GSP016

Visão geral

Neste laboratório, você vai aprender a realizar tarefas básicas de rede no Google Cloud (incluindo instâncias do Compute Engine) e descobrir como o Google Cloud pode ser diferente de uma configuração local. Você vai desenvolver uma rede e três sub-redes, resultando neste ambiente final:

Por fim, você vai aprender a criar regras de firewall e usar tags de instância para aplicá-las.

O que você vai aprender

• Conceitos básicos de redes no Google Cloud.
• Como as redes padrão e criadas pelo usuário são configuradas.
• Como criar regras de firewall e usar tags de instância para aplicar regras de firewall.

Configuração e requisitos

Antes de clicar no botão Start Lab

Leia estas instruções. Os laboratórios são cronometrados e não podem ser pausados. O timer é iniciado quando você clica em Começar o laboratório e mostra por quanto tempo os recursos do Google Cloud vão ficar disponíveis.

Este laboratório prático permite que você realize as atividades em um ambiente real de nuvem, não em uma simulação ou demonstração. Você vai receber novas credenciais temporárias para fazer login e acessar o Google Cloud durante o laboratório.

Confira os requisitos para concluir o laboratório:

• Acesso a um navegador de Internet padrão (recomendamos o Chrome).

Observação: para executar este laboratório, use o modo de navegação anônima ou uma janela anônima do navegador. Isso evita conflitos entre sua conta pessoal e a conta de estudante, o que poderia causar cobranças extras na sua conta pessoal.

• Tempo para concluir o laboratório---não se esqueça: depois de começar, não será possível pausar o laboratório.

Observação: não use seu projeto ou conta do Google Cloud neste laboratório para evitar cobranças extras na sua conta.

Como iniciar seu laboratório e fazer login no console do Google Cloud

1. Clique no botão Começar o laboratório. Se for preciso pagar, você verá um pop-up para selecionar a forma de pagamento. No painel Detalhes do laboratório à esquerda, você vai encontrar o seguinte:

   • O botão Abrir console do Google Cloud
   • O tempo restante
   • As credenciais temporárias que você vai usar neste laboratório
   • Outras informações, se forem necessárias

2. Se você estiver usando o navegador Chrome, clique em Abrir console do Google Cloud ou clique com o botão direito do mouse e selecione Abrir link em uma janela anônima.

   O laboratório ativa os recursos e depois abre a página Fazer login em outra guia.

   Dica: coloque as guias em janelas separadas lado a lado.

   Observação: se aparecer a caixa de diálogo Escolher uma conta, clique em Usar outra conta.

3. Se necessário, copie o Nome de usuário abaixo e cole na caixa de diálogo Fazer login.

   {{{user_0.username | "Nome de usuário"}}}

   Você também encontra o Nome de usuário no painel Detalhes do laboratório.

4. Clique em Seguinte.

5. Copie a Senha abaixo e cole na caixa de diálogo de boas-vindas.

   {{{user_0.password | "Senha"}}}

   Você também encontra a Senha no painel Detalhes do laboratório.

6. Clique em Seguinte.

   Importante: você precisa usar as credenciais fornecidas no laboratório, e não as da sua conta do Google Cloud. Observação: se você usar sua própria conta do Google Cloud neste laboratório, é possível que receba cobranças adicionais.

7. Acesse as próximas páginas:

   • Aceite os Termos e Condições.
   • Não adicione opções de recuperação nem autenticação de dois fatores (porque essa é uma conta temporária).
   • Não se inscreva em testes gratuitos.

Depois de alguns instantes, o console do Google Cloud será aberto nesta guia.

Observação: clique em Menu de navegação no canto superior esquerdo para acessar uma lista de produtos e serviços do Google Cloud.

Ativar o Cloud Shell

O Cloud Shell é uma máquina virtual com várias ferramentas de desenvolvimento. Ele tem um diretório principal permanente de 5 GB e é executado no Google Cloud. O Cloud Shell oferece acesso de linha de comando aos recursos do Google Cloud.

1. Clique em Ativar o Cloud Shell na parte de cima do console do Google Cloud.

Depois de se conectar, vai notar que sua conta já está autenticada, e que o projeto está configurado com seu PROJECT_ID. A saída contém uma linha que declara o projeto PROJECT_ID para esta sessão:

Your Cloud Platform project in this session is set to YOUR_PROJECT_ID

gcloud é a ferramenta de linha de comando do Google Cloud. Ela vem pré-instalada no Cloud Shell e aceita preenchimento com tabulação.

2. (Opcional) É possível listar o nome da conta ativa usando este comando:

gcloud auth list

3. Clique em Autorizar.

4. A saída será parecida com esta:

Saída:

ACTIVE: * ACCOUNT: student-01-xxxxxxxxxxxx@qwiklabs.net To set the active account, run: $ gcloud config set account `ACCOUNT`

5. (Opcional) É possível listar o ID do projeto usando este comando:

gcloud config list project

Saída:

[core] project = <project_ID>

Exemplo de saída:

[core] project = qwiklabs-gcp-44776a13dea667a6 Observação: para conferir a documentação completa da gcloud, acesse o guia com informações gerais sobre a gcloud CLI no Google Cloud.

O que são as regiões e zonas

Alguns recursos do Compute Engine estão em regiões ou zonas. As regiões são localizações geográficas específicas onde você pode executar seus recursos. Todas elas têm uma ou mais zonas. Por exemplo, us-central1 indica uma região na área central dos Estados Unidos com as zonas us-central1-a, us-central1-b, us-central1-c e us-central1-f.

Regiões	Zonas
Oeste dos EUA	us-west1-a, us-west1-b
Central dos EUA	us-central1-a, us-central1-b, us-central1-d, us-central1-f
Leste dos EUA	us-east1-b, us-east1-c, us-east1-d
Europa Ocidental	europe-west1-b, europe-west1-c, europe-west1-d
Ásia Oriental	asia-east1-a, asia-east1-b, asia-east1-c

Os recursos que estão em uma zona são chamados de recursos zonais. As instâncias de máquina virtual e os discos permanentes ficam em uma zona. Para anexar um disco permanente a uma instância de máquina virtual, esses dois recursos precisam estar na mesma zona. Da mesma forma, para atribuir um endereço IP estático a uma instância, os dois precisam estar na mesma região.

Para saber mais sobre regiões e zonas, além de conferir uma lista completa com todas elas na página do Compute Engine, acesse Documentação de regiões e zonas.

Conceitos sobre rede no Google Cloud

No Google Cloud Platform, as redes fornecem conexões de dados de entrada e saída para seus recursos de nuvem, principalmente em instâncias do Compute Engine. Manter as redes seguras é essencial para proteger seus dados e controlar o acesso aos seus recursos.

O Google Cloud Platform é compatível com projetos, redes e sub-redes para oferecer um isolamento flexível e lógico de recursos não relacionados.

Os projetos funcionam como uma estrutura mais abrangente e são usados para agrupar recursos que têm a mesma relação de confiança. Muitos desenvolvedores mapeiam projetos para equipes, porque cada projeto tem uma política de acesso (IAM) e uma lista de membros própria. Eles também servem como um coletor de dados de faturamento e de cota ao refletir o consumo de recursos. Os projetos contêm redes que incluem sub-redes, regras de firewall e rotas. Confira o diagrama a seguir para mais detalhes.

As redes estabelecem uma conexão direta entre seus recursos e o mundo exterior. Ao usar firewalls, elas também armazenam políticas de acesso para conexões de entrada e de saída. As redes podem ser globais ou regionais. Enquanto as globais oferecem escalonabilidade horizontal entre diversas regiões, as regionais oferecem baixa latência em uma única região.

Use as sub-redes para agrupar recursos relacionados, como instâncias do Compute Engine, em espaços de endereço privados da RFC1918. As sub-redes só podem ser regionais. E cada uma delas pode estar no modo automático ou personalizado.

• Uma rede no modo automático tem uma sub-rede por região, cada uma com um intervalo de IP e gateway predefinidos. Quando você cria a rede no modo automático, as sub-redes são criadas automaticamente com o mesmo nome da rede geral.
• Quando a rede de modo personalizado é criada, não são criadas sub-redes. Para criar uma instância em uma rede no modo personalizado, crie uma sub-rede nessa região e especifique o intervalo de IP. Uma rede nesse modo pode ter nenhuma, uma ou várias sub-redes por região.

Configure sua região e zona

Alguns recursos do Compute Engine estão em regiões e zonas. As regiões são localizações geográficas específicas onde você executa seus recursos. Todas elas têm uma ou mais zonas.

Execute estes comandos gcloud no Cloud Shell para definir a região e a zona padrão do laboratório:

gcloud config set compute/zone "{{{project_0.default_zone | Zone}}}" export ZONE=$(gcloud config get compute/zone) gcloud config set compute/region "{{{project_0.default_region | Region}}}" export REGION=$(gcloud config get compute/region)

Tarefa 1: verificar a rede padrão

Quando um novo projeto é criado, uma configuração de rede padrão fornece a cada região uma rede automática de sub-redes. Você pode criar até quatro redes adicionais em um projeto. As redes adicionais podem ser redes automáticas de sub-redes, redes personalizadas de sub-redes ou redes legadas.

A cada instância criada na sub-rede é atribuído um endereço IPv4 do intervalo dessa sub-rede.

• Revise sua rede. Clique no menu de navegação > Rede VPC.

Firewalls

Para mais informações sobre como usar as regras de firewall para isolar sub-redes, consulte sub-redes e regras de firewall.

Cada rede tem um firewall padrão que bloqueia todo o tráfego de entrada nas instâncias. Para permitir que o tráfego entre em uma instância, você precisa criar regras de "permissão" para o firewall. Além disso, o firewall padrão permite o tráfego de instâncias, a menos que você o configure para bloquear conexões de saída usando uma configuração de firewall de "saída". Portanto, por padrão, é possível criar regras de "permissão" para o tráfego ao qual você quer permitir a entrada e regras de "negação" para o tráfego ao qual você quer restringir a saída. Você também pode criar uma política de negação padrão para a saída e proibir totalmente as conexões externas.

Em geral, é recomendável configurar a regra de firewall menos permissiva que suportará o tipo de tráfego que você está tentando transmitir. Por exemplo, se você precisar permitir que o tráfego atinja algumas instâncias, mas impedir que o tráfego atinja outras, crie regras que permitam o tráfego apenas para as instâncias pretendidas. Essa configuração mais restritiva é mais previsível que uma regra de firewall ampla que permite o tráfego para todas as instâncias. Se quiser que as regras de "negação" substituam certas regras de "permissão", você poderá definir níveis de prioridade em cada regra. Assim, a regra que tiver a prioridade de numeração mais baixa será avaliada primeiro. A criação de conjuntos grandes e complexos de regras de substituição pode permitir ou bloquear um tráfego que não é o pretendido.

A rede padrão criou automaticamente regras de firewall, que são mostradas abaixo. Redes criadas manualmente, de qualquer tipo, não têm regras de firewall criadas automaticamente. Em todas as redes, exceto a rede padrão, é preciso criar as regras de firewall que forem necessárias.

As regras de firewall de entrada criadas automaticamente para a rede padrão são as seguintes:

default-allow-internal	Permite conexões de rede de qualquer protocolo e porta entre instâncias na rede.
default-allow-ssh	Permite conexões SSH de qualquer origem para qualquer instância na rede pela porta TCP 22.
default-allow-rdp	Permite conexões RDP de qualquer origem para qualquer instância na rede pela porta TCP 3389.
default-allow-icmp	Permite tráfego ICMP de qualquer origem para qualquer instância na rede.

• Para verificar as regras padrão de firewall, no console do Cloud, clique em Menu de navegação > Rede VPC > Firewall.

Rota de rede

Todas as redes têm rotas automaticamente criadas para a Internet (rota padrão) e para os intervalos de IP na rede. Os nomes das rotas são gerados automaticamente e serão diferentes em cada projeto.

• Para analisar as rotas padrão, clique em Menu de navegação > Rede VPC > Rotas e selecione Rede e Região para visualizar as Rotas.

Tarefa 2: criar uma rede personalizada

Ao atribuir manualmente os intervalos de sub-redes, primeiro crie uma rede personalizada e depois as sub-redes que você quiser em uma região. Não é necessário especificar sub-redes para todas as regiões imediatamente, ou a qualquer momento, mas não é possível criar instâncias em regiões que não tenham uma sub-rede definida.

Quando você cria uma nova sub-rede, o nome precisa ser único nesse projeto para essa região, mesmo entre redes. O mesmo nome pode aparecer duas vezes em um projeto, contanto que em regiões diferentes. Como se trata de uma sub-rede, não há nenhum intervalo IPv4 ou IP de gateway no nível de rede, por isso nada será mostrado.

É possível criar sua rede personalizada com o console ou com o Cloud Shell. As duas opções estarão disponíveis para que você decida qual método usar durante o laboratório. Por exemplo, não é possível usar as instruções para o console em uma seção e, em seguida, usar a linha de comando gcloud na mesma seção.

Para criar uma rede personalizada:

1. Clique no menu de navegação > Rede VPC.

2. Clique em Criar rede VPC e nomeie a rede como taw-custom-network.

3. Na guia Personalizada, crie:

   • Nome da sub-rede: subnet-
   • Região:
   • Intervalo de endereços IP: 10.0.0.0/16

4. Clique em Concluído.

   

5. Agora, clique em Adicionar sub-rede e inclua duas sub-redes nas respectivas regiões:

   • subnet-, , 10.1.0.0/16
   • subnet-, , 10.2.0.0/16

6. Clique em Criar para finalizar.

Nesse ponto, a rede tem rotas para a Internet e para as instâncias que você criar. Mas ela não tem regras de firewall que permitam acesso a instâncias, mesmo de outras instâncias. Para permitir o acesso, é preciso criar regras de firewall.

Siga para a seção Como adicionar regras de firewall.

Tarefa 3: adicionar regras de firewall

Para permitir o acesso a instâncias de VM, você precisa aplicar regras de firewall. Neste laboratório, você vai usar uma tag de instância para aplicar a regra de firewall às instâncias de VM. A regra de firewall será aplicada a qualquer VM que use a mesma tag da instância.

Observação: as tags da instância são usadas por redes e firewalls para aplicar certas regras a instâncias de VM com tags. Por exemplo, quando houver várias instâncias que executam a mesma tarefa, como a disponibilização de um site de grandes proporções, use uma tag com uma palavra ou termo compartilhado nessas instâncias. Depois, use essa tag para conceder acesso HTTP às instâncias em questão com uma regra de firewall.

Como as tags também são refletidas no servidor de metadados, você pode usá-las nos aplicativos em execução nas suas instâncias.

• Comece abrindo o firewall para permitir solicitações HTTP na Internet e, em seguida, adicione mais regras de firewall.

Adicione regras de firewall usando o console

1. No console do Cloud, acesse Redes VPC e clique em taw-custom-network:

2. Clique na guia Firewalls e em Adicionar regra de firewall.

3. Digite as seguintes informações:

Campo	Valor	Comentários
Nome	nw101-allow-http	É o nome da nova regra.
Destinos	Tags de destino especificadas	As instâncias às quais a regra de firewall se aplica.
Tags de destino	http	A tag que criamos
Filtro de origem	Intervalos IPv4	Abriremos o firewall para qualquer endereço IP da Internet.
Intervalos IPv4 de origem	0.0.0.0/0	Você abrirá o firewall para qualquer endereço IP da Internet.
Protocolos e portas	Selecione Protocolos e portas especificados. Em seguida, marque a caixa tcp e digite 80.	Somente HTTP

A tela ficará assim:

4. Clique em Criar e aguarde o comando ser executado. Em seguida, você criará as regras adicionais de firewall necessárias.

Crie regras extras de firewall

Essas regras de firewall extras vão permitir ICMP, comunicação interna, SSH e RDP. É possível criá-las usando o console.

• ICMP

Campo	Valor	Comentários
Nome	nw101-allow-icmp	É o nome da nova regra.
Destinos	Tags de destino especificadas	Selecione as opções na lista suspensa "Destinos".
Tags de destino	regras	tag
Filtro de origem	Intervalos IPv4	Vamos abrir o firewall para qualquer endereço IP nesta lista.
Intervalos IPv4 de origem	0.0.0.0/0	Abriremos o firewall para qualquer endereço IP da Internet.
Protocolos e portas	Selecione Protocolos e portas especificados, Outros protocolos e, em seguida, digite icmp.	Indica as portas e os protocolos em que o firewall é aplicado.

• Comunicação interna

Campo	Valor	Comentários
Nome	nw101-allow-internal	É o nome da nova regra.
Destinos	Todas as instâncias na rede	Selecione as opções na lista suspensa "Destinos".
Filtro de origem	Intervalos IPv4	É o filtro usado para aplicar a regra a origens de tráfego específicas.
Intervalos IPv4 de origem	10.0.0.0/16, 10.1.0.0/16, 10.2.0.0/16	Abriremos o firewall para qualquer endereço IP da Internet.
Protocolos e portas	Selecione Protocolos e portas especificados, tcp e digite 0-65535. Marque udp e digite 0-65535. Marque Outros protocolos e digite icmp.	Permite Tcp:0-65535, udp:0-65535,icmp.

• SSH

Campo	Valor	Comentários
Nome	nw101-allow-ssh	É o nome da nova regra.
Destinos	Tags de destino especificadas	ssh
Tags de destino	ssh	Indica as instâncias em que a regra de firewall é aplicada.
Filtro de origem	Intervalos IPv4	É o filtro usado para aplicar a regra a origens de tráfego específicas.
Intervalos IPv4 de origem	0.0.0.0/0	Abriremos o firewall para qualquer endereço IP da Internet.
Protocolos e portas	Selecione Protocolos e portas especificados, marque a caixa tcpe, em seguida, digite 22.	Permite tcp:22.

• RDP

Campo	Valor	Comentários
Nome	nw101-allow-rdp	É o nome da nova regra.
Destinos	Todas as instâncias na rede	Selecione as opções na lista suspensa "Destinos".
Filtro de origem	Intervalos IPv4	É o filtro dos endereços IP.
Intervalos IPv4 de origem	0.0.0.0/0	Abriremos o firewall para qualquer endereço IP da Internet.
Protocolos e portas	Selecione Protocolos e portas especificados, marque o tcp e, em seguida, digite 3389.	Permite Tcp:3389

• Use o console para analisar as regras de firewall na sua rede. Ele será parecido com o seguinte:

Observação: e essas rotas que aparecem no console de rede?

A rede do Google Cloud usa rotas para direcionar pacotes entre sub-redes e para a Internet. Sempre que uma sub-rede é criada (ou pré-criada) na sua rede, as rotas são criadas automaticamente em cada região para permitir que os pacotes sejam roteados entre as sub-redes. Elas não podem ser modificadas.

Rotas adicionais podem ser criadas para enviar tráfego para uma instância, um gateway de VPN ou gateway de Internet padrão. Essas rotas podem ser modificadas para adaptar a arquitetura de rede desejada. As rotas e os firewalls trabalham juntos para garantir que o tráfego chegue aos locais necessários.

Clique em Verificar meu progresso para conferir o objetivo.

Crie uma rede personalizada, sub-redes e regras de firewall.

Finalize o laboratório

Após concluir o laboratório, clique em Terminar o laboratório. Sua conta e os recursos que você utilizou serão removidos da plataforma do laboratório.

Você poderá classificar sua experiência neste laboratório. Basta selecionar o número de estrelas, digitar um comentário e clicar em Enviar.

O número de estrelas indica o seguinte:

• 1 estrela = muito insatisfeito
• 2 estrelas = insatisfeito
• 3 estrelas = neutro
• 4 estrelas = satisfeito
• 5 estrelas = muito satisfeito

Feche a caixa de diálogo se não quiser enviar feedback.

Para enviar seu feedback, fazer sugestões ou correções, use a guia Suporte.

Parabéns

Você aprendeu a configurar redes padrão e as criadas pelo usuário, como adicionar sub-redes e aplicar regras de firewall para controlar o acesso.

Treinamento e certificação do Google Cloud

Esses treinamentos ajudam você a aproveitar as tecnologias do Google Cloud ao máximo. Nossas aulas incluem habilidades técnicas e práticas recomendadas para ajudar você a alcançar rapidamente o nível esperado e continuar sua jornada de aprendizado. Oferecemos treinamentos que vão do nível básico ao avançado, com opções de aulas virtuais, sob demanda e por meio de transmissões ao vivo para que você possa encaixá-las na correria do seu dia a dia. As certificações validam sua experiência e comprovam suas habilidades com as tecnologias do Google Cloud.

Manual atualizado em 22 de outubro de 2024

Laboratório testado em 22 de outubro de 2024

Copyright 2024 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de produtos e empresas podem ser marcas registradas das respectivas empresas a que estão associados.