lalu centang tcp dan ketik 0-65535; centang udp ketik 0-65535; centang Other protocols , dan ketik icmp	Mengizinkan Tcp:0-65535, udp:0-65535,icmp

(perintah Cloud Shell)

gcloud compute firewall-rules create "nw101-allow-internal" --allow tcp:0-65535,udp:0-65535,icmp --network "taw-custom-network" --source-ranges "10.0.0.0/16","10.2.0.0/16","10.1.0.0/16"

• SSH

Kolom	Nilai	Komentar
Name	nw101-allow-ssh	Nama aturan baru
Targets	Specified target tags	ssh
Target tags	ssh	Instance yang Anda pilih untuk menerapkan aturan firewall
Source filter	IPv4 ranges	Filter yang digunakan untuk menerapkan aturan ke sumber traffic tertentu
Source IPv4 ranges	0.0.0.0/0	Kita akan membuka firewall untuk semua alamat IP dari Internet.
Protocols and ports	Pilih Specified protocols and ports, centang kotak tcp, lalu ketik 22	Mengizinkan tcp:22

(perintah Cloud Shell)

gcloud compute firewall-rules create "nw101-allow-ssh" --allow tcp:22 --network "taw-custom-network" --target-tags "ssh"

• RDP

Kolom	Nilai	Komentar
Name	nw101-allow-rdp	Nama aturan baru
Targets	Semua instance dalam jaringan	Pilih dari menu drop-down Targets
Source filter	IPv4 ranges	Filter alamat IP
Source IPv4 ranges	0.0.0.0/0	Kita akan membuka firewall untuk semua alamat IP dari Internet.
Protocols and ports	Pilih Specified protocols and ports, centang tcp, lalu ketik 3389	Mengizinkan tcp:3389

(perintah Cloud Shell)

gcloud compute firewall-rules create "nw101-allow-rdp" --allow tcp:3389 --network "taw-custom-network"

• Gunakan Konsol untuk memeriksa aturan firewall di jaringan Anda. Kodenya akan terlihat seperti berikut:

Catatan: Bagaimana dengan Rute yang saya lihat di konsol Jaringan?

Google Cloud Networking menggunakan Rute untuk mengarahkan paket antara subnetwork dan ke Internet. Tiap kali subnetwork dibuat (atau dibuat sebelumnya) di Jaringan, rute akan otomatis dibuat di tiap region untuk mengizinkan perutean paket antar-subnetwork. Rute ini tidak dapat diubah.

Rute tambahan dapat dibuat untuk mengirim traffic ke instance, gateway VPN, atau gateway internet default. Rute tambahan ini dapat diubah agar sesuai dengan arsitektur jaringan yang diinginkan. Rute dan Firewall bekerja sama untuk memastikan traffic sampai pada tujuan yang diharapkan.

Klik Check my progress untuk memverifikasi tujuan.

Membuat jaringan, subnetwork, dan aturan firewall kustom.

Tugas 6. Menghubungkan ke VM lab Anda dan memeriksa latensi

• Klik VPC networks di menu kiri untuk melihat seluruh jaringan Anda. Jaringan taw-custom-network memiliki tiga subnetwork dan aturan firewall yang sudah diterapkan.

Anda akan melihat seperti berikut ini:

Langkah berikutnya adalah membuat VM di tiap subnet dan memastikan Anda dapat terhubung ke tiap VM tersebut.

Membuat VM di setiap zona

Untuk bagian lab ini, Anda akan bekerja di Cloud Shell.

1. Jalankan perintah berikut untuk membuat instance dengan nama us-test-01 di subnet subnet-:

gcloud compute instances create us-test-01 \ --subnet subnet-{{{project_0.startup_script.primary_region | Region}}} \ --zone {{{project_0.startup_script.primary_zone | ZONE}}} \ --machine-type e2-standard-2 \ --tags ssh,http,rules

Pastikan Anda mencatat IP eksternal untuk digunakan nanti dalam lab ini.

Output:

Created [https://www.googleapis.com/compute/v1/projects/cloud-network-module-101/zones/{{{project_0.startup_script.primary_zone | ZONE}}}/instances/us-test-01]. NAME ZONE MACHINE_TYPE PREEMPTIBLE INTERNAL_IP EXTERNAL_IP STATUS us-test-01 {{{project_0.startup_script.primary_zone | ZONE}}} e2-standard-2 10.0.0.2 104.198.230.22 RUNNING

2. Sekarang buat VM us-test-02 dan us-test-03 dalam subnet yang sesuai:

gcloud compute instances create us-test-02 \ --subnet subnet-{{{project_0.startup_script.secondary_region | REGION}}} \ --zone {{{project_0.startup_script.secondary_zone | ZONE}}} \ --machine-type e2-standard-2 \ --tags ssh,http,rules gcloud compute instances create us-test-03 \ --subnet subnet-{{{project_0.startup_script.third_region | REGION}}} \ --zone {{{project_0.startup_script.third_zone | ZONE}}} \ --machine-type e2-standard-2 \ --tags ssh,http,rules

Klik Check my progress untuk memverifikasi tujuan.

Membuat tiga instance di zona yang ditentukan untuk Traceroute dan pengujian performa.

Memastikan Anda dapat menghubungkan VM

Sekarang lakukanlah beberapa latihan untuk menguji sambungan ke VM.

1. Kembalilah ke Konsol dan buka Compute Engine.

2. Klik tombol SSH yang sesuai dengan instance us-test-01 . Koneksi SSH ke instance akan terbuka di jendela baru.

3. Di jendela SSH us-test-01, ketik perintah berikut untuk menggunakan echo ICMP terhadap us-test-02, dengan menambahkan alamat IP eksternal untuk VM di baris perintah:

ping -c 3 <us-test-02-external-ip-address> Catatan: Anda dapat mencari IP eksternal virtual machine Anda di tab browser Compute Engine di kolom External IP.

Alamat IP Anda akan berbeda dari gambar.

4. Jalankan perintah ini untuk menggunakan echo ICMP terhadap us-test-03, dengan menambahkan alamat IP eksternal untuk VM di baris perintah:

ping -c 3 <us-test-03-external-ip-address>

Contoh output:

PING 35.187.149.67 (35.187.149.67) 56(84) bytes of data. 64 bytes from 35.187.149.67: icmp_seq=1 ttl=76 time=152 ms 64 bytes from 35.187.149.67: icmp_seq=2 ttl=76 time=152 ms 64 bytes from 35.187.149.67: icmp_seq=3 ttl=76 time=152 ms

5. Sekarang pastikan SSH juga berfungsi untuk instance us-test-02 dan us-test-03. Coba gunakan echo ICMP terhadap us-test-01.

Menggunakan ping untuk mengukur latensi

Gunakan ping untuk mengukur latensi antar-instance di antara semua region.

• Untuk mengamati latensi dari region US Central ke region Europe West, jalankan perintah berikut setelah membuka jendela SSH di us-test-01:

ping -c 3 us-test-02.{{{project_0.startup_script.secondary_zone | ZONE}}}

Output perintah:

PING us-test-02.{{{project_0.startup_script.secondary_zone | ZONE}}}.c.cloud-network-module-101.internal (10.2.0.2) 56(84) bytes of data. 64 bytes from us-test-02.{{{project_0.startup_script.secondary_zone | ZONE}}}.c.cloud-network-module-101.internal (10.2.0.2): icmp_seq=1 ttl=64 time=105 ms 64 bytes from us-test-02.{{{project_0.startup_script.secondary_zone | ZONE}}}.c.cloud-network-module-101.internal (10.2.0.2): icmp_seq=2 ttl=64 time=104 ms 64 bytes from us-test-02.{{{project_0.startup_script.secondary_zone | ZONE}}}.c.cloud-network-module-101.internal (10.2.0.2): icmp_seq=3 ttl=64 time=104 ms

Latensi yang Anda dapatkan adalah "Waktu Round Trip" (RTT) - yakni waktu yang diperlukan untuk meneruskan paket dari us-test-01 ke us-test-02.

Untuk menguji konektivitas, Ping menggunakan Pesan Echo Request dan Echo Reply ICMP.

Catatan: Penting untuk diingat

Berapa besar latensi yang Anda lihat di antara region? Berapa besar latensi yang diharapkan dalam kondisi ideal? Apa yang menarik terkait koneksi dari `us-test-02` ke `us-test-03`? Catatan: DNS Internal: Bagaimana DNS disediakan untuk instance VM?

Tiap instance memiliki server metadata yang juga bertindak sebagai DNS resolver untuk instance tersebut. Pencarian DNS dilakukan untuk nama instance. Server metadata menyimpan semua informasi DNS untuk jaringan lokal dan membuat kueri server DNS publik Google untuk tiap alamat di luar jaringan lokal.

Secara internal, nama domain yang memenuhi syarat sepenuhnya (FQDN) untuk sebuah instance akan terlihat seperti ini: hostName.[ZONE].c.[PROJECT_ID].internal .

Anda dapat membuat hubungan dari satu instance ke instance yang lain menggunakan FQDN ini kapan saja. Jika Anda ingin terhubung ke sebuah instance menggunakan, misalnya, hostName saja, Anda memerlukan informasi dari DNS resolver internal yang disediakan sebagai bagian dari Compute Engine.

Tugas 7. Traceroute dan pengujian Performa

Latihan opsional

Traceroute adalah fitur untuk melacak jalur antara dua host. Traceroute dapat menjadi langkah pertama yang membantu untuk menemukan berbagai jenis masalah jaringan. Engineer dukungan atau jaringan sering menanyakan traceroute saat mendiagnosis masalah jaringan.

Catatan: Fungsionalitas

Traceroute menampilkan semua hop Lapisan 3 (lapisan perutean) antar-host. Hal ini dilakukan dengan mengirimkan paket ke tujuan jarak jauh dengan nilai TTL (Time To Live) yang terus meningkat (dimulai dari 1). Kolom TTL adalah kolom dalam paket IP yang menurun sebanyak satu angka untuk setiap router. Setelah TTL mencapai nol, paket akan dihapus dan pesan ICMP "TTL exceeded" ditampilkan ke pengirim. Pendekatan ini digunakan untuk menghindari loop perutean. Paket tidak dapat melakukan loop terus-menerus karena kolom TTL pada akhirnya akan menurun hingga mencapai 0. Secara default, OS menetapkan TTL ke nilai yang tinggi (64, 128, 255, atau sejenisnya), sehingga nilai nol hanya akan tercapai dalam situasi abnormal.

Jadi, traceroute mengirim paket terlebih dahulu dengan nilai TTL 1, lalu nilai TTL 2, dst., yang mengakibatkan paket habis masa berlakunya pada router pertama/kedua/dst. pada jalur tersebut. Selanjutnya, traceroute akan mengambil IP sumber/host dari pesan ICMP "TTL exceeded" yang ditampilkan untuk menunjukkan nama/IP dari hop perantara. Setelah nilai TTL cukup tinggi, paket akan mencapai tujuannya, dan tujuan tersebut akan merespons.

Jenis paket yang dikirim berbeda-beda menurut implementasinya. Pada Linux, paket UDP dikirim ke port tinggi yang tidak digunakan. Dengan demikian, tujuan akhir akan merespons dengan pesan ICMP "Port Unreachable". Windows dan alat mtr secara default menggunakan ICMP echo request (seperti ping), sehingga tujuan akhir akan menjawab dengan ICMP echo reply.

Sekarang cobalah dengan menyiapkan traceroute di salah satu virtual machine Anda.

1. Untuk melakukan langkah ini, kembalilah ke penggunaan VM us-test-01 dan VM us-test-02, lalu jalankan SSH ke keduanya.

2. Instal alat performa berikut di jendela SSH untuk us-test-01:

sudo apt-get update sudo apt-get -y install traceroute mtr tcpdump iperf whois host dnsutils siege traceroute www.icann.org

3. Sekarang cobalah beberapa tujuan lainnya, dan juga dari sumber lain:

   • VM di region yang sama atau di region lain (eu1-vm, asia1-vm, w2-vm)
   • www.wikipedia.org
   • www.adcash.com
   • bad.horse (berfungsi optimal jika Anda meningkatkan nilai TTL maksimal, sehingga traceroute -m 255 bad.horse)
   • Apa pun yang terpikirkan oleh Anda

4. Untuk menghentikan traceroute, tekan Ctrl-c di jendela SSH dan kembalilah ke command line.

Catatan: Penting untuk diingat

Apa yang Anda lihat pada traceroute yang berbeda?

Tugas 8. Menggunakan iperf untuk menguji performa

Antara dua host

Latihan opsional

Jika Anda menggunakan iperf untuk menguji performa antara dua host, salah satu host perlu disiapkan sebagai server iperf untuk menerima koneksi.

Catatan: Perintah berikut akan mentransfer traffic dengan ukuran bergiga-giga di antara region yang akan ditagih dengan tarif Internet keluar. Ingatlah poin di atas saat menggunakannya. Jika Anda tidak menggunakan project yang disetujui atau menggunakan uji coba gratis, sebaiknya lewati bagian ini atau baca sekilas saja. (Biayanya seharusnya kurang dari $1 USD.)

Cobalah pengujian yang sangat sederhana:

1. Jalankan SSH ke us-test-02 dan instal alat performa:

sudo apt-get update sudo apt-get -y install traceroute mtr tcpdump iperf whois host dnsutils siege

2. Jalankan SSH ke us-test-01, lalu jalankan:

iperf -s #run in server mode

3. Di SSH us-test-02, jalankan iperf ini:

iperf -c us-test-01.{{{project_0.startup_script.primary_zone | ZONE}}} #run in client mode

Anda akan melihat output seperti ini:

Client connecting to eu-vm, TCP port 5001 TCP window size: 45.0 KByte (default) [ 3] local 10.20.0.2 port 35923 connected with 10.30.0.2 port 5001 [ ID] Interval Transfer Bandwidth [ 3] 0.0-10.0 sec 298 MBytes 249 Mbits/sec

4. Pada us-test-01, gunakan Ctrl + c untuk menghentikan sesi sisi server setelah Anda selesai.

Di antara VM dalam sebuah region

Latihan opsional

Sekarang Anda akan men-deploy instance lainnya (us-test-04) di zona selain us-test-01. Anda akan melihat bahwa dalam sebuah region, bandwidth dikenai batasan traffic keluar sebesar 2 Gbit/dtk per core.

1. Pada Cloud Shell, buat us-test-04:

gcloud compute instances create us-test-04 \ --subnet subnet-{{{project_0.startup_script.primary_region | REGION}}} \ --zone {{{project_0.startup_script.primary_zone_1 | ZONE}}} \ --tags ssh,http

2. Jalankan SSH ke us-test-04, lalu instal alat performa:

sudo apt-get update sudo apt-get -y install traceroute mtr tcpdump iperf whois host dnsutils siege

Di antara region, Anda akan mencapai batas yang jauh lebih rendah, terutama karena batas ukuran jendela TCP dan performa stream tunggal. Anda dapat meningkatkan bandwidth antar-host menggunakan parameter lain, seperti UDP.

3. Di SSH us-test-02, jalankan:

iperf -s -u #iperf server side

4. Di SSH us-test-01, jalankan:

iperf -c us-test-02.{{{project_0.startup_script.secondary_zone | ZONE}}} -u -b 2G #iperf client side - send 2 Gbits/s

Perintah ini akan memberikan kecepatan yang lebih tinggi antara Uni Eropa dan Amerika Serikat. Kecepatan yang lebih tinggi lagi dapat dicapai dengan menjalankan sekumpulan iperf TCP secara paralel. Mari kita uji.

5. Pada jendela SSH untuk us-test-01, jalankan:

iperf -s

6. Pada jendela SSH untuk us-test-02, jalankan:

iperf -c us-test-01.{{{project_0.startup_script.primary_zone | ZONE}}} -P 20

Bandwidth gabungan ini akan sangat mendekati bandwidth maksimum yang dapat dicapai.

7. Uji beberapa kombinasi lagi. Jika Anda menggunakan Linux di laptop, Anda juga dapat menjalankan pengujian terhadap laptop. (Anda juga dapat mencoba iperf3 yang tersedia untuk berbagai OS, tetapi ini bukan bagian dari lab.)

Seperti yang Anda lihat, untuk mencapai bandwidth maksimum, menjalankan stream TCP tunggal saja (misalnya, penyalinan file) tidaklah cukup. Anda harus menjalankan beberapa sesi TCP secara paralel. Alasan: parameter TCP seperti Ukuran Jendela, dan fungsi seperti Mulai Lambat.

Untuk mengetahui informasi lebih lanjut terkait hal ini dan semua topik TCP/IP lainnya, baca bagian Ilustrasi TCP/IP.

Alat seperti bbcp dapat membantu menyalin file secepat mungkin dengan memaralelkan transfer dan menggunakan ukuran jendela yang dapat dikonfigurasi.

Tugas 9. Menguji pengetahuan Anda

Mengakhiri lab Anda

Setelah Anda menyelesaikan lab, klik End Lab. Akun dan resource yang Anda gunakan dipindahkan dari platform lab.

Anda akan diberi kesempatan untuk menilai pengalaman menggunakan lab. Pilih jumlah bintang yang sesuai, ketik komentar, lalu klik Submit.

Makna jumlah bintang:

• 1 bintang = Sangat tidak puas
• 2 bintang = Tidak puas
• 3 bintang = Netral
• 4 bintang = Puas
• 5 bintang = Sangat puas

Anda dapat menutup kotak dialog jika tidak ingin memberikan masukan.

Untuk masukan, saran, atau koreksi, gunakan tab Support.

Ikuti lab berikutnya

Lanjutkan pembelajaran Anda tentang Jaringan di Cloud dengan Beberapa Jaringan VPC, atau lihat saran berikut:

• Mulai Menggunakan Cloud KMS
• Mengorkestrasi Cloud dengan Kubernetes

Jika Anda sudah siap, cobalah Quest Networking fundamentals in the Google Cloud.

Sertifikasi dan pelatihan Google Cloud

...membantu Anda mengoptimalkan teknologi Google Cloud. Kelas kami mencakup keterampilan teknis dan praktik terbaik untuk membantu Anda memahami dengan cepat dan melanjutkan proses pembelajaran. Kami menawarkan pelatihan tingkat dasar hingga lanjutan dengan opsi on demand, live, dan virtual untuk menyesuaikan dengan jadwal Anda yang sibuk. Sertifikasi membantu Anda memvalidasi dan membuktikan keterampilan serta keahlian Anda dalam teknologi Google Cloud.

Manual terakhir diperbarui pada 11 September 2023

Lab terakhir diuji pada 11 September 2023

Hak cipta 2024 Google LLC Semua hak dilindungi undang-undang. Google dan logo Google adalah merek dagang dari Google LLC. Semua nama perusahaan dan produk lain mungkin adalah merek dagang masing-masing perusahaan yang bersangkutan.