Punkty kontrolne
Create a VPC network and VM instance
/ 40
Create a VM instance in us-central1
/ 30
Create a VM instance in europe-central2
/ 30
Podstawy sieci VPC
- GSP210
- Opis
- Konfiguracja i wymagania
- Zadanie 1. Poznawanie sieci domyślnej
- Zadanie 2. Tworzenie sieci VPC i instancji maszyn wirtualnych
- Zadanie 3. Poznawanie połączeń dla instancji maszyn wirtualnych
- Zadanie 4. Sprawdź swoją wiedzę
- Zadanie 5. Usuwanie reguły zapory sieciowej allow-icmp
- Zadanie 6. Usuwanie reguły zapory sieciowej allow-custom
- Zadanie 7. Usuwanie reguły zapory sieciowej allow-ssh
- Gratulacje!
GSP210
Opis
Prywatne środowisko wirtualne w chmurze (VPC) w Google Cloud pozwala obsługiwać sieci na potrzeby instancji maszyn wirtualnych Compute Engine, kontenerów Kubernetes Engine oraz elastycznego środowiska App Engine. Inaczej mówiąc, bez sieci VPC nie da się tworzyć instancji maszyn wirtualnych, kontenerów czy aplikacji App Engine. Dlatego też każdy projekt Google Cloud ma ustawioną sieć default (domyślną).
Sieć VPC przypomina sieć fizyczną, z tym że funkcjonuje wirtualnie w Google Cloud. Sieć VPC to zasób globalny, który składa się z listy regionalnych podsieci wirtualnych w centrach danych, połączonych w sieci globalnej WAN. Sieci VPC w Google Cloud są od siebie odizolowane logicznie.
Z tego modułu dowiesz się, jak utworzyć sieć VPC w trybie automatycznym z regułami zapory sieciowej i 2 instancjami maszyn wirtualnych. Następnie poznasz połączenia instancji maszyn wirtualnych.
Cele
W tym module:
- poznasz domyślne sieci VPC,
- utworzysz sieci w trybie automatycznym z regułami zapory sieciowej,
- utworzysz instancje maszyn wirtualnych za pomocą Compute Engine,
- poznasz połączenia dla instancji maszyn wirtualnych.
Konfiguracja i wymagania
Zanim klikniesz przycisk Rozpocznij moduł
Zapoznaj się z tymi instrukcjami. Moduły mają limit czasowy i nie można ich zatrzymać. Gdy klikniesz Rozpocznij moduł, na liczniku wyświetli się informacja o tym, na jak długo udostępniamy Ci zasoby Google Cloud.
W tym praktycznym module możesz spróbować swoich sił w wykonywaniu opisywanych działań w prawdziwym środowisku chmury, a nie w jego symulacji lub wersji demonstracyjnej. Otrzymasz nowe, tymczasowe dane logowania, dzięki którym zalogujesz się i uzyskasz dostęp do Google Cloud na czas trwania modułu.
Do ukończenia modułu potrzebne będą:
- dostęp do standardowej przeglądarki internetowej (zalecamy korzystanie z przeglądarki Chrome).
- Odpowiednia ilość czasu na ukończenie modułu – pamiętaj, że gdy rozpoczniesz, nie możesz go wstrzymać.
Rozpoczynanie modułu i logowanie się w konsoli Google Cloud
-
Kliknij przycisk Rozpocznij moduł. Jeśli moduł jest odpłatny, otworzy się wyskakujące okienko, w którym możesz wybrać formę płatności. Po lewej stronie znajduje się panel Szczegóły modułu z następującymi elementami:
- przyciskiem Otwórz konsolę Google;
- czasem, który Ci pozostał;
- tymczasowymi danymi logowania, których musisz użyć w tym module;
- innymi informacjami potrzebnymi do ukończenia modułu.
-
Kliknij Otwórz konsolę Google. Moduł uruchomi zasoby, po czym otworzy nową kartę ze stroną logowania.
Wskazówka: otwórz karty obok siebie w osobnych oknach.
Uwaga: jeśli pojawi się okno Wybierz konto, kliknij Użyj innego konta. -
W razie potrzeby skopiuj nazwę użytkownika z panelu Szczegóły modułu i wklej ją w oknie logowania. Kliknij Dalej.
-
Skopiuj hasło z panelu Szczegóły modułu i wklej je w oknie powitania. Kliknij Dalej.
Ważne: musisz użyć danych logowania z panelu po lewej stronie, a nie danych logowania Google Cloud Skills Boost. Uwaga: korzystanie z własnego konta Google Cloud w tym module może wiązać się z dodatkowymi opłatami. -
Na kolejnych stronach wykonaj następujące czynności:
- Zaakceptuj Warunki korzystania z usługi.
- Nie dodawaj opcji odzyskiwania ani uwierzytelniania dwuskładnikowego (ponieważ konto ma charakter tymczasowy).
- Nie rejestruj się w bezpłatnych wersjach próbnych.
Poczekaj, aż na karcie otworzy się konsola Google Cloud.
Zadanie 1. Poznawanie sieci domyślnej
W każdym projekcie Google Cloud jest sieć default (domyślna), która składa się z podsieci, tras i reguł zapory sieciowej.
Wyświetlanie podsieci
Sieć default (domyślna) ma podsieć w każdym regionie Google Cloud.
-
W konsoli wybierz menu nawigacyjne () > Sieć VPC > Sieci VPC.
-
Kliknij sieć default (domyślną). Zwróć uwagę na szczegóły sieci default (domyślnej) oraz na podsieci.
Wyświetlanie tras
Trasy informują sieć VPC i instancje maszyn wirtualnych, jak wysyłać ruch z instancji do miejsca docelowego w sieci lub poza Google Cloud.
Każda sieć VPC ma trasy domyślne służące do kierowania ruchu pomiędzy podsieciami i wysyłania ruchu z odpowiednich instancji do internetu.
-
W lewym okienku kliknij Trasy.
-
Na karcie Trasy efektywne wybierz sieć
default
(domyślną) oraz regionus-central1
.
Zwróć uwagę, że istnieje trasa dla każdej podsieci oraz dla domyślnej bramy internetowej (0.0.0.0./0).
Wyświetlanie reguł zapory sieciowej
Każda sieć VPC wprowadza rozproszoną wirtualną zaporę sieciową, którą możesz skonfigurować. Reguły zapory sieciowej pozwalają określić, które pakiety mogą podróżować do danych miejsc docelowych.
Każda sieć VPC ma 2 niejawne reguły zapory sieciowej, które blokują wszystkie połączenia przychodzące i zezwalają na wszystkie połączenia wychodzące.
- W panelu po lewej stronie kliknij Zapora sieciowa.
Zwróć uwagę, że w sieci default (domyślnej) są 4 reguły zapory sieciowej dotyczące ruchu przychodzącego:
- default-allow-icmp
- default-allow-internal
- default-allow-rdp
- default-allow-ssh
Usuwanie sieci domyślnej
-
Wybierz wszystkie reguły zapory sieciowej i kliknij USUŃ.
-
W lewym okienku kliknij Sieci VPC.
-
Kliknij sieć default (domyślną).
-
Kliknij Usuń sieć VPC u góry strony.
-
Kliknij USUŃ, aby potwierdzić usunięcie sieci default (domyślnej).
Uwaga: zanim przejdziesz dalej, zaczekaj, aż proces usuwania dobiegnie końca. -
W lewym okienku kliknij Trasy.
Zwróć uwagę, że nie wyświetla się żadna trasa. Może być konieczne naciśnięcie przycisku Odśwież u góry strony.
Tworzenie instancji maszyny wirtualnej
Sprawdź, czy utworzenie instancji maszyny wirtualnej jest możliwe bez sieci VPC.
-
W konsoli wybierz menu nawigacyjne () > Compute Engine > Instancje maszyn wirtualnych.
-
Kliknij +UTWÓRZ INSTANCJĘ, aby utworzyć nową instancję maszyny wirtualnej.
-
Wszystkie wartości pozostaw domyślne i kliknij Utwórz.
Uwaga: wyświetli się błąd. -
Rozwiń Opcje zaawansowane i przewiń w dół do sekcji Interfejsy sieci.
Uwaga: pod polem Sieć wyświetli się błąd Nie ma więcej sieci dostępnych w tym projekcie. -
Kliknij Anuluj.
Zadanie 2. Tworzenie sieci VPC i instancji maszyn wirtualnych
Utwórz sieć VPC, by możliwe było utworzenie instancji maszyn wirtualnych.
Tworzenie sieci VPC w trybie automatycznym z regułami zapory sieciowej
Zreplikuj sieć default (domyślną) przez utworzenie sieci w trybie automatycznym.
-
W konsoli wybierz menu nawigacyjne ( > Sieć VPC > Sieci VPC, a następnie kliknij +UTWÓRZ SIEĆ VPC.
-
Jako nazwę wpisz
mynetwork
. -
W polu Tryb tworzenia podsieci wybierz Automatyczny.
Podsieci są tworzone automatycznie w każdym regionie przez sieci trybu automatycznego.
-
W sekcji Reguły zapory sieciowej zaznacz wszystkie dostępne reguły.
To te same standardowe reguły zapory sieciowej, które dotyczyły sieci domyślnej.
-
Kliknij UTWÓRZ, a następnie poczekaj, aż utworzy się sieć mynetwork.
Zwróć uwagę, że dla każdego regionu została utworzona podsieć.
-
Kliknij nazwę mynetwork i zapisz zakres adresów IP podsieci w regionie
oraz . Te dane przydadzą Ci się w następnych krokach.
Testowanie ukończonego zadania
Kliknij Sprawdź postępy, aby zobaczyć stan realizacji zadania. Jeśli udało Ci się ukończyć zadanie, wyświetli się wynik.
Tworzenie instancji maszyny wirtualnej w regionie
Utwórz maszynę wirtualną w regionie
-
W konsoli wybierz menu nawigacyjne () > Compute Engine > Instancje maszyn wirtualnych.
-
Kliknij +UTWÓRZ INSTANCJĘ.
-
Ustaw wymienione niżej wartości, a wszystkie pozostałe pozostaw domyślne:
Właściwość Wartość (wpisz podaną wartość lub wybierz podaną opcję) Nazwa mynet-us-vm Region Strefa Seria E2 Typ maszyny e2-micro -
Kliknij Utwórz, a następnie poczekaj na utworzenie instancji.
-
Sprawdź, czy wewnętrzny adres IP został przypisany z zakresu adresów IP dla podsieci w regionie
.
Testowanie ukończonego zadania
Kliknij Sprawdź postępy, aby zobaczyć stan realizacji zadania. Jeśli udało Ci się ukończyć zadanie, wyświetli się wynik.
Tworzenie instancji maszyny wirtualnej w regionie
Utwórz maszynę wirtualną w regionie
-
Kliknij +UTWÓRZ INSTANCJĘ.
-
Ustaw wymienione niżej wartości, a wszystkie pozostałe pozostaw domyślne:
Właściwość Wartość (wpisz podaną wartość lub wybierz podaną opcję) Nazwa mynet-second-vm Region Strefa Seria E2 Typ maszyny e2-micro -
Kliknij Utwórz, a następnie poczekaj na utworzenie instancji.
-
Sprawdź, czy wewnętrzny adres IP został przypisany z zakresu adresów IP dla podsieci w regionie
. Wewnętrzny adres IP powinien mieć postać
, ponieważ format x.x.x.1 jest zarezerwowany dla bramy, a nie skonfigurowano jeszcze innych instancji w tej podsieci.
Testowanie ukończonego zadania
Kliknij Sprawdź postępy, aby zobaczyć stan realizacji zadania. Jeśli udało Ci się ukończyć zadanie, wyświetli się wynik.
Zadanie 3. Poznawanie połączeń dla instancji maszyn wirtualnych
Poznaj połączenia dla instancji maszyn wirtualnych. Przy użyciu tcp:22 połącz się z instancjami maszyn wirtualnych przez SSH i korzystając z ICMP, pingnij zarówno zewnętrzne, jak i wewnętrzne adresy IP Twoich instancji. Następnie sprawdź wpływ reguł zapory sieciowej na połączenie, usuwając kolejno każdą z nich.
Sprawdzanie połączenia dla instancji maszyn wirtualnych
Reguły zapory sieciowej utworzone przez Ciebie w sieci mynetwork zezwalają na ruch przychodzący SSH i IMCP w sieci mynetwork (wewnętrzny adres IP) i poza nią (zewnętrzny adres IP).
-
W konsoli wybierz menu nawigacyjne () > Compute Engine > Instancje maszyn wirtualnych.
Zwróć uwagę na zewnętrzne i wewnętrzne adresy IP instancji mynet-second-vm.
-
W przypadku instancji mynet-us-vm kliknij SSH, by uruchomić terminal i nawiązać połączenie. Konieczne może być dwukrotne kliknięcie SSH.
Nawiązanie połączenia SSH jest możliwe dzięki regule zapory sieciowej allow-ssh, która zezwala na ruch przychodzący z dowolnego miejsca (0.0.0.0/0) dla protokołu tcp:22.
Uwaga: połączenie SSH będzie działać bezproblemowo, ponieważ Compute Engine wygeneruje dla Ciebie klucz SSH i będzie go przechowywać w jednej z tych lokalizacji: - Domyślnie Compute Engine dodaje wygenerowany klucz do metadanych projektu lub instancji.
- Jeśli Twoje konto jest skonfigurowane do korzystania z usługi OS Login, Compute Engine będzie przechowywać wygenerowany klucz na Twoim koncie użytkownika.
-
Aby przetestować możliwość połączenia z wewnętrznym adresem IP instancji mynet-second-vm, uruchom to polecenie z wpisanym wewnętrznym adresem IP instancji mynet-second-vm:
ping -c 3 <tu wpisz wewnętrzny adres IP instancji mynet-second-vm> Ping dociera do wewnętrznego adresu IP instancji mynet-second-vm dzięki regule zapory sieciowej allow-custom.
-
Aby przetestować możliwość połączenia z zewnętrznym adresem IP instancji mynet-second-vm, uruchom to polecenie z wpisanym zewnętrznym adresem IP instancji mynet-second-vm:
ping -c 3 <tu wpisz zewnętrzny adres IP instancji mynet-second-vm>
Zadanie 4. Sprawdź swoją wiedzę
Poniżej znajdziesz pytania jednokrotnego wyboru, które pomogą Ci zrozumieć koncepcje zawarte w module. Odpowiedz na nie najlepiej, jak potrafisz.
Zadanie 5. Usuwanie reguły zapory sieciowej allow-icmp
Usuń regułę zapory sieciowej allow-icmp i spróbuj wysłać ping do wewnętrznych i zewnętrznych adresów IP instancji mynet-second-vm.
-
W konsoli otwórz menu nawigacyjne () i kliknij Sieć VPC > Zapora sieciowa.
-
Zaznacz regułę mynetwork-allow-icmp.
-
Kliknij USUŃ.
-
Kliknij USUŃ, aby potwierdzić tę czynność.
Poczekaj, aż reguła zapory sieciowej zostanie usunięta.
-
Wróć do terminala SSH instancji mynet-us-vm.
-
Aby przetestować możliwość połączenia z wewnętrznym adresem IP instancji mynet-second-vm, uruchom to polecenie z wpisanym wewnętrznym adresem IP instancji mynet-second-vm:
Ping dociera do wewnętrznego adresu IP instancji mynet-second-vm dzięki regule zapory sieciowej allow-custom.
-
Aby przetestować możliwość połączenia z zewnętrznym adresem IP instancji mynet-second-vm, uruchom to polecenie z wpisanym zewnętrznym adresem IP instancji mynet-second-vm:
ping -c 3 <tu wpisz zewnętrzny adres IP instancji mynet-second-vm>
Zadanie 6. Usuwanie reguły zapory sieciowej allow-custom
Usuń regułę zapory sieciowej allow-custom i spróbuj wysłać ping do wewnętrznego adresu IP instancji mynet-second-vm.
-
W konsoli otwórz menu nawigacyjne () i kliknij Sieć VPC > Zapora sieciowa.
-
Zaznacz regułę mynetwork-allow-custom, a następnie kliknij USUŃ.
-
Kliknij USUŃ, aby potwierdzić tę czynność.
Poczekaj, aż reguła zapory sieciowej zostanie usunięta.
-
Wróć do terminala SSH instancji mynet-us-vm.
-
Aby przetestować możliwość połączenia z wewnętrznym adresem IP instancji mynet-second-vm, uruchom to polecenie z wpisanym wewnętrznym adresem IP instancji mynet-second-vm:
ping -c 3 <tu wpisz wewnętrzny adres IP instancji mynet-second-vm>
-
Zamknij terminal SSH:
exit
Zadanie 7. Usuwanie reguły zapory sieciowej allow-ssh
Usuń regułę zapory sieciowej allow-ssh i spróbuj połączyć się przez SSH z instancją mynet-us-vm.
-
W konsoli otwórz menu nawigacyjne () i kliknij Sieć VPC > Zapora sieciowa.
-
Zaznacz regułę mynetwork-allow-ssh, a następnie kliknij USUŃ.
-
Kliknij USUŃ, aby potwierdzić tę czynność.
Poczekaj, aż reguła zapory sieciowej zostanie usunięta.
-
W konsoli wybierz Menu nawigacyjne () > Compute Engine > Instancje maszyn wirtualnych.
-
W przypadku instancji mynet-us-vm kliknij SSH, by uruchomić terminal i nawiązać połączenie.
Gratulacje!
W tym module zapoznaliśmy się z siecią domyślną i jej podsieciami, trasami oraz regułami zapory sieciowej. Usunęliśmy sieć domyślną i przekonaliśmy się, że nie można utworzyć żadnych instancji maszyn wirtualnych bez sieci VPC. W ten sposób utworzyliśmy nową sieć VPC w trybie automatycznym z podsieciami, trasami i regułami zapory sieciowej oraz 2 instancje maszyn wirtualnych. Następnie przetestowaliśmy połączenia instancji maszyn wirtualnych i zbadaliśmy wpływ, jaki mają na nie reguły zapory sieciowej.
Ukończ kurs
Ten moduł do samodzielnego ukończenia jest częścią kursu Networking in the Google Cloud. Każdy kurs składa się z zestawu powiązanych ze sobą modułów, które razem tworzą ścieżkę szkoleniową. Za ukończenie kursu otrzymujesz odznakę – stanowi ona potwierdzenie Twojego osiągnięcia. Swoje odznaki możesz ustawiać jako widoczne publicznie, a także podać do nich linki w swoim CV lub w mediach społecznościowych. Jeśli zapiszesz się na ten kurs, ukończony dziś moduł zostanie w nim automatycznie zaliczony. Wszystkie dostępne kursy znajdziesz w katalogu Google Cloud Skills Boost.
Przejdź do kolejnego modułu
Możesz uczyć się dalej w ramach modułu Wiele sieci VPC lub sprawdzić inne propozycje:
Kolejne kroki / Więcej informacji
Więcej informacji o środowiskach VPC Google znajdziesz w opisie sieci prywatnego środowiska wirtualnego w chmurze (VPC) (w języku angielskim).
Ostatnia aktualizacja instrukcji: 1 września 2023 r.
Ostatni test modułu: 1 września 2023 r.
Copyright 2024 Google LLC. Wszelkie prawa zastrzeżone. Google i logo Google są znakami towarowymi Google LLC. Wszelkie inne nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów, z którymi są powiązane.