GSP062

Übersicht

In diesem praxisorientierten Lab erfahren Sie, wie Sie ein VPN mit hohem Durchsatz erstellen und die Geschwindigkeit testen.

Eine sichere Kommunikation zwischen Google Cloud und anderen Cloud- oder lokalen Systemen ist von entscheidender Bedeutung. Google Cloud macht es Ihnen leicht, IPsec-VPNs (Internet Protocol Security Virtual Private Networks) zu erstellen, um dieses Ziel zu erreichen. Wenn ein einzelner Tunnel den erforderlichen Durchsatz nicht leisten kann, verteilt Google Cloud den Traffic gleichmäßig über mehrere Tunnel, um zusätzliche Bandbreite zu schaffen.

Lernziele

Aufgaben in diesem Lab:

• VPN erstellen

  • Eine Virtual Private Cloud (VPC) mit dem Namen cloud erstellen, um das Google Cloud-Netzwerk zu simulieren, sowie eine VPC mit dem Namen on-prem erstellen, um ein externes Netzwerk zu simulieren
  • VPN-Gateways, Weiterleitungsregeln und Adressen für die cloud-VPC erstellen
  • Einen Tunnel für das neue VPN einrichten und den Traffic durch diesen Tunnel leiten
  • Ein zweites VPN anlegen, indem Sie den VPN-Erstellungsvorgang für die VPC on-prem wiederholen

• VPNs testen

  • Eine virtuelle Maschine (VM) mit der Compute Engine zum Testen von Durchsatzlasten erstellen
  • Die Durchsatzgeschwindigkeit eines einzelnen VPN mit iperf testen

Vorbereitung

Für einen maximalen Lernerfolg empfehlen wir für dieses Lab Folgendes:

• Machen Sie sich mit dem Erstellen eines VPN mithilfe von Google Cloud vertraut.
• Lesen Sie die Übersicht zu VPC-Netzwerken.

Einrichtung und Anforderungen

Vor dem Klick auf „Start Lab“ (Lab starten)

Lesen Sie diese Anleitung. Labs sind zeitlich begrenzt und können nicht pausiert werden. Der Timer beginnt zu laufen, wenn Sie auf Lab starten klicken, und zeigt Ihnen, wie lange Google Cloud-Ressourcen für das Lab verfügbar sind.

In diesem praxisorientierten Lab können Sie die Lab-Aktivitäten in einer echten Cloud-Umgebung durchführen – nicht in einer Simulations- oder Demo-Umgebung. Dazu erhalten Sie neue, temporäre Anmeldedaten, mit denen Sie für die Dauer des Labs auf Google Cloud zugreifen können.

Für dieses Lab benötigen Sie Folgendes:

• Einen Standardbrowser (empfohlen wird Chrome)

Hinweis: Nutzen Sie den privaten oder Inkognitomodus (empfohlen), um dieses Lab durchzuführen. So wird verhindert, dass es zu Konflikten zwischen Ihrem persönlichen Konto und dem Teilnehmerkonto kommt und zusätzliche Gebühren für Ihr persönliches Konto erhoben werden.

• Zeit für die Durchführung des Labs – denken Sie daran, dass Sie ein begonnenes Lab nicht unterbrechen können.

Hinweis: Verwenden Sie für dieses Lab nur das Teilnehmerkonto. Wenn Sie ein anderes Google Cloud-Konto verwenden, fallen dafür möglicherweise Kosten an.

Lab starten und bei der Google Cloud Console anmelden

1. Klicken Sie auf Lab starten. Wenn Sie für das Lab bezahlen müssen, wird ein Dialogfeld geöffnet, in dem Sie Ihre Zahlungsmethode auswählen können. Auf der linken Seite befindet sich der Bereich „Details zum Lab“ mit diesen Informationen:

   • Schaltfläche „Google Cloud Console öffnen“
   • Restzeit
   • Temporäre Anmeldedaten für das Lab
   • Ggf. weitere Informationen für dieses Lab

2. Klicken Sie auf Google Cloud Console öffnen (oder klicken Sie mit der rechten Maustaste und wählen Sie Link in Inkognitofenster öffnen aus, wenn Sie Chrome verwenden).

   Im Lab werden Ressourcen aktiviert. Anschließend wird ein weiterer Tab mit der Seite „Anmelden“ geöffnet.

   Tipp: Ordnen Sie die Tabs nebeneinander in separaten Fenstern an.

   Hinweis: Wird das Dialogfeld Konto auswählen angezeigt, klicken Sie auf Anderes Konto verwenden.

3. Kopieren Sie bei Bedarf den folgenden Nutzernamen und fügen Sie ihn in das Dialogfeld Anmelden ein.

   {{{user_0.username | "Username"}}}

   Sie finden den Nutzernamen auch im Bereich „Details zum Lab“.

4. Klicken Sie auf Weiter.

5. Kopieren Sie das folgende Passwort und fügen Sie es in das Dialogfeld Willkommen ein.

   {{{user_0.password | "Password"}}}

   Sie finden das Passwort auch im Bereich „Details zum Lab“.

6. Klicken Sie auf Weiter.

   Wichtig: Sie müssen die für das Lab bereitgestellten Anmeldedaten verwenden. Nutzen Sie nicht die Anmeldedaten Ihres Google Cloud-Kontos. Hinweis: Wenn Sie Ihr eigenes Google Cloud-Konto für dieses Lab nutzen, können zusätzliche Kosten anfallen.

7. Klicken Sie sich durch die nachfolgenden Seiten:

   • Akzeptieren Sie die Nutzungsbedingungen.
   • Fügen Sie keine Wiederherstellungsoptionen oder Zwei-Faktor-Authentifizierung hinzu (da dies nur ein temporäres Konto ist).
   • Melden Sie sich nicht für kostenlose Testversionen an.

Nach wenigen Augenblicken wird die Google Cloud Console in diesem Tab geöffnet.

Hinweis: Wenn Sie auf Google Cloud-Produkte und ‑Dienste zugreifen möchten, klicken Sie auf das Navigationsmenü oder geben Sie den Namen des Produkts oder Dienstes in das Feld Suchen ein.

Cloud Shell aktivieren

Cloud Shell ist eine virtuelle Maschine, auf der Entwicklertools installiert sind. Sie bietet ein Basisverzeichnis mit 5 GB nichtflüchtigem Speicher und läuft auf Google Cloud. Mit Cloud Shell erhalten Sie Befehlszeilenzugriff auf Ihre Google Cloud-Ressourcen.

1. Klicken Sie oben in der Google Cloud Console auf Cloud Shell aktivieren .

2. Klicken Sie sich durch die folgenden Fenster:

   • Fahren Sie mit dem Informationsfenster zu Cloud Shell fort.
   • Autorisieren Sie Cloud Shell, Ihre Anmeldedaten für Google Cloud API-Aufrufe zu verwenden.

Wenn eine Verbindung besteht, sind Sie bereits authentifiziert und das Projekt ist auf Project_ID, eingestellt. Die Ausgabe enthält eine Zeile, in der die Project_ID für diese Sitzung angegeben ist:

Ihr Cloud-Projekt in dieser Sitzung ist festgelegt als {{{project_0.project_id | "PROJECT_ID"}}}

gcloud ist das Befehlszeilentool für Google Cloud. Das Tool ist in Cloud Shell vorinstalliert und unterstützt die Tab-Vervollständigung.

3. (Optional) Sie können den aktiven Kontonamen mit diesem Befehl auflisten:

gcloud auth list

4. Klicken Sie auf Autorisieren.

Ausgabe:

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} Um das aktive Konto festzulegen, führen Sie diesen Befehl aus: $ gcloud config set account `ACCOUNT`

5. (Optional) Sie können die Projekt-ID mit diesem Befehl auflisten:

gcloud config list project

Ausgabe:

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} Hinweis: Die vollständige Dokumentation für gcloud finden Sie in Google Cloud in der Übersicht zur gcloud CLI.

Aufgabe 1: VPC „cloud“ erstellen

In diesem Abschnitt werden Sie:

• eine VPC erstellen, um Ihr Cloud-Produktionsnetzwerk zu simulieren
• gängige Arten von Traffic durch die VPC zulassen
• ein Subnetz zur Bereitstellung von Hosts erstellen

1. Erstellen Sie in Cloud Shell mit dem folgenden Befehl die benutzerdefinierte VPC cloud, die Ihrem Google Cloud-Projekt zugeordnet ist:

gcloud compute networks create cloud --subnet-mode custom

Diese VPC ermöglicht Ihnen die Verwendung von benutzerdefinierten IP-Adressen, enthält jedoch keine standardmäßigen Firewallregeln.

2. Führen Sie den folgenden Befehl aus, um SSH und icmp zu aktivieren. Dies ist erforderlich, da für die Kommunikation mit VMs während der Lasttests eine sichere Shell benötigt wird.

gcloud compute firewall-rules create cloud-fw --network cloud --allow tcp:22,tcp:5001,udp:5001,icmp

3. Erstellen Sie innerhalb dieser VPC ein Subnetz und geben Sie dabei eine Region sowie einen IP-Bereich an:

gcloud compute networks subnets create cloud-east --network cloud \ --range 10.0.1.0/24 --region {{{project_0.default_region_2 | REGION2}}}

In dieser Lösung verwenden Sie die Region und den IP-Bereich 10.0.1.0/24.

Aufgabe 2: VPC „on-prem“ erstellen

In diesem Abschnitt erstellen Sie eine Simulation Ihrer on-prem-VPC oder eines beliebigen Netzwerks, das Sie mit cloud verbinden möchten. Normalerweise würden Sie hier bereits über Ressourcen verfügen, aber für den Zweck dieses Labs führen Sie die folgenden Schritte aus, um Tunnel zu erstellen und Konfigurationen zu validieren:

1. Erstellen Sie in Cloud Shell die benutzerdefinierte Subnetz-VPC on-prem, die Ihrem Projekt zugeordnet ist:

gcloud compute networks create on-prem --subnet-mode custom

2. Führen Sie den folgenden Befehl aus, um SSH und icmp für Hosts im VPC on-prem zu aktivieren. Dies ist erforderlich, da für die Kommunikation mit VMs während der Lasttests eine sichere Shell benötigt wird.

gcloud compute firewall-rules create on-prem-fw --network on-prem --allow tcp:22,tcp:5001,udp:5001,icmp

3. Geben Sie jetzt das Subnetzpräfix für die Region an:

gcloud compute networks subnets create on-prem-central \ --network on-prem --range 192.168.1.0/24 --region {{{project_0.default_region |REGION}}} Hinweis: In diesem Beispiel weisen Sie der Region den Bereich 192.168.1.0/24 zu. Zwei benutzerdefinierte VPCs mit Subnetzwerken und Firewallregeln erstellen

Aufgabe 3: VPN-Gateways erstellen

Jede Umgebung erfordert VPN-Gateways für eine sichere externe Kommunikation. Führen Sie diese Schritte aus, um die ersten Gateways für Ihre VPCs „cloud“ und on-prem anzulegen:

1. Erstellen Sie in Cloud Shell ein VPN-Gateway mit dem Namen on-prem-gw1 in der VPC on-prem und in der Region :

gcloud compute target-vpn-gateways create on-prem-gw1 --network on-prem --region {{{project_0.default_region |REGION}}}

2. Richten Sie als Nächstes ein VPN-Gateway mit dem Namen cloud-gw1 in der VPC cloud und in der Region ein:

gcloud compute target-vpn-gateways create cloud-gw1 --network cloud --region {{{project_0.default_region_2 | REGION2}}}

Aufgabe 4: Routenbasierten VPN-Tunnel zwischen lokalen Netzwerken und Google Cloud-Netzwerken erstellen

Jedes VPN-Gateway benötigt eine statische externe IP-Adresse, damit Systeme außerhalb der VPC mit dem Gateway kommunizieren können. Nachfolgend legen Sie die IP-Adressen und Routen in den VPCs „cloud“ und on-prem fest.

1. Weisen Sie in Cloud Shell dem VPN-Gateway cloud-gw1 die IP-Adresse zu:

gcloud compute addresses create cloud-gw1 --region {{{project_0.default_region_2 | REGION2}}}

2. Weisen Sie anschließend dem VPN-Gateway on-prem-gw1 die IP-Adresse zu:

gcloud compute addresses create on-prem-gw1 --region {{{project_0.default_region |REGION}}}

3. Speichern Sie die Gateway-Adressen – sie werden in späteren Befehlen noch benötigt.

Zuerst für das Gateway cloud-gw1:

cloud_gw1_ip=$(gcloud compute addresses describe cloud-gw1 \ --region {{{project_0.default_region_2 | REGION2}}} --format='value(address)')

Daraufhin für das Gateway on-prem-gw1:

on_prem_gw_ip=$(gcloud compute addresses describe on-prem-gw1 \ --region {{{project_0.default_region |REGION}}} --format='value(address)')

4. Als Nächstes erstellen Sie Weiterleitungsregeln für IPsec in der VPC cloud. Es sind Weiterleitungsregeln in beide Richtungen erforderlich.

Leiten Sie das ESP-Protokoll (Encapsulating Security Payload) aus cloud-gw1 weiter:

gcloud compute forwarding-rules create cloud-1-fr-esp --ip-protocol ESP \ --address $cloud_gw1_ip --target-vpn-gateway cloud-gw1 --region {{{project_0.default_region_2 | REGION2}}}

Leiten Sie UDP:500-Traffic aus „cloud-gw1“ weiter:

gcloud compute forwarding-rules create cloud-1-fr-udp500 --ip-protocol UDP \ --ports 500 --address $cloud_gw1_ip --target-vpn-gateway cloud-gw1 --region {{{project_0.default_region_2 | REGION2}}}

Leiten Sie UDP:4500-Traffic aus „cloud-gw1“ weiter:

gcloud compute forwarding-rules create cloud-fr-1-udp4500 --ip-protocol UDP \ --ports 4500 --address $cloud_gw1_ip --target-vpn-gateway cloud-gw1 --region {{{project_0.default_region_2 | REGION2}}}

5. Erstellen Sie mit der gleichen Methode Firewall-Weiterleitungsregeln für den IPsec-Tunnel in der VPC on-prem. Dieser Schritt ermöglicht es dem IPsec-Tunnel, Ihre Firewalls zu passieren:

Leiten Sie das ESP-Protokoll aus on-prem-gw1 weiter:

gcloud compute forwarding-rules create on-prem-fr-esp --ip-protocol ESP \ --address $on_prem_gw_ip --target-vpn-gateway on-prem-gw1 --region {{{project_0.default_region |REGION}}}

Leiten Sie den Traffic UDP:500 weiter, der für das Erstellen des IPsec-Tunnels aus „on-prem-gw1“ verwendet wurde:

gcloud compute forwarding-rules create on-prem-fr-udp500 --ip-protocol UDP --ports 500 \ --address $on_prem_gw_ip --target-vpn-gateway on-prem-gw1 --region {{{project_0.default_region |REGION}}}

Leiten Sie den Traffic UDP:4500 weiter, der den verschlüsselten Traffic aus on-prem-gw1 überträgt:

gcloud compute forwarding-rules create on-prem-fr-udp4500 --ip-protocol UDP --ports 4500 \ --address $on_prem_gw_ip --target-vpn-gateway on-prem-gw1 --region {{{project_0.default_region |REGION}}} Zwei VPN-Gateways und die erforderlichen Weiterleitungsregeln erstellen

Im nächsten Schritt erstellen und validieren Sie die Tunnel on-prem-tunnel1 und cloud-tunnel1. Normalerweise müssten Sie dazu ein Secret anlegen. Details zum Erstellen und sicheren Speichern von Secrets finden Sie in der Übersicht zu Secret Manager. Im vorliegenden Fall verwenden Sie jedoch einfach den String „sharedsecret“.

Erstellen Sie einen Tunnel für das lokale Netzwerk on-prem-tunnel1 und für das cloudbasierte Netzwerk cloud-tunnel1. Jedes Netzwerk muss ein VPN-Gateway haben und die Secrets müssen übereinstimmen. Ersetzen Sie in den beiden folgenden Befehlen [MY_SECRET] durch „sharedsecret“. In einer Produktionsumgebung müssen Sie dafür das generierte Secret angeben.

6. Erstellen Sie den VPN-Tunnel von on-prem zu cloud:

gcloud compute vpn-tunnels create on-prem-tunnel1 --peer-address $cloud_gw1_ip \ --target-vpn-gateway on-prem-gw1 --ike-version 2 --local-traffic-selector 0.0.0.0/0 \ --remote-traffic-selector 0.0.0.0/0 --shared-secret=[MY_SECRET] --region {{{project_0.default_region |REGION}}}

7. Erstellen Sie den VPN-Tunnel von „cloud“ zu „on-prem“:

gcloud compute vpn-tunnels create cloud-tunnel1 --peer-address $on_prem_gw_ip \ --target-vpn-gateway cloud-gw1 --ike-version 2 --local-traffic-selector 0.0.0.0/0 \ --remote-traffic-selector 0.0.0.0/0 --shared-secret=[MY_SECRET] --region {{{project_0.default_region_2 | REGION2}}}

Nachdem Sie nun die Gateways und Tunnel angelegt haben, müssen Sie als Nächstes Routen aus den Subnetzen über die beiden Tunnel hinzufügen.

8. Leiten Sie Traffic von der VPC on-prem zum Bereich cloud 10.0.1.0/24 in den Tunnel weiter:

gcloud compute routes create on-prem-route1 --destination-range 10.0.1.0/24 \ --network on-prem --next-hop-vpn-tunnel on-prem-tunnel1 \ --next-hop-vpn-tunnel-region {{{project_0.default_region |REGION}}}

9. Leiten Sie Traffic von der VPC cloud zum Bereich on-prem 192.168.1.0/24 in den Tunnel weiter:

gcloud compute routes create cloud-route1 --destination-range 192.168.1.0/24 \ --network cloud --next-hop-vpn-tunnel cloud-tunnel1 --next-hop-vpn-tunnel-region {{{project_0.default_region_2 | REGION2}}} Zwei VPN-Tunnel erstellen

Aufgabe 5: Durchsatz über VPN testen

Sie haben nun einen sicheren Pfad zwischen den VPCs „on-prem“ und „cloud“ erstellt. Den Durchsatz prüfen Sie mit iperf, einem Open-Source-Tool zum Testen von Netzwerklasten. Dazu benötigen Sie in jeder Umgebung jeweils eine VM – eine zum Senden und eine zum Empfangen von Traffic.

Lastentest einzelner VPNs

Erstellen Sie nun für die VPC „cloud“ eine virtuelle Maschine mit dem Namen cloud-loadtest. In diesem Beispiel wird für das Betriebssystem ein Debian Linux-Image verwendet.

Hinweis: Wenn Sie bereits ein Projekt haben, können Sie diesen Schritt überspringen und die vorhandenen Ressourcen nutzen. Die Bandbreite für eine VM beträgt 2 Gbit/s * vCPUs. Sie benötigen also mindestens 4 vCPUs.

1. Führen Sie den folgenden Befehl aus:

gcloud compute instances create "cloud-loadtest" --zone {{{project_0.default_zone_2 |ZONE2}}} \ --machine-type "e2-standard-4" --subnet "cloud-east" \ --image-family "debian-11" --image-project "debian-cloud" --boot-disk-size "10" \ --boot-disk-type "pd-standard" --boot-disk-device-name "cloud-loadtest"

2. Erstellen Sie für die VPC on-prem eine virtuelle Maschine und geben Sie ihr den Namen on-prem-loadtest. In diesem Beispiel wird dasselbe Debian-Image wie für die VPC „cloud“ verwendet. Wenn bereits Ressourcen vorhanden sind, können Sie diesen Schritt überspringen.

Führen Sie den folgenden Befehl aus:

gcloud compute instances create "on-prem-loadtest" --zone {{{project_0.default_zone |ZONE}}} \ --machine-type "e2-standard-4" --subnet "on-prem-central" \ --image-family "debian-11" --image-project "debian-cloud" --boot-disk-size "10" \ --boot-disk-type "pd-standard" --boot-disk-device-name "on-prem-loadtest"

3. Stellen Sie mit der Console oder der Befehlszeile eine SSH-Verbindung zu jeder VM her. Installieren Sie mit dem folgenden Befehl eine Kopie von iperf:

sudo apt-get install iperf

4. Führen Sie auf der VM on-prem-loadtest folgenden Befehl aus:

iperf -s -i 5

Sie haben nun einen „iperf“-Server auf der VM erstellt, der alle fünf Sekunden seinen Status meldet.

5. Führen Sie auf der VM cloud-loadtest den folgenden Befehl aus:

iperf -c 192.168.1.2 -P 20 -x C

Damit wird ein „iperf“-Client mit 20 Streams erstellt, der nach zehn Sekunden Testdauer die Messwerte anzeigt.

Zwei VMs erstellen und „iperf“ über SSH installieren

Fehlerbehebung bei Problemen

Hinweis: Dies ist nicht Teil der Lab-Anleitung.

1. Wenn beim Erstellen der Tunnel für das lokale Netzwerk [MY_SECRET] nicht durch „sharedsecret“ ersetzt wurde:

Sie können die erstellten VPN-Tunnel mit dem folgenden Befehl löschen:

gcloud compute vpn-tunnels delete [tunnel-name] --region [region]

• Ersetzen Sie [tunnel-name] durch den Namen des Tunnels.
• Ersetzen Sie [region] durch die Region, die beim Erstellen des Tunnels festgelegt wurde.

2. Wenn Probleme beim Lasttest einzelner VPNs auftreten:

• Prüfen Sie, ob „iperf“ auf beiden VMs installiert ist.

• Wenn die Verbindung nicht hergestellt werden kann, prüfen Sie Folgendes:

  • Firewallregeln für die erstellten Netzwerke (tcp:5001)
  • Ordnungsgemäße Ausführung des Servers auf on-prem-loadtest
  • Es wird versucht, eine Verbindung zum Server über cloud-loadtest herzustellen

3. Wenn Sie die in der Console erstellten Weiterleitungsregeln aufrufen möchten:

• Gehen Sie im Navigationsmenü zum Abschnitt „Netzwerk“.
• Klicken Sie auf Netzwerkverbindung > VPN.
• Klicken Sie auf das Cloud VPN-Gateway, um die Seite mit den Details aufzurufen.

Das wars! Sie haben das Lab erfolgreich abgeschlossen.

In diesem Lab haben Sie erfolgreich ein VPN mit hohem Durchsatz zwischen zwei simulierten Netzwerken erstellt: einer Cloud-VPC und einer lokalen VPC. Sie haben gelernt, wie Sie benutzerdefinierte VPCs erstellen, VPN-Gateways konfigurieren, sichere IPsec-Tunnel einrichten und Traffic durch diese Tunnel leiten. Zum Schluss haben Sie den Durchsatz Ihres VPN mit iperf getestet, um die Leistung zu validieren.

Nächste Schritte

• In der Dokumentation zu Cloud Router mehr über den Einsatz von Border Gateway Protocol (BGP) und erhöhte Fehlertoleranz erfahren
• Mehr über Cloud Interconnect und Hybridkonnektivität erfahren
• VPN-Gateways mit Cloud Monitoring überwachen
• Weitere Google Cloud-Funktionen mit unseren Anleitungen ausprobieren

Google Cloud-Schulungen und -Zertifizierungen

In unseren Schulungen erfahren Sie alles zum optimalen Einsatz unserer Google Cloud-Technologien und können sich entsprechend zertifizieren lassen. Unsere Kurse vermitteln technische Fähigkeiten und Best Practices, damit Sie möglichst schnell mit Google Cloud loslegen und Ihr Wissen fortlaufend erweitern können. Wir bieten On-Demand-, Präsenz- und virtuelle Schulungen für Anfänger wie Fortgeschrittene an, die Sie individuell in Ihrem eigenen Zeitplan absolvieren können. Mit unseren Zertifizierungen weisen Sie nach, dass Sie Experte im Bereich Google Cloud-Technologien sind.

Anleitung zuletzt am 30. März 2025 aktualisiert

Lab zuletzt am 25. Februar 2025 getestet

© 2025 Google LLC. Alle Rechte vorbehalten. Google und das Google-Logo sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen können Marken der jeweils mit ihnen verbundenen Unternehmen sein.