GSP062

Panoramica

Questo lab pratico ti mostrerà come creare una VPN sicura e ad alta velocità effettiva e testarne la velocità.

La comunicazione sicura tra Google Cloud e altri cloud o sistemi on-premise è un'esigenza comune critica. Fortunatamente, Google Cloud semplifica la creazione di reti private virtuali (VPN) IPsec (Internet Protocol security) sicure per raggiungere questo obiettivo. Se un singolo tunnel non fornisce la velocità effettiva necessaria, Google Cloud può distribuire facilmente il traffico su più tunnel per offrire larghezza di banda aggiuntiva.

Obiettivi

Creare la VPN

• Crea un Virtual Private Cloud (VPC) denominato cloud per simulare la tua rete Google Cloud e un VPC denominato on-prem (on-premise) per simulare una rete esterna.
• Crea gateway VPN, regole di forwarding e indirizzi per il VPC cloud.
• Crea un tunnel per la nuova VPN e instrada il traffico al suo interno.
• Ripeti il processo di creazione della VPN per il VPC on-prem, creando una seconda VPN.

Testare le VPN

• Crea una macchina virtuale (VM) utilizzando Compute Engine per i test di carico della velocità effettiva.
• Testa la velocità di throughput di una singola VPN utilizzando iperf.

Prerequisiti

• Rivedi ed esercitati a creare una VPN utilizzando Google Cloud.
• Rivedi la Guida panoramica della rete VPC.

Attività 1: crea il VPC cloud

In questa sezione imparerai a:

• Creare un VPC per simulare la tua rete di produzione cloud.
• Consentire ai tipi comuni di traffico di fluire attraverso il VPC.
• Creare una subnet per il deployment degli host.

1. Dopo aver avviato Cloud Shell, crea un VPC personalizzato denominato cloud associato al tuo progetto Google Cloud eseguendo il codice sotto:

gcloud compute networks create cloud --subnet-mode custom

Questo VPC consente di utilizzare indirizzi IP non predefiniti, ma non include alcuna regola firewall predefinita.

2. Esegui il codice sotto per abilitare SSH e icmp, perché avrai bisogno di una shell sicura per comunicare con le VM durante il test di carico:

gcloud compute firewall-rules create cloud-fw --network cloud --allow tcp:22,tcp:5001,udp:5001,icmp

3. Crea una subnet all'interno di questo VPC e specifica una regione e un intervallo IP eseguendo:

gcloud compute networks subnets create cloud-east --network cloud \ --range 10.0.1.0/24 --region {{{project_0.default_region_2 | REGION2}}}

In questa soluzione utilizzerai 10.0.1.0/24 e la regione .

Attività 2: crea il VPC on-prem

In questa sezione crea una simulazione del tuo VPC on-prem o di qualsiasi rete che vuoi connettere a cloud. In pratica avrai già delle risorse qui, ma per creare tunnel e convalidare le configurazioni, segui questi passaggi.

1. In Cloud Shell crea un nuovo VPC della subnet personalizzato associato al tuo progetto denominato on-prem eseguendo:

gcloud compute networks create on-prem --subnet-mode custom

2. Esegui il codice sotto per abilitare SSH e icmp per gli host nel VPC on-prem, poiché avrai bisogno di una shell sicura per comunicare con le VM durante il test di carico:

gcloud compute firewall-rules create on-prem-fw --network on-prem --allow tcp:22,tcp:5001,udp:5001,icmp

3. Specifica il prefisso della subnet per la regione utilizzando il comando seguente:

gcloud compute networks subnets create on-prem-central \ --network on-prem --range 192.168.1.0/24 --region {{{project_0.default_region |REGION}}} Nota: in questo esempio assegni `192.168.1.0/24` alla regione . Crea due VPC personalizzati con subnet e regole firewall.

Attività 3: crea i gateway VPN

Ogni ambiente richiede gateway VPN per comunicazioni esterne sicure. Segui questi passaggi per creare i gateway iniziali per i tuoi VPC cloud e on-prem:

1. In Cloud Shell crea un gateway VPN denominato on-prem-gw1 nel VPC on-prem e nella regione :

gcloud compute target-vpn-gateways create on-prem-gw1 --network on-prem --region {{{project_0.default_region |REGION}}}

2. Ora crea un gateway VPN denominato cloud-gw1 nel VPC cloud e nella regione :

gcloud compute target-vpn-gateways create cloud-gw1 --network cloud --region {{{project_0.default_region_2 | REGION2}}}

Attività 4: crea un tunnel VPN basato su route tra le reti Google Cloud e locale

Ciascun gateway VPN necessita di un indirizzo IP esterno statico in modo che i sistemi esterni al VPC possano comunicare con i gateway. Ora creerai indirizzi IP e route sui VPC cloud e on-prem.

1. In Cloud Shell alloca l'IP per il gateway VPN cloud-gw1:

gcloud compute addresses create cloud-gw1 --region {{{project_0.default_region_2 | REGION2}}}

2. Quindi assegna l'IP per il gateway VPN on-prem-gw1:

gcloud compute addresses create on-prem-gw1 --region {{{project_0.default_region |REGION}}}

3. Ora archivia gli indirizzi dei gateway in modo da non doverli cercare nei comandi successivi.

Primo, per il gateway cloud-gw1:

cloud_gw1_ip=$(gcloud compute addresses describe cloud-gw1 \ --region {{{project_0.default_region_2 | REGION2}}} --format='value(address)')

Secondo, per il gateway on-prem-gw1:

on_prem_gw_ip=$(gcloud compute addresses describe on-prem-gw1 \ --region {{{project_0.default_region |REGION}}} --format='value(address)')

4. Ora creerai le regole di forwarding per IPsec sul VPC cloud. Dovrai creare regole di forwarding in entrambe le direzioni.

Inoltra il protocollo ESP (Encapsulating Security Payload) da cloud-gw1:

gcloud compute forwarding-rules create cloud-1-fr-esp --ip-protocol ESP \ --address $cloud_gw1_ip --target-vpn-gateway cloud-gw1 --region {{{project_0.default_region_2 | REGION2}}}

Inoltra il traffico UDP:500 da cloud-gw1:

gcloud compute forwarding-rules create cloud-1-fr-udp500 --ip-protocol UDP \ --ports 500 --address $cloud_gw1_ip --target-vpn-gateway cloud-gw1 --region {{{project_0.default_region_2 | REGION2}}}

Inoltra il traffico UDP:4500 da cloud-gw1:

gcloud compute forwarding-rules create cloud-fr-1-udp4500 --ip-protocol UDP \ --ports 4500 --address $cloud_gw1_ip --target-vpn-gateway cloud-gw1 --region {{{project_0.default_region_2 | REGION2}}}

5. Utilizza lo stesso metodo per creare regole di forwarding del firewall per il tunnel IPsec sul VPC on-prem. Questo passaggio consente al tunnel IPsec di uscire dai firewall:

Inoltra il protocollo ESP da on-prem-gw1:

gcloud compute forwarding-rules create on-prem-fr-esp --ip-protocol ESP \ --address $on_prem_gw_ip --target-vpn-gateway on-prem-gw1 --region {{{project_0.default_region |REGION}}}

Inoltra il traffico UDP:500, utilizzato per stabilire il tunnel IPsec da on-prem-gw1:

gcloud compute forwarding-rules create on-prem-fr-udp500 --ip-protocol UDP --ports 500 \ --address $on_prem_gw_ip --target-vpn-gateway on-prem-gw1 --region {{{project_0.default_region |REGION}}}

Inoltra il traffico UDP:4500, che trasporta il traffico criptato da on-prem-gw1:

gcloud compute forwarding-rules create on-prem-fr-udp4500 --ip-protocol UDP --ports 4500 \ --address $on_prem_gw_ip --target-vpn-gateway on-prem-gw1 --region {{{project_0.default_region |REGION}}} Crea due gateway VPN e le necessarie regole di forwarding.

Normalmente dovresti generare un secret per il passaggio successivo, in cui crei e convalidi i tunnel on-prem-tunnel1 e cloud-tunnel1. Per dettagli su come creare e archiviare in modo sicuro i secret, consulta la guida concettuale Panoramica di Secret Manager. Per ora limitati a usare la stringa "sharedsecret".

Crea un tunnel per la rete locale on-prem-tunnel1 e per la rete basata su cloud cloud-tunnel1. Ciascuna rete deve avere un gateway VPN e i secret devono corrispondere. Nei due comandi seguenti, in cui, in uno scenario di produzione, sostituiresti [MY_SECRET] con il secret che hai generato, sostituiscilo con "sharedsecret"

6. Crea il tunnel VPN da on-prem a cloud:

gcloud compute vpn-tunnels create on-prem-tunnel1 --peer-address $cloud_gw1_ip \ --target-vpn-gateway on-prem-gw1 --ike-version 2 --local-traffic-selector 0.0.0.0/0 \ --remote-traffic-selector 0.0.0.0/0 --shared-secret=[MY_SECRET] --region {{{project_0.default_region |REGION}}}

7. Crea il tunnel VPN da cloud a on-prem:

gcloud compute vpn-tunnels create cloud-tunnel1 --peer-address $on_prem_gw_ip \ --target-vpn-gateway cloud-gw1 --ike-version 2 --local-traffic-selector 0.0.0.0/0 \ --remote-traffic-selector 0.0.0.0/0 --shared-secret=[MY_SECRET] --region {{{project_0.default_region_2 | REGION2}}}

Ora che hai creato i gateway e i tunnel, devi aggiungere le route dalle subnet ai due tunnel.

8. Instrada il traffico dal VPC on-prem all'intervallo cloud 10.0.1.0/24 nel tunnel:

gcloud compute routes create on-prem-route1 --destination-range 10.0.1.0/24 \ --network on-prem --next-hop-vpn-tunnel on-prem-tunnel1 \ --next-hop-vpn-tunnel-region {{{project_0.default_region |REGION}}}

9. Instrada il traffico dal VPC cloud all'intervallo on-prem 192.168.1.0/24 nel tunnel:

gcloud compute routes create cloud-route1 --destination-range 192.168.1.0/24 \ --network cloud --next-hop-vpn-tunnel cloud-tunnel1 --next-hop-vpn-tunnel-region {{{project_0.default_region_2 | REGION2}}} Crea due tunnel VPN.

Attività 5: testa la velocità effettiva su VPN

A questo punto, hai stabilito un percorso sicuro tra i VPC on-prem e cloud. Per testare la velocità effettiva utilizza iperf, uno strumento open source per testare il carico di rete. Per eseguire il test, avrai bisogno di una VM in ogni ambiente, una per inviare il traffico e l'altra per riceverlo, e le creerai successivamente.

Test di carico su VPN singola

Ora creerai una macchina virtuale per il VPC cloud denominata cloud-loadtest. Questo esempio utilizza un'immagine Debian Linux per il sistema operativo.

Nota: se hai un progetto esistente, ometti pure questo passaggio e utilizza le risorse esistenti. La larghezza di banda per una VM è di 2 Gbps * vCPU, quindi ti serviranno almeno 4 vCPU.

1. Esegui questo comando:

gcloud compute instances create "cloud-loadtest" --zone {{{project_0.default_zone_2 |ZONE2}}} \ --machine-type "e2-standard-4" --subnet "cloud-east" \ --image-family "debian-11" --image-project "debian-cloud" --boot-disk-size "10" \ --boot-disk-type "pd-standard" --boot-disk-device-name "cloud-loadtest"

2. Crea una macchina virtuale per il VPC on-prem denominata on-prem-loadtest. Questo esempio utilizza la stessa immagine Debian del VPC cloud. Ometti questo passaggio se disponi di risorse esistenti.

Esegui questo comando:

gcloud compute instances create "on-prem-loadtest" --zone {{{project_0.default_zone |ZONE}}} \ --machine-type "e2-standard-4" --subnet "on-prem-central" \ --image-family "debian-11" --image-project "debian-cloud" --boot-disk-size "10" \ --boot-disk-type "pd-standard" --boot-disk-device-name "on-prem-loadtest"

3. Accedi via SSH a ciascuna VM, utilizzando la console o la riga di comando, e installa una copia di iperf con la seguente riga di comando:

sudo apt-get install iperf

4. Sulla VM on-prem-loadtest, esegui questo comando:

iperf -s -i 5

Hai creato un server iperf sulla VM che segnala il suo stato ogni 5 secondi.

5. Sulla VM cloud-loadtest, esegui questo comando:

iperf -c 192.168.1.2 -P 20 -x C

Viene creato un client iperf con venti flussi, che riporterà i valori dopo 10 secondi di test.

Crea due VM e installa iperf tramite SSH.

Risoluzione dei problemi che potresti incontrare

Nota: questo non fa parte delle istruzioni del lab.

1. Durante la creazione dei tunnel per la rete locale, se hai dimenticato di sostituire [MY_SECRET] con "sharedsecret":

Puoi eliminare i tunnel VPN creati con questo comando:

gcloud compute vpn-tunnels delete [tunnel-name] --region [region]

• sostituisci [tunnel-name] con il nome del tunnel
• sostituisci [region] con la regione specificata durante la creazione del tunnel.

2. Se riscontri problemi con la sezione Test di carico su VPN singola:

• Assicurati di aver installato iperf su entrambe le VM.

• In caso di errore di connessione rifiutata, verifica quanto segue:

  • Regole firewall per le reti create (tcp:5001)
  • Il server è correttamente in esecuzione su on-prem-loadtest
  • Stai tentando di connetterti al server tramite cloud-loadtest

3. Se stai cercando di visualizzare le regole di forwarding che hai creato nella console:

• Nel menu di navigazione vai alla sezione Networking.
• Fai clic su Connettività di rete > VPN.
• Fai clic sul gateway Cloud VPN per visualizzare la pagina dei dettagli del gateway Cloud VPN.

Complimenti!

Completa la Quest

Questi self-paced lab fanno parte delle Quest Network Performance and Optimization e Security & Identity Fundamentals. Una Quest è una serie di lab collegati tra loro che formano un percorso di apprendimento. Il completamento di una Quest ti permette di ottenere un badge come riconoscimento dell'obiettivo raggiunto. Puoi rendere pubblici i tuoi badge inserendone i link nel tuo CV online o sui social media. Iscriviti a una delle Quest contenenti questo lab e ricevi subito un riconoscimento per averlo completato. Fai riferimento al catalogo Google Cloud Skills Boost per tutte le Quest disponibili.

Segui il prossimo lab

Continua la Quest con Cloud CDN o dai un'occhiata a questi suggerimenti:

• Cloud Security Scanner: Qwik Start
• Cloud IAM: Qwik Start

Passaggi successivi

• Rivedi la documentazione del router Google Cloud per abilitare il Border Gateway Protocol (BGP) e aumentare la tolleranza di errore.
• Rivedi Google Cloud Interconnect per altre opzioni di interconnessione.
• Monitora i gateway VPN con Google Stackdriver.
• Prova le altre funzionalità di Google Cloud. Dai un'occhiata ai nostri tutorial.

Formazione e certificazione Google Cloud

… per utilizzare al meglio le tecnologie Google Cloud. I nostri corsi ti consentono di sviluppare competenze tecniche e best practice per aiutarti a metterti subito al passo e avanzare nel tuo percorso di apprendimento. Offriamo vari livelli di formazione, dal livello base a quello avanzato, con opzioni di corsi on demand, dal vivo e virtuali, in modo da poter scegliere il più adatto in base ai tuoi impegni. Le certificazioni ti permettono di confermare e dimostrare le tue abilità e competenze relative alle tecnologie Google Cloud.

Ultimo aggiornamento del manuale: 10 gennaio 2024

Ultimo test del lab: 10 gennaio 2024

Copyright 2024 Google LLC Tutti i diritti riservati. Google e il logo Google sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.