arrow_back

Benutzerdefiniertes Netzwerk erstellen und Firewallregeln anwenden

Anmelden Teilnehmen
Zugriff auf über 700 Labs und Kurse nutzen

Benutzerdefiniertes Netzwerk erstellen und Firewallregeln anwenden

Lab 30 Minuten universal_currency_alt 1 Guthabenpunkt show_chart Einsteiger
info Dieses Lab kann KI-Tools enthalten, die den Lernprozess unterstützen.
Zugriff auf über 700 Labs und Kurse nutzen

GSP159

Logo: Google Cloud-Labs zum selbstbestimmten Lernen

Übersicht

In diesem praxisorientierten Lab lernen Sie, wie Sie eine sichere Netzwerkarchitektur entwerfen und implementieren. Dabei verwenden Sie Cloud Shell und die Befehlszeilensprache gcloud, um ein benutzerdefiniertes Netzwerk mit drei Subnetzwerken zu erstellen. Anschließend wenden Sie Firewallregeln an, um den für Ihre VM-Instanzen zulässigen Traffic zu kontrollieren.

Lerninhalte

In diesem Lab erfahren Sie, wie Sie Folgendes erstellen:

  • Benutzerdefiniertes Netzwerk
  • Drei Subnetzwerke
  • Firewallregeln mit Netzwerk-Tags

Einrichtung und Anforderungen

Vor dem Klick auf „Start Lab“ (Lab starten)

Lesen Sie diese Anleitung. Labs sind zeitlich begrenzt und können nicht pausiert werden. Der Timer beginnt zu laufen, wenn Sie auf Lab starten klicken, und zeigt Ihnen, wie lange Google Cloud-Ressourcen für das Lab verfügbar sind.

In diesem praxisorientierten Lab können Sie die Lab-Aktivitäten in einer echten Cloud-Umgebung durchführen – nicht in einer Simulations- oder Demo-Umgebung. Dazu erhalten Sie neue, temporäre Anmeldedaten, mit denen Sie für die Dauer des Labs auf Google Cloud zugreifen können.

Für dieses Lab benötigen Sie Folgendes:

  • Einen Standardbrowser (empfohlen wird Chrome)
Hinweis: Nutzen Sie den privaten oder Inkognitomodus (empfohlen), um dieses Lab durchzuführen. So wird verhindert, dass es zu Konflikten zwischen Ihrem persönlichen Konto und dem Teilnehmerkonto kommt und zusätzliche Gebühren für Ihr persönliches Konto erhoben werden.
  • Zeit für die Durchführung des Labs – denken Sie daran, dass Sie ein begonnenes Lab nicht unterbrechen können.
Hinweis: Verwenden Sie für dieses Lab nur das Teilnehmerkonto. Wenn Sie ein anderes Google Cloud-Konto verwenden, fallen dafür möglicherweise Kosten an.

Lab starten und bei der Google Cloud Console anmelden

  1. Klicken Sie auf Lab starten. Wenn Sie für das Lab bezahlen müssen, wird ein Dialogfeld geöffnet, in dem Sie Ihre Zahlungsmethode auswählen können. Auf der linken Seite befindet sich der Bereich „Details zum Lab“ mit diesen Informationen:

    • Schaltfläche „Google Cloud Console öffnen“
    • Restzeit
    • Temporäre Anmeldedaten für das Lab
    • Ggf. weitere Informationen für dieses Lab

  2. Klicken Sie auf Google Cloud Console öffnen (oder klicken Sie mit der rechten Maustaste und wählen Sie Link in Inkognitofenster öffnen aus, wenn Sie Chrome verwenden).

    Im Lab werden Ressourcen aktiviert. Anschließend wird ein weiterer Tab mit der Seite „Anmelden“ geöffnet.

    Tipp: Ordnen Sie die Tabs nebeneinander in separaten Fenstern an.

    Hinweis: Wird das Dialogfeld Konto auswählen angezeigt, klicken Sie auf Anderes Konto verwenden.

  3. Kopieren Sie bei Bedarf den folgenden Nutzernamen und fügen Sie ihn in das Dialogfeld Anmelden ein.

    {{{user_0.username | "Username"}}}

    Sie finden den Nutzernamen auch im Bereich „Details zum Lab“.

  4. Klicken Sie auf Weiter.

  5. Kopieren Sie das folgende Passwort und fügen Sie es in das Dialogfeld Willkommen ein.

    {{{user_0.password | "Password"}}}

    Sie finden das Passwort auch im Bereich „Details zum Lab“.

  6. Klicken Sie auf Weiter.

    Wichtig: Sie müssen die für das Lab bereitgestellten Anmeldedaten verwenden. Nutzen Sie nicht die Anmeldedaten Ihres Google Cloud-Kontos. Hinweis: Wenn Sie Ihr eigenes Google Cloud-Konto für dieses Lab nutzen, können zusätzliche Kosten anfallen.

  7. Klicken Sie sich durch die nachfolgenden Seiten:

    • Akzeptieren Sie die Nutzungsbedingungen.
    • Fügen Sie keine Wiederherstellungsoptionen oder Zwei-Faktor-Authentifizierung hinzu (da dies nur ein temporäres Konto ist).
    • Melden Sie sich nicht für kostenlose Testversionen an.

Nach wenigen Augenblicken wird die Google Cloud Console in diesem Tab geöffnet.

Hinweis: Wenn Sie auf Google Cloud-Produkte und ‑Dienste zugreifen möchten, klicken Sie auf das Navigationsmenü oder geben Sie den Namen des Produkts oder Dienstes in das Feld Suchen ein. Symbol für das Navigationsmenü und Suchfeld

Cloud Shell aktivieren

Cloud Shell ist eine virtuelle Maschine, auf der Entwicklertools installiert sind. Sie bietet ein Basisverzeichnis mit 5 GB nichtflüchtigem Speicher und läuft auf Google Cloud. Mit Cloud Shell erhalten Sie Befehlszeilenzugriff auf Ihre Google Cloud-Ressourcen.

  1. Klicken Sie oben in der Google Cloud Console auf Cloud Shell aktivieren Symbol für Cloud Shell-Aktivierung.

  2. Klicken Sie sich durch die folgenden Fenster:

    • Fahren Sie mit dem Informationsfenster zu Cloud Shell fort.
    • Autorisieren Sie Cloud Shell, Ihre Anmeldedaten für Google Cloud API-Aufrufe zu verwenden.

Wenn eine Verbindung besteht, sind Sie bereits authentifiziert und das Projekt ist auf Project_ID, eingestellt. Die Ausgabe enthält eine Zeile, in der die Project_ID für diese Sitzung angegeben ist:

Ihr Cloud-Projekt in dieser Sitzung ist festgelegt als {{{project_0.project_id | "PROJECT_ID"}}}

gcloud ist das Befehlszeilentool für Google Cloud. Das Tool ist in Cloud Shell vorinstalliert und unterstützt die Tab-Vervollständigung.

  1. (Optional) Sie können den aktiven Kontonamen mit diesem Befehl auflisten:
gcloud auth list
  1. Klicken Sie auf Autorisieren.

Ausgabe:

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} Um das aktive Konto festzulegen, führen Sie diesen Befehl aus: $ gcloud config set account `ACCOUNT`
  1. (Optional) Sie können die Projekt-ID mit diesem Befehl auflisten:
gcloud config list project

Ausgabe:

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} Hinweis: Die vollständige Dokumentation für gcloud finden Sie in Google Cloud in der Übersicht zur gcloud CLI.

Regionen und Zonen

Bestimmte Compute Engine-Ressourcen befinden sich in Regionen oder Zonen. Eine Region ist ein bestimmter Ort, an dem Sie Ihre Ressourcen ausführen können. Jede Region hat eine oder mehrere Zonen. „us-central1“ bezeichnet zum Beispiel eine Region in der Mitte der USA und umfasst die Zonen us-central1-a, us-central1-b, us-central1-c und us-central1-f.

Regionen Zonen
Westen der USA us-west1-a, us-west1-b
Mitte der USA us-central1-a, us-central1-b, us-central1-d, us-central1-f
Osten der USA us-east1-b, us-east1-c, us-east1-d
Westeuropa europe-west1-b, europe-west1-c, europe-west1-d
Ostasien asia-east1-a, asia-east1-b, asia-east1-c

Ressourcen, die sich in einer Zone befinden, werden als zonale Ressourcen bezeichnet. VM-Instanzen und nichtflüchtige Speicher befinden sich in einer Zone. Möchten Sie einen nichtflüchtigen Speicher an eine VM-Instanz anbinden, müssen sich beide Ressourcen in derselben Zone befinden. Ebenso verhält es sich, wenn Sie einer Instanz eine statische IP-Adresse zuweisen möchten: Die Instanz muss sich auch hier in derselben Region wie die statische IP-Adresse befinden.

Weitere Informationen zu Regionen und Zonen einschließlich einer vollständigen Liste finden Sie hier.

Region und Zone einrichten

Führen Sie die folgenden gcloud-Befehle in Cloud Shell aus, um die Standardregion und ‑zone für Ihr Lab festzulegen:

gcloud config set compute/zone "{{{project_0.default_zone | Zone}}}" export ZONE=$(gcloud config get compute/zone) gcloud config set compute/region "{{{project_0.default_region | Region}}}" export REGION=$(gcloud config get compute/region)

Aufgabe 1: Benutzerdefiniertes Netzwerk mit Cloud Shell erstellen

Erstellen Sie ein Netzwerk namens taw-custom-network und definieren Sie eine Option, mit der Sie diesem Netzwerk eigene Subnetzwerke hinzufügen können. Dazu verwenden Sie das Flag --subnet-mode custom.

  • Benutzerdefiniertes Netzwerk erstellen:
gcloud compute networks create taw-custom-network --subnet-mode custom

Ausgabe:

NAME MODE IPV4_RANGE GATEWAY_IPV4 taw-custom-network custom Instanzen in diesem Netzwerk können nicht erreicht werden, bis Firewallregeln erstellt sind. So können Sie zum Beispiel jeglichen internen Traffic zwischen Instanzen zulassen, ebenso SSH-, RDP- und ICMP-Traffic. Führen Sie dazu Folgendes aus: $ gcloud compute firewall-rules create --network taw-custom-network --allow tcp,udp,icmp --source-ranges $ gcloud compute firewall-rules create --network taw-custom-network --allow tcp:22,tcp:3389,icmp

Jetzt erstellen Sie drei Subnetze für Ihr neues benutzerdefiniertes Netzwerk. In jedem Befehl legen Sie die Region für das Subnetz und das Netzwerk fest, zu der sie gehören.

  1. Erstellen Sie subnet- mit einem IP-Präfix:
gcloud compute networks subnets create subnet-{{{project_0.default_region | Region}}} \ --network taw-custom-network \ --region {{{project_0.default_region | Region}}} \ --range 10.0.0.0/16

Ausgabe:

Created [https://www.googleapis.com/compute/v1/projects/cloud-network-module-101/regions/{{{project_0.default_region | Region}}}/subnetworks/subnet-{{{project_0.default_region | Region}}}]. NAME REGION NETWORK RANGE subnet-{{{project_0.default_region | Region}}} {{{project_0.default_region | Region}}} taw-custom-network 10.0.0.0/16
  1. Erstellen Sie subnet- mit einem IP-Präfix:
gcloud compute networks subnets create subnet-{{{project_0.default_region_2 | Region}}} \ --network taw-custom-network \ --region {{{project_0.default_region_2 | Region}}} \ --range 10.1.0.0/16

Ausgabe:

Created [https://www.googleapis.com/compute/v1/projects/cloud-network-module-101/regions/{{{project_0.default_region_2 | Region}}}/subnetworks/subnet-{{{project_0.default_region_2 | Region}}}]. NAME REGION NETWORK RANGE subnet-{{{project_0.default_region_2 | Region}}} {{{project_0.default_region_2 | Region}}} taw-custom-network 10.1.0.0/16
  1. Erstellen Sie subnet- mit einem IP-Präfix:
gcloud compute networks subnets create subnet-{{{project_0.default_region_3 | Region}}} \ --network taw-custom-network \ --region {{{project_0.default_region_3 | Region}}} \ --range 10.2.0.0/16

Ausgabe:

Created [https://www.googleapis.com/compute/v1/projects/cloud-network-module-101/regions/{{{project_0.default_region_3 | Region}}}/subnetworks/subnet-{{{project_0.default_region_3 | Region}}}]. NAME REGION NETWORK RANGE subnet-{{{project_0.default_region_2 | Region}}} {{{project_0.default_region_2 | Region}}} taw-custom-network 10.2.0.0/16
  1. Listen Sie die Netzwerke auf:
gcloud compute networks subnets list \ --network taw-custom-network

Ausgabe:

NAME REGION NETWORK RANGE subnet-{{{project_0.default_region_3 | Region}}} {{{project_0.default_region_3 | Region}}} taw-custom-network 10.1.0.0/16 subnet-{{{project_0.default_region_2 | Region}}} {{{project_0.default_region_2 | Region}}} taw-custom-network 10.2.0.0/16 subnet-{{{project_0.default_region | Region}}} {{{project_0.default_region | Region}}} taw-custom-network 10.0.0.0/16 Benutzerdefiniertes Netzwerk und Subnetzwerke erstellen

An dieser Stelle verfügt das Netzwerk über Routen zum Internet und zu Instanzen, die Sie erstellt haben. Es hat aber keine Firewallregeln, die den Zugriff auf Instanzen zulassen, auch nicht von anderen Instanzen.

Um Zugriff zu gewähren, müssen Sie Firewallregeln erstellen.

Aufgabe 2: Firewallregeln hinzufügen

Um den Zugriff auf VM-Instanzen zuzulassen, müssen Sie Firewallregeln anwenden. Hierfür verwenden Sie ein Netzwerk-Tag.

Bei Netzwerk-Tags handelt es sich um leistungsstarke Tools zum Verwalten von Firewallregeln für Gruppen von VM-Instanzen. Angenommen, Sie verfügen über einen VM-Cluster, mit dem eine Website betrieben wird. Anstatt Firewallregeln für jede einzelne Instanz manuell zu konfigurieren, können Sie einfach ein Tag wie „web-server“ auf alle relevanten VMs anwenden. Danach erstellen Sie eine Firewallregel, die HTTP-Traffic an alle Instanzen mit dem Tag „web-server“ zulässt. Dieser Ansatz vereinfacht nicht nur die Firewallverwaltung, sondern bietet auch Flexibilität. Die Zugriffssteuerung lässt sich durch Ändern der tagbasierten Regel ganz einfach aktualisieren.

Hinweis: Tags werden auch auf dem Metadatenserver berücksichtigt, damit sie für Anwendungen verwendet werden können, die auf den Instanzen ausgeführt werden.

Öffnen Sie als Erstes die Firewall für HTTP-Internetanfragen. Fügen Sie anschließend weitere Firewallregeln hinzu.

Firewallregeln über Cloud Shell hinzufügen

Fügen Sie jetzt eine Firewallregel namens nw101-allow-http für das Netzwerk taw-custom-network hinzu, die nur auf VMs im Netzwerk mit dem Tag http angewendet wird.

  • Führen Sie den folgenden Befehl aus, um die Firewallregel zu erstellen:
gcloud compute firewall-rules create nw101-allow-http \ --allow tcp:80 --network taw-custom-network --source-ranges 0.0.0.0/0 \ --target-tags http

Ausgabe:

Ausgabe, wobei der Name „nw101-allow-http“, das Netzwerk „taw-custom-network“, die Richtung „eingehend“, die Prioritätsstufe „1000“ und der Zulassungsstatus „tcp:80“ ist

Weitere Firewallregeln erstellen

Erstellen sie zusätzliche Firewallregeln, um ICMP, interne Kommunikation, SSH und RDP zuzulassen.

  1. Erstellen Sie mit den folgenden Befehlen weitere Firewallregeln.
  • ICMP
gcloud compute firewall-rules create "nw101-allow-icmp" --allow icmp --network "taw-custom-network" --target-tags rules
  • Interne Kommunikation
gcloud compute firewall-rules create "nw101-allow-internal" --allow tcp:0-65535,udp:0-65535,icmp --network "taw-custom-network" --source-ranges "10.0.0.0/16","10.2.0.0/16","10.1.0.0/16"
  • SSH
gcloud compute firewall-rules create "nw101-allow-ssh" --allow tcp:22 --network "taw-custom-network" --target-tags "ssh"
  • RDP
gcloud compute firewall-rules create "nw101-allow-rdp" --allow tcp:3389 --network "taw-custom-network"
  1. Sehen Sie sich die Firewallregeln in Ihrem Netzwerk in der Console an. Das sollte so aussehen:

Seite „Firewallregeln“ mit Tabs im Dialogfeld „VPC-Netzwerkdetails“

Hinweis: Was hat es mit den Routen auf sich, die ich in der Netzwerkkonsole sehe?

Google Cloud Networking verwendet Routen, um Pakete zwischen Subnetzwerken und zum Internet weiterzuleiten. Wenn in Ihrem Netzwerk ein Subnetzwerk erstellt (oder vorab erstellt) wird, werden automatisch in jeder Region Routen erstellt, damit Pakete zwischen Subnetzwerken weitergeleitet werden können. Diese Routen können nicht geändert werden.

Weitere Routen können erstellt werden, um Traffic an eine Instanz, ein VPN-Gateway oder ein Standard-Internetgateway zu senden. Diese Routen lassen sich ändern, sodass Sie die Netzwerkarchitektur nach Wunsch gestalten können. Das Zusammenspiel von Routen und Firewalls sorgt dafür, dass Ihr Traffic dorthin gelangt, wo er benötigt wird.

Klicken Sie auf Fortschritt prüfen.

Firewallregeln erstellen

Wenn Sie VMs in Ihrem Netzwerk erstellen, legen Sie sie mit dem Tag an, das der jeweiligen Firewallregel entspricht. Die Firewallregel lässt den Internettraffic zu den VMs zu und die VMs können über Ihr Netzwerk kommunizieren.

Das wars! Sie haben das Lab erfolgreich abgeschlossen.

Sie haben mit gcloud-Befehlen ein Netzwerk und drei Subnetzwerke in unterschiedlichen Regionen erstellt und verschiedene Firewallregeln angewendet, um den Zugriff auf Ihre VMs zu ermöglichen.

Google Cloud-Schulungen und -Zertifizierungen

In unseren Schulungen erfahren Sie alles zum optimalen Einsatz unserer Google Cloud-Technologien und können sich entsprechend zertifizieren lassen. Unsere Kurse vermitteln technische Fähigkeiten und Best Practices, damit Sie möglichst schnell mit Google Cloud loslegen und Ihr Wissen fortlaufend erweitern können. Wir bieten On-Demand-, Präsenz- und virtuelle Schulungen für Anfänger wie Fortgeschrittene an, die Sie individuell in Ihrem eigenen Zeitplan absolvieren können. Mit unseren Zertifizierungen weisen Sie nach, dass Sie Experte im Bereich Google Cloud-Technologien sind.

Anleitung zuletzt am 17. Januar 2025 aktualisiert

Lab zuletzt am 14. Mai 2024 getestet

© 2025 Google LLC. Alle Rechte vorbehalten. Google und das Google-Logo sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen können Marken der jeweils mit ihnen verbundenen Unternehmen sein.

Vorbereitung

  1. Labs erstellen ein Google Cloud-Projekt und Ressourcen für einen bestimmten Zeitraum
  2. Labs haben ein Zeitlimit und keine Pausenfunktion. Wenn Sie das Lab beenden, müssen Sie von vorne beginnen.
  3. Klicken Sie links oben auf dem Bildschirm auf Lab starten, um zu beginnen

Privates Surfen verwenden

  1. Kopieren Sie den bereitgestellten Nutzernamen und das Passwort für das Lab
  2. Klicken Sie im privaten Modus auf Konsole öffnen

In der Konsole anmelden

  1. Melden Sie sich mit Ihren Lab-Anmeldedaten an. Wenn Sie andere Anmeldedaten verwenden, kann dies zu Fehlern führen oder es fallen Kosten an.
  2. Akzeptieren Sie die Nutzungsbedingungen und überspringen Sie die Seite zur Wiederherstellung der Ressourcen
  3. Klicken Sie erst auf Lab beenden, wenn Sie das Lab abgeschlossen haben oder es neu starten möchten. Andernfalls werden Ihre bisherige Arbeit und das Projekt gelöscht.

Diese Inhalte sind derzeit nicht verfügbar

Bei Verfügbarkeit des Labs benachrichtigen wir Sie per E-Mail

Sehr gut!

Bei Verfügbarkeit kontaktieren wir Sie per E-Mail

Es ist immer nur ein Lab möglich

Bestätigen Sie, dass Sie alle vorhandenen Labs beenden und dieses Lab starten möchten

Privates Surfen für das Lab verwenden

Nutzen Sie den privaten oder Inkognitomodus, um dieses Lab durchzuführen. So wird verhindert, dass es zu Konflikten zwischen Ihrem persönlichen Konto und dem Teilnehmerkonto kommt und zusätzliche Gebühren für Ihr persönliches Konto erhoben werden.