GSP062

Visão geral

Este laboratório mostrará como criar uma VPN segura de alta capacidade e testar a velocidade dela.

A comunicação segura entre o Google Cloud e outras nuvens ou sistemas locais é uma necessidade essencial comum. Felizmente, o Google Cloud torna mais fácil criar redes privadas virtuais (VPNs) com o Protocolo de Segurança IP (IPsec) para essa finalidade. Se um único túnel não oferecer a capacidade necessária, o Google Cloud distribuirá o tráfego com facilidade entre vários túneis, disponibilizando mais largura de banda.

Objetivos

Criar uma VPN

• Crie uma nuvem privada virtual (VPC) chamada cloud para simular a rede do Google Cloud e uma VPC chamada on-prem (no local) para simular uma rede externa.
• Crie gateways de VPN, regras de encaminhamento e endereços para a VPC cloud.
• Forme um túnel para a nova VPN e encaminhe o tráfego por ele.
• Para criar uma segunda VPN, repita o processo de criação da VPC on-prem.

Testar as VPNs

• Crie uma máquina virtual (VM) usando o Compute Engine para testes de carga de capacidade.
• Teste a velocidade efetiva de uma única VPN usando a ferramenta iperf.

Pré-requisitos

• Revise as informações e saiba como criar uma VPN usando o Google Cloud.
• Consulte o guia de informações gerais sobre redes VPC.

Tarefa 1: criar a VPC cloud

Nesta seção, você:

• criará uma VPC para simular a rede de produção em nuvem;
• permitirá que tipos comuns de tráfego fluam por meio da VPC;
• criará uma sub-rede para implantação de hosts.

1. Após iniciar o Cloud Shell, execute o comando a seguir para criar a VPC personalizada cloud associada ao seu projeto do Google Cloud:

gcloud compute networks create cloud --subnet-mode custom

Essa VPC permite usar endereços IP não padrão, mas ela não inclui regras de firewall padrão.

2. Execute o comando a seguir para ativar os protocolos SSH e ICMP, porque você precisará de um shell seguro para se comunicar com as VMs durante os testes de carga:

gcloud compute firewall-rules create cloud-fw --network cloud --allow tcp:22,tcp:5001,udp:5001,icmp

3. Execute o comando abaixo para criar uma sub-rede nessa VPC e especificar uma região e um intervalo de IPs:

gcloud compute networks subnets create cloud-east --network cloud \ --range 10.0.1.0/24 --region {{{project_0.default_region_2 | REGION2}}}

Nesta solução, você vai usar 10.0.1.0/24 e a região .

Tarefa 2: criar a VPC on-prem

Nesta seção, crie uma simulação da VPC on-prem ou de qualquer rede que você queira conectar a cloud. Na prática, você já tem os recursos aqui, mas se precisar criar túneis e validar configurações, siga estas etapas.

1. No Cloud Shell, execute o código a seguir para criar uma nova VPC de sub-rede personalizada on-prem associada ao seu projeto:

gcloud compute networks create on-prem --subnet-mode custom

2. Execute o código a seguir para ativar os protocolos SSH e ICMP nos hosts da VPC on-prem, porque você precisará de um shell seguro para se comunicar com as VMs durante os testes de carga:

gcloud compute firewall-rules create on-prem-fw --network on-prem --allow tcp:22,tcp:5001,udp:5001,icmp

3. Execute este comando para especificar o prefixo de sub-rede da região:

gcloud compute networks subnets create on-prem-central \ --network on-prem --range 192.168.1.0/24 --region {{{project_0.default_region |REGION}}} Observação: neste exemplo, você atribui 192.168.1.0/24 à região . Crie duas VPCs personalizadas com regras de firewall e sub-redes.

Tarefa 3: criar gateways de VPN

Cada ambiente requer gateways de VPN para comunicação externa segura. Siga estas etapas para criar os gateways iniciais das VPCs cloud e on-prem:

1. No Cloud Shell, crie um gateway de VPN chamado on-prem-gw1 na VPC on-prem e na região :

gcloud compute target-vpn-gateways create on-prem-gw1 --network on-prem --region {{{project_0.default_region |REGION}}}

2. Agora crie um gateway de VPN chamado cloud-gw1 na VPC cloud e na região :

gcloud compute target-vpn-gateways create cloud-gw1 --network cloud --region {{{project_0.default_region_2 | REGION2}}}

Tarefa 4: criar um túnel VPN com base em rota entre redes locais e do Google Cloud

Todos os gateways de VPN precisam de um endereço IP externo estático para que sistemas fora da VPC possam se comunicar com eles. Agora você criará os endereços IP e as rotas nas VPCs cloud e on-prem.

1. No Cloud Shell, aloque o IP para o gateway de VPN cloud-gw1:

gcloud compute addresses create cloud-gw1 --region {{{project_0.default_region_2 | REGION2}}}

2. Aloque o IP para o gateway de VPN on-prem-gw1:

gcloud compute addresses create on-prem-gw1 --region {{{project_0.default_region |REGION}}}

3. Guarde os endereços de gateway, porque você vai precisar deles nos comandos depois.

Primeiro para o gateway cloud-gw1:

cloud_gw1_ip=$(gcloud compute addresses describe cloud-gw1 \ --region {{{project_0.default_region_2 | REGION2}}} --format='value(address)')

Depois para o gateway on-prem-gw1:

on_prem_gw_ip=$(gcloud compute addresses describe on-prem-gw1 \ --region {{{project_0.default_region |REGION}}} --format='value(address)')

4. Agora você vai criar regras de encaminhamento para o protocolo IPsec na VPC cloud. Você precisará criar regras de encaminhamento nas duas direções.

Encaminhe o protocolo Encapsulating Security Payload (ESP, na sigla em inglês) por cloud-gw1:

gcloud compute forwarding-rules create cloud-1-fr-esp --ip-protocol ESP \ --address $cloud_gw1_ip --target-vpn-gateway cloud-gw1 --region {{{project_0.default_region_2 | REGION2}}}

Encaminhe o tráfego UDP:500 por cloud-gw1:

gcloud compute forwarding-rules create cloud-1-fr-udp500 --ip-protocol UDP \ --ports 500 --address $cloud_gw1_ip --target-vpn-gateway cloud-gw1 --region {{{project_0.default_region_2 | REGION2}}}

Encaminhe o tráfego UDP:4500 por cloud-gw1:

gcloud compute forwarding-rules create cloud-fr-1-udp4500 --ip-protocol UDP \ --ports 4500 --address $cloud_gw1_ip --target-vpn-gateway cloud-gw1 --region {{{project_0.default_region_2 | REGION2}}}

5. Com o mesmo método, crie regras de encaminhamento de firewall para o túnel IPsec na VPC on-prem. Isso permite que o túnel IPsec saia dos firewalls:

Encaminhe o protocolo ESP por on-prem-gw1:

gcloud compute forwarding-rules create on-prem-fr-esp --ip-protocol ESP \ --address $on_prem_gw_ip --target-vpn-gateway on-prem-gw1 --region {{{project_0.default_region |REGION}}}

Encaminhe o tráfego UDP:500, que é usado para estabelecer o túnel IPsec, por on-prem-gw1:

gcloud compute forwarding-rules create on-prem-fr-udp500 --ip-protocol UDP --ports 500 \ --address $on_prem_gw_ip --target-vpn-gateway on-prem-gw1 --region {{{project_0.default_region |REGION}}}

Encaminhe o tráfego UDP:4500, que carrega o tráfego criptografado, por on-prem-gw1:

gcloud compute forwarding-rules create on-prem-fr-udp4500 --ip-protocol UDP --ports 4500 \ --address $on_prem_gw_ip --target-vpn-gateway on-prem-gw1 --region {{{project_0.default_region |REGION}}} Crie dois gateways de VPN e as regras de encaminhamento necessárias.

Normalmente, seria necessário gerar uma chave secreta na próxima etapa, quando você for criar e validar os túneis on-prem-tunnel1 e cloud-tunnel1. Para informações sobre como criar e armazenar chaves secretas de maneira segura, consulte a página Informações gerais sobre o Secret Manager. Por enquanto, use apenas a string "sharedsecret".

Crie um túnel para as redes local on-prem-tunnel1 e na nuvem cloud-tunnel1. Cada rede deve ter um gateway de VPN, e as chaves secretas precisam coincidir. Em um ambiente de produção, você substituiria a parte [MY_SECRET] nos dois comandos a seguir pela chave secreta que gerou. Neste caso, substitua por "sharedsecret".

6. Crie o túnel VPN de on-prem para cloud:

gcloud compute vpn-tunnels create on-prem-tunnel1 --peer-address $cloud_gw1_ip \ --target-vpn-gateway on-prem-gw1 --ike-version 2 --local-traffic-selector 0.0.0.0/0 \ --remote-traffic-selector 0.0.0.0/0 --shared-secret=[MY_SECRET] --region {{{project_0.default_region |REGION}}}

7. Crie o túnel VPN de cloud para on-prem:

gcloud compute vpn-tunnels create cloud-tunnel1 --peer-address $on_prem_gw_ip \ --target-vpn-gateway cloud-gw1 --ike-version 2 --local-traffic-selector 0.0.0.0/0 \ --remote-traffic-selector 0.0.0.0/0 --shared-secret=[MY_SECRET] --region {{{project_0.default_region_2 | REGION2}}}

Agora que já criou os gateways e estabeleceu os túneis, você precisa adicionar as rotas das sub-redes que passam pelos túneis.

8. Encaminhe o tráfego da VPC on-prem para o intervalo 10.0.1.0/24 de cloud pelo túnel:

gcloud compute routes create on-prem-route1 --destination-range 10.0.1.0/24 \ --network on-prem --next-hop-vpn-tunnel on-prem-tunnel1 \ --next-hop-vpn-tunnel-region {{{project_0.default_region |REGION}}}

9. Encaminhe o tráfego da VPC cloud para o intervalo 192.168.1.0/24 de on-prem pelo túnel:

gcloud compute routes create cloud-route1 --destination-range 192.168.1.0/24 \ --network cloud --next-hop-vpn-tunnel cloud-tunnel1 --next-hop-vpn-tunnel-region {{{project_0.default_region_2 | REGION2}}} Crie dois túneis VPN.

Tarefa 5: testar a capacidade da VPN

Neste ponto, você estabeleceu um caminho seguro entre as VPCs on-prem e cloud. Para verificar a taxa de transferência, use a iperf, uma ferramenta de código aberto para testes de carga de rede. Para o teste, é necessário ter uma VM em cada ambiente: uma para enviar o tráfego e outra para recebê-lo. Elas serão criadas a seguir.

Teste único de carga VPN

Agora você criará uma máquina virtual chamada cloud-loadtest para a VPC cloud. Este exemplo usa uma imagem do Debian Linux como SO.

Observação: caso já tenha um projeto, pule esta etapa e use os recursos que tem. A largura de banda de uma VM é 2 Gbps * vCPUs (o mínimo recomendado é de quatro vCPUs).

1. Execute o comando abaixo:

gcloud compute instances create "cloud-loadtest" --zone {{{project_0.default_zone_2 |ZONE2}}} \ --machine-type "e2-standard-4" --subnet "cloud-east" \ --image-family "debian-11" --image-project "debian-cloud" --boot-disk-size "10" \ --boot-disk-type "pd-standard" --boot-disk-device-name "cloud-loadtest"

2. Crie uma máquina virtual chamada on-prem-loadtest para a VPC on-prem. Este exemplo usa a mesma imagem do Debian da VPC cloud. Pule esta etapa se você já tiver os recursos.

Execute o comando abaixo:

gcloud compute instances create "on-prem-loadtest" --zone {{{project_0.default_zone |ZONE}}} \ --machine-type "e2-standard-4" --subnet "on-prem-central" \ --image-family "debian-11" --image-project "debian-cloud" --boot-disk-size "10" \ --boot-disk-type "pd-standard" --boot-disk-device-name "on-prem-loadtest"

3. Estabeleça uma conexão SSH com cada VM usando o console ou a linha de comando e execute o seguinte para instalar uma cópia da ferramenta iperf:

sudo apt-get install iperf

4. Na VM on-prem-loadtest, execute este comando:

iperf -s -i 5

Você criou um servidor para a iperf na VM que informa o status dela a cada cinco segundos.

5. Na VM cloud-loadtest, execute este comando:

iperf -c 192.168.1.2 -P 20 -x C

Isso cria um cliente da iperf com 20 streams, que registram valores após 10 segundos de teste.

Crie duas VMs e instale a iperf via SSH.

Solucionar os problemas que podem aparecer

Observação: isso não faz parte das instruções do laboratório.

1. Ao criar os túneis para a rede local, se você tiver se esquecido de substituir [MY_SECRET] por "sharedsecret":

Execute o comando a seguir para excluir os túneis VPN criados:

gcloud compute vpn-tunnels delete [tunnel-name] --region [region]

• Substitua [tunnel-name] pelo nome do túnel.
• Substitua [region] pela região especificada durante a criação do túnel.

2. Se tiver problemas na seção "Teste único de carga de VPN":

• Verifique se a ferramenta iperf está instalada nas duas VMs.

• Se você receber o erro de conexão recusada, verifique:

  • as regras de firewall das redes criadas (tcp:5001);
  • se o servidor está sendo executado adequadamente em on-prem-loadtest;
  • se está tentando se conectar ao servidor por cloud-loadtest.

3. Se você estiver tentando conferir as regras de encaminhamento criadas no console:

• No menu de navegação, acesse a seção "Rede".
• Clique em Conectividade de rede > VPN.
• Selecione "Gateway do Cloud VPN" para acessar a página com os detalhes sobre ele.

Parabéns!

Termine a Quest

Esses laboratórios autoguiados fazem parte das Quests Network Performance and Optimization e Security & Identity Fundamentals. Uma Quest é uma série de laboratórios relacionados que formam um programa de aprendizado. Ao concluir uma Quest, você ganha um selo como reconhecimento da sua conquista. É possível publicar os selos e incluir um link para eles no seu currículo on-line ou nas redes sociais. Inscreva-se em qualquer Quest que tenha este laboratório para receber os créditos de conclusão na mesma hora. Consulte o catálogo do Google Cloud Ensina para ver todas as Quests disponíveis.

Comece o próximo laboratório

Continue sua Quest com o laboratório Cloud CDN ou confira estas sugestões:

• Cloud Security Scanner: Qwik Start
• Cloud IAM: Qwik Start

A seguir

• Conheça melhor o Google Cloud Router para ativar o protocolo BGP e aumentar a tolerância a falhas.
• Saiba mais sobre o Google Cloud Interconnect para conhecer outras opções de interconexão.
• Monitore os gateways de VPN com o Google Stackdriver.
• Teste outros recursos do Google Cloud. Confira nossos tutoriais.

Treinamento e certificação do Google Cloud

Esses treinamentos ajudam você a aproveitar as tecnologias do Google Cloud ao máximo. Nossas aulas incluem habilidades técnicas e práticas recomendadas para ajudar você a alcançar rapidamente o nível esperado e continuar sua jornada de aprendizado. Oferecemos treinamentos que vão do nível básico ao avançado, com opções de aulas virtuais, sob demanda e por meio de transmissões ao vivo para que você possa encaixá-las na correria do seu dia a dia. As certificações validam sua experiência e comprovam suas habilidades com as tecnologias do Google Cloud.

Manual atualizado em 10 de janeiro de 2024

Laboratório testado em 10 de janeiro de 2024

Copyright 2024 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de produtos e empresas podem ser marcas registradas das respectivas empresas a que estão associados.