arrow_back

Початок роботи з мережею VPC й Google Compute Engine

Увійти Приєднатися
Quick tip: Review the prerequisites before you run the lab
Use an Incognito or private browser window to run this lab. This prevents any conflicts between your personal account and the student account, which may cause extra charges incurred to your personal account.
Test and share your knowledge with our community!
done
Get access to over 700 hands-on labs, skill badges, and courses

Початок роботи з мережею VPC й Google Compute Engine

Lab 40 годин universal_currency_alt 5 кредитів show_chart Початковий
info This lab may incorporate AI tools to support your learning.
Test and share your knowledge with our community!
done
Get access to over 700 hands-on labs, skill badges, and courses

Огляд

Віртуальна приватна хмара (VPC) Google Cloud забезпечує підключення до мережі екземплярів віртуальних машин Compute Engine, контейнерів Kubernetes Engine і гнучкого середовища App Engine. Тобто без мережі VPC неможливо створити екземпляри віртуальних машин, контейнери й додатки App Engine. Тому для кожного проекту Google Cloud уже налаштовано мережу за умовчанням.

Мережа VPC побудована за принципом фізичної мережі, але розміщена у віртуальному середовищі Google Cloud. Мережа VPC – це глобальний ресурс, що містить низку регіональних віртуальних підмереж у центрах обробки даних, з’єднаних між собою за допомогою глобальної мережі (WAN). У Google Cloud мережі VPC логічно ізольовані одна від одної.

На цьому практичному занятті ви створите автоматичну мережу VPC з правилами брандмауера й двома екземплярами віртуальних машин, а також ознайомитеся з можливостями підключення екземплярів віртуальних машин.

Цілі

Під час цього практичного заняття ви навчитеся виконувати наведені нижче дії.

  • Вивчати принцип роботи мережі VPC за умовчанням.
  • Створювати автоматичну мережу з правилами брандмауера.
  • Створювати екземпляри віртуальних машин за допомогою Compute Engine.
  • Вивчати можливості підключення екземплярів віртуальних машин.

Налаштування й вимоги

Для кожного практичного заняття ви безкоштовно отримуєте новий проект Google Cloud і набір ресурсів на визначений період часу.

  1. Натисніть кнопку Почати заняття. Якщо за практичне заняття необхідно заплатити, відкриється спливаюче вікно, де ви зможете обрати спосіб оплати. Ліворуч розміщено панель Відомості про практичне заняття з такими компонентами:

    • кнопка Відкрити консоль Google;
    • час до закінчення;
    • тимчасові облікові дані, які потрібно використовувати для доступу до цього практичного заняття;
    • інша інформація, необхідна для виконання цього практичного заняття.

  2. Натисніть Відкрити консоль Google або натисніть правою кнопкою миші й виберіть Відкрити анонімне вікно, якщо ви використовуєте вебпереглядач Chrome.

    Завантажаться необхідні ресурси. Потім відкриється нова вкладка зі сторінкою Вхід.

    Порада. Упорядковуйте вкладки в окремих вікнах, розміщуючи їх поруч.

    Примітка. Якщо з’явиться вікно Виберіть обліковий запис, натисніть Вибрати інший обліковий запис.

  3. За потреби скопіюйте значення в полі Username (Ім’я користувача) нижче й вставте його у вікні Вхід.

    {{{user_0.username | "Username"}}}

    Поле Username (Ім’я користувача) також можна знайти на панелі Відомості про практичне заняття.

  4. Натисніть Next (Далі).

  5. Скопіюйте значення в полі Password (Пароль) нижче й вставте його у вікні Welcome (Привітання).

    {{{user_0.password | "Password"}}}

    Поле Password (Пароль) також можна знайти на панелі Відомості про практичне заняття.

  6. Натисніть Next (Далі).

    Важливо. Обов’язково використовуйте облікові дані, призначені для відповідного практичного заняття. Не використовуйте облікові дані Google Cloud. Примітка. Якщо ввійти у власний обліковий запис Google Cloud, може стягуватися додаткова плата.

  7. Що від вас очікується

    • Прийміть Умови використання.
    • Не додавайте способи відновлення й двохетапну перевірку (оскільки це тимчасовий обліковий запис).
    • Не реєструйте безкоштовні пробні версії.

Через кілька секунд Google Cloud Console відкриється в новій вкладці.

Примітка. Щоб переглянути меню зі списком продуктів і сервісів Google Cloud, натисніть меню навігації вгорі ліворуч або введіть назву сервісу чи продукту в полі пошуку.

Завдання 1. Ознайомтеся з принципом роботи мережі за умовчанням

Для кожного проекту Google Cloud налаштовано мережу за умовчанням із підмережами, маршрутами й правилами брандмауера.

Перегляньте підмережі

Мережа за умовчанням має окрему підмережу в кожному регіоні Google Cloud.

  1. У меню навігації () на консолі Cloud натисніть VPC network (Мережа VPC) > VPC networks (Мережі VPC).

  2. Натисніть default (за умовчанням).

  3. Натисніть Subnets (Підмережі).

Перегляньте схему мережі за умовчанням із її підмережами.
Кожна підмережа зв’язана з регіоном Google Cloud і приватним блоком CIDR (за RFC 1918) за допомогою внутрішнього діапазону ІР-адрес і шлюзу.

Перегляньте маршрути

Маршрути визначають, як екземпляри віртуальних машин і мережа VPC спрямовують трафік з екземпляра до цільової адреси всередині мережі або за межами Google Cloud. Кожна мережа VPC має призначені за умовчанням маршрути, щоб передавати дані підмережами й спрямовувати трафік із придатних екземплярів до Інтернету.

  1. На панелі ліворуч натисніть Routes (Маршрути).

  2. У розділі Effective Routes (Активні маршрути) натисніть Network (Мережа), а потім виберіть default (за умовчанням).

  3. Натисніть Region (Регіон) і виберіть регіон практичного заняття, призначений вам системою Qwiklabs.

  4. Натисніть View (Переглянути).

    Зверніть увагу, що є окремі маршрути для кожної підмережі.
    Цими маршрутами керує система, проте можна створити власні статичні маршрути, щоб спрямовувати певні пакети до визначених цільових адрес. Наприклад, маршрут для спрямування всього вихідного трафіку до екземпляра, налаштованого як шлюз NAT.

Перегляньте правила брандмауера

Кожна мережа VPC має розподілений віртуальний брандмауер, який можна налаштувати. Правила брандмауера визначають, які пакети можна передавати на різні адреси. Кожна мережа VPC має два неявні правила брандмауера, які блокують вхідні й дозволяють вихідні з’єднання.

  • На панелі ліворуч натисніть Firewall (Брандмауер).
    Зверніть увагу, що в мережі за умовчанням є такі 4 правила брандмауера для вхідного трафіку:
    • default-allow-icmp;
    • default-allow-rdp;
    • default-allow-ssh;
    • default-allow-internal.
Примітка. Ці правила дозволяють вхідний трафік за протоколами ICMP, RDP і SSH із будь-якого місцеположення (0.0.0.0/0), а також весь трафік за протоколами TCP, UDP й ICMP всередині мережі (10.128.0.0/9). Відомості про правила наведено в стовпцях Targets (Цілі), Filters (Фільтри), Protocols/ports (Протоколи/порти) і Action (Дії).

Видаліть правила брандмауера

  1. Виберіть усі правила мережевого брандмауера за умовчанням.
  2. Натисніть Delete (Видалити).
  3. Щоб підтвердити видалення, натисніть Delete (Видалити) ще раз.

Видаліть мережу за умовчанням

  1. У меню навігації () на консолі Cloud натисніть VPC network (Мережа VPC) > VPC networks (Мережі VPC).
  2. Виберіть мережу default (за умовчанням).
  3. Натисніть Delete VPC network (Видалити мережу VPC).
  4. Щоб підтвердити видалення, натисніть Delete (Видалити) ще раз.
    Перш ніж продовжувати, зачекайте, доки мережу буде видалено.
  5. На панелі ліворуч натисніть Routes (Маршрути).
    Зверніть увагу, що маршрути не відображаються.
  6. На панелі ліворуч натисніть Firewall (Брандмауер).
    Правила брандмауера також не відображатимуться.
Примітка. Маршрути й правила брандмауера відображаються лише за наявності налаштованої мережі VPC.

Спробуйте створити екземпляр віртуальної машини

Упевніться, що екземпляр віртуальної машини не можна створити без мережі VPC.

  1. У меню навігації () натисніть Compute Engine > VM instances (Екземпляри віртуальних машин).
  2. Натисніть Create Instance (Створити екземпляр).
  3. Підтвердьте значення за умовчанням і натисніть Create (Створити). На вкладці Networking (Мережі) з’явиться помилка.
  4. Натисніть Go to Issues (Переглянути помилки).
  5. У розділі Network Interfaces (Мережеві інтерфейси) відображається повідомлення про помилку щодо того, що потрібно додати мережі.
  6. Натисніть Cancel (Скасувати).
Примітка. Як і очікувалося, екземпляр віртуальної машини не можна створити за відсутності мережі VPC.

Завдання 2. Створіть мережу VPC й екземпляри віртуальних машин

Перш ніж створювати екземпляри віртуальних машин, створіть мережу VPC.

Створіть автоматичну мережу VPC з правилами брандмауера

Реплікуйте мережу за умовчанням, створивши автоматичну мережу.

  1. У меню навігації () натисніть VPC network (Мережа VPC) > VPC networks (Мережі VPC).
  2. Натисніть Create VPC network (Створити мережу VPC).
  3. У полі Name (Назва) введіть mynetwork.
  4. Для опції Subnet creation mode (Режим створення підмережі) виберіть Automatic (Автоматичний). Для автоматичних мереж автоматично створюються підмережі в кожному регіоні.
  5. Виберіть усі доступні правила для опції Firewall rules (Правила брандмауера). Будуть застосовані ті самі стандартні правила брандмауера, що й для мережі за умовчанням. Правила deny-all-ingress і allow-all-egress також відображатимуться, проте їх не можна вибрати, оскільки вони неявні. Ці правила мають нижчий пріоритет (що більше число в полі Priority, то він нижчий), щоб першими застосовувалися спеціальні правила й правила для протоколів ICMP, RDP та SSH.
  6. Натисніть Create (Створити). Коли мережу буде створено, з’являться підмережі для кожного регіону.
  7. Перегляньте діапазон IP-адрес для підмереж у регіонах і .
Примітка. Якщо видалити мережу за умовчанням, її можна швидко відновити, створивши автоматичну мережу описаним вище способом. Коли мережу буде відновлено, правило брандмауера allow-internal буде замінено на allow-custom.

Створіть екземпляр віртуальної машини в регіоні

Створіть екземпляр віртуальної машини в регіоні . Від вибору регіону й зони залежить призначення підмережі та внутрішньої IP-адреси з діапазону IP-адрес підмережі.

  1. У меню навігації () натисніть Compute Engine > VM instances (Екземпляри віртуальних машин).

  2. Натисніть Create Instance (Створити екземпляр).

  3. Укажіть наведену нижче інформацію.

    Властивість Значення (укажіть значення або виберіть зі списку)
    Name (Назва) mynet-us-vm
    Region (Регіон)
    Zone (Зона)

  4. Відкрийте Series (Серії) і виберіть E2.

  5. Для параметра Machine type (Тип машини) виберіть e2-micro (2 vCPU, 1 GB memory) (e2-micro (2 віртуальні центральні процесори, 1 ГБ пам’яті)).

  6. Натисніть Create (Створити).

Створіть екземпляр віртуальної машини в регіоні

Створіть екземпляр віртуальної машини в регіоні .

  1. Натисніть Create Instance (Створити екземпляр).

  2. Укажіть наведені нижче відомості, а решту налаштувань залиште зі значеннями за умовчанням.

    Властивість Значення (укажіть значення або виберіть зі списку)
    Name (Назва) mynet-r2-vm
    Region (Регіон)
    Zone (Зона)

  3. Відкрийте Series (Серії) і виберіть E2.

  4. Для параметра Machine type (Тип машини) виберіть e2-micro (2 vCPU, 1 GB memory) (e2-micro (2 віртуальні центральні процесори, 1 ГБ пам’яті)).

  5. Натисніть Create (Створити).

Примітка. Для обох екземплярів віртуальних машин призначаються тимчасові зовнішні IP-адреси. Якщо екземпляр зупинено, усі тимчасові зовнішні IP-адреси, які йому призначено, повертаються в загальний пул адрес Compute Engine. Після цього їх можна використовувати для інших проектів.

Якщо екземпляр буде запущено знову, йому буде призначено нову тимчасову зовнішню IP-адресу. Ви також можете зарезервувати статичну зовнішню IP-адресу. У такому разі проекту призначається постійна адреса, доки резервування не буде скасовано.

Щоб підтвердити виконання завдання, натисніть Підтвердити виконання. Створіть мережу VPC й екземпляр віртуальної машини.

Завдання 3. Ознайомтеся з можливостями підключення екземплярів віртуальних машин

Ознайомтеся з можливостями підключення екземплярів віртуальних машин. Спробуйте підключитися до екземплярів віртуальних машин через протокол SSH, використовуючи порт tcp:22, і надіслати запит ping на внутрішню й зовнішню IP-адреси цих екземплярів віртуальних машин через протокол ICMP. Потім перевірте, як правила брандмауера впливають на можливості підключення, по черзі вилучаючи їх.

Перевірте можливість підключення екземплярів віртуальних машин

Правила брандмауера, створені для мережі mynetwork, дозволяють вхідний трафік через протоколи SSH і ICMP всередині мережі mynetwork (на внутрішню IP-адресу) і ззовні (на зовнішню IP-адресу).

  1. У меню навігації () натисніть Compute Engine > VM instances (Екземпляри віртуальних машин).
    Запишіть внутрішню й зовнішню IP-адреси для екземпляра mynet-r2-vm.

  2. Натисніть SSH, щоб запустити термінал і підключитися до екземпляра mynet-us-vm.

  3. Якщо з’явиться спливаюче вікно із запитом щодо авторизації, натисніть Authorize (Авторизувати).

Примітка. Протокол SSH можна використовувати завдяки правилу брандмауера allow-ssh, що дозволяє вхідний трафік із будь-якого джерела (0.0.0.0/0) через порт tcp:22. Підключення через протокол SSH працює стабільно завдяки тому, що Compute Engine генерує ключ SSH і зберігає його в одному з наведених нижче місць.

  • За умовчанням Compute Engine додає згенерований ключ у метадані проекту або екземпляра.
  • Якщо для облікового запису налаштовано сервіс OS Login, Compute Engine зберігає згенерований ключ у такому обліковому записі.

Ви також можете керувати доступом до екземплярів Linux, створюючи ключі SSH і редагуючи метадані відкритих ключів SSH.
  1. Щоб перевірити підключення до внутрішньої IP-адреси екземпляра mynet-r2-vm, виконайте наведену нижче команду, указавши відповідну IP-адресу.
ping -c 3 <Введіть внутрішню IP-адресу екземпляра mynet-r2-vm тут>

Правило брандмауера allow-custom дає змогу надсилати запити ping на внутрішню IP-адресу екземпляра mynet-r2-vm.

  1. Щоб перевірити підключення до зовнішньої IP-адреси екземпляра mynet-r2-vm, виконайте наведену нижче команду, указавши відповідну IP-адресу.
ping -c 3 <Введіть зовнішню IP-адресу екземпляра mynet-r2-vm тут>

Примітка. Ви можете підключатися до екземпляра mynet-us-vm через протокол SSH і надсилати запити ping на внутрішню й зовнішню IP-адреси екземпляра mynet-r2-vm. Ви також можете підключатися через протокол SSH до екземпляра mynet-r2-vm і надсилати запити ping на внутрішню й зовнішню IP-адреси екземпляра mynet-us-vm.

Вилучіть правило брандмауера allow-icmp

Вилучіть правило брандмауера allow-icmp і спробуйте надіслати запит ping на внутрішню й зовнішню IP-адреси екземпляра mynet-r2-vm.

  1. У меню навігації () натисніть VPC network (Мережа VPC) > Firewall (Брандмауер).

  2. Виберіть правило mynetwork-allow-icmp.

  3. Натисніть Delete (Видалити).

  4. Щоб підтвердити видалення, натисніть Delete (Видалити) ще раз.
    Зачекайте, доки правило брандмауера буде видалено.

  5. Перейдіть до термінала SSH для екземпляра mynet-us-vm.

  6. Щоб перевірити підключення до внутрішньої IP-адреси екземпляра mynet-r2-vm, виконайте наведену нижче команду, указавши відповідну IP-адресу.

ping -c 3 <Введіть внутрішню IP-адресу екземпляра mynet-r2-vm тут>

Правило брандмауера allow-custom дає змогу надсилати запити ping на внутрішню IP-адресу екземпляра mynet-r2-vm.

  1. Щоб перевірити підключення до зовнішньої IP-адреси екземпляра mynet-r2-vm, виконайте наведену нижче команду, указавши відповідну IP-адресу.
ping -c 3 <Введіть зовнішню IP-адресу екземпляра mynet-r2-vm тут> Примітка. Втрата 100% пакетів означає, що ви не можете надсилати запити ping на зовнішню IP-адресу екземпляра mynet-r2-vm. Така ситуація передбачувана, оскільки ви видалили правило брандмауера allow-icmp.

Вилучіть правило брандмауера allow-custom

Вилучіть правило брандмауера allow-custom і спробуйте надіслати запит ping на внутрішню IP-адресу екземпляра mynet-r2-vm.

  1. У меню навігації () натисніть VPC network (Мережа VPC) > Firewall (Брандмауер).
  2. Виберіть правило mynetwork-allow-custom.
  3. Натисніть Delete (Видалити).
  4. Щоб підтвердити видалення, натисніть Delete (Видалити) ще раз.
    Зачекайте, доки правило брандмауера буде видалено.
  5. Перейдіть до термінала SSH для екземпляра mynet-us-vm.
  6. Щоб перевірити підключення до внутрішньої IP-адреси екземпляра mynet-r2-vm, виконайте наведену нижче команду, указавши відповідну IP-адресу.
ping -c 3 <Введіть внутрішню IP-адресу екземпляра mynet-r2-vm тут> Примітка. Втрата 100% пакетів означає, що ви не можете надсилати запити ping на внутрішню IP-адресу екземпляра mynet-r2-vm. Така ситуація передбачувана, оскільки ви видалили правило брандмауера allow-custom.
  1. Закрийте термінал SSH, виконавши наведену нижче команду.
exit

Вилучіть правило брандмауера allow-ssh

Вилучіть правило брандмауера allow-ssh і спробуйте підключитися до екземпляра mynet-us-vm через протокол SSH.

  1. У меню навігації () натисніть VPC network (Мережа VPC) > Firewall (Брандмауер).
  2. Виберіть правило mynetwork-allow-ssh.
  3. Натисніть Delete (Видалити).
  4. Щоб підтвердити видалення, натисніть Delete (Видалити) ще раз.
  5. Зачекайте, доки правило брандмауера буде видалено.
  6. У меню навігації натисніть Compute Engine > VM instances (Екземпляри віртуальних машин).
  7. Натисніть SSH, щоб запустити термінал і підключитися до екземпляра mynet-us-vm.
Примітка. Повідомлення Connection failed (Помилка підключення) означає, що ви не можете підключитися до екземпляра mynet-us-vm через протокол SSH, оскільки правило брандмауера allow-ssh видалено.

Завдання 4. Перевірка

На цьому практичному занятті ви ознайомилися з принципом роботи мережі за умовчанням, включно з її підмережами, маршрутами й правилами брандмауера. Ви видалили цю мережу й дізналися, що без неї не можна створити екземпляри віртуальних машин.

Після цього ви створили нову автоматичну мережу VPC з підмережами, маршрутами, правилами брандмауера й двома екземплярами віртуальних машин. Потім ви перевірили можливість підключення екземплярів віртуальних машин і дізналися, як на неї впливають правила брандмауера.

Завершіть завдання

Закінчивши виконувати завдання, натисніть кнопку End Lab (Завершити завдання). Google Cloud Skills Boost вилучить використані ресурси й очистить обліковий запис.

Ви зможете оцінити, наскільки вам сподобалося виконувати завдання на платформі. Виберіть потрібну кількість зірочок, введіть коментар і натисніть Submit (Надіслати).

Кількість зірочок відповідає певній оцінці:

  • 1 зірочка = зовсім не сподобалося
  • 2 зірочки = не сподобалося
  • 3 зірочки = не можу сказати напевно
  • 4 зірочки = сподобалося
  • 5 зірочок = дуже сподобалося

Якщо ви не хочете надсилати відгук, просто закрийте діалогове вікно.

Залишайте свої відгуки, пропозиції або коментарі на вкладці Support (Підтримка).

© Google LLC 2022. Усі права захищено. Назва та логотип Google є торговельними марками Google LLC. Усі інші назви компаній і продуктів можуть бути торговельними марками відповідних компаній, з якими вони пов’язані.

Before you begin

  1. Labs create a Google Cloud project and resources for a fixed time
  2. Labs have a time limit and no pause feature. If you end the lab, you'll have to restart from the beginning.
  3. On the top left of your screen, click Start lab to begin

This content is not currently available

We will notify you via email when it becomes available

Great!

We will contact you via email if it becomes available

One lab at a time

Confirm to end all existing labs and start this one

Use private browsing to run the lab

Use an Incognito or private browser window to run this lab. This prevents any conflicts between your personal account and the Student account, which may cause extra charges incurred to your personal account.