arrow_back

Reti VPC (AWS)

Accedi Partecipa
Accedi a oltre 700 lab e corsi

Reti VPC (AWS)

Lab 1 ora 30 minuti universal_currency_alt 5 crediti show_chart Introduttivi
info Questo lab potrebbe incorporare strumenti di AI a supporto del tuo apprendimento.
Accedi a oltre 700 lab e corsi

In qualità di Solutions Architect, sai che uno dei pilastri della tua infrastruttura cloud in AWS è la tua rete. Come connettere le diverse risorse, come ottenere la segmentazione della rete e come garantire la sicurezza sono alcune delle tue principali preoccupazioni quando lavori con Google Cloud.

In AWS, oltre ad altre risorse, hai a disposizione uno o più Virtual Private Cloud (VPC) di Amazon, ovvero reti virtuali isolate dedicate ai tuoi account AWS. Puoi utilizzare i VPC di Amazon per avviare le tue risorse in una rete virtuale sicura.

In AWS, i VPC hanno un ambito regionale e possono esistere in un'unica regione. Al momento della creazione del tuo account AWS, è stato creato un VPC predefinito in ogni regione AWS senza bisogno di alcuna configurazione.

Diagramma AWS

Se vuoi connettere app o risorse in più di una regione, puoi utilizzare il peering VPC o un gateway di transito.

Nel tuo VPC di AWS, puoi configurare subnet pubbliche e private in diverse zone di disponibilità per migliorare la disponibilità e la tolleranza di errore. In base alle best practice, puoi creare gruppi di sicurezza, tabelle delle route e regole AWS Network Firewall per migliorare la tua sicurezza di rete.

Tenendo presente tutto questo, esplorerai i servizi di networking disponibili in Google Cloud per eseguire correttamente il deployment di un'architettura solida.

Panoramica

Il Virtual Private Cloud (VPC) di Google Cloud fornisce le funzionalità di rete necessarie per le istanze delle macchine virtuali (VM) di Compute Engine, i container di Kubernetes Engine e l'ambiente flessibile di App Engine. In altre parole, senza una rete VPC non è possibile creare istanze VM, container o applicazioni App Engine. Per questo motivo, a ogni progetto Google Cloud è associata una rete predefinita con cui iniziare.

In sostanza, una rete VPC è come una rete fisica, ad eccezione del fatto che è virtualizzata all'interno di Google Cloud. Una rete VPC è una risorsa globale formata da un elenco di subnet virtuali regionali ubicate in data center, tutte collegate tramite una rete WAN (wide area network) globale. Le reti VPC sono isolate logicamente tra loro in Google Cloud.

In questo lab, creerai una rete VPC in modalità automatica con regole firewall e due istanze VM. Quindi, convertirai la rete in modalità automatica in una rete in modalità personalizzata e creerai altre reti in modalità personalizzata come illustrato nel diagramma di rete riportato di seguito. Verificherai inoltre la connettività fra reti diverse.

Diagramma dell'architettura delle reti VPC

Obiettivi

In questo lab imparerai a:

  • Esplorare la rete VPC predefinita
  • Creare una rete in modalità automatica con regole firewall
  • Convertire una rete in modalità automatica in una rete in modalità personalizzata
  • Creare reti VPC in modalità personalizzata con regole firewall
  • Creare istanze VM utilizzando Compute Engine
  • Esplorare la connettività per le istanze VM nelle reti VPC

Per ciascun lab, riceverai un nuovo progetto Google Cloud e un insieme di risorse per un periodo di tempo limitato senza alcun costo aggiuntivo.

  1. Accedi a Qwiklabs utilizzando una finestra di navigazione in incognito.

  2. Tieni presente la durata dell'accesso al lab (ad esempio, 1:15:00) e assicurati di finire entro quell'intervallo di tempo.
    Non è disponibile una funzionalità di pausa. Se necessario, puoi riavviare il lab ma dovrai ricominciare dall'inizio.

  3. Quando è tutto pronto, fai clic su Inizia lab.

  4. Annota le tue credenziali del lab (Nome utente e Password). Le userai per accedere a Google Cloud Console.

  5. Fai clic su Apri console Google.

  6. Fai clic su Utilizza un altro account e copia/incolla le credenziali per questo lab nei prompt.
    Se utilizzi altre credenziali, compariranno errori oppure ti verranno addebitati dei costi.

  7. Accetta i termini e salta la pagina di ripristino delle risorse.

Attività 1: esplora la rete predefinita

A ogni progetto Google Cloud è associata una rete predefinita con le relative subnet, route e regole firewall.

Visualizza le subnet

La rete predefinita ha una subnet in ogni regione di Google Cloud.

  • Nella console Cloud, nel menu di navigazione (Icona menu di navigazione), fai clic su Rete VPC > Reti VPC.
  • Osserva la rete predefinita e le relative subnet.
    Ogni subnet è associata a una regione di Google Cloud e a un blocco CIDR privato conforme alla RFC 1918 per l'intervallo degli indirizzi IP interni, nonché a un gateway.

Visualizza le route

Le route mostrano alle istanze VM e alla rete VPC come inviare il traffico a una destinazione sia all'interno della rete sia all'esterno di Google Cloud. Ogni rete VPC include alcune route predefinite per instradare il traffico tra le sue subnet e inviarlo da istanze idonee a internet.

  • Nel riquadro a sinistra, fai clic su Route.
    Nota che esiste una route per ogni subnet e una per il Gateway internet predefinito (0.0.0.0/0).
    Queste route vengono gestite per tuo conto, ma puoi creare route statiche personalizzate per indirizzare determinati pacchetti verso destinazioni specifiche. Ad esempio, puoi creare una route che invia tutto il traffico in uscita a un'istanza configurata come gateway NAT.

Visualizza le regole firewall

Ogni rete VPC implementa un firewall virtuale distribuito che puoi configurare. Le regole firewall ti consentono di specificare quali pacchetti possono essere inviati a quali destinazioni. Ogni rete VPC prevede due regole firewall implicite che bloccano tutte le connessioni in entrata e consentono tutte le connessioni in uscita.

  • Nel riquadro a sinistra, fai clic su Firewall.
    Nota che sono presenti quattro regole firewall in entrata per la rete predefinita:

    • default-allow-icmp
    • default-allow-rdp
    • default-allow-ssh
    • default-allow-internal

    Queste regole firewall consentono il traffico in entrata per i protocolli ICMP, RDP e SSH da qualsiasi origine (0.0.0.0/0) nonché tutto il traffico per i protocolli TCP, UDP e ICMP interno alla rete (10.128.0.0/9). Le colonne Destinazioni, Filtri, Protocolli/porte e Azione spiegano queste regole.

Elimina le regole firewall

  1. Nel riquadro a sinistra, fai clic su Firewall.
  2. Seleziona tutte le regole firewall di rete predefinite.
  3. Fai clic su Elimina.
  4. Fai clic su Elimina per confermare l'eliminazione delle regole firewall.

Elimina la rete predefinita

  1. Nel riquadro a sinistra, fai clic su Reti VPC.
  2. Seleziona la rete predefinita.
  3. Fai clic su Elimina rete VPC.
  4. Fai clic su Elimina per confermare l'eliminazione della rete predefinita.

Attendi che la rete venga eliminata prima di procedere.

  1. Nel riquadro a sinistra, fai clic su Route.

Vedrai che non sono presenti route.

  1. Nel riquadro a sinistra, fai clic su Firewall.

Vedrai che non sono presenti regole firewall.

Nota: in assenza di una rete VPC, non sono presenti route.

Prova a creare un'istanza VM

Verifica di non poter creare un'istanza VM in assenza di una rete VPC.

  1. Nel menu di navigazione, fai clic su Compute Engine > Istanze VM.
  2. Fai clic su Crea istanza.
  3. Accetta i valori predefiniti e fai clic su Crea.

Osserva l'errore.

  1. Fai clic su Crea istanza.
  2. Fai clic su Networking. Osserva l'errore Non sono disponibili altre reti in Interfacce di rete.
  3. Fai clic su Annulla.
Nota: come previsto, non è possibile creare un'istanza VM in assenza di una rete VPC.

Attività 2: crea una rete in modalità automatica

Il tuo compito è creare una rete in modalità automatica con due istanze VM. Le reti in modalità automatica sono facili da configurare e usare perché creano automaticamente delle subnet in ogni regione. Tuttavia, non hai il controllo completo sulle subnet create nella tua rete VPC, inclusi gli intervalli di indirizzi IP e le regioni che usi.

Nella documentazione su VPC di Google, puoi valutare altre considerazioni per scegliere una rete in modalità automatica, ma per il momento supponiamo che tu stia usando la rete in modalità automatica ai fini della prototipazione.

Crea un rete VPC in modalità automatica con le regole firewall

  1. Nel menu di navigazione (Icona menu di navigazione), fai clic su Rete VPC > Reti VPC.
  2. Fai clic su Crea rete VPC.
  3. In Nome, digita mynetwork.
  4. In corrispondenza di Modalità creazione subnet, fai clic su Automatica.

Le reti in modalità automatica creano automaticamente delle subnet in ogni regione.

  1. In corrispondenza di Regole firewall, seleziona tutte le regole disponibili.

Si tratta delle stesse regole firewall standard che erano incluse nella rete predefinita. Vengono visualizzate anche le regole deny-all-ingress e allow-all-egress, che tuttavia non puoi né selezionare né disattivare poiché si tratta di regole implicite. Queste due regole hanno un livello di Priorità inferiore (i numeri interi più elevati indicano livelli di priorità inferiori); vengono pertanto prese in considerazione prima le regole di autorizzazione ICMP, personalizzate, RDP ed SSH.

  1. Fai clic su Crea.

  2. Quando la nuova rete è pronta, fai clic su mynetwork. Prendi nota dell'intervallo di indirizzi IP per le subnet in e .

Nota: se dovesse accaderti di eliminare la rete predefinita, potrai ricrearla rapidamente creando una rete in modalità automatica, come hai appena fatto.

Crea un'istanza VM in

Crea un'istanza VM nella regione . La selezione di una regione e di una zona determina la subnet che verrà utilizzata e l'assegnazione dell'indirizzo IP interno a partire dal relativo intervallo di indirizzi IP.

  1. Nella console Cloud, nel menu di navigazione (☰), fai clic su Compute Engine > Istanze VM, quindi fai clic su Crea istanza.

    Compila i campi come segue, lasciando invariato il valore predefinito per tutti gli altri campi:

  2. Nella Configurazione macchina.

    Seleziona i valori seguenti:

    Proprietà Valore (digita il valore o seleziona l'opzione come specificato)
    Nome mynet-vm-1
    Regione
    Zona
    Serie E2
    Tipo di macchina e2-micro (2 vCPU, 1 GB di memoria)

  3. Fai clic su Sistema operativo e spazio di archiviazione.

    Fai clic su Cambia per iniziare a configurare il disco di avvio:

    • Assicurati che il disco di avvio sia configurato per Debian GNU/Linux 12 (bookworm).

    Fai clic su Seleziona.

  4. Fai clic su Crea.

Crea un'istanza VM in

Crea un'istanza VM nella regione .

  1. Fai clic su Crea istanza.

  2. Nella Configurazione macchina.

    Seleziona i valori seguenti:

    Proprietà Valore (digita il valore o seleziona l'opzione come specificato)
    Nome mynet-vm-2
    Regione
    Zona
    Serie E2
    Tipo di macchina e2-micro (2 vCPU, 1 GB di memoria)

  3. Fai clic su Sistema operativo e spazio di archiviazione.

    Fai clic su Cambia per iniziare a configurare il disco di avvio:

    • Assicurati che il disco di avvio sia configurato per Debian GNU/Linux 12 (bookworm).

    Fai clic su Seleziona.

  4. Fai clic su Crea.

Nota: gli indirizzi IP esterni di entrambe le istanze VM sono temporanei. In caso di interruzione di un'istanza, qualsiasi indirizzo IP esterno temporaneo assegnato all'istanza verrà di nuovo rilasciato nel pool generale di Compute Engine e reso disponibile per l'utilizzo in altri progetti.

Quando un'istanza interrotta viene riavviata, le viene assegnato un nuovo indirizzo IP esterno temporaneo. In alternativa, puoi riservare un indirizzo IP esterno statico, il che determina l'assegnazione di quell'indirizzo al tuo progetto per un tempo indeterminato finché non lo rilasci esplicitamente.

Verifica la connettività per le istanze VM

Le regole firewall che hai creato con mynetwork consentono il traffico su SSH e ICMP in ingresso dall'interno di mynetwork (IP interno) e all'esterno di questa rete (IP esterno).

  1. Nel menu di navigazione, fai clic su Compute Engine > Istanze VM.

Osserva gli indirizzi IP interni ed esterni per mynet-vm-2.

  1. Per mynet-vm-1, fai clic su SSH per avviare un terminale e stabilire la connessione.
Nota: puoi utilizzare il protocollo SSH in quanto la regola firewall allow-ssh consente il traffico in ingresso da qualsiasi origine (0.0.0.0/0) per tcp:22. La connessione SSH funziona perfettamente, dal momento che Compute Engine genera una chiave SSH per te e la archivia in una delle seguenti posizioni:
  • Per impostazione predefinita, Compute Engine aggiunge la chiave generata ai metadati di progetto o istanza.
  • Se il tuo account è configurato per utilizzare OS Login, Compute Engine archivia la chiave generata con il tuo account utente.
In alternativa, puoi controllare l'accesso alle istanze Linux mediante la creazione di chiavi SSH e la modifica dei metadati della chiave SSH pubblica.
  1. Per verificare la connettività all'IP interno di mynet-vm-2, esegui questo comando, sostituendo l'IP interno di mynet-vm-2:
ping -c 3 <Enter mynet-vm-2's internal IP here>

Puoi inviare un ping all'IP interno di mynet-vm-2 in virtù della regola firewall allow-custom.

  1. Per verificare la connettività all'IP esterno di mynet-vm-2, esegui questo comando, sostituendo l'IP esterno di mynet-vm-2:
ping -c 3 <Enter mynet-vm-2's external IP here>

Nota: puoi usare SSH per connetterti a mynet-vm-1 e inviare un ping sia all'indirizzo IP esterno sia a quello interno di mynet-vm-2 nel modo previsto. In alternativa, puoi usare SSH per stabilire una connessione a mynet-vm-2 e inviare un ping sia all'indirizzo IP esterno sia a quello interno di mynet-vm-1, ottenendo gli stessi risultati.

Converti la rete in una rete in modalità personalizzata

La rete in modalità automatica ha funzionato perfettamente finora, ma ti è stato chiesto di convertirla in una rete in modalità personalizzata in modo che non vengano create nuove subnet automaticamente quando diventano disponibili nuove regioni. Questo può causare una sovrapposizione degli indirizzi IP usati da subnet create manualmente o da route statiche, oppure potrebbe interferire con la tua pianificazione di rete generale.

  1. Nel menu di navigazione (Icona menu di navigazione), fai clic su Rete VPC > Reti VPC.
  2. Fai clic su mynetwork per aprire i dettagli della rete.
  3. Fai clic su Modifica.
  4. Seleziona Personalizzata per la Modalità di creazione subnet.
  5. Fai clic su Salva.
  6. Torna alla pagina Reti VPC.

Attendi che la Modalità di mynetwork passi a Personalizzata.

Nell'attesa, puoi fare clic su Aggiorna.

Fai clic su Controlla i miei progressi per verificare l'obiettivo. Crea una rete VPC e delle istanze VM.

Nota: la conversione di una rete in modalità automatica in una rete in modalità personalizzata è un'attività semplice che ti offre maggiore flessibilità. Ti consigliamo di usare reti in modalità personalizzata in produzione.

Attività 3: crea reti in modalità personalizzata

Il tuo compito è creare due reti personalizzate aggiuntive, managementnet e privatenet, oltre alle regole firewall per consentire il traffico SSH, ICMP ed RDP in entrata e le istanze VM come mostrato nel seguente diagramma di esempio (ad eccezione di vm-appliance):

Diagramma dell&#39;architettura delle reti VPC

Tieni presente che gli intervalli IP CIDR di queste reti non si sovrappongono. Questo ti permette di configurare meccanismi come il peering VPC tra le reti. Se specifichi intervalli IP CIDR diversi dalla tua rete on-premise, puoi persino configurare una connettività ibrida usando VPN o Cloud Interconnect.

Crea la rete managementnet

Per creare la rete managementnet utilizza la console Cloud.

  1. Nella console Cloud, nel menu di navigazione (Icona menu di navigazione), fai clic su Rete VPC > Reti VPC.

  2. Fai clic su Crea rete VPC.

  3. Come Nome, digita managementnet

  4. In Modalità di creazione subnet, fai clic su Personalizzata.

  5. Specifica quanto segue e non modificare le altre impostazioni predefinite:

    Proprietà Valore (digita il valore o seleziona l'opzione come specificato)
    Nome managementsubnet-1
    Regione
    Intervallo IPv4 10.240.0.0/20

  6. Fai clic su Fine.

  7. Fai clic su Riga di comando equivalente.

    Questi comandi mostrano che possono essere create reti e subnet utilizzando la riga di comando gcloud. Creerai la rete privatenet utilizzando questi comandi con parametri simili.

  8. Fai clic su Chiudi.

  9. Fai clic su Crea.

Crea la rete privatenet

Crea la rete privatenet usando la riga di comando gcloud.

  1. Nella console Cloud, fai clic su Attiva Cloud Shell (Icona Attiva Cloud Shell).
  2. Se richiesto, fai clic su Continua.
  3. Per creare la rete privatenet, esegui il comando seguente. Fai clic su Autorizza, se richiesto.
gcloud compute networks create privatenet --subnet-mode=custom
  1. Per creare la subnet privatesubnet-1, esegui questo comando:
gcloud compute networks subnets create privatesubnet-1 --network=privatenet --region={{{project_0.default_region|Region 1}}} --range=172.16.0.0/24
  1. Per creare la subnet privatesubnet-2, esegui questo comando:
gcloud compute networks subnets create privatesubnet-2 --network=privatenet --region={{{ project_0.default_region_2|Region 2}}} --range=172.20.0.0/20
  1. Per elencare le reti VPC disponibili, esegui questo comando:
gcloud compute networks list

L'output dovrebbe essere simile al seguente:

NAME SUBNET_MODE BGP_ROUTING_MODE IPV4_RANGE GATEWAY_IPV4 managementnet CUSTOM REGIONAL mynetwork CUSTOM REGIONAL privatenet CUSTOM REGIONAL
  1. Per elencare le subnet VPC disponibili (ordinate per rete VPC), esegui questo comando:
gcloud compute networks subnets list --sort-by=NETWORK Nota: le reti managementnet e privatenet hanno solo le subnet che hai creato perché sono reti in modalità personalizzata. Anche mynetwork è una rete in modalità personalizzata, ma è nata come rete in modalità automatica, generando subnet in ciascuna regione.
  1. Nella console Cloud, nel menu di navigazione (Icona menu di navigazione), fai clic su Rete VPC > Reti VPC.
    Verifica che nella console Cloud siano visualizzate le stesse reti e subnet.

Crea le regole firewall per managementnet

Crea le regole firewall per consentire il traffico SSH, ICMP e RDP in entrata verso le istanze VM della rete managementnet.

  1. Nella console Cloud, nel menu di navigazione (Icona menu di navigazione), fai clic su Rete VPC > Firewall.

  2. Fai clic su Crea regola firewall.

  3. Specifica quanto segue e non modificare le altre impostazioni predefinite:

    Proprietà Valore (digita il valore o seleziona l'opzione come specificato)
    Nome managementnet-allow-icmp-ssh-rdp
    Rete managementnet
    Destinazioni Tutte le istanze nella rete
    Filtro di origine Intervalli IPv4
    Intervalli IPv4 di origine 0.0.0.0/0
    Protocolli e porte Protocolli e porte specificati
Nota: assicurati di includere la porzione /0 nel campo Intervalli IPv4 di origine per specificare tutte le reti.

  1. Seleziona tcp e specifica le porte 22 e 3389.

  2. Seleziona Altri protocolli e specifica il protocollo icmp.

  3. Fai clic su Riga di comando equivalente.

    Questi comandi mostrano che le regole firewall possono essere create anche utilizzando la riga di comando gcloud. Per creare le regole firewall di privatenet utilizzerai questi comandi con parametri simili.

  4. Fai clic su Chiudi.

  5. Fai clic su Crea.

Crea le regole firewall per privatenet

Crea le regole firewall per la rete privatenet usando la riga di comando gcloud.

  1. Torna a Cloud Shell. Se necessario, fai clic su Attiva Cloud Shell (Icona Attiva Cloud Shell).
  2. Per creare la regola firewall privatenet-allow-icmp-ssh-rdp, esegui il comando seguente:
gcloud compute firewall-rules create privatenet-allow-icmp-ssh-rdp --direction=INGRESS --priority=1000 --network=privatenet --action=ALLOW --rules=icmp,tcp:22,tcp:3389 --source-ranges=0.0.0.0/0

L'output dovrebbe essere simile al seguente:

NAME NETWORK DIRECTION PRIORITY ALLOW DENY privatenet-allow-icmp-ssh-rdp privatenet INGRESS 1000 icmp,tcp:22,tcp:3389
  1. Per elencare tutte le regole firewall (ordinate per rete VPC), esegui il seguente comando:
gcloud compute firewall-rules list --sort-by=NETWORK

L'output dovrebbe essere simile al seguente:

NAME NETWORK DIRECTION PRIORITY ALLOW managementnet-allow-icmp-ssh-rdp managementnet INGRESS 1000 icmp,tcp:22,tcp:3389 mynetwork-allow-icmp mynetwork INGRESS 1000 icmp mynetwork-allow-internal mynetwork INGRESS 65534 all mynetwork-allow-rdp mynetwork INGRESS 1000 tcp:3389 mynetwork-allow-ssh mynetwork INGRESS 1000 tcp:22 privatenet-allow-icmp-ssh-rdp privatenet INGRESS 1000 icmp,tcp:22,tcp:3389

Le regole firewall per la rete mynetwork sono state create automaticamente. Puoi definire più protocolli e porte in una sola regola firewall (privatenet e managementnet) o distribuirli in più regole (default e mynetwork).

  1. Nella console Cloud, nel menu di navigazione (Icona menu di navigazione), fai clic su Rete VPC > Firewall.
    Verifica che nella console Cloud siano elencate le stesse regole firewall.

Fai clic su Controlla i miei progressi per verificare l'obiettivo. Crea reti VPC in modalità personalizzata con regole firewall.

Successivamente, crea due istanze VM:

  • managementnet-vm-1 in managementsubnet-1
  • privatenet-vm-1 in privatesubnet-1

Crea l'istanza managementnet-vm-1

Per creare l'istanza managementnet-vm-1, utilizza la console Cloud.

  1. Nella console Cloud, nel menu di navigazione (☰), fai clic su Compute Engine > Istanze VM, quindi fai clic su Crea istanza.

    Compila i campi come segue, lasciando invariato il valore predefinito per tutti gli altri campi:

  2. Nella Configurazione macchina.

    Seleziona i valori seguenti:

    Proprietà Valore (digita il valore o seleziona l'opzione come specificato)
    Nome managementnet-vm-1
    Regione
    Zona
    Serie E2
    Tipo di macchina e2-micro (2 vCPU, 1 GB di memoria)

  3. Fai clic su Sistema operativo e spazio di archiviazione.

    Fai clic su Cambia per iniziare a configurare il disco di avvio:

    • Assicurati che il disco di avvio sia configurato per Debian GNU/Linux 12 (bookworm).

    Fai clic su Seleziona.

  4. Fai clic su Networking.

    In Interfacce di rete, fai clic sulla freccia del menu a discesa per modificare.

    Specifica quanto segue e non modificare le altre impostazioni predefinite:

    Proprietà Valore (digita il valore o seleziona l'opzione come specificato)
    Rete managementnet
    Subnet managementsubnet-1
Nota: sono visualizzate solo le subnet disponibili nella regione selezionata.

  1. Fai clic su Fine.

  2. Fai clic su Codice equivalente.

    Questo comando mostra che le istanze VM si possono creare anche utilizzando la riga di comando gcloud. Per creare l'istanza privatenet-vm-1 utilizzerai questi comandi con parametri simili.

  3. Fai clic su Chiudi.

  4. Fai clic su Crea.

Crea l'istanza privatenet-vm-1

Crea l'istanza privatenet-vm-1 utilizzando la riga di comando gcloud.

  1. Torna a Cloud Shell. Se necessario, fai clic su Attiva Cloud Shell (Icona Attiva Cloud Shell).
  2. Per creare l'istanza privatenet-vm-1, esegui questo comando:
gcloud compute instances create privatenet-vm-1 --zone={{{project_0.default_zone|Zone 1}}} --machine-type=e2-micro --subnet=privatesubnet-1 --image-family=debian-12 --image-project=debian-cloud --boot-disk-size=10GB --boot-disk-type=pd-standard --boot-disk-device-name=privatenet-vm-1
  1. Per elencare tutte le istanze VM (ordinate per zona), esegui questo comando:
gcloud compute instances list --sort-by=ZONE
  1. Nella console Cloud, nel menu di navigazione (Menu di navigazione), fai clic su Compute Engine > Istanze VM.

Verifica che le istanze VM siano elencate nella console Cloud.

  1. Per Colonne, seleziona Zona.

    Esistono tre istanze in e un'istanza in . Tuttavia, queste istanze sono distribuite in tre reti VPC (managementnet, mynetwork e privatenet) e nessuna istanza si trova nella stessa zona e nella stessa rete di un'altra. Nell'attività successiva esaminerai l'effetto di questa configurazione sulla connettività interna.

Fai clic su Controlla i miei progressi per verificare l'obiettivo. Crea istanze VM.

Nota: puoi consultare altre informazioni sul networking di ogni istanza VM facendo clic sul link nic0 nella colonna IP interno. La pagina dei dettagli dell'interfaccia di rete restituita mostra la subnet oltre all'intervallo IP CIDR, alle regole firewall e alle route che si applicano all'istanza, nonché altre analisi della rete.

Attività 4: esplora la connettività tra le reti

Puoi esplorare la connettività tra le istanze VM. Determina, in particolare, la differenza tra collocare le istanze VM nella stessa zona o nella stessa rete VPC.

Invia un ping agli indirizzi IP esterni

Invia un ping agli indirizzi IP esterni delle istanze VM per determinare se puoi raggiungerle dalla rete internet pubblica.

  1. Nella console Cloud, nel menu di navigazione, fai clic su Compute Engine > Istanze VM.
    Annota gli indirizzi IP esterni per mynet-vm-2, managementnet-vm-1 e privatenet-vm-1.
  2. Per mynet-vm-1, fai clic su SSH per avviare un terminale e stabilire la connessione.
  3. Per verificare la connettività all'IP esterno di mynet-vm-2, esegui questo comando, sostituendo l'IP esterno di mynet-vm-2:
ping -c 3 <Enter mynet-vm-2's external IP here>

Questa operazione dovrebbe andare a buon fine.

  1. Per verificare la connettività all'IP esterno di managementnet-vm-1, esegui questo comando, sostituendo l'IP esterno di managementnet-vm-1:
ping -c 3 <Enter managementnet-vm-1's external IP here>

Questa operazione dovrebbe andare a buon fine.

  1. Per verificare la connettività all'IP esterno di privatenet-vm-1, esegui questo comando, sostituendo l'IP esterno di privatenet-vm-1:
ping -c 3 <Enter privatenet-vm-1's external IP here>

Questa operazione dovrebbe andare a buon fine.

Nota: puoi inviare un ping all'indirizzo IP esterno di tutte le istanze VM anche se si trovano in una zona o una rete VPC diversa. In questo modo verifichi che l'accesso pubblico a queste istanze è controllato solo dalle regole ICMP che hai stabilito in precedenza.

Invia un ping agli indirizzi IP interni

Invia un ping agli indirizzi IP interni delle istanze VM per determinare se puoi raggiungere le istanze dall'interno di una rete VPC.

  1. Nella console Cloud, nel menu di navigazione, fai clic su Compute Engine > Istanze VM.
    Annota gli indirizzi IP interni per mynet-vm-2, managementnet-vm-1 e privatenet-vm-1.
  2. Torna al terminale SSH per mynet-vm-1.
  3. Per verificare la connettività all'IP interno di mynet-vm-2, esegui questo comando, sostituendo l'IP interno di mynet-vm-2:
ping -c 3 <Enter mynet-vm-2's internal IP here> Nota: puoi inviare un ping all'indirizzo IP interno di mynet-vm-1 poiché si trova sulla stessa rete VPC della sorgente del ping (mynet-vm-1), anche se entrambe le istanze VM sono in zone, regioni e continenti diversi.
  1. Per verificare la connettività all'IP interno di managementnet-vm-1, esegui questo comando, sostituendo l'IP interno di managementnet-vm-1:
ping -c 3 <Enter managementnet-vm-1's internal IP here> Nota: questa operazione non dovrebbe andare a buon fine, come indica la perdita di pacchetti del 100%.
  1. Per verificare la connettività all'IP interno di privatenet-vm-1, esegui questo comando, sostituendo l'IP interno di privatenet-vm-1:
ping -c 3 <Enter privatenet-vm-1's internal IP here> Nota: nemmeno questa operazione dovrebbe andare a buon fine, come indica la perdita di pacchetti del 100%. Non puoi inviare un ping all'indirizzo IP interno di managementnet-vm-1 e privatenet-vm-1 in quanto si trovano in reti VPC diverse rispetto alla sorgente del ping (mynet-vm-1), anche se si trovano tutte nella stessa zona.

Attività 5: rivedi

In questo lab hai esplorato la rete predefinita e stabilito che non puoi creare istanze VM senza una rete VPC. Hai quindi creato una nuova rete VPC in modalità automatica con subnet, route, regole firewall e due istanze VM, oltre ad aver testato la connettività per le istanze VM. Poiché la rete in modalità automatica non è consigliata per la produzione, l'hai convertita in una rete in modalità personalizzata.

Successivamente, hai creato altre due reti VPC in modalità personalizzata con regole firewall e istanze VM usando la console Cloud e la riga di comando gcloud. Poi hai eseguito un test della connettività nelle reti VPC, verificando che funziona quando invii un ping agli indirizzi IP esterni ma non quando lo invii agli indirizzi IP interni.

Per impostazione predefinita, le reti VPC sono domini di rete privati isolati. Pertanto, le comunicazioni verso gli indirizzi IP interni non sono consentite tra le reti a meno che non vengano impostati meccanismi come il peering VPC o VPN.

Vediamo le analogie tra AWS e Google Cloud:

  • Sia in AWS che in Google Cloud, al momento della creazione dell'account, ottieni un VPC predefinito, preconfigurato e pronto per essere utilizzato, ma puoi anche creare e configurare VPC personalizzati in base a esigenze più specifiche, come la dimensione delle subnet. In AWS questi prendono il nome di VPC non predefiniti.
  • Puoi seguire diversi approcci e best practice per garantire la sicurezza della rete. Un metodo consiste nel creare una serie di regole firewall VPC per consentire o negare le connessioni da o verso la tua macchina virtuale (VM) o le tue istanze EC2 in base a una configurazione da te specificata. Ogni regola firewall si applica alle connessioni in entrata o in uscita. Inoltre, le regole firewall possono consentire o negare il traffico e sono stateful, ovvero tengono traccia dello stato delle connessioni di rete.

È importante anche conoscere le differenze tra Google Cloud e AWS:

  • In Google Cloud, un VPC è un servizio globale, mentre in AWS è regionale. Un VPC di Google Cloud può coprire varie regioni e connettere perfettamente le risorse in varie aree geografiche.
  • In Google Cloud, i blocchi CIDR (Classless Inter-Domain Routing) sono definiti a livello di subnet, anziché a livello di VPC.
  • Anche le subnet hanno diversi ambiti: in Google Cloud, sono regionali e coprono più zone, mentre in AWS, sono limitate a una sola zona di disponibilità.
  • Un'altra importante differenza tra i VPC di Amazon e i VPC di Google Cloud sono le modalità di deployment dei VPC: in AWS, oltre ai VPC predefiniti, puoi creare VPC non predefiniti, ovvero VPC che imposti e configuri nel dettaglio, incluse le subnet e le zone di disponibilità che vuoi utilizzare. In Google Cloud, puoi creare VPC in modalità automatica o personalizzata: quando crei una rete VPC in modalità automatica in Google Cloud, al suo interno viene creata automaticamente una subnet per ogni regione con una serie di intervalli IPv4 predefiniti per le subnet, mentre nella rete VPC in modalità personalizzata, non viene creata automaticamente alcuna subnet, lasciandoti il pieno controllo sulle subnet e sugli intervalli IP. Puoi decidere tu quali subnet creare nelle regioni di tua scelta utilizzando gli intervalli IP da te specificati.

Termina il lab

Una volta completato il lab, fai clic su Termina lab. Google Cloud Skills Boost rimuove le risorse che hai utilizzato ed esegue la pulizia dell'account.

Avrai la possibilità di inserire una valutazione in merito alla tua esperienza. Seleziona il numero di stelle applicabile, inserisci un commento, quindi fai clic su Invia.

Il numero di stelle corrisponde alle seguenti valutazioni:

  • 1 stella = molto insoddisfatto
  • 2 stelle = insoddisfatto
  • 3 stelle = esperienza neutra
  • 4 stelle = soddisfatto
  • 5 stelle = molto soddisfatto

Se non vuoi lasciare un feedback, chiudi la finestra di dialogo.

Per feedback, suggerimenti o correzioni, utilizza la scheda Assistenza.

Copyright 2020 Google LLC Tutti i diritti riservati. Google e il logo Google sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.

Prima di iniziare

  1. I lab creano un progetto e risorse Google Cloud per un periodo di tempo prestabilito
  2. I lab hanno un limite di tempo e non possono essere messi in pausa. Se termini il lab, dovrai ricominciare dall'inizio.
  3. In alto a sinistra dello schermo, fai clic su Inizia il lab per iniziare

Utilizza la navigazione privata

  1. Copia il nome utente e la password forniti per il lab
  2. Fai clic su Apri console in modalità privata

Accedi alla console

  1. Accedi utilizzando le tue credenziali del lab. L'utilizzo di altre credenziali potrebbe causare errori oppure l'addebito di costi.
  2. Accetta i termini e salta la pagina di ripristino delle risorse
  3. Non fare clic su Termina lab a meno che tu non abbia terminato il lab o non voglia riavviarlo, perché il tuo lavoro verrà eliminato e il progetto verrà rimosso

Questi contenuti non sono al momento disponibili

Ti invieremo una notifica via email quando sarà disponibile

Bene.

Ti contatteremo via email non appena sarà disponibile

Un lab alla volta

Conferma per terminare tutti i lab esistenti e iniziare questo

Utilizza la navigazione privata per eseguire il lab

Utilizza una finestra del browser in incognito o privata per eseguire questo lab. In questo modo eviterai eventuali conflitti tra il tuo account personale e l'account Studente, che potrebbero causare addebiti aggiuntivi sul tuo account personale.