arrow_back

Creazione di una VPN con throughput elevato

Accedi Partecipa
Accedi a oltre 700 lab e corsi

Creazione di una VPN con throughput elevato

Lab 1 ora universal_currency_alt 7 crediti show_chart Avanzati
info Questo lab potrebbe incorporare strumenti di AI a supporto del tuo apprendimento.
Accedi a oltre 700 lab e corsi

GSP062

Logo dei self-paced lab di Google Cloud

Panoramica

Questo lab pratico ti mostrerà come creare una VPN sicura con throughput elevato e testarne la velocità.

La comunicazione sicura tra Google Cloud e altri cloud o sistemi on-premise è un'esigenza critica comune. Fortunatamente, Google Cloud semplifica la creazione di reti private virtuali (VPN) IPsec (Internet Protocol security) sicure per raggiungere questo obiettivo. Se un singolo tunnel non fornisce il throughput necessario, Google Cloud può distribuire facilmente il traffico su più tunnel per offrire larghezza di banda aggiuntiva.

Obiettivi

In questo lab imparerai a:

  • Creare la VPN

    • Crea un Virtual Private Cloud (VPC) denominato cloud per simulare la tua rete Google Cloud e un VPC denominato on-prem (on-premise) per simulare una rete esterna.
    • Crea gateway VPN, regole di forwarding e indirizzi per il VPC cloud.
    • Crea un tunnel per la nuova VPN e instrada il traffico al suo interno.
    • Ripeti il processo di creazione della VPN per il VPC on-prem, creando una seconda VPN.

  • Testare le VPN

    • Crea una macchina virtuale (VM) utilizzando Compute Engine per i test di carico del throughput.
    • Testa la velocità di throughput di una singola VPN utilizzando iperf.

Prerequisiti

Per ottimizzare l'apprendimento, procedi come segue:

Configurazione e requisiti

Prima di fare clic sul pulsante Avvia lab

Leggi le seguenti istruzioni. I lab sono a tempo e non possono essere messi in pausa. Il timer si avvia quando fai clic su Inizia il lab e ti mostra per quanto tempo avrai a disposizione le risorse Google Cloud.

Con questo lab pratico avrai la possibilità di completare le attività in un ambiente cloud reale e non di simulazione o demo. Riceverai delle nuove credenziali temporanee che potrai utilizzare per accedere a Google Cloud per la durata del lab.

Per completare il lab, avrai bisogno di:

  • Accesso a un browser internet standard (Chrome è il browser consigliato).
Nota: per eseguire questo lab, utilizza una finestra del browser in modalità di navigazione in incognito (consigliata) o privata. Ciò evita conflitti tra il tuo account personale e l'account studente, che potrebbero causare addebiti aggiuntivi sul tuo account personale.
  • È ora di completare il lab: ricorda che, una volta iniziato, non puoi metterlo in pausa.
Nota: utilizza solo l'account studente per questo lab. Se utilizzi un altro account Google Cloud, potrebbero essere addebitati costi su quell'account.

Come avviare il lab e accedere alla console Google Cloud

  1. Fai clic sul pulsante Avvia lab. Se devi effettuare il pagamento per il lab, si aprirà una finestra di dialogo per permetterti di selezionare il metodo di pagamento. A sinistra, trovi il riquadro Dettagli lab con le seguenti informazioni:

    • Il pulsante Apri la console Google Cloud
    • Tempo rimanente
    • Credenziali temporanee da utilizzare per il lab
    • Altre informazioni per seguire questo lab, se necessario

  2. Fai clic su Apri console Google Cloud (o fai clic con il tasto destro del mouse e seleziona Apri link in finestra di navigazione in incognito se utilizzi il browser Chrome).

    Il lab avvia le risorse e apre un'altra scheda con la pagina di accesso.

    Suggerimento: disponi le schede in finestre separate posizionate fianco a fianco.

    Nota: se visualizzi la finestra di dialogo Scegli un account, fai clic su Usa un altro account.

  3. Se necessario, copia il Nome utente di seguito e incollalo nella finestra di dialogo di accesso.

    {{{user_0.username | "Username"}}}

    Puoi trovare il Nome utente anche nel riquadro Dettagli lab.

  4. Fai clic su Avanti.

  5. Copia la Password di seguito e incollala nella finestra di dialogo di benvenuto.

    {{{user_0.password | "Password"}}}

    Puoi trovare la Password anche nel riquadro Dettagli lab.

  6. Fai clic su Avanti.

    Importante: devi utilizzare le credenziali fornite dal lab. Non utilizzare le credenziali del tuo account Google Cloud. Nota: utilizzare il tuo account Google Cloud per questo lab potrebbe comportare addebiti aggiuntivi.

  7. Fai clic nelle pagine successive:

    • Accetta i termini e le condizioni.
    • Non inserire opzioni di recupero o l'autenticazione a due fattori, perché si tratta di un account temporaneo.
    • Non registrarti per le prove gratuite.

Dopo qualche istante, la console Google Cloud si apre in questa scheda.

Nota: per accedere ai prodotti e ai servizi Google Cloud, fai clic sul menu di navigazione o digita il nome del servizio o del prodotto nel campo Cerca. Icona del menu di navigazione e campo Cerca

Attiva Cloud Shell

Cloud Shell è una macchina virtuale in cui sono caricati strumenti per sviluppatori. Offre una home directory permanente da 5 GB e viene eseguita su Google Cloud. Cloud Shell fornisce l'accesso da riga di comando alle risorse Google Cloud.

  1. Fai clic su Attiva Cloud Shell Icona Attiva Cloud Shell nella parte superiore della console Google Cloud.

  2. Fai clic nelle seguenti finestre:

    • Continua nella finestra delle informazioni di Cloud Shell.
    • Autorizza Cloud Shell a utilizzare le tue credenziali per effettuare chiamate API Google Cloud.

Quando la connessione è attiva, l'autenticazione è già avvenuta e il progetto è impostato sul tuo Project_ID, . L'output contiene una riga che dichiara il Project_ID per questa sessione:

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

gcloud è lo strumento a riga di comando di Google Cloud. È preinstallato su Cloud Shell e supporta il completamento tramite tasto Tab.

  1. (Facoltativo) Puoi visualizzare il nome dell'account attivo con questo comando:
gcloud auth list
  1. Fai clic su Autorizza.

Output:

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`
  1. (Facoltativo) Puoi elencare l'ID progetto con questo comando:
gcloud config list project

Output:

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} Nota: per la documentazione completa di gcloud, in Google Cloud, fai riferimento alla guida Panoramica dell'interfaccia a riga di comando gcloud.

Attività 1: crea il VPC cloud

In questa sezione imparerai a:

  • Creare un VPC per simulare la tua rete di produzione cloud.
  • Consentire ai tipi comuni di traffico di fluire attraverso il VPC.
  • Creare una subnet per il deployment degli host.
  1. In Cloud Shell, crea un VPC personalizzato denominato cloud associato al tuo progetto Google Cloud eseguendo questo codice:
gcloud compute networks create cloud --subnet-mode custom

Questo VPC consente di utilizzare indirizzi IP non predefiniti, ma non include alcuna regola firewall predefinita.

  1. Esegui il codice sotto per abilitare SSH e icmp, perché avrai bisogno di una shell sicura per comunicare con le VM durante il test di carico:
gcloud compute firewall-rules create cloud-fw --network cloud --allow tcp:22,tcp:5001,udp:5001,icmp
  1. Crea una subnet all'interno di questo VPC e specifica una regione e un intervallo IP eseguendo:
gcloud compute networks subnets create cloud-east --network cloud \ --range 10.0.1.0/24 --region {{{project_0.default_region_2 | REGION2}}}

In questa soluzione utilizzerai 10.0.1.0/24 e la regione .

Attività 2: crea il VPC on-prem

In questa sezione crea una simulazione del tuo VPC on-prem o di qualsiasi rete che vuoi connettere a cloud. In pratica avrai già delle risorse qui, ma per creare tunnel e convalidare le configurazioni, segui questi passaggi.

  1. In Cloud Shell crea un nuovo VPC della subnet personalizzato associato al tuo progetto denominato on-prem eseguendo:
gcloud compute networks create on-prem --subnet-mode custom
  1. Esegui il codice sotto per abilitare SSH e icmp per gli host nel VPC on-prem, poiché avrai bisogno di una shell sicura per comunicare con le VM durante il test di carico:
gcloud compute firewall-rules create on-prem-fw --network on-prem --allow tcp:22,tcp:5001,udp:5001,icmp
  1. Specifica il prefisso della subnet per la regione utilizzando il comando seguente:
gcloud compute networks subnets create on-prem-central \ --network on-prem --range 192.168.1.0/24 --region {{{project_0.default_region |REGION}}} Nota: in questo esempio assegni `192.168.1.0/24` alla regione . Crea due VPC personalizzati con subnet e regole firewall.

Attività 3: crea gateway VPN

Ogni ambiente richiede gateway VPN per comunicazioni esterne sicure. Segui questi passaggi per creare i gateway iniziali per i tuoi VPC cloud e on-prem:

  1. In Cloud Shell crea un gateway VPN denominato on-prem-gw1 nel VPC on-prem e nella regione :
gcloud compute target-vpn-gateways create on-prem-gw1 --network on-prem --region {{{project_0.default_region |REGION}}}
  1. Ora crea un gateway VPN denominato cloud-gw1 nel VPC cloud e nella regione :
gcloud compute target-vpn-gateways create cloud-gw1 --network cloud --region {{{project_0.default_region_2 | REGION2}}}

Attività 4: crea un tunnel VPN basato su route tra le reti Google Cloud e locale

Ciascun gateway VPN necessita di un indirizzo IP esterno statico in modo che i sistemi esterni al VPC possano comunicare con i gateway. Ora creerai indirizzi IP e route sui VPC cloud e on-prem.

  1. In Cloud Shell, alloca l'IP per il gateway VPN cloud-gw1:
gcloud compute addresses create cloud-gw1 --region {{{project_0.default_region_2 | REGION2}}}
  1. Quindi assegna l'IP per il gateway VPN on-prem-gw1:
gcloud compute addresses create on-prem-gw1 --region {{{project_0.default_region |REGION}}}
  1. Ora archivia gli indirizzi dei gateway in modo da non doverli cercare nei comandi successivi.

Primo, per il gateway cloud-gw1:

cloud_gw1_ip=$(gcloud compute addresses describe cloud-gw1 \ --region {{{project_0.default_region_2 | REGION2}}} --format='value(address)')

Secondo, per il gateway on-prem-gw1:

on_prem_gw_ip=$(gcloud compute addresses describe on-prem-gw1 \ --region {{{project_0.default_region |REGION}}} --format='value(address)')
  1. Ora creerai le regole di forwarding per IPsec sul VPC cloud. Devi creare regole di forwarding in entrambe le direzioni.

Inoltra il protocollo ESP (Encapsulating Security Payload) da cloud-gw1:

gcloud compute forwarding-rules create cloud-1-fr-esp --ip-protocol ESP \ --address $cloud_gw1_ip --target-vpn-gateway cloud-gw1 --region {{{project_0.default_region_2 | REGION2}}}

Inoltra il traffico UDP:500 da cloud-gw1:

gcloud compute forwarding-rules create cloud-1-fr-udp500 --ip-protocol UDP \ --ports 500 --address $cloud_gw1_ip --target-vpn-gateway cloud-gw1 --region {{{project_0.default_region_2 | REGION2}}}

Inoltra il traffico UDP:4500 da cloud-gw1:

gcloud compute forwarding-rules create cloud-fr-1-udp4500 --ip-protocol UDP \ --ports 4500 --address $cloud_gw1_ip --target-vpn-gateway cloud-gw1 --region {{{project_0.default_region_2 | REGION2}}}
  1. Utilizza lo stesso metodo per creare regole di forwarding del firewall per il tunnel IPsec sul VPC on-prem. Questo passaggio consente al tunnel IPsec di uscire dai firewall:

Inoltra il protocollo ESP da on-prem-gw1:

gcloud compute forwarding-rules create on-prem-fr-esp --ip-protocol ESP \ --address $on_prem_gw_ip --target-vpn-gateway on-prem-gw1 --region {{{project_0.default_region |REGION}}}

Inoltra il traffico UDP:500, utilizzato per stabilire il tunnel IPsec da on-prem-gw1:

gcloud compute forwarding-rules create on-prem-fr-udp500 --ip-protocol UDP --ports 500 \ --address $on_prem_gw_ip --target-vpn-gateway on-prem-gw1 --region {{{project_0.default_region |REGION}}}

Inoltra il traffico UDP:4500, che trasporta il traffico criptato da on-prem-gw1:

gcloud compute forwarding-rules create on-prem-fr-udp4500 --ip-protocol UDP --ports 4500 \ --address $on_prem_gw_ip --target-vpn-gateway on-prem-gw1 --region {{{project_0.default_region |REGION}}} Crea due gateway VPN e le necessarie regole di forwarding.

Normalmente dovresti generare un secret per il passaggio successivo, in cui crei e convalidi i tunnel on-prem-tunnel1 e cloud-tunnel1. Per dettagli su come creare e archiviare in modo sicuro i secret, consulta la guida concettuale Panoramica di Secret Manager. Per ora limitati a usare la stringa "sharedsecret".

Crea un tunnel per la rete locale on-prem-tunnel1 e per la rete basata su cloud cloud-tunnel1. Ciascuna rete deve avere un gateway VPN e i secret devono corrispondere. In uno scenario di produzione, nei due comandi seguenti dovresti sostituire [MY_SECRET] con il secret che hai generato. In questo caso, sostituiscilo con "sharedsecret".

  1. Crea il tunnel VPN da on-prem a cloud:
gcloud compute vpn-tunnels create on-prem-tunnel1 --peer-address $cloud_gw1_ip \ --target-vpn-gateway on-prem-gw1 --ike-version 2 --local-traffic-selector 0.0.0.0/0 \ --remote-traffic-selector 0.0.0.0/0 --shared-secret=[MY_SECRET] --region {{{project_0.default_region |REGION}}}
  1. Crea il tunnel VPN da cloud a on-prem:
gcloud compute vpn-tunnels create cloud-tunnel1 --peer-address $on_prem_gw_ip \ --target-vpn-gateway cloud-gw1 --ike-version 2 --local-traffic-selector 0.0.0.0/0 \ --remote-traffic-selector 0.0.0.0/0 --shared-secret=[MY_SECRET] --region {{{project_0.default_region_2 | REGION2}}}

Ora che hai creato i gateway e i tunnel, devi aggiungere le route dalle subnet ai due tunnel.

  1. Instrada il traffico dal VPC on-prem all'intervallo cloud 10.0.1.0/24 nel tunnel:
gcloud compute routes create on-prem-route1 --destination-range 10.0.1.0/24 \ --network on-prem --next-hop-vpn-tunnel on-prem-tunnel1 \ --next-hop-vpn-tunnel-region {{{project_0.default_region |REGION}}}
  1. Instrada il traffico dal VPC cloud all'intervallo on-prem 192.168.1.0/24 nel tunnel:
gcloud compute routes create cloud-route1 --destination-range 192.168.1.0/24 \ --network cloud --next-hop-vpn-tunnel cloud-tunnel1 --next-hop-vpn-tunnel-region {{{project_0.default_region_2 | REGION2}}} Crea due tunnel VPN.

Attività 5: testa il throughput su VPN

A questo punto, hai stabilito un percorso sicuro tra i VPC on-prem e cloud. Per testare il throughput utilizza iperf, uno strumento open source per testare il carico di rete. Per eseguire il test, avrai bisogno di una VM in ogni ambiente, una per inviare il traffico e l'altra per riceverlo, e le creerai successivamente.

Test di carico su VPN singola

Ora creerai una macchina virtuale per il VPC cloud denominata cloud-loadtest. Questo esempio utilizza un'immagine Debian Linux per il sistema operativo.

Nota: se hai un progetto esistente, ometti pure questo passaggio e utilizza le risorse esistenti. La larghezza di banda per una VM è di 2 Gbps * vCPU, quindi ti serviranno almeno 4 vCPU.
  1. Esegui questo comando:
gcloud compute instances create "cloud-loadtest" --zone {{{project_0.default_zone_2 |ZONE2}}} \ --machine-type "e2-standard-4" --subnet "cloud-east" \ --image-family "debian-11" --image-project "debian-cloud" --boot-disk-size "10" \ --boot-disk-type "pd-standard" --boot-disk-device-name "cloud-loadtest"
  1. Crea una macchina virtuale per il VPC on-prem denominata on-prem-loadtest. Questo esempio utilizza la stessa immagine Debian del VPC cloud. Ometti questo passaggio se disponi di risorse esistenti.

Esegui questo comando:

gcloud compute instances create "on-prem-loadtest" --zone {{{project_0.default_zone |ZONE}}} \ --machine-type "e2-standard-4" --subnet "on-prem-central" \ --image-family "debian-11" --image-project "debian-cloud" --boot-disk-size "10" \ --boot-disk-type "pd-standard" --boot-disk-device-name "on-prem-loadtest"
  1. Accedi via SSH a ciascuna VM, utilizzando la console o la riga di comando, e installa una copia di iperf con la seguente riga di comando:
sudo apt-get install iperf
  1. Sulla VM on-prem-loadtest, esegui questo comando:
iperf -s -i 5

Hai creato un server iperf sulla VM che segnala il suo stato ogni 5 secondi.

  1. Sulla VM cloud-loadtest, esegui questo comando:
iperf -c 192.168.1.2 -P 20 -x C

Viene creato un client iperf con venti flussi, che riporta i valori dopo 10 secondi di test.

Crea due VM e installa iperf tramite SSH.

Risolvi dei problemi che potresti incontrare

Nota: questo non fa parte delle istruzioni del lab.
  1. Durante la creazione dei tunnel per la rete locale, se hai dimenticato di sostituire [MY_SECRET] con "sharedsecret":

Puoi eliminare i tunnel VPN creati con questo comando:

gcloud compute vpn-tunnels delete [tunnel-name] --region [region]
  • Sostituisci [tunnel-name] con il nome del tunnel.
  • Sostituisci [region] con la regione specificata durante la creazione del tunnel.
  1. Se riscontri problemi con la sezione Test di carico su VPN singola:

  • Assicurati di aver installato iperf su entrambe le VM.

  • In caso di errore di connessione rifiutata, verifica quanto segue:

    • Regole firewall per le reti create (tcp:5001)
    • Il server è correttamente in esecuzione su on-prem-loadtest
    • Stai tentando di connetterti al server tramite cloud-loadtest
  1. Se stai cercando di visualizzare le regole di forwarding che hai creato nella console:
  • Nel menu di navigazione vai alla sezione Networking.
  • Fai clic su Connettività di rete > VPN.
  • Fai clic sul gateway Cloud VPN per visualizzare la pagina dei dettagli del gateway Cloud VPN.

Complimenti!

In questo lab hai creato correttamente una VPN con throughput elevato tra due reti simulate, un VPC cloud e un VPC on-premise. Hai imparato a creare VPC personalizzati, configurare gateway VPN, stabilire tunnel IPsec sicuri e instradare il traffico attraverso questi tunnel. Infine, hai testato il throughput della VPN utilizzando iperf per convalidarne le prestazioni.

Passaggi successivi

Formazione e certificazione Google Cloud

… per utilizzare al meglio le tecnologie Google Cloud. I nostri corsi ti consentono di sviluppare competenze tecniche e best practice per aiutarti a metterti subito al passo e avanzare nel tuo percorso di apprendimento. Offriamo vari livelli di formazione, dal livello base a quello avanzato, con opzioni di corsi on demand, dal vivo e virtuali, in modo da poter scegliere il più adatto in base ai tuoi impegni. Le certificazioni ti permettono di confermare e dimostrare le tue abilità e competenze relative alle tecnologie Google Cloud.

Ultimo aggiornamento del manuale: 30 marzo 2025

Ultimo test del lab: 25 febbraio 2025

Copyright 2025 Google LLC. Tutti i diritti riservati. Google e il logo Google sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.

Prima di iniziare

  1. I lab creano un progetto e risorse Google Cloud per un periodo di tempo prestabilito
  2. I lab hanno un limite di tempo e non possono essere messi in pausa. Se termini il lab, dovrai ricominciare dall'inizio.
  3. In alto a sinistra dello schermo, fai clic su Inizia il lab per iniziare

Utilizza la navigazione privata

  1. Copia il nome utente e la password forniti per il lab
  2. Fai clic su Apri console in modalità privata

Accedi alla console

  1. Accedi utilizzando le tue credenziali del lab. L'utilizzo di altre credenziali potrebbe causare errori oppure l'addebito di costi.
  2. Accetta i termini e salta la pagina di ripristino delle risorse
  3. Non fare clic su Termina lab a meno che tu non abbia terminato il lab o non voglia riavviarlo, perché il tuo lavoro verrà eliminato e il progetto verrà rimosso

Questi contenuti non sono al momento disponibili

Ti invieremo una notifica via email quando sarà disponibile

Bene.

Ti contatteremo via email non appena sarà disponibile

Un lab alla volta

Conferma per terminare tutti i lab esistenti e iniziare questo

Utilizza la navigazione privata per eseguire il lab

Utilizza una finestra del browser in incognito o privata per eseguire questo lab. In questo modo eviterai eventuali conflitti tra il tuo account personale e l'account Studente, che potrebbero causare addebiti aggiuntivi sul tuo account personale.