GSP211

Übersicht

Mit VPC‑Netzwerken (Virtual Private Cloud) können Sie für isolierte Umgebungen innerhalb einer größeren Cloud-Struktur sorgen, sodass Sie detaillierte Kontrolle über Datenschutz, Netzwerkzugriff und Anwendungssicherheit erhalten.

In diesem Lab erstellen Sie mehrere VPC‑Netzwerke und VM‑Instanzen und testen anschließend die Konnektivität zwischen den Netzwerken. Hierbei richten Sie zwei Netzwerke im benutzerdefinierten Modus (managementnet und privatenet) mit Firewallregeln und VM‑Instanzen ein, so wie es im folgenden Netzwerkdiagramm dargestellt ist:

Das Netzwerk mynetwork mit Firewallregeln und zwei VM-Instanzen (mynet-vm-1 und mynet-vm-2) wurde im Rahmen dieses Labs bereits für Sie eingerichtet.

Lernziele

Aufgaben in diesem Lab:

• VPC-Netzwerke im benutzerdefinierten Modus mit Firewallregeln erstellen
• VM-Instanzen mit der Compute Engine erstellen
• Konnektivität für VM-Instanzen zwischen VPC-Netzwerken überprüfen
• VM-Instanz mit mehreren Netzwerkschnittstellen erstellen

Einrichtung und Anforderungen

Vor dem Klick auf „Start Lab“ (Lab starten)

Lesen Sie diese Anleitung. Labs sind zeitlich begrenzt und können nicht pausiert werden. Der Timer beginnt zu laufen, wenn Sie auf Lab starten klicken, und zeigt Ihnen, wie lange die Ressourcen für das Lab verfügbar sind.

In diesem praxisorientierten Lab können Sie die Lab-Aktivitäten in einer echten Cloud-Umgebung selbst durchführen – nicht in einer Simulations- oder Demo-Umgebung. Dazu erhalten Sie neue, temporäre Anmeldedaten, mit denen Sie für die Dauer des Labs auf Google Cloud zugreifen können.

Für dieses Lab benötigen Sie Folgendes:

• Einen Standardbrowser (empfohlen wird Chrome)

Hinweis: Nutzen Sie den privaten oder Inkognitomodus, um dieses Lab durchzuführen. So wird verhindert, dass es zu Konflikten zwischen Ihrem persönlichen Konto und dem Teilnehmerkonto kommt und zusätzliche Gebühren für Ihr persönliches Konto erhoben werden.

• Zeit für die Durchführung des Labs – denken Sie daran, dass Sie ein begonnenes Lab nicht unterbrechen können.

Hinweis: Wenn Sie über ein persönliches Google Cloud-Konto oder -Projekt verfügen, verwenden Sie es nicht für dieses Lab. So werden zusätzliche Kosten für Ihr Konto vermieden.

Lab starten und bei der Google Cloud Console anmelden

1. Klicken Sie auf Lab starten. Wenn Sie für das Lab bezahlen müssen, wird ein Pop-up-Fenster geöffnet, in dem Sie Ihre Zahlungsmethode auswählen können. Auf der linken Seite befindet sich der Bereich Details zum Lab mit diesen Informationen:

   • Schaltfläche Google Cloud Console öffnen
   • Restzeit
   • Temporäre Anmeldedaten für das Lab
   • Ggf. weitere Informationen für dieses Lab

2. Klicken Sie auf Google Cloud Console öffnen (oder klicken Sie mit der rechten Maustaste und wählen Sie Link in Inkognitofenster öffnen aus, wenn Sie Chrome verwenden).

   Im Lab werden Ressourcen aktiviert. Anschließend wird ein weiterer Tab mit der Seite Anmelden geöffnet.

   Tipp: Ordnen Sie die Tabs nebeneinander in separaten Fenstern an.

   Hinweis: Wird das Dialogfeld Konto auswählen angezeigt, klicken Sie auf Anderes Konto verwenden.

3. Kopieren Sie bei Bedarf den folgenden Nutzernamen und fügen Sie ihn in das Dialogfeld Anmelden ein.

   {{{user_0.username | "Username"}}}

   Sie finden den Nutzernamen auch im Bereich Details zum Lab.

4. Klicken Sie auf Weiter.

5. Kopieren Sie das folgende Passwort und fügen Sie es in das Dialogfeld Willkommen ein.

   {{{user_0.password | "Password"}}}

   Sie finden das Passwort auch im Bereich Details zum Lab.

6. Klicken Sie auf Weiter.

   Wichtig: Sie müssen die für das Lab bereitgestellten Anmeldedaten verwenden. Nutzen Sie nicht die Anmeldedaten Ihres Google Cloud-Kontos. Hinweis: Wenn Sie Ihr eigenes Google Cloud-Konto für dieses Lab nutzen, können zusätzliche Kosten anfallen.

7. Klicken Sie sich durch die nachfolgenden Seiten:

   • Akzeptieren Sie die Nutzungsbedingungen.
   • Fügen Sie keine Wiederherstellungsoptionen oder Zwei-Faktor-Authentifizierung hinzu (da dies nur ein temporäres Konto ist).
   • Melden Sie sich nicht für kostenlose Testversionen an.

Nach wenigen Augenblicken wird die Google Cloud Console in diesem Tab geöffnet.

Hinweis: Wenn Sie sich eine Liste der Google Cloud-Produkte und ‑Dienste ansehen möchten, klicken Sie oben links auf das Navigationsmenü.

Cloud Shell aktivieren

Cloud Shell ist eine virtuelle Maschine, auf der Entwicklertools installiert sind. Sie bietet ein Basisverzeichnis mit 5 GB nichtflüchtigem Speicher und läuft auf Google Cloud. Mit Cloud Shell erhalten Sie Befehlszeilenzugriff auf Ihre Google Cloud-Ressourcen.

1. Klicken Sie oben in der Google Cloud Console auf Cloud Shell aktivieren .

Wenn Sie verbunden sind, sind Sie bereits authentifiziert und das Projekt ist auf Ihre Project_ID, eingestellt. Die Ausgabe enthält eine Zeile, in der die Project_ID für diese Sitzung angegeben ist:

Ihr Cloud-Projekt in dieser Sitzung ist festgelegt als {{{project_0.project_id | "PROJECT_ID"}}}

gcloud ist das Befehlszeilentool für Google Cloud. Das Tool ist in Cloud Shell vorinstalliert und unterstützt die Tab-Vervollständigung.

2. (Optional) Sie können den aktiven Kontonamen mit diesem Befehl auflisten:

gcloud auth list

3. Klicken Sie auf Autorisieren.

Ausgabe:

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} Um das aktive Konto festzulegen, führen Sie diesen Befehl aus: $ gcloud config set account `ACCOUNT`

4. (Optional) Sie können die Projekt-ID mit diesem Befehl auflisten:

gcloud config list project

Ausgabe:

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} Hinweis: Die vollständige Dokumentation für gcloud finden Sie in Google Cloud in der Übersicht zur gcloud CLI.

Aufgabe 1: VPC-Netzwerke im benutzerdefinierten Modus mit Firewallregeln erstellen

Sie erstellen zwei Netzwerke im benutzerdefinierten Modus, managementnet und privatenet, sowie Firewallregeln, die eingehenden SSH-, ICMP- und RDP-Traffic zulassen.

Netzwerk „managementnet“ erstellen

Erstellen Sie das Netzwerk managementnet mit der Cloud Console.

1. Öffnen Sie in der Cloud Console das Navigationsmenü () und klicken Sie dann auf VPC‑Netzwerk > VPC‑Netzwerke.

2. Beachten Sie die Netzwerke default und mynetwork mit ihren Subnetzen.

   Jedes Google Cloud-Projekt startet mit dem Netzwerk default. Außerdem wurde das Netzwerk mynetwork für Ihr Netzwerkdiagramm eingerichtet.

3. Klicken Sie auf VPC-Netzwerk erstellen.

4. Geben Sie bei Name managementnet ein.

5. Klicken Sie unter Modus für Subnetzerstellung auf Benutzerdefiniert.

6. Legen Sie die folgenden Werte fest und übernehmen Sie für alle anderen Werte die Standardeinstellung:

   Attribut	Wert (Wert eingeben bzw. Option auswählen)
   Name	managementsubnet-1
   Region
   IPv4-Bereich	10.130.0.0/20

7. Klicken Sie auf Fertig.

8. Klicken Sie auf ENTSPRECHENDE BEFEHLSZEILE.

   Hiermit wird veranschaulicht, dass Netzwerke und Subnetze auch mit der Cloud Shell-Befehlszeile erstellt werden können. Mithilfe dieser Befehle richten Sie im nächsten Abschnitt das Netzwerk privatenet mit ähnlichen Parametern ein.

9. Klicken Sie auf Schließen.

10. Klicken Sie auf Erstellen.

Abgeschlossene Aufgabe testen

Klicken Sie auf Fortschritt prüfen. Wenn Sie das Netzwerk „managementnet“ erstellt haben, erhalten Sie ein Testergebnis.

Netzwerk „managementnet“ erstellen

Netzwerk „privatenet“ erstellen

Erstellen Sie das Netzwerk privatenet mit der Cloud Shell-Befehlszeile.

1. Führen Sie den folgenden Befehl aus, um das Netzwerk privatenet zu erstellen:

gcloud compute networks create privatenet ‑‑subnet-mode=custom

2. Führen Sie den folgenden Befehl aus, um das Subnetz privatesubnet-1 zu erstellen:

gcloud compute networks subnets create privatesubnet-1 --network=privatenet --region={{{project_0.default_region | Region_1 }}} --range=172.16.0.0/24

3. Führen Sie den folgenden Befehl aus, um das Subnetz privatesubnet-2 zu erstellen:

gcloud compute networks subnets create privatesubnet-2 --network=privatenet --region={{{project_0.default_region_2 | Region_2 }}} --range=172.20.0.0/20

Abgeschlossene Aufgabe testen

Klicken Sie auf Fortschritt prüfen. Wenn Sie das Netzwerk „privatenet“ erstellt haben, erhalten Sie ein Testergebnis.

Netzwerk „privatenet“ erstellen

4. Führen Sie den folgenden Befehl aus, um die verfügbaren VPC-Netzwerke aufzulisten:

gcloud compute networks list

Die Ausgabe sollte in etwa so aussehen:

NAME: default SUBNET_MODE: AUTO BGP_ROUTING_MODE: REGIONAL IPV4_RANGE: GATEWAY_IPV4: NAME: managementnet SUBNET_MODE: CUSTOM BGP_ROUTING_MODE: REGIONAL IPV4_RANGE: GATEWAY_IPV4: ... Hinweis: default und mynetwork sind Netzwerke im automatischen Modus, während managementnet und privatenet Netzwerke im benutzerdefinierten Modus sind. Bei Netzwerken im automatischen Modus werden automatisch Subnetze in jeder Region erstellt, während bei Netzwerken im benutzerdefinierten Modus zu Beginn keine Subnetze vorhanden sind. So haben Sie hier die vollständige Kontrolle über die Erstellung von Subnetzen.

5. Führen Sie den folgenden Befehl aus, um die verfügbaren VPC-Subnetze sortiert nach VPC-Netzwerk aufzulisten:

gcloud compute networks subnets list ‑‑sort-by=NETWORK

Die Ausgabe sollte in etwa so aussehen:

NAME: default REGION: {{{project_0.default_region | Region_1}}} NETWORK: default RANGE: 10.128.0.0/20 STACK_TYPE: IPV4_ONLY IPV6_ACCESS_TYPE: INTERNAL_IPV6_PREFIX: EXTERNAL_IPV6_PREFIX: ... Hinweis: Wie erwartet haben die Netzwerke default und mynetwork Subnetze in jeder Region (Zonen/Regionen können sich je nach Anforderungen des Labs ändern), da es sich hierbei um Netzwerke im automatischen Modus handelt. Die Netzwerke managementnet und privatenet haben nur die von Ihnen erstellten Subnetze, da es sich hierbei um Netzwerke im benutzerdefinierten Modus handelt.

6. Öffnen Sie in der Cloud Console das Navigationsmenü und klicken Sie auf VPC‑Netzwerk > VPC‑Netzwerke.
7. In der Cloud Console sind dieselben Netzwerke und Subnetze aufgelistet.

Firewallregeln für „managementnet“ erstellen

Erstellen Sie Firewallregeln, die eingehenden SSH-, ICMP- und RDP-Traffic zu VM-Instanzen im Netzwerk managementnet zulassen.

1. Öffnen Sie in der Cloud Console das Navigationsmenü () und klicken Sie dann auf VPC‑Netzwerk > Firewall.

2. Klicken Sie auf + Firewallregel erstellen.

3. Legen Sie die folgenden Werte fest und übernehmen Sie für alle anderen Werte die Standardeinstellung:

   Attribut	Wert (Wert eingeben bzw. Option auswählen)
   Name	managementnet-allow-icmp-ssh-rdp
   Netzwerk	managementnet
   Ziele	Alle Instanzen im Netzwerk
   Quellfilter	IPv4-Bereiche
   Quell-IPv4-Bereiche	0.0.0.0/0
   Protokolle und Ports	Angegebene Protokolle und Ports; klicken Sie dann auf das Kästchen „tcp“ und geben Sie Folgendes ein: 22, 3389. Klicken Sie anschließend auf das Kästchen „Sonstige Protokolle“ und geben Sie Folgendes ein: icmp.

Hinweis: Achten Sie darauf, dass /0 in Quell-IPv4-Bereiche enthalten ist und so alle Netzwerke angegeben sind.

4. Klicken Sie auf ENTSPRECHENDE BEFEHLSZEILE.

   Hiermit wird veranschaulicht, dass Firewallregeln auch mit der Cloud Shell-Befehlszeile erstellt werden können. Mithilfe dieser Befehle richten Sie im nächsten Abschnitt die Firewallregeln des Netzwerks privatenet mit ähnlichen Parametern ein.

5. Klicken Sie auf Schließen.

6. Klicken Sie auf Erstellen.

Abgeschlossene Aufgabe testen

Klicken Sie auf Fortschritt prüfen. Wenn Sie die Firewallregeln für das Netzwerk „managementnet“ erstellt haben, erhalten Sie ein Testergebnis.

Firewallregeln für „managementnet“ erstellen

Firewallregeln für „privatenet“ erstellen

Erstellen Sie die Firewallregeln für das Netzwerk privatenet mit der Cloud Shell-Befehlszeile.

1. Führen Sie in Cloud Shell den folgenden Befehl aus, um die Firewallregel privatenet-allow-icmp-ssh‑rdp zu erstellen:

gcloud compute firewall-rules create privatenet-allow-icmp-ssh‑rdp ‑‑direction=INGRESS ‑‑priority=1000 ‑‑network=privatenet ‑‑action=ALLOW ‑‑rules=icmp,tcp:22,tcp:3389 ‑‑source-ranges=0.0.0.0/0

Die Ausgabe sollte in etwa so aussehen:

Creating firewall...done. NAME: privatenet-allow-icmp-ssh‑rdp NETWORK: privatenet DIRECTION: INGRESS PRIORITY: 1000 ALLOW: icmp,tcp:22,tcp:3389 DENY: DISABLED: False

Abgeschlossene Aufgabe testen

Klicken Sie auf Fortschritt prüfen. Wenn Sie die Firewallregeln für das Netzwerk „privatenet“ erstellt haben, erhalten Sie ein Testergebnis.

Firewallregeln für „privatenet“ erstellen

2. Führen Sie den folgenden Befehl aus, um alle Firewallregeln sortiert nach VPC-Netzwerk aufzulisten:

gcloud compute firewall-rules list ‑‑sort-by=NETWORK

Die Ausgabe sollte in etwa so aussehen:

NAME: default-allow‑icmp NETWORK: default DIRECTION: INGRESS PRIORITY: 65534 ALLOW: icmp DENY: DISABLED: False NAME: default-allow-internal NETWORK: default DIRECTION: INGRESS PRIORITY: 65534 ALLOW: tcp:0-65535,udp:0-65535,icmp DENY: DISABLED: False ...

Die Firewallregeln für das Netzwerk mynetwork wurden für Sie erstellt. Sie können in einer Firewallregel mehrere Protokolle und Ports festlegen (privatenet und managementnet) oder sie über mehrere Regeln verteilen (default und mynetwork).

3. Öffnen Sie in der Cloud Console das Navigationsmenü und klicken Sie dann auf VPC‑Netzwerk > Firewall.
4. In der Cloud Console sind dieselben Firewallregeln aufgelistet.

Aufgabe 2: VM-Instanzen erstellen

Sie erstellen zwei VM-Instanzen:

• managementnet-vm-1 in managementsubnet-1
• privatenet-vm-1 in privatesubnet-1

Instanz „managementnet-vm-1“ erstellen

Sie erstellen die Instanz managementnet-vm-1 mit der Cloud Console.

1. Öffnen Sie in der Cloud Console das Navigationsmenü und klicken Sie auf Compute Engine > VM‑Instanzen.

   Die VM-Instanzen mynet-vm-2 und mynet-vm-1 wurden für Ihr Netzwerkdiagramm eingerichtet.

2. Klicken Sie auf Instanz erstellen.

3. Legen Sie die folgenden Werte fest und übernehmen Sie für alle anderen Werte die Standardeinstellung:

   Attribut	Wert (Wert eingeben bzw. Option auswählen)
   Name	managementnet-vm-1
   Region
   Zone
   Reihe	E2
   Maschinentyp	e2-micro

4. Klicken Sie über Erweiterte Optionen auf das Drop-down-Menü mit den Optionen Netzwerke, Laufwerke, Sicherheit, Verwaltung, Einzelne Mandanten.

5. Klicken Sie auf Netzwerke.

6. Klicken Sie zum Bearbeiten der Netzwerkschnittstellen auf das Drop-down-Menü.

7. Legen Sie die folgenden Werte fest und übernehmen Sie für alle anderen Werte die Standardeinstellung:

   Attribut	Wert (Wert eingeben bzw. Option auswählen)
   Netzwerk	managementnet
   Subnetzwerk	managementsubnet-1

8. Klicken Sie auf Fertig.

9. Klicken Sie auf ENTSPRECHENDER CODE.

   Hiermit wird veranschaulicht, dass VM-Instanzen auch mit der Cloud Shell-Befehlszeile erstellt werden können. Mithilfe dieser Befehle richten Sie im nächsten Abschnitt die Instanz privatenet-vm-1 mit ähnlichen Parametern ein.

10. Klicken Sie auf Erstellen.

Abgeschlossene Aufgabe testen

Klicken Sie auf Fortschritt prüfen. Wenn Sie die VM-Instanz im Netzwerk „managementnet“ erstellt haben, erhalten Sie ein Testergebnis.

Instanz „managementnet-vm-1“ erstellen

Instanz „privatenet-vm-1“ erstellen

Sie erstellen die Instanz privatenet-vm-1 mithilfe der Cloud Shell-Befehlszeile.

1. Führen Sie in Cloud Shell den folgenden Befehl aus, um die Instanz privatenet-vm-1 zu erstellen:

gcloud compute instances create privatenet-vm-1 --zone={{{project_0.default_zone}}} --machine-type=e2-micro --subnet=privatesubnet-1

Die Ausgabe sollte in etwa so aussehen:

Created [https://www.googleapis.com/compute/v1/projects/qwiklabs-gcp-04-972c7275ce91/zones/"{{{project_0.default_zone}}}"/instances/privatenet-vm-1]. NAME: privatenet-vm-1 ZONE: {{{project_0.default_zone}}} MACHINE_TYPE: e2-micro PREEMPTIBLE: INTERNAL_IP: 172.16.0.2 EXTERNAL_IP: 34.135.195.199 STATUS: RUNNING

Abgeschlossene Aufgabe testen

Klicken Sie auf Fortschritt prüfen. Wenn Sie die VM-Instanz im Netzwerk „privatenet“ erstellt haben, erhalten Sie ein Testergebnis.

Instanz „privatenet-vm-1“ erstellen

2. Führen Sie den folgenden Befehl aus, um alle VM-Instanzen sortiert nach Zone aufzulisten:

gcloud compute instances list ‑‑sort-by=ZONE

Die Ausgabe sollte in etwa so aussehen:

NAME: mynet-vm-2 ZONE: {{{project_0.default_zone_2}}} MACHINE_TYPE: e2-micro PREEMPTIBLE: INTERNAL_IP: 10.164.0.2 EXTERNAL_IP: 34.147.23.235 STATUS: RUNNING NAME: mynet-vm-1 ZONE: {{{project_0.default_zone}}} MACHINE_TYPE: e2-micro PREEMPTIBLE: INTERNAL_IP: 10.128.0.2 EXTERNAL_IP: 35.232.221.58 STATUS: RUNNING ...

3. Öffnen Sie in der Cloud Console das Navigationsmenü () und klicken Sie dann auf Compute Engine > VM‑Instanzen.

4. In der Cloud Console sind die VM‑Instanzen aufgelistet.

5. Klicken Sie auf Spaltenanzeigeoptionen und wählen Sie anschließend Netzwerk aus. Klicken Sie auf OK.

   Es gibt drei Instanzen in und eine Instanz in . Diese Instanzen sind jedoch auf drei VPC‑Netzwerke verteilt (managementnet, mynetwork und privatenet), wobei es keine identischen Instanzen in derselben Zone und demselben Netzwerk gibt. Im nächsten Abschnitt untersuchen Sie die Auswirkung hiervon auf die interne Konnektivität.

Aufgabe 3: Konnektivität zwischen VM-Instanzen überprüfen

Überprüfen Sie die Konnektivität zwischen den VM-Instanzen. Bestimmen Sie insbesondere die Auswirkung von VM-Instanzen in derselben Zone im Vergleich zu Instanzen im selben VPC-Netzwerk.

Externe IP‑Adressen mit Ping kontaktieren

Kontaktieren Sie die externen IP-Adressen der VM-Instanzen mit Ping, um zu überprüfen, ob Sie die Instanzen über das öffentliche Internet erreichen können.

1. Öffnen Sie in der Cloud Console das Navigationsmenü und klicken Sie auf Compute Engine > VM-Instanzen.

2. Notieren Sie sich die externen IP-Adressen der VM-Instanzen mynet-vm-2, managementnet-vm-1 und privatenet-vm-1.

3. Klicken Sie bei mynet-vm-1 auf SSH, um ein Terminal zu starten und eine Verbindung herzustellen.

4. Testen Sie die Konnektivität zur externen IP-Adresse von mynet-vm-2. Führen Sie dazu den folgenden Befehl aus, wobei Sie die externe IP-Adresse von mynet-vm-2 einsetzen:

ping -c 3 'Enter mynet-vm-2 external IP here'

Das sollte funktionieren.

5. Testen Sie die Konnektivität zur externen IP-Adresse von managementnet-vm-1. Führen Sie dazu den folgenden Befehl aus, wobei Sie die externe IP-Adresse von managementnet-vm-1 einsetzen:

ping -c 3 'Enter managementnet-vm-1 external IP here'

Das sollte funktionieren.

6. Testen Sie die Konnektivität zur externen IP-Adresse von privatenet-vm-1. Führen Sie dazu den folgenden Befehl aus, wobei Sie die externe IP-Adresse von privatenet-vm-1 einsetzen:

ping -c 3 'Enter privatenet-vm-1 external IP here'

Das sollte funktionieren.

Hinweis: Sie können die externen IP‑Adressen aller VM‑Instanzen mit Ping kontaktieren, auch wenn sie sich in einer anderen Zone oder einem anderen VPC-Netzwerk befinden. Dadurch wird bestätigt, dass der öffentliche Zugriff auf diese Instanzen nur durch die ICMP-Firewallregeln gesteuert wird, die Sie zuvor erstellt haben.

Interne IP‑Adresse mit Ping kontaktieren

Kontaktieren Sie die internen IP-Adressen der VM-Instanzen, um zu überprüfen, ob Sie die Instanzen von einem VPC-Netzwerk aus erreichen können.

1. Öffnen Sie in der Cloud Console das Navigationsmenü und klicken Sie auf Compute Engine > VM‑Instanzen.
2. Notieren Sie sich die internen IP-Adressen der VM-Instanzen mynet-vm-2, managementnet-vm-1 und privatenet-vm-1.
3. Kehren Sie zum SSH-Terminal von mynet-vm-1 zurück.
4. Testen Sie die Konnektivität zur internen IP-Adresse von mynet-vm-2. Führen Sie dazu den folgenden Befehl aus, wobei Sie die interne IP-Adresse von mynet-vm-2 einsetzen:

ping -c 3 'Enter mynet-vm-2 internal IP here' Hinweis: Der Ping-Test für die interne IP-Adresse von mynet-vm-2 ist erfolgreich, weil die Instanz zum selben VPC-Netzwerk wie die Quelle des Pings gehört (mynet-vm-1), selbst wenn beide VM-Instanzen sich in unterschiedlichen Zonen, Regionen und Kontinenten befinden.

5. Testen Sie die Konnektivität zur internen IP-Adresse von managementnet-vm-1. Führen Sie dazu den folgenden Befehl aus, wobei Sie die interne IP-Adresse von managementnet-vm-1 einsetzen:

ping -c 3 'Enter managementnet-vm-1 internal IP here' Hinweis: Dieser Ping-Test ist nicht erfolgreich, was am Paketverlust von 100 % ersichtlich ist.

6. Testen Sie die Konnektivität zur internen IP-Adresse von privatenet-vm-1. Führen Sie dazu den folgenden Befehl aus, wobei Sie die interne IP-Adresse von privatenet-vm-1 einsetzen:

ping -c 3 'Enter privatenet-vm-1 internal IP here' Hinweis: Dieser Ping-Test ist ebenfalls nicht erfolgreich, was am Paketverlust von 100 % ersichtlich ist. Sie können die internen IP-Adressen von managementnet-vm-1 und privatenet-vm-1 nicht kontaktieren, da sie zu anderen VPC-Netzwerken als die Quelle des Pings gehören (mynet-vm-1), selbst wenn sie sich alle in derselben Region befinden.

VPC-Netzwerke sind standardmäßig isolierte private Netzwerkdomains. Die Kommunikation zwischen Netzwerken über interne IP-Adressen ist allerdings nicht zulässig, es sei denn, Sie richten Funktionen wie VPC-Peering oder VPN ein.

Hinweis: Verwenden Sie region_1 = und region_2 = für die Aufgabe unten.

Aufgabe 4: VM-Instanz mit mehreren Netzwerkschnittstellen erstellen

Jede Instanz in einem VPC-Netzwerk hat eine Standardnetzwerkschnittstelle. Sie können zusätzliche Netzwerkschnittstellen erstellen, die an die VM-Instanzen gebunden werden. Mit mehreren Netzwerkschnittstellen sind Konfigurationen möglich, bei denen eine Instanz eine direkte Verbindung zu mehreren VPC-Netzwerken herstellt (je nach Instanztyp bis zu acht Schnittstellen).

VM‑Instanz mit mehreren Netzwerkschnittstellen erstellen

Erstellen Sie die Instanz vm-appliance mit Netzwerkschnittstellen in privatesubnet-1, managementsubnet-1 und mynetwork. Die CIDR-Bereiche dieser Subnetze überlappen nicht. Das ist eine Voraussetzung für das Erstellen einer VM-Instanz mit mehreren Netzwerkschnittstellen.

1. Öffnen Sie in der Cloud Console das Navigationsmenü und klicken Sie auf Compute Engine > VM‑Instanzen.

2. Klicken Sie auf Instanz erstellen.

3. Legen Sie die folgenden Werte fest und übernehmen Sie für alle anderen Werte die Standardeinstellung:

   Attribut	Wert (Wert eingeben bzw. Option auswählen)
   Name	vm-appliance
   Region
   Zone
   Reihe	E2
   Maschinentyp	e2-standard-4

Hinweis: Die Anzahl der in einer Instanz zulässigen Schnittstellen ist abhängig vom Maschinentyp der Instanz und von der Anzahl der vCPUs. Der Maschinentyp „e2-standard-4“ ermöglicht bis zu vier Netzwerkschnittstellen. Weitere Informationen erhalten Sie im Abschnitt „Maximale Anzahl von Netzwerkschnittstellen“ der Google Cloud-Anleitung.

4. Klicken Sie über Erweiterte Optionen auf das Drop-down-Menü mit den Optionen Netzwerke, Laufwerke, Sicherheit, Verwaltung, Einzelne Mandanten.

5. Klicken Sie auf Netzwerke.

6. Klicken Sie zum Bearbeiten der Netzwerkschnittstellen auf das Drop-down-Menü.

7. Legen Sie die folgenden Werte fest und übernehmen Sie für alle anderen Werte die Standardeinstellung:

   Attribut	Wert (Wert eingeben bzw. Option auswählen)
   Netzwerk	privatenet
   Subnetzwerk	privatesubnet-1

8. Klicken Sie auf Fertig.

9. Klicken Sie auf Netzwerkschnittstelle hinzufügen.

10. Legen Sie die folgenden Werte fest und übernehmen Sie für alle anderen Werte die Standardeinstellung:

    Attribut	Wert (Wert eingeben bzw. Option auswählen)
    Netzwerk	managementnet
    Subnetzwerk	managementsubnet-1

11. Klicken Sie auf Fertig.

12. Klicken Sie auf Netzwerkschnittstelle hinzufügen.

13. Legen Sie die folgenden Werte fest und übernehmen Sie für alle anderen Werte die Standardeinstellung:

    Attribut	Wert (Wert eingeben bzw. Option auswählen)
    Netzwerk	mynetwork
    Subnetzwerk	mynetwork

14. Klicken Sie auf Fertig.

15. Klicken Sie auf Erstellen.

Abgeschlossene Aufgabe testen

Klicken Sie auf Fortschritt prüfen. Wenn Sie eine VM-Instanz mit mehreren Netzwerkschnittstellen erstellt haben, erhalten Sie ein Testergebnis.

VM-Instanz mit mehreren Netzwerkschnittstellen erstellen

Details zur Netzwerkschnittstelle prüfen

Überprüfen Sie die Details zur Netzwerkschnittstelle von vm‑appliance über die Cloud Console und das Terminal der VM‑Instanz.

1. Öffnen Sie in der Cloud Console das Navigationsmenü () und klicken Sie dann auf Compute Engine > VM‑Instanzen.
2. Klicken Sie auf nic0 unter Interne IP-Adresse von vm-appliance, um die Seite Details zur Netzwerkschnittstelle aufzurufen.
3. Überprüfen Sie, ob nic0 an privatesubnet-1 gebunden ist, einer internen IP-Adresse innerhalb dieses Subnetzes (172.16.0.0/24) zugewiesen ist und über anwendbare Firewallregeln verfügt.
4. Klicken Sie auf nic0 und wählen Sie nic1 aus.
5. Überprüfen Sie, ob nic1 an managementsubnet-1 gebunden ist, einer internen IP-Adresse innerhalb dieses Subnetzes (10.130.0.0/20) zugewiesen ist und über anwendbare Firewallregeln verfügt.
6. Klicken Sie auf nic1 und wählen Sie nic2 aus.
7. Überprüfen Sie, ob nic2 an mynetwork gebunden ist, einer internen IP-Adresse innerhalb dieses Subnetzes (10.128.0.0/20) zugewiesen ist und über anwendbare Firewallregeln verfügt.

Hinweis: Jede Netzwerkschnittstelle hat eine eigene interne IP‑Adresse, damit die VM‑Instanz mit diesen Netzwerken kommunizieren kann.

8. Öffnen Sie in der Cloud Console das Navigationsmenü und klicken Sie auf Compute Engine > VM‑Instanzen.
9. Klicken Sie für vm-appliance auf SSH, um ein Terminal zu starten und eine Verbindung herzustellen.
10. Führen Sie den folgenden Befehl aus, um die Netzwerkschnittstellen innerhalb der VM-Instanz aufzulisten:

sudo ifconfig

Die Ausgabe sollte in etwa so aussehen:

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1460 inet 172.16.0.3 netmask 255.255.255.255 broadcast 172.16.0.3 inet6 fe80::4001:acff:fe10:3 prefixlen 64 scopeid 0x20<link> ether 42:01:ac:10:00:03 txqueuelen 1000 (Ethernet) RX packets 626 bytes 171556 (167.5 KiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 568 bytes 62294 (60.8 KiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 eth1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1460 inet 10.130.0.3 netmask 255.255.255.255 broadcast 10.130.0.3 inet6 fe80::4001:aff:fe82:3 prefixlen 64 scopeid 0x20<link> ether 42:01:0a:82:00:03 txqueuelen 1000 (Ethernet) RX packets 7 bytes 1222 (1.1 KiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 17 bytes 1842 (1.7 KiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 eth2: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1460 inet 10.128.0.3 netmask 255.255.255.255 broadcast 10.128.0.3 inet6 fe80::4001:aff:fe80:3 prefixlen 64 scopeid 0x20<link> ether 42:01:0a:80:00:03 txqueuelen 1000 (Ethernet) RX packets 17 bytes 2014 (1.9 KiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 17 bytes 1862 (1.8 KiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 Hinweis: Mit dem Befehl sudo ifconfig werden die Netzwerkschnittstellen einer Linux-VM‑Instanz zusammen mit den internen IP‑Adressen für jede Schnittstelle aufgelistet.

Konnektivität der Netzwerkschnittstellen überprüfen

Überprüfen Sie, ob die Instanz vm-appliance mit privatesubnet-1, managementsubnet-1 und mynetwork verbunden ist. Kontaktieren Sie dazu die VM-Instanzen in diesen Subnetzen mit Ping.

1. Öffnen Sie in der Cloud Console das Navigationsmenü und klicken Sie auf Compute Engine > VM‑Instanzen.
2. Notieren Sie sich die internen IP-Adressen der VM-Instanzen privatenet-vm-1, managementnet-vm-1, mynet-vm-1 und mynet-vm-2.
3. Kehren Sie zum SSH-Terminal für vm-appliance zurück.
4. Testen Sie die Konnektivität zur internen IP-Adresse von privatenet-vm-1. Führen Sie dazu den folgenden Befehl aus, wobei Sie die interne IP-Adresse von privatenet-vm-1 einsetzen:

ping -c 3 'Enter privatenet-vm-1's internal IP here'

Der Ping-Test ist erfolgreich.

5. Führen Sie den Test mit dem folgenden Befehl noch einmal aus:

ping -c 3 privatenet-vm-1 Hinweis: Sie können die VM-Instanz privatenet-vm-1 über ihren Namen kontaktieren, da es in VPC-Netzwerken einen internen DNS-Dienst gibt, mit dem Instanzen mit ihren DNS-Namen anstatt ihrer internen IP-Adressen aufgerufen werden können. Bei einer internen DNS-Abfrage mit dem Hostnamen der Instanz wird der Name in die primäre Schnittstelle (nic0) der Instanz aufgelöst. Daher ist der Ping-Test in diesem Fall nur bei privatenet-vm-1 erfolgreich.

6. Testen Sie die Konnektivität zur internen IP-Adresse von managementnet-vm-1. Führen Sie dazu den folgenden Befehl aus, wobei Sie die interne IP-Adresse von managementnet-vm-1 einsetzen:

ping -c 3 'Enter managementnet-vm-1's internal IP here'

Der Ping-Test ist erfolgreich.

7. Testen Sie die Konnektivität zur internen IP-Adresse von mynet-vm-1. Führen Sie dazu den folgenden Befehl aus, wobei Sie die interne IP-Adresse von mynet-vm-1 einsetzen:

ping -c 3 'Enter mynet-vm-1's internal IP here'

Der Ping-Test ist erfolgreich.

8. Testen Sie die Konnektivität zur internen IP-Adresse von mynet-vm-2. Führen Sie dazu den folgenden Befehl aus, wobei Sie die interne IP-Adresse von mynet-vm-2 einsetzen:

ping -c 3 'Enter mynet-vm-2's internal IP here' Hinweis: Der Ping-Test ist nicht erfolgreich. In einer Instanz mit mehreren Schnittstellen erhält jede Schnittstelle eine Route für das Subnetz, in dem es sich befindet. Zusätzlich erhält die Instanz eine einzelne Standardroute, die der primären Schnittstelle „eth0“ zugeordnet ist. Sofern nicht manuell anders konfiguriert, wird sämtlicher Traffic, der von der Instanz zu beliebigen Zielen mit Ausnahme eines direkt verbundenen Subnetzes verläuft, über die Standardroute auf „eth0“ geleitet.

9. Führen Sie den folgenden Befehl aus, um die Routen für die Instanz vm-appliance aufzulisten:

ip route

Die Ausgabe sollte in etwa so aussehen:

default via 172.16.0.1 dev eth0 10.128.0.0/20 via 10.128.0.1 dev eth2 10.128.0.1 dev eth2 scope link 10.130.0.0/20 via 10.130.0.1 dev eth1 10.130.0.1 dev eth1 scope link 172.16.0.0/24 via 172.16.0.1 dev eth0 172.16.0.1 dev eth0 scope link Hinweis: Der primären Schnittstelle „eth0“ wird die Standardroute zugeordnet (default via 172.16.0.1 dev eth0). Außerdem werden allen drei Schnittstellen „eth0“, „eth1“ und „eth2“ Routen für die entsprechenden Subnetze zugeordnet. Da das Subnetz von mynet-vm-2 (10.132.0.0/20) nicht in dieser Routingtabelle enthalten ist, wird der Ping zu dieser Instanz von vm-appliance aus über die Schnittstelle „eth0“ geleitet, die sich in einem anderen VPC-Netzwerk befindet. Sie können dieses Verhalten ändern. Konfigurieren Sie dazu das Richtlinienrouting, wie im Abschnitt „Richtlinienrouting konfigurieren“ der Google Cloud-Anleitung beschrieben.

Das wars!

Sie haben das Lab erfolgreich abgeschlossen. Darin haben Sie eine VM‑Instanz mit drei Netzwerkschnittstellen erstellt und die interne Konnektivität für VM‑Instanzen in Subnetzen überprüft, die mit mehreren Netzwerkschnittstellen an die VM‑Instanz gebunden sind.

Außerdem haben Sie das Standardnetzwerk zusammen mit seinen Subnetzen, Routen und Firewallregeln überprüft. Anschließend haben Sie die Konnektivität für ein neues VPC‑Netzwerk im automatischen Modus erstellt und getestet.

Weitere Informationen

Weitere Informationen zu VPC‑Netzwerken erhalten Sie unter VPC-Netzwerke verwenden.

Google Cloud-Schulungen und -Zertifizierungen

In unseren Schulungen erfahren Sie alles zum optimalen Einsatz unserer Google Cloud-Technologien und können sich entsprechend zertifizieren lassen. Unsere Kurse vermitteln technische Fähigkeiten und Best Practices, damit Sie möglichst schnell mit Google Cloud loslegen und Ihr Wissen fortlaufend erweitern können. Wir bieten On-Demand-, Präsenz- und virtuelle Schulungen für Anfänger wie Fortgeschrittene an, die Sie individuell in Ihrem eigenen Zeitplan absolvieren können. Mit unseren Zertifizierungen weisen Sie nach, dass Sie Experte im Bereich Google Cloud-Technologien sind.

Handbuch zuletzt am 11. Oktober 2024 aktualisiert

Lab zuletzt am 11. Oktober 2024 getestet

© 2024 Google LLC. Alle Rechte vorbehalten. Google und das Google-Logo sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen können Marken der jeweils mit ihnen verbundenen Unternehmen sein.