GSP210

概览

Google Cloud Virtual Private Cloud (VPC) 为 Compute Engine 虚拟机 (VM) 实例、Kubernetes Engine 容器和 App Engine 柔性环境提供联网功能。换句话说，没有 VPC 网络，您就无法创建虚拟机实例、容器和 App Engine 应用。因此，每个 Google Cloud 项目都有一个默认网络，让您可以开始工作。

您可以像看待物理网络一样看待 VPC 网络，区别在于后者是 Google Cloud 中的虚拟化网络。VPC 网络是一种全球性资源，它由数据中心内的一系列区域级虚拟子网组成，子网之间通过全球广域网 (WAN) 连接。在 Google Cloud 中，VPC 网络在逻辑上彼此隔离。

在本实验中，您将创建一个具有防火墙规则和两个虚拟机实例的自动模式 VPC 网络。然后，您将探索虚拟机实例的网络连接。

目标

在本实验中，您将学习如何执行以下任务：

• 探索默认 VPC 网络
• 创建一个具有防火墙规则的自动模式网络
• 使用 Compute Engine 创建虚拟机实例
• 探索虚拟机实例的连接情况

设置和要求

点击“开始实验”按钮前的注意事项

请阅读以下说明。实验是计时的，并且您无法暂停实验。计时器在您点击开始实验后即开始计时，显示 Google Cloud 资源可供您使用多长时间。

此实操实验可让您在真实的云环境中开展实验活动，免受模拟或演示环境的局限。为此，我们会向您提供新的临时凭据，您可以在该实验的规定时间内通过此凭据登录和访问 Google Cloud。

为完成此实验，您需要：

• 能够使用标准的互联网浏览器（建议使用 Chrome 浏览器）。

注意：请使用无痕模式（推荐）或无痕浏览器窗口运行此实验。这可以避免您的个人账号与学生账号之间发生冲突，这种冲突可能导致您的个人账号产生额外费用。

• 完成实验的时间 - 请注意，实验开始后无法暂停。

注意：请仅使用学生账号完成本实验。如果您使用其他 Google Cloud 账号，则可能会向该账号收取费用。

如何开始实验并登录 Google Cloud 控制台

1. 点击开始实验按钮。如果该实验需要付费，系统会打开一个对话框供您选择支付方式。左侧是“实验详细信息”窗格，其中包含以下各项：

   • “打开 Google Cloud 控制台”按钮
   • 剩余时间
   • 进行该实验时必须使用的临时凭据
   • 帮助您逐步完成本实验所需的其他信息（如果需要）

2. 点击打开 Google Cloud 控制台（如果您使用的是 Chrome 浏览器，请右键点击并选择在无痕式窗口中打开链接）。

   该实验会启动资源并打开另一个标签页，显示“登录”页面。

   提示：将这些标签页安排在不同的窗口中，并排显示。

   注意：如果您看见选择账号对话框，请点击使用其他账号。

3. 如有必要，请复制下方的用户名，然后将其粘贴到登录对话框中。

   {{{user_0.username | "<用户名>"}}}

   您也可以在“实验详细信息”窗格中找到“用户名”。

4. 点击下一步。

5. 复制下面的密码，然后将其粘贴到欢迎对话框中。

   {{{user_0.password | "<密码>"}}}

   您也可以在“实验详细信息”窗格中找到“密码”。

6. 点击下一步。

   重要提示：您必须使用实验提供的凭据。请勿使用您的 Google Cloud 账号凭据。 注意：在本实验中使用您自己的 Google Cloud 账号可能会产生额外费用。

7. 继续在后续页面中点击以完成相应操作：

   • 接受条款及条件。
   • 由于这是临时账号，请勿添加账号恢复选项或双重验证。
   • 请勿注册免费试用。

片刻之后，系统会在此标签页中打开 Google Cloud 控制台。

注意：如需访问 Google Cloud 产品和服务，请点击导航菜单，或在搜索字段中输入服务或产品的名称。

任务 1. 探索默认网络

每个 Google Cloud 项目都有一个默认网络，该网络包含子网、路由和防火墙规则。

查看子网

默认网络在每个 Google Cloud 区域都有一个子网。

1. 在 Cloud 控制台中，前往导航菜单 () > VPC 网络 > VPC 网络。

2. 点击默认网络。请注意默认网络的详细信息和子网部分。

注意：每个子网都与一个 Google Cloud 区域和一个私有 RFC 1918 CIDR 地址块相关联，用于其内部 IP 地址范围和网关。

查看路由

路由负责指示虚拟机实例和 VPC 网络应如何将来自实例的流量发送到目的地，无论目的地是在网络内部还是 Google Cloud 外部。

每个 VPC 网络都附带一些默认的路由，用于在其子网之间路由流量，以及将从符合条件的实例发出的流量发送到互联网。

1. 在左侧窗格中，点击路由。

2. 在有效路由标签页中，选择默认网络和 。

您会看到每个子网都有一个路由，默认互联网网关 (0.0.0.0/0) 也有一个路由。

注意：Google Cloud 会为您代管这些路由，不过您可以创建自定义静态路由，将某些数据包发送到特定目的地。例如，您可以创建一条路由，将所有出站流量发送到配置为 NAT 网关的实例。

查看防火墙规则

每个 VPC 网络均实现有一个您可以配置的分布式虚拟防火墙。您可以通过防火墙规则来控制允许哪些数据包传送到哪些目的地。

每个 VPC 网络都有两条隐式防火墙规则，一条禁止所有传入连接，一条允许所有传出连接。

1. 在左侧窗格中，点击防火墙。

您会看到默认网络有 4 条入站流量防火墙规则：

• default-allow-icmp
• default-allow-internal
• default-allow-rdp
• default-allow-ssh

注意：这些防火墙规则允许来自任何地方 (0.0.0.0/0) 的 ICMP、RDP 和 SSH 入站流量，以及网络 (10.128.0.0/9) 内的所有 TCP、UDP 和 ICMP 流量。目标、来源过滤条件、协议/端口和操作列对这些规则进行了说明。

删除默认网络

1. 选择所有防火墙规则，然后点击删除。

2. 在 Cloud 控制台中，前往导航菜单 () > VPC 网络 > VPC 网络。

3. 点击默认网络。

4. 点击页面顶部的删除 VPC 网络，

5. 然后点击删除，确认要删除默认网络。

   注意：请等待网络删除完成后再继续其他操作。

6. 在左侧窗格中，点击路由。

   您可以看到还没有路由。您可能需要点击页面顶部的刷新按钮。

注意：没有 VPC 网络，就没有路由！

尝试创建虚拟机实例

验证如果没有 VPC 网络，便无法创建虚拟机实例。

1. 在 Cloud 控制台中，前往导航菜单 () > Compute Engine > 虚拟机实例。

2. 如需创建新实例，请点击创建实例。

3. 将所有选项保留默认值，点击创建。

   注意：请注意错误消息。

4. 点击网络。

5. 前往网络接口部分。

   注意：请注意错误消息没有可用网络。要创建实例，您必须先创建网络。

6. 点击取消。

注意：与预期的一样，没有 VPC 网络，您就无法创建虚拟机实例！

任务 2. 创建 VPC 网络和虚拟机实例

创建一个 VPC 网络，以便您可以创建虚拟机实例。

创建一个具有防火墙规则的自动模式 VPC 网络

您可以通过创建自动模式网络来复制默认网络。

1. 在控制台中，前往导航菜单 () > VPC 网络 > VPC 网络，然后点击 + 创建 VPC 网络。

2. 将名称设置为 mynetwork。

3. 对于子网创建模式，点击自动。

   自动模式网络会自动在每个区域中创建子网。

4. 对于防火墙规则，选中所有可用规则。

   这些是与默认网络中相同的标准防火墙规则。

注意：系统还会显示 deny-all-ingress 和 allow-all-egress 规则，但您无法选中或取消选中它们，因为这些是隐含规则。这两条规则的优先级更低（整数值越大，表示优先级越低），因此系统会优先考虑允许 ICMP、自定义、RDP 和 SSH 的规则。

5. 点击创建，然后等待 mynetwork 创建完成。

   您可以看到该操作为每个区域都创建了一个子网。

6. 点击 mynetwork 名称，并记录 和 中子网的 IP 地址范围。 在后续步骤中，您将用到这些信息。

注意：如果您删除了默认网络，可以像刚才那样通过创建自动模式网络来快速重建该网络。

验证您已完成的任务

点击检查我的进度，验证您已完成的任务。如果您成功完成了任务，系统会给出评分。

创建 VPC 网络。

在 中创建一个虚拟机实例

在 区域中创建一个虚拟机实例。选择区域和可用区后，系统会据此确定子网，并从子网的 IP 地址范围中分配内部 IP 地址。

1. 在控制台中，前往导航菜单 () > Compute Engine > 虚拟机实例，

2. 点击创建实例。

3. 在机器配置部分：

   设置以下值：

   属性	值（按照说明输入值或选择选项）
   名称	mynet-us-vm
   区域
   可用区
   系列	E2
   机器类型	e2-micro

4. 点击创建，然后等待实例创建完成。

5. 验证内部 IP 是从 中子网的 IP 地址范围分配的。

验证您已完成的任务

点击检查我的进度，验证您已完成的任务。如果您成功完成了任务，系统会给出评分。

在 中创建一个虚拟机实例

在 中创建一个虚拟机实例

在 区域中创建一个虚拟机实例。

1. 点击创建实例。

2. 在机器配置部分：

3. 设置以下值：

   属性	值（按照说明输入值或选择选项）
   名称	mynet-second-vm
   区域
   可用区
   系列	E2
   机器类型	e2-micro

4. 点击创建，然后等待实例创建完成。

注意：如果您收到错误消息，指出此可用区没有足够的资源来满足请求，请尝试使用其他可用区重新运行步骤 1-3。

5. 验证内部 IP 是从 中子网的 IP 地址范围分配的。

   内部 IP 应为 ，因为 x.x.x.1 已为网关预留，而且您尚未在该子网中配置任何其他实例。

注意：这两个虚拟机实例的外部 IP 地址都是临时的。如果实例停止，则分配给该实例的任何临时外部 IP 地址都将被释放回常规 Compute Engine 池，可供其他项目使用。

当已停止的实例再次启动时，系统会向该实例分配一个新的临时外部 IP 地址。或者，您可以预留一个静态外部 IP 地址，将该地址无限期地分配给您的项目，直到您明确将其释放。

验证您已完成的任务

点击检查我的进度，验证您已完成的任务。如果您成功完成了任务，系统会给出评分。

在 中创建一个虚拟机实例

任务 3. 探索虚拟机实例的连接情况

探索虚拟机实例的连接情况。具体而言，使用 tcp:22 通过 SSH 连接到虚拟机实例，并使用 ICMP 对虚拟机实例的内部和外部 IP 地址都进行 ping 操作。接下来，逐个移除防火墙规则，了解它们对连接的影响。

验证虚拟机实例的连接

为 mynetwork 创建的防火墙规则允许来自 mynetwork 内部（内部 IP）和网络外部（外部 IP）的入站 SSH 和 ICMP 流量。

1. 在控制台中，前往导航菜单 () > Compute Engine > 虚拟机实例。

   注意 mynet-second-vm 的外部和内部 IP 地址。

2. 对于 mynet-us-vm，点击 SSH 以启动一个终端并进行连接。您可能需要点击 SSH 两次。

   您可以通过 SSH 进行连接，因为 allow-ssh 防火墙规则允许使用 tcp:22 从任何地方 (0.0.0.0/0) 传入流量。

   注意：SSH 连接之所以能够无缝运行，是因为 Compute Engine 会为您生成一个 SSH 密钥并将其存储在以下某个位置：
   • 默认情况下，Compute Engine 会将生成的密钥添加到项目或实例元数据中。
   • 如果您的账号配置为使用 OS Login，Compute Engine 会将生成的密钥与您的用户账号一起存储。
   或者，您可以通过创建 SSH 密钥和修改 SSH 公钥元数据来控制对 Linux 实例的访问权限。

3. 如需测试能否连接到 mynet-second-vm 的内部 IP，运行以下命令，并使用 mynet-second-vm 的内部 IP：

   ping -c 3 <在此处输入 mynet-second-vm 的内部 IP>

   根据 allow-custom 防火墙规则，您可以 ping 通 mynet-second-vm 的内部 IP。

4. 如需测试是否能够连接到 mynet-second-vm 的外部 IP，运行以下命令，并使用 mynet-second-vm 的外部 IP：

   ping -c 3 <在此处输入 mynet-second-vm 的外部 IP>

任务 4. 检验您的掌握情况

我们在下方准备了一些选择题，以加强您对本实验中概念的理解。请尽您所能回答。

注意 ：与预期一致，您可以通过 SSH 连接到 mynet-us-vm 并 ping 通 mynet-second-vm 的内部和外部 IP 地址。或者，您也可以通过 SSH 连接到 mynet-second-vm 并 ping 通 mynet-us-vm 的内部和外部 IP 地址，同样没有问题。

任务 5. 移除 allow-icmp 防火墙规则

移除 allow-icmp 防火墙规则，并尝试对 mynet-second-vm 的内部和外部 IP 地址进行 ping 操作。

1. 在控制台中，前往导航菜单 () > VPC 网络 > 防火墙。

2. 选中 mynetwork-allow-icmp 规则。

3. 点击删除。

4. 再次点击删除，确认删除该规则。

   等待该防火墙规则删除完成。

5. 返回 mynet-us-vm 的 SSH 终端。

6. 如需测试能否连接到 mynet-second-vm 的内部 IP，运行以下命令，并使用 mynet-second-vm 的内部 IP：

ping -c 3 <在此处输入 mynet-second-vm 的内部 IP>

根据 allow-custom 防火墙规则，您可以 ping 通 mynet-second-vm 的内部 IP。

7. 如需测试是否能够连接到 mynet-second-vm 的外部 IP，运行以下命令，并使用 mynet-second-vm 的外部 IP：

   ping -c 3 <在此处输入 mynet-second-vm 的外部 IP>

注意 ：100% 的丢包率表示您无法 ping 通 mynet-second-vm 的外部 IP。这是符合预期的表现，因为您删除了 allow-icmp 防火墙规则。

任务 6. 移除 allow-custom 防火墙规则

移除 allow-custom 防火墙规则，并尝试对 mynet-second-vm 的内部 IP 地址进行 ping 操作。

1. 在控制台中，前往导航菜单 () > VPC 网络 > 防火墙。

2. 选中 mynetwork-allow-custom 规则，然后点击删除。

3. 再次点击删除，确认删除该规则。

   等待该防火墙规则删除完成。

4. 返回 mynet-us-vm 的 SSH 终端。

5. 如需测试能否连接到 mynet-second-vm 的内部 IP，运行以下命令，并使用 mynet-second-vm 的内部 IP：

   ping -c 3 <在此处输入 mynet-second-vm 的内部 IP>

注意 ：100% 的丢包率表示您无法 ping 通 mynet-second-vm 的内部 IP。这是符合预期的表现，因为您删除了 allow-custom 防火墙规则。

6. 关闭 SSH 终端：

   exit

任务 7. 移除 allow-ssh 防火墙规则

移除 allow-ssh 防火墙规则，并尝试通过 SSH 连接到 mynet-us-vm。

1. 在控制台中，前往导航菜单 () > VPC 网络 > 防火墙。

2. 选中 mynetwork-allow-ssh 规则，然后点击删除。

3. 再次点击删除，确认删除该规则。

   等待该防火墙规则删除完成。

4. 在控制台中，前往导航菜单 () > Compute Engine > 虚拟机实例。

5. 对于 mynet-us-vm，点击 SSH 以启动一个终端并进行连接。

注意 ：出现连接失败消息，这表示您无法通过 SSH 连接到 mynet-us-vm，因为您删除了 allow-ssh 防火墙规则。

恭喜！

在本实验中，您探索了默认网络及其子网、路由和防火墙规则。之后，您删除了默认网络，并确定了如果没有 VPC 网络，便无法创建任何虚拟机实例。因此，您重新创建了一个新的具有子网、路由、防火墙规则和两个虚拟机实例的自动模式 VPC 网络。接下来，您测试了虚拟机实例的连接情况，并就防火墙规则对连接的影响进行了探索。

后续步骤/了解详情

如需详细了解 Google VPC，请阅读 Virtual Private Cloud (VPC) 网络概览。

上次更新手册的时间：2025 年 3 月 16 日

上次测试实验的时间：2025 年 3 月 16 日

版权所有 2025 Google LLC 保留所有权利。Google 和 Google 徽标是 Google LLC 的商标。其他所有公司名和产品名可能是其各自相关公司的商标。