GSP159
總覽
在本實作實驗室中,您將學習如何設計並導入安全的網路架構。您會使用 Cloud Shell 和指令列語言 gcloud 建立包含 3 個子網路的自訂網路,然後套用防火牆規則來控管可傳入 VM 執行個體的流量。
課程內容
在本實驗室中,您將學習如何建立下列項目:
設定和需求
瞭解以下事項後,再點選「Start Lab」按鈕
請詳閱以下操作說明。實驗室活動會計時,且中途無法暫停。點選「Start Lab」後就會開始計時,顯示可使用 Google Cloud 資源的時間。
您將在真正的雲端環境完成實作實驗室活動,而不是模擬或示範環境。為此,我們會提供新的暫時憑證,供您在實驗室活動期間登入及存取 Google Cloud。
為了順利完成這個實驗室,請先確認:
- 可以使用標準的網際網路瀏覽器 (Chrome 瀏覽器為佳)。
注意事項:請使用無痕模式 (建議選項) 或私密瀏覽視窗執行此實驗室,這可以防止個人帳戶和學員帳戶之間的衝突,避免個人帳戶產生額外費用。
- 是時候完成實驗室活動了!別忘了,活動一旦開始將無法暫停。
注意事項:務必使用實驗室專用的學員帳戶。如果使用其他 Google Cloud 帳戶,可能會產生額外費用。
如何開始研究室及登入 Google Cloud 控制台
-
點選「Start Lab」按鈕。如果實驗室會產生費用,畫面上會出現選擇付款方式的對話方塊。左側的「Lab Details」窗格會顯示下列項目:
- 「Open Google Cloud console」按鈕
- 剩餘時間
- 必須在這個研究室中使用的臨時憑證
- 完成這個實驗室所需的其他資訊 (如有)
-
點選「Open Google Cloud console」;如果使用 Chrome 瀏覽器,也能按一下滑鼠右鍵,選取「在無痕視窗中開啟連結」。
接著,實驗室會啟動相關資源,並開啟另一個分頁,顯示「登入」頁面。
提示:您可以在不同的視窗中並排開啟分頁。
注意:如果頁面中顯示「選擇帳戶」對話方塊,請點選「使用其他帳戶」。
-
如有必要,請將下方的 Username 貼到「登入」對話方塊。
{{{user_0.username | "Username"}}}
您也可以在「Lab Details」窗格找到 Username。
-
點選「下一步」。
-
複製下方的 Password,並貼到「歡迎使用」對話方塊。
{{{user_0.password | "Password"}}}
您也可以在「Lab Details」窗格找到 Password。
-
點選「下一步」。
重要事項:請務必使用實驗室提供的憑證,而非自己的 Google Cloud 帳戶憑證。
注意:如果使用自己的 Google Cloud 帳戶來進行這個實驗室,可能會產生額外費用。
-
按過後續的所有頁面:
- 接受條款及細則。
- 由於這是臨時帳戶,請勿新增救援選項或雙重驗證機制。
- 請勿申請免費試用。
Google Cloud 控制台稍後會在這個分頁開啟。
注意:如要使用 Google Cloud 產品和服務,請點選「導覽選單」,或在「搜尋」欄位輸入服務或產品名稱。
啟動 Cloud Shell
Cloud Shell 是搭載多項開發工具的虛擬機器,提供永久的 5 GB 主目錄,而且在 Google Cloud 中運作。Cloud Shell 提供指令列存取權,方便您使用 Google Cloud 資源。
-
點按 Google Cloud 控制台頂端的「啟用 Cloud Shell」圖示 
。
-
系統顯示視窗時,請按照下列步驟操作:
- 繼續操作 Cloud Shell 視窗。
- 授權 Cloud Shell 使用您的憑證發出 Google Cloud API 呼叫。
連線建立完成即代表已通過驗證,而且專案已設為您的 Project_ID:。輸出內容中有一行文字,宣告本工作階段的 Project_ID:
Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}
gcloud 是 Google Cloud 的指令列工具,已預先安裝於 Cloud Shell,並支援 Tab 鍵自動完成功能。
- (選用) 您可以執行下列指令來列出使用中的帳戶:
gcloud auth list
- 點按「授權」。
輸出內容:
ACTIVE: *
ACCOUNT: {{{user_0.username | "ACCOUNT"}}}
To set the active account, run:
$ gcloud config set account `ACCOUNT`
- (選用) 您可以使用下列指令來列出專案 ID:
gcloud config list project
輸出內容:
[core]
project = {{{project_0.project_id | "PROJECT_ID"}}}
注意:如需 gcloud 的完整說明,請前往 Google Cloud 參閱 gcloud CLI 總覽指南。
瞭解區域和可用區
某些 Compute Engine 資源專屬於特定的區域或可用區。「區域」是您可以執行資源的特定地理位置,每個區域會有一或多個「可用區」。舉例來說,us-central1 區域是指美國中部,其中有 us-central1-a、us-central1-b、us-central1-c 和 us-central1-f 等多個可用區。
| 區域 |
可用區 |
| 美國西部 |
us-west1-a、us-west1-b |
| 美國中部 |
us-central1-a、us-central1-b、us-central1-d、us-central1-f |
| 美國東部 |
us-east1-b、us-east1-c、us-east1-d |
| 西歐 |
europe-west1-b、europe-west1-c、europe-west1-d |
| 東亞 |
asia-east1-a、asia-east1-b、asia-east1-c |
可用區中的資源稱為「可用區資源」,像是虛擬機器執行個體和永久磁碟。如要將永久磁碟連接至虛擬機器執行個體,這兩項資源都必須位於同一個可用區。同樣地,如要將靜態 IP 位址指派給執行個體,這兩項資源的所在區域也須相同。
如要進一步瞭解區域、可用區並查看完整清單,請參閱 Compute Engine 頁面的區域和可用區說明文件。
設定區域和可用區
請在 Cloud Shell 執行下列 gcloud 指令,設定實驗室的預設區域和可用區:
gcloud config set compute/zone "{{{project_0.default_zone | Zone}}}"
export ZONE=$(gcloud config get compute/zone)
gcloud config set compute/region "{{{project_0.default_region | Region}}}"
export REGION=$(gcloud config get compute/region)
工作 1:透過 Cloud Shell 建立自訂網路
您需要建立 taw-custom-network 網路並定義選項,才能使用 --subnet-mode custom 旗標將自有子網路加入其中。
gcloud compute networks create taw-custom-network --subnet-mode custom
輸出內容:
NAME MODE IPV4_RANGE GATEWAY_IPV4
taw-custom-network custom
必須建立防火牆,才能存取這個網路上的執行個體。舉例來說,您可以執行下列指令,允許執行個體、SSH、RDP 和 ICMP 之間的所有內部流量:
$ gcloud compute firewall-rules create --network taw-custom-network --allow tcp,udp,icmp --source-ranges
$ gcloud compute firewall-rules create --network taw-custom-network --allow tcp:22,tcp:3389,icmp
接著為新的自訂網路建立三個子網路。在每個指令中,您都要指定子網路的區域和所屬網路。
- 建立含有 IP 前置字串的 subnet-:
gcloud compute networks subnets create subnet-{{{project_0.default_region | Region}}} \
--network taw-custom-network \
--region {{{project_0.default_region | Region}}} \
--range 10.0.0.0/16
輸出內容:
Created [https://www.googleapis.com/compute/v1/projects/cloud-network-module-101/regions/{{{project_0.default_region | Region}}}/subnetworks/subnet-{{{project_0.default_region | Region}}}].
NAME REGION NETWORK RANGE
subnet-{{{project_0.default_region | Region}}} {{{project_0.default_region | Region}}} taw-custom-network 10.0.0.0/16
- 建立含有 IP 前置字串的 subnet-:
gcloud compute networks subnets create subnet-{{{project_0.default_region_2 | Region}}} \
--network taw-custom-network \
--region {{{project_0.default_region_2 | Region}}} \
--range 10.1.0.0/16
輸出內容:
Created [https://www.googleapis.com/compute/v1/projects/cloud-network-module-101/regions/{{{project_0.default_region_2 | Region}}}/subnetworks/subnet-{{{project_0.default_region_2 | Region}}}].
NAME REGION NETWORK RANGE
subnet-{{{project_0.default_region_2 | Region}}} {{{project_0.default_region_2 | Region}}} taw-custom-network 10.1.0.0/16
- 建立含有 IP 前置字串的 subnet-:
gcloud compute networks subnets create subnet-{{{project_0.default_region_3 | Region}}} \
--network taw-custom-network \
--region {{{project_0.default_region_3 | Region}}} \
--range 10.2.0.0/16
輸出內容:
Created [https://www.googleapis.com/compute/v1/projects/cloud-network-module-101/regions/{{{project_0.default_region_3 | Region}}}/subnetworks/subnet-{{{project_0.default_region_3 | Region}}}].
NAME REGION NETWORK RANGE
subnet-{{{project_0.default_region_2 | Region}}} {{{project_0.default_region_2 | Region}}} taw-custom-network 10.2.0.0/16
- 列出網路:
gcloud compute networks subnets list \
--network taw-custom-network
輸出內容:
NAME REGION NETWORK RANGE
subnet-{{{project_0.default_region_3 | Region}}} {{{project_0.default_region_3 | Region}}} taw-custom-network 10.1.0.0/16
subnet-{{{project_0.default_region_2 | Region}}} {{{project_0.default_region_2 | Region}}} taw-custom-network 10.2.0.0/16
subnet-{{{project_0.default_region | Region}}} {{{project_0.default_region | Region}}} taw-custom-network 10.0.0.0/16
建立自訂網路和子網路
此時網路已有路由,可通往網際網路,以及任何您建立的執行個體,但不存在允許存取執行個體的防火牆規則,即使執行個體間也無法彼此存取。
如要允許存取,請建立防火牆規則。
工作 2:新增防火牆規則
如要允許存取虛擬機器 (VM) 執行個體,請套用防火牆規則。您將使用網路標記,將防火牆規則套用至 VM 執行個體。
「網路標記」的功能相當強大,可用來管理多組 VM 執行個體的防火牆規則。假設您的網站是由一組 VM 驅動,不必手動為每個執行個體設定防火牆規則,可直接將「web-server」等標記套用至所有相關 VM,然後建立防火牆規則,允許 HTTP 流量傳入任何帶有「web-server」標記的執行個體。這種做法不僅能簡化防火牆管理作業,也能讓您自由修改以標記為基礎的規則,輕鬆調整存取控管機制。
注意:標記會反映在中繼資料伺服器,方便您用於執行個體上執行的應用程式。
首先,開啟要允許 HTTP 網際網路要求的防火牆,新增更多防火牆規則。
透過 Cloud Shell 新增防火牆規則
現在,為 taw-custom-network 新增防火牆規則並命名為 nw101-allow-http,這只會套用至網路中標有 http 的 VM。
gcloud compute firewall-rules create nw101-allow-http \
--allow tcp:80 --network taw-custom-network --source-ranges 0.0.0.0/0 \
--target-tags http
輸出內容:
建立其他防火牆規則
建立其他防火牆規則來允許 ICMP、內部通訊、SSH 和 RDP。
- 使用下列指令建立更多防火牆規則。
gcloud compute firewall-rules create "nw101-allow-icmp" --allow icmp --network "taw-custom-network" --target-tags rules
gcloud compute firewall-rules create "nw101-allow-internal" --allow tcp:0-65535,udp:0-65535,icmp --network "taw-custom-network" --source-ranges "10.0.0.0/16","10.2.0.0/16","10.1.0.0/16"
gcloud compute firewall-rules create "nw101-allow-ssh" --allow tcp:22 --network "taw-custom-network" --target-tags "ssh"
gcloud compute firewall-rules create "nw101-allow-rdp" --allow tcp:3389 --network "taw-custom-network"
- 透過控制台查看網路的防火牆規則,內容應該會類似這樣:
注意:「網路」控制台中顯示的路徑有什麼作用呢?
Google Cloud 網路會使用路徑在子網路之間傳送封包,以及將封包導向網際網路。只要網路中已建立或預先建立子網路,路徑就會自動在各個區域建立,讓封包能夠在子網路之間轉送。這類路徑無法修改。
您可以建立額外的路徑,將流量傳送至執行個體、VPN 閘道或預設的網際網路閘道,也能修改這類路徑,打造符合需求的網路架構。路徑和防火牆會搭配運作,確保流量傳至適當的目的地。
點按「Check my progress」確認目標已達成。
建立防火牆規則
在網路中建立 VM 時,您需要使用相應防火牆規則的標記。防火牆規則會允許網路流量傳入,以利 VM 在整個網路中進行通訊。
恭喜
您已使用 gcloud 指令建立網路、位於不同區域的 3 個子網路,並套用各種防火牆規則來允許存取 VM。
Google Cloud 教育訓練與認證
協助您瞭解如何充分運用 Google Cloud 的技術。我們的課程會介紹專業技能和最佳做法,讓您可以快速掌握要領並持續進修。我們提供從基本到進階等級的訓練課程,並有隨選、線上和虛擬課程等選項,方便您抽空參加。認證可協助您驗證及證明自己在 Google Cloud 技術方面的技能和專業知識。
使用手冊上次更新日期:2025 年 1 月 17 日
實驗室上次測試日期:2024 年 5 月 14 日
Copyright 2025 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標,其他公司和產品名稱則有可能是其關聯公司的商標。
