GSP210

總覽

Google Cloud 虛擬私有雲 (VPC) 可為 Compute Engine 虛擬機器 (VM) 執行個體、Kubernetes Engine 容器及 App Engine Flex 提供網路功能。換句話說，如果沒有虛擬私有雲網路，您就無法建立 VM 執行個體、容器或 App Engine 應用程式。因此，每項 Google Cloud 專案都有一個預設網路，方便您立即開始執行所需工作。

您可以將虛擬私有雲網路想像成實體網路，差別在於這個網路在 Google Cloud 中已經虛擬化。虛擬私有雲網路是全域性資源，由多個資料中心內的一系列區域性虛擬子網路所組成。所有子網路均透過全域性廣域網路 (WAN) 相互連線。Google Cloud 中的虛擬私有雲網路在邏輯上彼此獨立。

在本實驗室中，您將建立有防火牆規則和兩個 VM 執行個體的自動模式虛擬私有雲網路網路，並探索 VM 執行個體的連線能力。

目標

在本實驗室中，您將瞭解如何執行下列工作：

• 探索預設虛擬私有雲網路
• 建立有防火牆規則的自動模式網路
• 使用 Compute Engine 建立 VM 執行個體
• 瞭解 VM 執行個體的連線能力

設定和需求

瞭解以下事項後，再點選「Start Lab」按鈕

請詳閱以下操作說明。實驗室活動會計時，且中途無法暫停。點選「Start Lab」後就會開始計時，顯示可使用 Google Cloud 資源的時間。

您將在真正的雲端環境完成實作實驗室活動，而不是模擬或示範環境。為此，我們會提供新的暫時憑證，供您在實驗室活動期間登入及存取 Google Cloud。

為了順利完成這個實驗室，請先確認：

• 可以使用標準的網際網路瀏覽器 (Chrome 瀏覽器為佳)。

注意事項：請使用無痕模式 (建議選項) 或私密瀏覽視窗執行此實驗室，這可以防止個人帳戶和學員帳戶之間的衝突，避免個人帳戶產生額外費用。

• 是時候完成實驗室活動了！別忘了，活動一旦開始將無法暫停。

注意事項：務必使用實驗室專用的學員帳戶。如果使用其他 Google Cloud 帳戶，可能會產生額外費用。

如何開始研究室及登入 Google Cloud 控制台

1. 點選「Start Lab」按鈕。如果實驗室會產生費用，畫面上會出現選擇付款方式的對話方塊。左側的「Lab Details」窗格會顯示下列項目：

   • 「Open Google Cloud console」按鈕
   • 剩餘時間
   • 必須在這個研究室中使用的臨時憑證
   • 完成這個實驗室所需的其他資訊 (如有)

2. 點選「Open Google Cloud console」；如果使用 Chrome 瀏覽器，也能按一下滑鼠右鍵，選取「在無痕視窗中開啟連結」。

   接著，實驗室會啟動相關資源，並開啟另一個分頁，顯示「登入」頁面。

   提示：您可以在不同的視窗中並排開啟分頁。

   注意：如果頁面中顯示「選擇帳戶」對話方塊，請點選「使用其他帳戶」。

3. 如有必要，請將下方的 Username 貼到「登入」對話方塊。

   {{{user_0.username | "Username"}}}

   您也可以在「Lab Details」窗格找到 Username。

4. 點選「下一步」。

5. 複製下方的 Password，並貼到「歡迎使用」對話方塊。

   {{{user_0.password | "Password"}}}

   您也可以在「Lab Details」窗格找到 Password。

6. 點選「下一步」。

   重要事項：請務必使用實驗室提供的憑證，而非自己的 Google Cloud 帳戶憑證。 注意：如果使用自己的 Google Cloud 帳戶來進行這個實驗室，可能會產生額外費用。

7. 按過後續的所有頁面：

   • 接受條款及細則。
   • 由於這是臨時帳戶，請勿新增救援選項或雙重驗證機制。
   • 請勿申請免費試用。

Google Cloud 控制台稍後會在這個分頁開啟。

注意：如要使用 Google Cloud 產品和服務，請點選「導覽選單」，或在「搜尋」欄位輸入服務或產品名稱。

工作 1：探索預設網路

每項 Google Cloud 專案都有一個預設網路，其中包含子網路、路由和防火牆規則。

查看子網路

預設網路在各個 Google Cloud 區域中都有一個子網路。

1. 依序點選 Cloud 控制台中的「導覽選單」圖示 >「虛擬私有雲網路」>「虛擬私有雲網路」。

2. 點選「預設」網路。請注意預設網路詳細資料和子網路。

注意：每個子網路皆與一個 Google Cloud 區域及一個私人 RFC 1918 CIDR 區塊相關聯，用於指定子網路的內部 IP 位址範圍 和閘道。

查看路徑

路由可指示 VM 執行個體和虛擬私有雲網路如何將流量從執行個體傳送到該網路內或 Google Cloud 外的目的地。

每個虛擬私有雲網路都含有一些預設路由，用於子網路之間的流量轉送，並將流量從符合資格的執行個體傳送到網際網路。

1. 點按左側窗格中的「路由」。

2. 在「有效路徑」分頁中，依序選取預設網路和 。

請注意，預設網際網路閘道 (0.0.0.0 /0) 和每個子網路各有一個路由。

注意：這些是代管路由，不過您也能建立自訂的靜態路由，將某些封包傳送至特定目的地。舉例來說，您可以建立路由，將所有傳出流量傳送到設為 NAT 閘道的執行個體。

查看防火牆規則

每個虛擬私有雲網路都會導入可由您設定的分散式虛擬防火牆。透過防火牆規則，您可以控管哪些封包可傳送到哪些目的地。

每個虛擬私有雲網路都設有兩個默示防火牆規則，分別會封鎖所有傳入連線及允許所有傳出連線。

1. 在左側窗格中，點選「防火牆」。

請注意，預設網路含有以下 4 項 Ingress 防火牆規則：

• default-allow-icmp
• default-allow-internal
• default-allow-rdp
• default-allow-ssh

注意：這些防火牆規則允許來自任何位置 (0.0.0.0/0) 的 ICMP、RDP 和 SSH ingress 流量，以及 10.128.0.0/9 這個網路中的所有 TCP、UDP 和 ICMP 流量。您可以在「目標」、「來源篩選器」、「通訊協定/通訊埠」和「動作」欄中，查看這些規則的相關說明。

刪除預設網路

1. 選取所有防火牆規則，然後點選「刪除」。

2. 依序點選 Cloud 控制台中的「導覽選單」圖示 >「虛擬私有雲網路」>「虛擬私有雲網路」。

3. 點選「預設」網路。

4. 按一下頁面頂端的「刪除虛擬私有雲網路」，

5. 點選「刪除」，以確認刪除「預設」網路。

   注意：請等待網路刪除完成，再繼續操作。

6. 點按左側窗格中的「路由」。

   請注意，畫面上不會顯示任何路由。您可能需要按一下頁面頂端的「重新整理」按鈕。

注意：如果沒有虛擬私有雲網路，就不會有任何路由！

嘗試建立 VM 執行個體

確認沒有虛擬私有雲網路，就無法建立 VM 執行個體。

1. 依序點選 Cloud 控制台中的「導覽選單」圖示 >「Compute Engine」>「VM 執行個體」。

2. 點選「建立執行個體」，建立新的執行個體。

3. 保留所有預設數值，然後點選「建立」。

   注意：請留意這麼做會出現錯誤。

4. 點選「網路」。

5. 前往「網路介面」部分。

   注意：請留意「沒有可用的網路」錯誤訊息。如要建立執行個體，請先建立網路。

6. 按一下「取消」。

注意事項：一如預期，如果您沒有虛擬私有雲網路，就無法建立 VM 執行個體！

工作 2：建立虛擬私有雲網路和 VM 執行個體

請先建立虛擬私有雲網路，以便建立 VM 執行個體。

建立含有防火牆規則的自動模式虛擬私有雲網路

請建立自動模式網路來複製預設網路。

1. 在控制台中，依序前往「導覽選單」圖示 >「虛擬私有雲網路」 >「虛擬私有雲網路」，然後點選「+ 建立虛擬私有雲網路」。

2. 將「名稱」設為 mynetwork。

3. 在「子網路建立模式」部分，按一下「自動」。

   自動模式網路會自動在各個區域建立子網路。

4. 在「防火牆規則」部分，勾選所有可用的規則。

   這些是預設網路原先採用的標準防火牆規則。

注意：雖然畫面中也會顯示 deny-all-ingress 和 allow-all-egress，不過您無法勾選或取消勾選這些規則，因為兩者都是默示規則。這兩項規則的優先順序較低 (「優先順序」欄的整數值越大，代表優先順序越低)，因此系統會先考量 allow-icmp、allow-custom、allow-rdp 和 allow-ssh 規則。

5. 點選「建立」，然後等待 mynetwork 建立完成。

   您會發現每個區域均已建立子網路。

6. 點選「mynetwork」名稱，並記錄 和 中子網路的 IP 位址範圍。 後續步驟會用到這些資訊。

注意事項：如果刪除了預設網路，只要按照剛剛的方式建立自動模式網路，即可快速重新建立預設網路。

測試已完成的工作

點選「Check my progress」，確認工作已完成。如果順利完成，就會看見評估分數。

建立虛擬私有雲網路。

在 中建立 VM 執行個體

請在 區域中建立 VM 執行個體。一旦選取區域和可用區，系統就會決定要使用的子網路，並從子網路的 IP 位址範圍中指派內部 IP 位址。

1. 前往控制台，依序點選「導覽選單」圖示 >「Compute Engine」>「VM 執行個體」。

2. 點選「建立執行個體」。

3. 前往「機器設定」專區：

   設定以下這些值：

   屬性	值 (按照指示輸入值或選取選項)
   名稱	mynet-us-vm
   區域
   可用區
   系列	E2
   機器類型	e2-micro

4. 點選「建立」，然後等待執行個體建立完成。

5. 確認指派給新執行個體的內部 IP 來自 中子網路的 IP 位址範圍。

測試已完成的工作

點選「Check my progress」，確認工作已完成。如果順利完成，就會看見評估分數。

在 中建立 VM 執行個體。

在 中建立 VM 執行個體

請在 區域建立 VM 執行個體。

1. 點選「建立執行個體」。

2. 前往「機器設定」專區：

3. 設定以下這些值：

   屬性	值 (按照指示輸入值或選取選項)
   名稱	mynet-second-vm
   區域
   可用區
   系列	E2
   機器類型	e2-micro

4. 點選「建立」，然後等待執行個體建立完成。

注意：如果收到錯誤訊息，指出該可用區的資源不足，無法完成要求，請改用其他可用區，重新執行步驟 1 至 3。

5. 確認指派給新執行個體的內部 IP 來自 中子網路的 IP 位址範圍。

   這個內部 IP 應該會是 ，因為 x.x.x.1 要保留給閘道，而且您尚未在該子網路中設定任何其他執行個體。

注意事項：這兩個 VM 執行個體的外部 IP 位址都是臨時位址。執行個體停止之後，獲派的所有臨時外部 IP 位址都會釋出並回到一般 Compute Engine 集區，供其他專案使用。

停止的執行個體再次啟動時，會獲派新的臨時外部 IP 位址。另外，您可以預留靜態外部 IP 位址，無限期將特定位址指派給專案，直到您明確釋出為止。

測試已完成的工作

點選「Check my progress」，確認工作已完成。如果順利完成，就會看見評估分數。

在 中建立 VM 執行個體。

工作 3：瞭解 VM 執行個體的連線能力

探索 VM 執行個體的連線能力。具體來說，請透過 SSH 使用 tcp:22 連線至您的 VM 執行個體，並運用 ICMP 對 VM 執行個體的內部和外部 IP 位址進行連線偵測 (ping)。接著，請逐一移除防火牆規則，藉此瞭解防火牆規則對連線的作用。

驗證 VM 執行個體連線能力

您透過 mynetwork 建立的防火牆規則會允許來自 mynetwork 內部 (內部 IP) 和外部 (外部 IP) 的 SSH 和 ICMP ingress 流量。

1. 前往 Cloud 控制台，依序點選「導覽選單」圖示 >「Compute Engine」>「VM 執行個體」。

   請記下 mynet-second-vm 的內外部 IP 位址。

2. 在「mynet-us-vm」部分，點按「SSH」啟動終端機並連線。您可能需要按兩次「SSH」。

   由於設有 allow-ssh 防火牆規則，因此您可以透過 SSH 進行連線，該規則會在 tcp:22 通訊埠上允許來自任何位置 (0.0.0.0/0) 的傳入流量。

   注意：SSH 連線得以順暢運作，是因為 Compute Engine 會產生安全殼層金鑰，並透過下列其中一種方式儲存：
   • 根據預設，Compute Engine 會將產生的金鑰新增至專案或執行個體中繼資料。
   • 如果您的帳戶已設為使用 OS 登入，Compute Engine 會將產生的金鑰儲存於您的使用者帳戶。
   另外，您可以建立安全殼層金鑰，並編輯公開安全殼層金鑰中繼資料，藉此控管 Linux 執行個體的存取權。

3. 執行下列指令，並輸入 mynet-second-vm 的內部 IP，藉此測試 mynet-second-vm 內部 IP 的連線能力：

   ping -c 3 <Enter mynet-second-vm's internal IP here>

   由於設有 allow-custom 防火牆規則，您可以對 mynet-second-vm 的內部 IP 進行連線偵測 (ping)。

4. 如要測試連至 mynet-second-vm 外部 IP 的連線能力，請執行下列指令，並輸入 mynet-second-vm 的外部 IP：

   ping -c 3 <Enter mynet-second-vm's external IP here>

工作 4：隨堂測驗

下列選擇題可以加深您對本實驗室概念的理解，盡力回答即可。

注意：與預期相同，您可以透過 SSH 連至 mynet-us-vm，並對 mynet-second-vm 的內外部 IP 位址進行連線偵測 (ping)。同樣地，您也能透過 SSH 連至 mynet-second-vm，並對 mynet-us-vm 的內外部 IP 位址進行連線偵測 (ping)。

工作 5：移除 allow-icmp 防火牆規則

請移除 allow-icmp 防火牆規則，並試著對 mynet-second-vm 的內外部 IP 位址進行連線偵測 (ping)。

1. 前往控制台，依序點選「導覽選單」圖示 >「虛擬私有雲網路」>「防火牆」。

2. 檢查 mynetwork-allow-icmp 規則。

3. 點選「刪除」。

4. 點選「刪除」即可確認刪除。

   等待防火牆規則刪除完成。

5. 返回 mynet-us-vm 的 SSH 終端機。

6. 執行下列指令，並輸入 mynet-second-vm 的內部 IP，藉此測試 mynet-second-vm 內部 IP 的連線能力：

ping -c 3 <Enter mynet-second-vm's internal IP here>

由於設有 allow-custom 防火牆規則，您可以對 mynet-second-vm 的內部 IP 進行連線偵測 (ping)。

7. 如要測試連至 mynet-second-vm 外部 IP 的連線能力，請執行下列指令，並輸入 mynet-second-vm 的外部 IP：

   ping -c 3 <Enter mynet-second-vm's external IP here>

注意：「100% packet loss」表示您無法對 mynet-second-vm 的外部 IP 進行連線偵測 (ping)。這是正常情況，因為您刪除了 allow-icmp 防火牆規則。

工作 6：移除 allow-custom 防火牆規則

請移除 allow-custom 防火牆規則，並試著對 mynet-second-vm 的內部 IP 位址進行連線偵測 (ping)。

1. 前往控制台，依序點選「導覽選單」圖示 >「虛擬私有雲網路」>「防火牆」。

2. 勾選「mynetwork-allow-custom」規則，然後點選「刪除」。

3. 點選「刪除」即可確認刪除。

   等待防火牆規則刪除完成。

4. 返回 mynet-us-vm 的 SSH 終端機。

5. 執行下列指令，並輸入 mynet-second-vm 的內部 IP，藉此測試 mynet-second-vm 內部 IP 的連線能力：

   ping -c 3 <Enter mynet-second-vm's internal IP here>

注意：「100% packet loss」表示您無法對 mynet-second-vm 的內部 IP 進行連線偵測 (ping)。這是正常情況，因為您刪除了 allow-custom 防火牆規則。

6. 關閉 SSH 終端機：

   exit

工作 7：移除 allow-ssh 防火牆規則

請移除 allow-ssh 防火牆規則，並試著透過 SSH 連線至 mynet-us-vm。

1. 前往控制台，依序點選「導覽選單」圖示 >「虛擬私有雲網路」>「防火牆」。

2. 勾選「mynetwork-allow-ssh」規則，然後點選「刪除」。

3. 點選「刪除」即可確認刪除。

   等待防火牆規則刪除完成。

4. 前往控制台，依序點選「導覽選單」圖示 >「Compute Engine」>「VM 執行個體」。

5. 在「mynet-us-vm」部分，點選「SSH」來啟動終端機並進行連線。

注意事項 ：由於您刪除了 allow-ssh 防火牆規則，你會看到「無法連線」的訊息，代表透過 SSH 連線至 mynet-us-vm 的作業失敗！

恭喜！

在這個實驗室中，您探索了預設網路，以及預設網路的子網路、路徑和防火牆規則。刪除預設網路後，您確認了沒有虛擬私有雲網路時，無法建立任何 VM 執行個體。因此，您建立了新的自動模式虛擬私有雲網路，內含子網路、路徑、防火牆規則和兩個 VM 執行個體。隨後，您測試了 VM 執行個體的連線能力，並瞭解防火牆規則對連線的作用。

後續步驟/瞭解詳情

如要進一步瞭解 Google 虛擬私有雲，請參閱虛擬私有雲 (VPC) 網路總覽。

使用手冊上次更新日期：2025 年 3 月 16 日

實驗室上次測試日期：2025 年 3 月 16 日

Copyright 2025 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標，其他公司和產品名稱則有可能是其關聯公司的商標。