Opis

Prywatne środowisko wirtualne w chmurze (VPC) w Google Cloud pozwala obsługiwać sieci na potrzeby instancji maszyn wirtualnych Compute Engine, kontenerów Kubernetes Engine oraz elastycznego środowiska App Engine. Inaczej mówiąc, bez sieci VPC nie da się tworzyć instancji maszyn wirtualnych, kontenerów czy aplikacji App Engine. Dlatego też każdy projekt Google Cloud ma ustawioną sieć default (domyślną).

Sieć VPC przypomina sieć fizyczną, z tym że funkcjonuje wirtualnie w Google Cloud. Jest to zasób globalny, który składa się z listy regionalnych podsieci wirtualnych w centrach danych, połączonych w sieci globalnej (WAN). Sieci VPC w Google Cloud są od siebie odizolowane logicznie.

Z tego modułu dowiesz się, jak utworzyć sieć VPC w trybie automatycznym z regułami zapory sieciowej i 2 instancjami maszyn wirtualnych. Następnie poznasz połączenia instancji maszyn wirtualnych.

Cele

W tym module:

• poznasz domyślną sieć VPC,
• utworzysz sieci w trybie automatycznym z regułami zapory sieciowej,
• utworzysz instancje maszyn wirtualnych za pomocą Compute Engine,
• poznasz połączenia dla instancji maszyn wirtualnych.

Konfiguracja i wymagania

W przypadku każdego modułu otrzymujesz bezpłatnie i na określony czas nowy projekt Google Cloud oraz zbiór zasobów.

1. Kliknij przycisk Rozpocznij moduł. Jeśli moduł jest odpłatny, otworzy się wyskakujące okienko, w którym możesz wybrać formę płatności. Po lewej stronie znajduje się panel Szczegóły modułu z następującymi elementami:

   • przyciskiem Otwórz konsolę Google Cloud;
   • czasem, który Ci pozostał;
   • tymczasowymi danymi logowania, których musisz użyć w tym module;
   • innymi informacjami potrzebnymi do ukończenia modułu.

2. Kliknij Otwórz konsolę Google Cloud (lub kliknij prawym przyciskiem myszy i wybierz Otwórz link w oknie incognito, jeśli korzystasz z przeglądarki Chrome).

   Moduł uruchomi zasoby, po czym otworzy nową kartę ze stroną logowania.

   Wskazówka: otwórz karty obok siebie w osobnych oknach.

   Uwaga: jeśli pojawi się okno Wybierz konto, kliknij Użyj innego konta.

3. W razie potrzeby skopiuj nazwę użytkownika znajdującą się poniżej i wklej ją w oknie logowania.

   {{{user_0.username | "Username"}}}

   Nazwę użytkownika znajdziesz też w panelu Szczegóły modułu.

4. Kliknij Dalej.

5. Skopiuj podane niżej hasło i wklej je w oknie powitania.

   {{{user_0.password | "Password"}}}

   Hasło znajdziesz też w panelu Szczegóły modułu.

6. Kliknij Dalej.

   Ważne: musisz użyć danych logowania podanych w module. Nie używaj danych logowania na swoje konto Google Cloud. Uwaga: korzystanie z własnego konta Google Cloud w tym module może wiązać się z dodatkowymi opłatami.

7. Na kolejnych stronach wykonaj następujące czynności:

   • Zaakceptuj Warunki korzystania z usługi.
   • Nie dodawaj opcji odzyskiwania ani uwierzytelniania dwuskładnikowego (ponieważ konto ma charakter tymczasowy).
   • Nie rejestruj się w bezpłatnych wersjach próbnych.

Poczekaj, aż na karcie otworzy się konsola Google Cloud.

Uwaga: aby wyświetlić menu z listą produktów i usług Google Cloud, w lewym górnym rogu kliknij Menu nawigacyjne lub wpisz nazwę usługi lub produktu w polu Szukaj.

Zadanie 1. Poznawanie sieci domyślnej

W każdym projekcie Google Cloud jest sieć default (domyślna), która składa się z podsieci, tras i reguł zapory sieciowej.

Wyświetlanie podsieci

Sieć default (domyślna) ma podsieć w każdym regionie Google Cloud.

1. W Menu nawigacyjnym () konsoli Cloud kliknij Sieć VPC > Sieci VPC.

2. Kliknij default.

3. Kliknij Podsieci.

Zwróć uwagę na sieć default i jej podsieci.
Każda podsieć jest powiązana z regionem Google Cloud i prywatnym blokiem adresów CIDR RFC 1918 w wewnętrznym zakresie adresów IP oraz bramie.

Wyświetlanie tras

Trasy informują sieć VPC i instancje maszyn wirtualnych, jak wysyłać ruch z instancji do miejsca docelowego w sieci lub poza Google Cloud. Każda sieć VPC ma trasy domyślne służące do kierowania ruchu pomiędzy podsieciami i wysyłania ruchu z odpowiednich instancji do internetu.

1. W panelu po lewej stronie kliknij Trasy.

2. Na karcie Trasy efektywne kliknij Sieć i wybierz opcję default.

3. Kliknij Region i wybierz region modułu przypisany do Ciebie przez Qwiklabs.

4. Kliknij Wyświetl.

   Zwróć uwagę, że istnieje trasa dla każdej podsieci.
   Te trasy są zarządzane za Ciebie, ale możesz utworzyć niestandardowe trasy statyczne, które będą kierować niektóre pakiety do określonych miejsc docelowych. Możesz na przykład utworzyć trasę, która wysyła cały ruch wychodzący do instancji skonfigurowanej jako brama NAT.

Wyświetlanie reguł zapory sieciowej

Każda sieć VPC wprowadza rozproszoną wirtualną zaporę sieciową, którą możesz skonfigurować. Reguły zapory sieciowej pozwalają określić, które pakiety mogą podróżować do danych miejsc docelowych. Każda sieć VPC ma 2 niejawne reguły zapory sieciowej, które blokują wszystkie połączenia przychodzące i zezwalają na wszystkie połączenia wychodzące.

• W panelu po lewej stronie kliknij Zapora sieciowa.
  Zwróć uwagę, że w sieci default (domyślnej) są 4 reguły zapory sieciowej dotyczące ruchu przychodzącego:
  • default-allow-icmp
  • default-allow-rdp
  • default-allow-ssh
  • default-allow-internal

Usuwanie reguł zapory sieciowej

1. Wybierz wszystkie reguły zapory sieciowej sieci „default”.
2. Kliknij Usuń.
3. Kliknij Usuń, aby potwierdzić usunięcie reguł zapory sieciowej.

Usuwanie sieci domyślnej

1. W Menu nawigacyjnym () konsoli Cloud kliknij Sieć VPC > Sieci VPC.
2. Wybierz sieć default.
3. Kliknij Usuń sieć VPC.
4. Kliknij Usuń, aby potwierdzić usunięcie sieci default (domyślnej).
   Zanim przejdziesz dalej, zaczekaj, aż proces usuwania dobiegnie końca.
5. W panelu po lewej stronie kliknij Trasy.
   Zauważ, że nie wyświetla się żadna trasa.
6. W panelu po lewej stronie kliknij Zapora sieciowa.
   Zauważ, że nie ma żadnych reguł zapory sieciowej.

Tworzenie instancji maszyny wirtualnej

Sprawdź, czy utworzenie instancji maszyny wirtualnej jest możliwe bez sieci VPC.

1. W Menu nawigacyjnym () kliknij Compute Engine > Instancje maszyn wirtualnych.
2. Kliknij Utwórz instancję.
3. Zaakceptuj domyślne wartości i kliknij Utwórz. Na karcie Sieć wyświetli się błąd.
4. Kliknij Przejdź do problemów.
5. Zwróć uwagę na komunikat w sekcji Interfejsy sieci informujący, że należy dodać sieć.
6. Kliknij Anuluj.

Zadanie 2. Tworzenie sieci VPC i instancji maszyn wirtualnych

Utwórz sieć VPC, by możliwe było utworzenie instancji maszyn wirtualnych.

Tworzenie sieci VPC w trybie automatycznym z regułami zapory sieciowej

Zreplikuj sieć default (domyślną) przez utworzenie sieci w trybie automatycznym.

1. W Menu nawigacyjnym () kliknij Sieć VPC > Sieci VPC.
2. Kliknij Utwórz sieć VPC.
3. W polu Nazwa wpisz mynetwork.
4. W polu Tryb tworzenia podsieci wybierz Automatyczny. Podsieci są tworzone automatycznie w każdym regionie przez sieci trybu automatycznego.
5. W sekcji Reguły zapory sieciowej zaznacz wszystkie dostępne reguły. To te same standardowe reguły zapory sieciowej, które dotyczyły sieci domyślnej. Wyświetlą się również reguły deny-all-ingress i allow-all-egress, ale nie możesz ich zaznaczyć ani odznaczyć, ponieważ są niejawne. Te 2 reguły mają niższy priorytet (wyższe liczby całkowite wskazują niższe priorytety), więc reguły zezwalające na ICMP, ruch niestandardowy, RDP i SSH są uwzględniane w pierwszej kolejności.
6. Kliknij Utwórz. Kiedy nowa sieć będzie gotowa, zobaczysz, że dla każdego regionu została utworzona podsieć.
7. Sprawdź zakres adresów IP dla podsieci w regionie oraz .

Tworzenie instancji maszyny wirtualnej w regionie

Utwórz maszynę wirtualną w regionie . Wybór regionu i strefy spowoduje określenie podsieci oraz przypisanie wewnętrznego adresu IP z zakresu adresów IP podsieci.

1. W Menu nawigacyjnym () kliknij Compute Engine > Instancje maszyn wirtualnych.

2. Kliknij Utwórz instancję.

3. Podaj te informacje:

   Właściwość	Wartość (wpisz podaną wartość lub wybierz podaną opcję)
   Nazwa	mynet-us-vm
   Region
   Strefa

4. Z listy Seria wybierz E2.

5. Z listy Typ maszyny wybierz e2-micro (2 vCPU, 1 GB pamięci).

6. Kliknij Utwórz.

Tworzenie instancji maszyny wirtualnej w regionie

Utwórz maszynę wirtualną w regionie .

1. Kliknij Utwórz instancję.

2. Wprowadź te wartości, a wszystkie pozostałe ustawienia pozostaw domyślne:

   Właściwość	Wartość (wpisz podaną wartość lub wybierz podaną opcję)
   Nazwa	mynet-r2-vm
   Region
   Strefa

3. Z listy Seria wybierz E2.

4. Z listy Typ maszyny wybierz e2-micro (2 vCPU, 1 GB pamięci).

5. Kliknij Utwórz.

Kliknij Sprawdź postępy, aby zobaczyć, jak Ci poszło. Utworzenie sieci VPC i instancji maszyny wirtualnej

Zadanie 3. Poznawanie połączeń dla instancji maszyn wirtualnych

Poznaj połączenia dla instancji maszyn wirtualnych. Korzystając z tcp:22, spróbuj nawiązać połączenie SSH z instancjami maszyn wirtualnych i przy użyciu ICMP wyślij ping zarówno do wewnętrznych, jak i zewnętrznych adresów IP Twoich instancji. Następnie sprawdź wpływ reguł zapory sieciowej na połączenia, usuwając kolejno po jednej z nich.

Sprawdzanie połączeń instancji maszyn wirtualnych

Reguły zapory sieciowej utworzone przez Ciebie w sieci mynetwork zezwalają na ruch przychodzący SSH i IMCP w sieci mynetwork (wewnętrzny adres IP) i poza nią (zewnętrzny adres IP).

1. W Menu nawigacyjnym () kliknij Compute Engine > Instancje maszyn wirtualnych.
   Zwróć uwagę na zewnętrzne i wewnętrzne adresy IP sieci mynet-r2-vm.

2. W przypadku instancji mynet-us-vm kliknij SSH, by uruchomić terminal i nawiązać połączenie.

3. Jeśli otworzy się wyskakujące okienko o tytule Autoryzuj kliknij przycisk Autoryzuj.

3. Aby przetestować możliwość połączenia z wewnętrznym adresem IP instancji mynet-r2-vm, uruchom to polecenie z wpisanym wewnętrznym adresem IP instancji mynet-r2-vm:

Wysłanie pinga do wewnętrznego adresu IP instancji mynet-r2-vm jest możliwe dzięki zasadzie zapory sieciowej allow-custom.

4. Aby przetestować możliwość połączenia z zewnętrznym adresem IP instancji mynet-r2-vm, uruchom to polecenie z wpisanym zewnętrznym adresem IP instancji mynet-r2-vm:

Usuwanie reguły zapory sieciowej allow-icmp

Usuń regułę zapory sieciowej allow-icmp i spróbuj wysłać ping do wewnętrznych i zewnętrznych adresów IP instancji mynet-r2-vm.

1. W Menu nawigacyjnym () kliknij Sieć VPC > Zapora sieciowa.

2. Wybierz regułę mynetwork-allow-icmp.

3. Kliknij Usuń.

4. Kliknij Usuń, aby potwierdzić tę czynność.
   Poczekaj, aż reguła zapory sieciowej zostanie usunięta.

5. Wróć do terminala SSH instancji mynet-us-vm.

6. Aby przetestować możliwość połączenia z wewnętrznym adresem IP instancji mynet-r2-vm, uruchom to polecenie z wpisanym wewnętrznym adresem IP instancji mynet-r2-vm:

Wysłanie pinga do wewnętrznego adresu IP instancji mynet-r2-vm jest możliwe dzięki zasadzie zapory sieciowej allow-custom.

7. Aby przetestować możliwość połączenia z zewnętrznym adresem IP instancji mynet-r2-vm, uruchom to polecenie z wpisanym zewnętrznym adresem IP instancji mynet-r2-vm:

Usuwanie reguły zapory sieciowej allow-custom

Usuń regułę zapory sieciowej allow-custom i spróbuj wysłać ping do wewnętrznego adresu IP instancji mynet-r2-vm.

1. W Menu nawigacyjnym () kliknij Sieć VPC > Zapora sieciowa.
2. Wybierz regułę mynetwork-allow-custom.
3. Kliknij Usuń.
4. Kliknij Usuń, aby potwierdzić tę czynność.
   Poczekaj, aż reguła zapory sieciowej zostanie usunięta.
5. Wróć do terminala SSH instancji mynet-us-vm.
6. Aby przetestować możliwość połączenia z wewnętrznym adresem IP instancji mynet-r2-vm, uruchom to polecenie z wpisanym wewnętrznym adresem IP instancji mynet-r2-vm:

7. Zamknij terminal SSH:

Usuwanie reguły zapory sieciowej allow-ssh

Usuń regułę zapory sieciowej allow-ssh i spróbuj połączyć się przez SSH z instancją mynet-us-vm.

1. W Menu nawigacyjnym () kliknij Sieć VPC > Zapora sieciowa.
2. Wybierz regułę mynetwork-allow-ssh.
3. Kliknij Usuń.
4. Kliknij Usuń, aby potwierdzić tę czynność.
5. Poczekaj, aż reguła zapory sieciowej zostanie usunięta.
6. W Menu nawigacyjnym kliknij Compute Engine > Instancje maszyn wirtualnych.
7. W przypadku instancji mynet-us-vm kliknij SSH, by uruchomić terminal i nawiązać połączenie.

Zadanie 4. Podsumowanie

W tym module zapoznałeś(-aś) się z siecią domyślną i jej podsieciami, trasami oraz regułami zapory sieciowej. Udało Ci się też usunąć sieć domyślną i przekonałeś(-aś) się, że nie można utworzyć żadnych instancji maszyn wirtualnych bez sieci VPC.

W ten sposób utworzyłeś(-aś) nową sieć VPC w trybie automatycznym z podsieciami, trasami i regułami zapory sieciowej oraz 2 instancje maszyn wirtualnych. Następnie przetestowałeś(-aś) połączenia instancji maszyn wirtualnych i zbadałeś(-aś) wpływ, jaki mają na nie reguły zapory sieciowej.

Kończenie modułu

Po ukończeniu modułu kliknij Zakończ moduł. Google Cloud Skills Boost usunie wykorzystane zasoby i wyczyści konto.

Po zakończeniu modułu będzie można ocenić związane z nim wrażenia. Wybierz odpowiednią liczbę gwiazdek, wpisz komentarz, a następnie kliknij Prześlij.

Liczba gwiazdek oznacza odpowiednie oceny:

• 1 gwiazdka – bardzo zła,
• 2 gwiazdki – zła,
• 3 gwiazdki – neutralna,
• 4 gwiazdki – dobra,
• 5 gwiazdek – bardzo dobra.

Jeśli nie chcesz dzielić się swoją opinią, możesz zamknąć okno dialogowe.

Jeśli chcesz przesłać swoją opinię, sugestie lub propozycje poprawek, użyj karty Pomoc.

Copyright 2020 Google LLC. Wszelkie prawa zastrzeżone. Google i logo Google są znakami towarowymi Google LLC. Wszelkie inne nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów, z którymi są powiązane.