Огляд

Приватне хмарне сховище (VPC) Google Cloud забезпечує підключення до мережі екземплярів віртуальних машин Compute Engine, контейнерів Kubernetes Engine і гнучкого середовища App Engine. Тобто без мережі VPC неможливо створити екземпляри віртуальних машин, контейнери й додатки App Engine. Тому для кожного проекту Google Cloud уже налаштовано мережу за умовчанням.

Мережа VPC побудована за принципом фізичної мережі, але розміщена у віртуальному середовищі Google Cloud. Мережа VPC – це глобальний ресурс, що містить низку регіональних віртуальних підмереж у центрах обробки даних, з’єднаних між собою за допомогою глобальної мережі (WAN). У Google Cloud мережі VPC логічно ізольовані одна від одної.

Під час цієї практичної роботи ви створите автоматичну мережу VPC з правилами брандмауера та двома екземплярами віртуальних машин, а також ознайомитеся з можливостями підключення екземплярів віртуальних машин.

Цілі

Під час цієї практичної роботи ви навчитеся виконувати наведені нижче дії.

• Вивчати принцип роботи мережі VPC за умовчанням.

• Створювати автоматичну мережу з правилами брандмауера.

• Створювати екземпляри віртуальних машин за допомогою Compute Engine.

• Вивчати можливості підключення екземплярів віртуальних машин.

Налаштування та вимоги

Для кожної практичної роботи ви безкоштовно отримуєте новий проект Google Cloud і набір інструментів на визначений період часу.

1. Увійдіть у Qwiklabs у вікні в режимі анонімного перегляду.

2. Слідкуйте за тим, скільки часу залишилося для виконання практичної роботи (наприклад: 1:15:00). Постарайтеся завершити її вчасно.
   Завдання не можна призупинити, а лише почати спочатку.

3. Коли будете готові, натисніть Start Lab (Почати практичну роботу).

4. Занотуйте облікові дані для практичної роботи (ім’я користувача й пароль). Вони знадобляться для входу в Google Cloud Console.

5. Натисніть Open Google Console (Відкрити Google Console).

6. Виберіть Use another account (Увійти в інший обліковий запис), потім скопіюйте та вставте облікові дані для доступу до цієї практичної роботи у відповідні поля.
   Якщо ви ввійдете з іншими обліковими даними, станеться помилка або з вас може почати стягуватися плата.

7. Прийміть умови й пропустіть сторінку відновлення ресурсу.

Завдання 1. Ознайомтеся з принципом роботи мережі за умовчанням

Для кожного проекту Google Cloud налаштовано мережу за умовчанням із підмережами, маршрутами та правилами брандмауера.

Перегляньте підмережі

Мережа за умовчанням має окрему підмережу в кожному регіоні Google Cloud.

• У меню навігації () Cloud Console натисніть VPC network (мережа VPC) > VPC networks (мережі VPC).
  Перегляньте схему мережі за умовчанням із її підмережами.
  Кожна підмережа зв’язана з регіоном Google Cloud і приватним блоком CIDR (за RFC 1918) за допомогою внутрішнього діапазону ІР-адрес та шлюзу.

Перегляньте маршрути

Маршрути визначають, як екземпляри віртуальних машин і мережа VPC спрямовують трафік з екземпляра до цільової адреси всередині мережі або за межами Google Cloud. Кожна мережа VPC має призначені за умовчанням маршрути, щоб передавати дані підмережами та спрямовувати трафік із придатних екземплярів до Інтернету.

• На панелі ліворуч натисніть Routes (Маршрути).
  Зверніть увагу, що є окремі маршрути для кожної підмережі, а також для Default internet gateway (інтернет-шлюзу за умовчанням) (0.0.0.0/0).
  Цими маршрутами керує адміністратор, проте можна створити власні статичні маршрути, щоб спрямовувати певні пакети до визначених цільових сервісів. Наприклад, маршрут для спрямування всього вихідного трафіку до екземпляра, налаштованого як шлюз NAT.

Перегляньте правила брандмауера

Кожна мережа VPC має розподілений віртуальний брандмауер, який можна налаштувати. Правила брандмауера визначають, які пакети можна передавати на різні адреси. Кожна мережа VPC має два приховані правила брандмауера, які блокують вхідні та дозволяють вихідні з’єднання.

• На панелі ліворуч натисніть Firewall (Брандмауер).
  Зверніть увагу, що в мережі за умовчанням є такі 4 правила брандмауера для вхідного трафіку:
  • default-allow-icmp;
  • default-allow-rdp;
  • default-allow-ssh;
  • default-allow-internal.

Ці правила дозволяють вхідний трафік за протоколами ICMP, RDP і SSH із будь-якого місцеположення (0.0.0.0/0), а також весь трафік за протоколами TCP, UDP та ICMP всередині мережі (10.128.0.0/9). Відомості про правила наведено в стовпцях Targets (Цілі), Filters (Фільтри), Protocols/ports (Протоколи/порти) і Action (Дії).

Видаліть правила брандмауера

1. На панелі ліворуч натисніть Firewall (Брандмауер).
2. Виберіть усі правила брандмауера мережі за умовчанням.
3. Натисніть Delete (Видалити).
4. Щоб підтвердити видалення, натисніть Delete (Видалити) ще раз.

Видаліть мережу за умовчанням

1. На панелі ліворуч натисніть VPC networks (Мережі VPC).
2. Виберіть мережу default (за умовчанням).
3. Натисніть Delete VPC network (Видалити мережу VPC).
4. Щоб підтвердити видалення, натисніть Delete (Видалити) ще раз.
   Перш ніж продовжувати, зачекайте, доки мережу буде видалено.
5. На панелі ліворуч натисніть Routes (Маршрути).
   Зверніть увагу, що маршрути не відображаються. Якщо сторінка виглядає інакше, натисніть Refresh (Оновити).
6. На панелі ліворуч натисніть Firewall (Брандмауер).
   Правила брандмауера також не відображатимуться.

Маршрути та правила брандмауера відображаються лише за наявності налаштованої мережі VPC.

Спробуйте створити екземпляр віртуальної машини

Упевніться, що екземпляр віртуальної машини не можна створити без мережі VPC.

1. У меню навігації () натисніть Compute Engine > VM instances (Екземпляри віртуальних машин).
2. Натисніть Create Instance (Створити екземпляр).
3. Підтвердьте значення за умовчанням і натисніть Create (Створити). Станеться помилка.
4. У вікні з попередженням натисніть Go to Issues(S) (Переглянути помилки). Можливо, доведеться прокрутити сторінку вниз, щоб переглянути більше інформації. Для цього проекту мережі та підмережі не відображатимуться.
5. Натисніть Cancel (Скасувати).

Як і очікувалося, екземпляр віртуальної машини не можна створити за відсутності мережі VPC.

Завдання 2. Створіть мережу VPC та екземпляри віртуальних машин

Перш ніж створювати екземпляри віртуальних машин, створіть мережу VPC.

Створіть автоматичну мережу VPC з правилами брандмауера

Реплікуйте мережу за умовчанням, створивши автоматичну мережу.

1. У меню навігації () натисніть VPC network (Мережа VPC) > VPC networks (Мережі VPC).
2. Натисніть Create VPC network (Створити мережу VPC).
3. У полі Name (Назва) введіть mynetwork.
4. Для опції Subnet creation mode (Режим створення підмережі) виберіть Automatic (Автоматичний).
   Для автоматичних мереж автоматично створюються підмережі в кожному регіоні.
5. Виберіть усі доступні правила для опції Firewall (Брандмауер).
   Будуть застосовані ті самі стандартні правила брандмауера, що й для мережі за умовчанням.
   Правила deny-all-ingress і allow-all-egress також відображатимуться, проте їх не можна вибрати, оскільки вони приховані. Ці правила мають нижчий пріоритет (що більше число, то він нижчий), щоб першими застосовувалися спеціальні правила та правила для протоколів ICMP, RDP та SSH.
6. Натисніть Create (Створити).
   Коли мережу будет створено, з’являться підмережі для кожного регіону.
7. Зафіксуйте діапазон ІР-адрес у регіонах us-central1 і europe-west4.
   Ці дані знадобляться пізніше.

Якщо видалити мережу за умовчанням, її можна швидко відновити, створивши автоматичну мережу описаним вище способом.

Створіть екземпляр віртуальної машини в регіоні us-central1

Створіть екземпляр віртуальної машини в регіоні us-central1. Від вибору регіону та зони залежить призначення підмережі та внутрішньої IP-адреси з діапазону IP-адрес підмережі.

1. У меню навігації () натисніть Compute Engine > VM instances (Екземпляри віртуальних машин).

2. Натисніть Create Instance (Створити екземпляр).

3. Укажіть наведені нижче відомості, а решту налаштувань залиште зі значеннями за умовчанням.

   Властивість	Значення (укажіть значення або виберіть зі списку)
   Назва	mynet-us-vm
   Регіон	us-central1
   Зона	us-central1-c
   Серія	N1
   Тип машини	f1-micro (1 віртуальний центральний процесор, 614 MБ оперативної пам’яті)

4. Натисніть Create (Створити).

5. Переконайтеся, що новому екземпляру призначено внутрішню IP-адресу з діапазону IP-адрес підмережі в регіоні us-central1 (10.128.0.0/20).

   Внутрішня IP-адреса повинна мати значення 10.128.0.2, оскільки адресу 10.128.0.1 зарезервовано для шлюзу, а інших екземплярів у цій підмережі не налаштовано.

Створіть екземпляр віртуальної машини в регіоні europe-west4

Створіть екземпляр віртуальної машини в регіоні europe-west4.

1. Натисніть Create Instance (Створити екземпляр).

2. Укажіть наведені нижче відомості, а решту налаштувань залиште зі значеннями за умовчанням.

   Властивість	Значення (укажіть значення або виберіть зі списку)
   Назва	mynet-eu-vm
   Регіон	europe-west4
   Зона	europe-west4-c
   Серія	N1
   Тип машини	f1-micro (1 віртуальний центральний процесор, 614 MБ оперативної пам’яті)

3. Натисніть Create (Створити).

4. Переконайтеся, що новому екземпляру призначено внутрішню IP-адресу з діапазону IP-адрес підмережі в регіоні europe-west4 (10.164.0.0/20).

   Внутрішня IP-адреса повинна мати значення 10.164.0.2, оскільки адресу 10.164.0.1 зарезервовано для шлюзу, а інших екземплярів у цій підмережі не налаштовано.

Для обох екземплярів віртуальних машин призначаються тимчасові зовнішні IP-адреси. Якщо екземпляр зупинено, усі тимчасові IP-адреси, які йому призначено, повертаються в загальний пул адрес Compute Engine. Після цього їх можна використовувати для інших проектів. Якщо екземпляр буде запущено знову, йому буде призначено нову тимчасову зовнішню IP-адресу. Ви також можете зарезервувати статичну зовнішню IP-адресу. У такому разі проекту призначається постійна адреса, доки резервування не буде скасовано.

Щоб підтвердити виконання завдання, натисніть Check my progress (Підтвердити виконання). Створіть мережу VPC та екземпляр віртуальної машини.

Завдання 3. Ознайомтеся з можливостями підключення екземплярів віртуальних машин

Ознайомтеся з можливостями підключення екземплярів віртуальних машин. Спробуйте підключитися до екземплярів віртуальних машин через протокол SSH, використовуючи порт tcp:22, і надіслати запит ping на внутрішню й зовнішню IP-адреси цих екземплярів віртуальних машин через протокол ICMP. Потім перевірте, як правила брандмауера впливають на можливості підключення, по черзі вилучаючи їх.

Перевірте можливість підключення екземплярів віртуальних машин

Правила брандмауера, створені для мережі mynetwork, дозволяють вхідний трафік через протоколи SSH та ICMP всередині мережі mynetwork (на внутрішню IP-адресу) і ззовні (на зовнішню IP-адресу).

1. У меню навігації () натисніть Compute Engine > VM instances (Екземпляри віртуальних машин).
   Укажіть внутрішню та зовнішню IP-адреси для мережі mynet-eu-vm.
2. Натисніть SSH, щоб запустити термінал і підключитися до мережі mynet-us-vm.

3. Щоб перевірити підключення до внутрішньої IP-адреси мережі mynet-eu-vm, виконайте наведену нижче команду, указавши відповідну IP-адресу.

ping -c 3 <Введіть внутрішню IP-адресу мережі mynet-eu-vm тут>

Правило брандмауера allow-custom дозволяє надсилати запити ping на внутрішню IP-адресу мережі mynet-eu-vm.

4. Щоб перевірити підключення до зовнішньої IP-адреси мережі mynet-eu-vm, виконайте наведену нижче команду, указавши відповідну IP-адресу.

ping -c 3 <Введіть зовнішню IP-адресу мережі mynet-eu-vm тут>

Тепер ви можете використовувати протокол SSH у мережі mynet-us-vm і надсилати запити ping на її внутрішню та зовнішню IP-адреси. Ви також можете використовувати протокол SSH у мережі mynet-eu-vm і надсилати запити ping на її внутрішню та зовнішню IP-адреси.

Вилучіть правило брандмауера allow-icmp

Вилучіть правило брандмауера allow-icmp і спробуйте надіслати запит ping на внутрішню та зовнішню IP-адреси мережі mynet-eu-vm.

1. У меню навігації () натисніть VPC network (Мережа VPC) > Firewall (Брандмауер).

2. Виберіть правило mynetwork-allow-icmp.

3. Натисніть Delete (Видалити).

4. Щоб підтвердити видалення, натисніть Delete (Видалити) ще раз.
   Зачекайте, доки правило брандмауера буде видалено.

5. Перейдіть до термінала SSH мережі mynet-us-vm.

6. Щоб перевірити підключення до внутрішньої IP-адреси мережі mynet-eu-vm, виконайте наведену нижче команду, указавши відповідну IP-адресу.

ping -c 3 <Введіть внутрішню IP-адресу мережі mynet-eu-vm тут>

Правило брандмауера allow-custom дозволяє надсилати запити ping на внутрішню IP-адресу мережі mynet-eu-vm.

7. Щоб перевірити підключення до зовнішньої IP-адреси мережі mynet-eu-vm, виконайте наведену нижче команду, указавши відповідну IP-адресу.

ping -c 3 <Введіть зовнішню IP-адресу мережі mynet-eu-vm тут>

Втрата 100% пакетів означає, що ви не можете надсилати запити ping на зовнішню IP-адресу мережі mynet-eu-vm. Така ситуація передбачувана, оскільки ви видалили правило брандмауера allow-icmp.

Вилучіть правило брандмауера allow-custom

Вилучіть правило брандмауера allow-custom і спробуйте надіслати запит ping на внутрішню IP-адресу мережі mynet-eu-vm.

1. У меню навігації () натисніть VPC network (Мережа VPC) > Firewall (Брандмауер).

2. Виберіть правило mynetwork-allow-custom.

3. Натисніть Delete (Видалити).

4. Щоб підтвердити видалення, натисніть Delete (Видалити) ще раз.
   Зачекайте, доки правило брандмауера буде видалено.

5. Перейдіть до термінала SSH мережі mynet-us-vm.

6. Щоб перевірити підключення до внутрішньої IP-адреси мережі mynet-eu-vm, виконайте наведену нижче команду, указавши відповідну IP-адресу.

ping -c 3 <Введіть внутрішню IP-адресу мережі mynet-eu-vm тут>

Втрата 100% пакетів означає, що ви не можете надсилати запити ping на внутрішню IP-адресу мережі mynet-eu-vm. Така ситуація передбачувана, оскільки ви видалили правило брандмауера allow-custom.

7. Закрийте термінал SSH, виконавши наведену нижче команду.

exit

Вилучіть правило брандмауера allow-ssh

Вилучіть правило брандмауера allow-ssh і спробуйте підключитися до мережі mynet-us-vm через протокол SSH.

1. У меню навігації () натисніть VPC network (Мережа VPC) > Firewall (Брандмауер).
2. Виберіть правило mynetwork-allow-ssh.
3. Натисніть Delete (Видалити).
4. Щоб підтвердити видалення, натисніть Delete (Видалити) ще раз.
5. Зачекайте, доки правило брандмауера буде видалено.
6. У меню навігації натисніть Compute Engine > VM instances (Екземпляри віртуальних машин).
7. Натисніть SSH, щоб запустити термінал і підключитися до мережі mynet-us-vm.

Повідомлення Connection failed (Помилка підключення) означає, що ви не можете підключитися до мережі mynet-us-vm через протокол SSH, оскільки правило брандмауера allow-ssh видалено.

Завдання 4. Перевірка

У цій практичній роботі ви ознайомилися з принципом роботи мережі за умовчанням, включно з її підмережами, маршрутами та правилами брандмауера. Ви видалили цю мережу й дізналися, що без неї не можна створити екземпляри віртуальних машин. Після цього ви створили нову автоматичну мережу VPC з підмережами, маршрутами, правилами брандмауера та двома екземплярами віртуальних машин. Потім ви перевірили можливість підключення екземплярів віртуальних машин і дізналися, як на неї впливають правила брандмауера.

Завершіть завдання

Закінчивши виконувати завдання, натисніть кнопку End Lab (Завершити завдання). Google Cloud Skills Boost вилучить використані ресурси й очистить обліковий запис.

Ви зможете оцінити, наскільки вам сподобалося виконувати завдання на платформі. Виберіть потрібну кількість зірочок, введіть коментар і натисніть Submit (Надіслати).

Кількість зірочок відповідає певній оцінці:

• 1 зірочка = зовсім не сподобалося
• 2 зірочки = не сподобалося
• 3 зірочки = не можу сказати напевно
• 4 зірочки = сподобалося
• 5 зірочок = дуже сподобалося

Якщо ви не хочете надсилати відгук, просто закрийте діалогове вікно.

Залишайте свої відгуки, пропозиції або коментарі на вкладці Support (Підтримка).

© Google LLC 2022. Усі права захищено. Назва та логотип Google є торговельними марками Google LLC. Усі інші назви компаній і продуктів можуть бути торговельними марками відповідних компаній, з якими вони пов’язані.