GSP193

Übersicht

VPC-Netzwerk-Peering (Virtual Private Cloud) in Google Cloud ermöglicht private Verbindungen zwischen zwei VPC-Netzwerken, unabhängig von ihrer Zugehörigkeit zu Projekten und Organisationen.

Durch das VPC-Netzwerk-Peering können Sie SaaS-Systeme (Software as a Service) in der Google Cloud erstellen und Dienste intern oder extern privat in verschiedenen VPC-Netzwerken verfügbar machen. Die Übertragung der Arbeitslasten erfolgt dabei in einem privaten Bereich.

VPC-Netzwerk-Peering eignet sich für:

• Organisationen mit mehreren administrativen Netzwerkdomains
• Organisationen, die sich mit anderen Organisationen vernetzen möchten

Wenn es in Ihrer Organisation mehrere administrative Netzwerkdomains gibt, können Sie mit VPC-Netzwerk-Peering Dienste innerhalb eines privaten Bereichs in verschiedenen VPC-Netzwerken verfügbar machen. Bieten Sie anderen Organisationen Dienste an, können Sie ihnen diese mit VPC-Netzwerk-Peering in einem privaten Bereich zur Verfügung stellen.

Die Möglichkeit, Dienste organisationsübergreifend bereitzustellen, ist von Vorteil, wenn Sie anderen Organisationen Dienste anbieten. Sie ist auch innerhalb Ihrer Organisation nützlich, wenn Sie aufgrund ihrer Struktur oder nach Fusionen oder Übernahmen mehrere separate Organisationsknoten haben.

VPC-Netzwerk-Peering bietet im Vergleich zur Verwendung von externen IP-Adressen oder VPNs bei der Verbindung von Netzwerken verschiedene Vorteile, unter anderem:

• Netzwerklatenz: Private Netzwerke bieten eine geringere Latenz als öffentliche IP-Netzwerke.
• Netzwerksicherheit: Dienstinhaber müssen ihre Dienste nicht über das öffentliche Internet anbieten und vermeiden so die damit verbundenen Risiken.
• Netzwerkkosten: Wenn die Netzwerke über Peering verbunden sind, können für die Kommunikation interne IP-Adressen verwendet und so Google Cloud-Kosten für ausgehenden Traffic eingespart werden. Für den gesamten Traffic gelten aber weiterhin die normalen Netzwerkpreise.

Aufgaben

• Benutzerdefiniertes Netzwerk in zwei Projekten erstellen
• VPC-Netzwerk-Peering-Sitzung einrichten

Einrichtung und Anforderungen

Vor dem Klick auf „Start Lab“ (Lab starten)

Lesen Sie diese Anleitung. Labs sind zeitlich begrenzt und können nicht pausiert werden. Der Timer beginnt zu laufen, wenn Sie auf Lab starten klicken, und zeigt Ihnen, wie lange die Ressourcen für das Lab verfügbar sind.

In diesem praxisorientierten Lab können Sie die Lab-Aktivitäten in einer echten Cloud-Umgebung selbst durchführen – nicht in einer Simulations- oder Demo-Umgebung. Dazu erhalten Sie neue, temporäre Anmeldedaten, mit denen Sie für die Dauer des Labs auf Google Cloud zugreifen können.

Für dieses Lab benötigen Sie Folgendes:

• Einen Standardbrowser (empfohlen wird Chrome)

Hinweis: Nutzen Sie den privaten oder Inkognitomodus, um dieses Lab durchzuführen. So wird verhindert, dass es zu Konflikten zwischen Ihrem persönlichen Konto und dem Teilnehmerkonto kommt und zusätzliche Gebühren für Ihr persönliches Konto erhoben werden.

• Zeit für die Durchführung des Labs – denken Sie daran, dass Sie ein begonnenes Lab nicht unterbrechen können.

Hinweis: Wenn Sie über ein persönliches Google Cloud-Konto oder -Projekt verfügen, verwenden Sie es nicht für dieses Lab. So werden zusätzliche Kosten für Ihr Konto vermieden.

Lab starten und bei der Google Cloud Console anmelden

1. Klicken Sie auf Lab starten. Wenn Sie für das Lab bezahlen müssen, wird ein Pop-up-Fenster geöffnet, in dem Sie Ihre Zahlungsmethode auswählen können. Auf der linken Seite befindet sich der Bereich Details zum Lab mit diesen Informationen:

   • Schaltfläche Google Cloud Console öffnen
   • Restzeit
   • Temporäre Anmeldedaten für das Lab
   • Ggf. weitere Informationen für dieses Lab

2. Klicken Sie auf Google Cloud Console öffnen (oder klicken Sie mit der rechten Maustaste und wählen Sie Link in Inkognitofenster öffnen aus, wenn Sie Chrome verwenden).

   Im Lab werden Ressourcen aktiviert. Anschließend wird ein weiterer Tab mit der Seite Anmelden geöffnet.

   Tipp: Ordnen Sie die Tabs nebeneinander in separaten Fenstern an.

   Hinweis: Wird das Dialogfeld Konto auswählen angezeigt, klicken Sie auf Anderes Konto verwenden.

3. Kopieren Sie bei Bedarf den folgenden Nutzernamen und fügen Sie ihn in das Dialogfeld Anmelden ein.

   {{{user_0.username | "Username"}}}

   Sie finden den Nutzernamen auch im Bereich Details zum Lab.

4. Klicken Sie auf Weiter.

5. Kopieren Sie das folgende Passwort und fügen Sie es in das Dialogfeld Willkommen ein.

   {{{user_0.password | "Password"}}}

   Sie finden das Passwort auch im Bereich Details zum Lab.

6. Klicken Sie auf Weiter.

   Wichtig: Sie müssen die für das Lab bereitgestellten Anmeldedaten verwenden. Nutzen Sie nicht die Anmeldedaten Ihres Google Cloud-Kontos. Hinweis: Wenn Sie Ihr eigenes Google Cloud-Konto für dieses Lab nutzen, können zusätzliche Kosten anfallen.

7. Klicken Sie sich durch die nachfolgenden Seiten:

   • Akzeptieren Sie die Nutzungsbedingungen.
   • Fügen Sie keine Wiederherstellungsoptionen oder Zwei-Faktor-Authentifizierung hinzu (da dies nur ein temporäres Konto ist).
   • Melden Sie sich nicht für kostenlose Testversionen an.

Nach wenigen Augenblicken wird die Google Cloud Console in diesem Tab geöffnet.

Hinweis: Wenn Sie sich eine Liste der Google Cloud-Produkte und ‑Dienste ansehen möchten, klicken Sie oben links auf das Navigationsmenü.

Cloud Shell aktivieren

Cloud Shell ist eine virtuelle Maschine, auf der Entwicklertools installiert sind. Sie bietet ein Basisverzeichnis mit 5 GB nichtflüchtigem Speicher und läuft auf Google Cloud. Mit Cloud Shell erhalten Sie Befehlszeilenzugriff auf Ihre Google Cloud-Ressourcen.

1. Klicken Sie oben in der Google Cloud Console auf Cloud Shell aktivieren .

Wenn Sie verbunden sind, sind Sie bereits authentifiziert und das Projekt ist auf Ihre Project_ID, eingestellt. Die Ausgabe enthält eine Zeile, in der die Project_ID für diese Sitzung angegeben ist:

Ihr Cloud-Projekt in dieser Sitzung ist festgelegt als {{{project_0.project_id | "PROJECT_ID"}}}

gcloud ist das Befehlszeilentool für Google Cloud. Das Tool ist in Cloud Shell vorinstalliert und unterstützt die Tab-Vervollständigung.

2. (Optional) Sie können den aktiven Kontonamen mit diesem Befehl auflisten:

gcloud auth list

3. Klicken Sie auf Autorisieren.

Ausgabe:

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} Um das aktive Konto festzulegen, führen Sie diesen Befehl aus: $ gcloud config set account `ACCOUNT`

4. (Optional) Sie können die Projekt-ID mit diesem Befehl auflisten:

gcloud config list project

Ausgabe:

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} Hinweis: Die vollständige Dokumentation für gcloud finden Sie in Google Cloud in der Übersicht zur gcloud CLI.

Aufgabe 1: Benutzerdefiniertes Netzwerk in beiden Projekten erstellen

Innerhalb desselben Organisationsknotens kann ein Netzwerk Dienste hosten, auf die von anderen VPC-Netzwerken in denselben oder anderen Projekten zugegriffen werden muss.

Alternativ kann für eine Organisation der Bedarf bestehen, auf einen Dienst von Drittanbietern zuzugreifen.

Die Projektnamen sind innerhalb Google Cloud spezifisch, sodass Sie beim Einrichten des Peerings die Organisation nicht angeben müssen. Google Cloud kennt die Organisation aufgrund des Projektnamens.

In diesem Lab arbeiten Sie mit zwei Projekten: Projekt-A und Projekt-B.

1. In beiden Projekten starten Sie jeweils eine neue Cloud Shell durch Klicken auf das Symbol +.

2. In der Cloud Shell für Projekt-A legen Sie die Projekt-ID für Projekt-A fest:

gcloud config set project {{{project_0.project_id | Project 1}}}

3. In der Cloud Shell für Projekt-B legen Sie die Projekt-ID für Projekt-B fest:

gcloud config set project {{{project_1.project_id | Project 2}}}

Projekt-A:

1. In der ersten Cloud Shell führen Sie den folgenden Befehl aus, um ein benutzerdefiniertes Netzwerk zu erstellen:

gcloud compute networks create network-a --subnet-mode custom

2. Erstellen Sie innerhalb dieser VPC ein Subnetz und geben Sie dabei eine Region sowie einen IP-Bereich an:

gcloud compute networks subnets create network-a-subnet --network network-a \ --range 10.0.0.0/16 --region {{{ project_0.default_region }}}

3. Erstellen Sie eine VM-Instanz:

gcloud compute instances create vm-a --zone {{{ project_0.default_zone }}} --network network-a --subnet network-a-subnet --machine-type e2-small

4. Führen Sie den folgenden Befehl aus, um SSH und icmp zu aktivieren, da Sie während des Konnektivitätstests eine sichere Shell-Sitzung für die Kommunikation mit VMs benötigen:

gcloud compute firewall-rules create network-a-fw --network network-a --allow tcp:22,icmp

Richten Sie anschließend Projekt-B auf die gleiche Weise ein.

Klicken Sie auf Fortschritt prüfen. Benutzerdefiniertes Netzwerk in Projekt-A erstellen

Projekt-B:

1. Wechseln Sie zur zweiten Cloud Shell-Sitzung und erstellen Sie ein benutzerdefiniertes Netzwerk:

gcloud compute networks create network-b --subnet-mode custom

2. Erstellen Sie innerhalb dieser VPC ein Subnetz und geben Sie dabei eine Region sowie einen IP-Bereich an:

gcloud compute networks subnets create network-b-subnet --network network-b \ --range 10.8.0.0/16 --region {{{ project_1.default_region }}}

3. Erstellen Sie eine VM-Instanz:

gcloud compute instances create vm-b --zone {{{ project_1.default_zone }}} --network network-b --subnet network-b-subnet --machine-type e2-small

4. Führen Sie den folgenden Befehl aus, um SSH und icmp zu aktivieren, da Sie während des Konnektivitätstests eine sichere Shell-Sitzung für die Kommunikation mit VMs benötigen:

gcloud compute firewall-rules create network-b-fw --network network-b --allow tcp:22,icmp

Klicken Sie auf Fortschritt prüfen. Benutzerdefiniertes Netzwerk in Projekt-B erstellen

Aufgabe 2: VPC-Netzwerk-Peering-Sitzung einrichten

Szenario: Eine Organisation benötigt ein VPC-Netzwerk-Peering zwischen Netzwerk-A in Projekt-A und Netzwerk-B in Projekt-B. Um das VPC-Netzwerk-Peering aufzubauen, müssen die Administratoren von Netzwerk-A und Netzwerk-B jeweils separat die Peering-Verknüpfung konfigurieren.

Peering von Netzwerk-A mit Netzwerk-B:

Wählen Sie das richtige Projekt in der Console aus, um die Einstellung zuzuweisen. Klicken Sie dazu auf den Abwärtspfeil neben „Projekt-ID“ am oberen Bildschirmrand und wählen Sie die benötigte Projekt-ID aus.

Projekt-A

Rufen Sie in der Cloud Console VPC-Netzwerk-Peering auf. Klicken Sie dazu im Menü auf der linken Seite unter „Netzwerk“ auf VPC-Netzwerk > VPC-Netzwerk-Peering. Führen Sie dort folgende Schritte aus:

1. Klicken Sie auf Verbindung erstellen.
2. Klicken Sie auf Weiter.
3. Geben Sie für diese Seite der Verbindung unter Name "peer-ab" ein.
4. Wählen Sie unter Mein VPC-Netzwerk das Netzwerk aus, über das Sie eine Peering-Verbindung herstellen möchten (Netzwerk-A).
5. Setzen Sie die Optionsfelder unter Peering-VPC-Netzwerk auf In einem anderen Projekt.
6. Fügen Sie unter Projekt-ID die Projekt-ID des zweiten Projekts ein.

{{{ project_1.project_id }}}

7. Geben Sie unter VPC-Netzwerkname den Namen des anderen Netzwerks ein (Netzwerk-B).
8. Klicken Sie auf Erstellen.

An diesem Punkt bleibt der Peering-Status INAKTIV, weil in Netzwerk-B in Projekt-B keine entsprechende Konfiguration vorhanden ist. Anschließend sollte die Statusmeldung Warten auf die Verbindung mit dem Peering-Netzwerk angezeigt werden.

Klicken Sie auf Fortschritt prüfen. Peering von Netzwerk-A mit Netzwerk-B

Peering von Netzwerk-B mit Netzwerk-A

Hinweis: Wechseln Sie in der Konsole zum zweiten Projekt.

Projekt-B

1. Klicken Sie auf Verbindung erstellen.
2. Klicken Sie auf Weiter.
3. Geben Sie für diese Seite der Verbindung unter Name "peer-ba" ein.
4. Wählen Sie unter Mein VPC-Netzwerk das Netzwerk aus, über das Sie eine Peering-Verbindung herstellen möchten (Netzwerk-B).
5. Setzen Sie die Optionsfelder unter Peering-VPC-Netzwerk auf In einem anderen Projekt, wenn das Peering nicht innerhalb desselben Projekts erfolgen soll.
6. Fügen Sie unter Projekt-ID die Projekt-ID des ersten Projekts ein.

{{{ project_0.project_id }}}

7. Geben Sie unter VPC-Netzwerkname den Namen des anderen Netzwerks ein (Netzwerk-A).
8. Klicken Sie auf Erstellen.

Im VPC-Netzwerk-Peering sollte nun in der Attributliste peer-ba angezeigt werden.

Das VPC-Netzwerk-Peering wird AKTIV und Routen werden ausgetauscht. Sobald das Peering den Status AKTIV annimmt, wird der Traffic-Fluss eingerichtet:

• Zwischen VM-Instanzen in den verbundenen Netzwerken (vollständig vermaschte Verbindung)
• Von VM-Instanzen in einem Netzwerk zu internen Load Balancing-Endpunkten im verbundenen Netzwerk

Die Routen zu den CIDR-Präfixen des verbundenen Netzwerks sind nun in allen Peering-Komponenten des VPC-Netzwerks sichtbar. Diese Routen sind implizite Routen, die für aktive Peerings generiert werden. Sie verfügen über keine zugehörigen Routenressourcen. Mit dem folgenden Befehl listen Sie die Routen für alle VPC-Netzwerke in Projekt-A auf.

gcloud compute routes list --project {{{ project_0.project_id }}}

Beispielausgabe:

NAME NETWORK DEST_RANGE NEXT_HOP PRIORITY default-route-2a865a00fa31d5df network-a 0.0.0.0/0 default-internet-gateway 1000 default-route-8af4732e693eae27 network-a 10.0.0.0/16 1000 peering-route-4732ee69e3ecab41 network-a 10.8.0.0/16 peer-ab 1000

Klicken Sie auf Fortschritt prüfen. Peering von Netzwerk-B mit Netzwerk-A

Aufgabe 3: Verbindung testen

In dieser Aufgabe führen Sie einen Konnektivitätstest aus.

Projekt-A

1. Rufen Sie die Konsole für VM-Instanzen auf. Klicken Sie dazu im Navigationsmenü auf Compute Engine > VM-Instanzen.

2. Kopieren Sie die INTERNAL_IP für vm-a.

Projekt-B

1. Klicken Sie auf das Navigationsmenü und dann auf Compute Engine > VM-Instanzen.

Stellen Sie eine SSH-Verbindung zu vm-b her.

2. Führen Sie in der SSH-Shell von vm-b den folgenden Befehl aus. Ersetzen Sie dabei <INTERNAL_IP_OF_VM_A> durch die INTERNE_IP der Instanz „vm-a“:

ping -c 5 <INTERNAL_IP_OF_VM_A>

Beispielausgabe:

PING 10.8.0.2 (10.8.0.2) 56(84) bytes of data. 64 bytes from 10.8.0.2: icmp_seq=1 ttl=64 time=1.07 ms 64 bytes from 10.8.0.2: icmp_seq=2 ttl=64 time=0.364 ms 64 bytes from 10.8.0.2: icmp_seq=3 ttl=64 time=0.205 ms 64 bytes from 10.8.0.2: icmp_seq=4 ttl=64 time=0.216 ms 64 bytes from 10.8.0.2: icmp_seq=5 ttl=64 time=0.164 ms --- 10.8.0.2 ping statistics --- 5 packets transmitted, 5 received, 0% packet loss, time 4065ms rtt min/avg/max/mdev = 0.164/0.404/1.072/0.340 ms

Das wars! Sie haben das Lab erfolgreich abgeschlossen.

Sie haben gelernt, wie ein VPC-Peering für mehrere Projekte in Google Cloud eingerichtet wird.

Weitere Informationen

• Weitere Informationen zu VPC-Netzwerken
• Weitere Informationen zum VPC-Netzwerk-Peering

Google Cloud-Schulungen und -Zertifizierungen

In unseren Schulungen erfahren Sie alles zum optimalen Einsatz unserer Google Cloud-Technologien und können sich entsprechend zertifizieren lassen. Unsere Kurse vermitteln technische Fähigkeiten und Best Practices, damit Sie möglichst schnell mit Google Cloud loslegen und Ihr Wissen fortlaufend erweitern können. Wir bieten On-Demand-, Präsenz- und virtuelle Schulungen für Anfänger wie Fortgeschrittene an, die Sie individuell in Ihrem eigenen Zeitplan absolvieren können. Mit unseren Zertifizierungen weisen Sie nach, dass Sie Experte im Bereich Google Cloud-Technologien sind.

Anleitung zuletzt am 15. April 2024 aktualisiert

Lab zuletzt am 25. September 2023 getestet

© 2024 Google LLC. Alle Rechte vorbehalten. Google und das Google-Logo sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen können Marken der jeweils mit ihnen verbundenen Unternehmen sein.