Articles /

Google Cloud Router

  • Cloud Router je plně distribuovaná a spravovaná služba Google Cloud, která vám pomůže definovat vlastní dynamické trasy a měřítka s vaším síťovým provozem.

funkce

  • pracuje jak se staršími sítěmi, tak se sítěmi Virtual Private Cloud (VPC).
  • Cloud Router využívá Border Gateway Protocol (BGP) k výměně tras mezi vaší virtuální privátní cloudovou sítí (VPC) a vaší místní sítí.
  • použití Cloud routeru je vyžadováno nebo doporučeno v následujících případech:
    • vyžadováno pro Cloud Nat
    • vyžadováno pro Cloud Interconnect A HA VPN
    • doporučená možnost konfigurace pro klasickou VPN
  • když rozšiřujete svou místní síť na Google Cloud, použijte Cloud Router k dynamické výměně tras mezi vašimi cloudovými sítěmi Google a místní sítí.
  • Cloud Router vrstevníky s vaší on-premises VPN brány nebo routeru. Směrovače si vyměňují topologické informace prostřednictvím BGP.

Route reklamy

  • prostřednictvím BGP Cloud Router inzeruje IP adresy zdrojů Google, které mohou klienti ve vaší místní síti dosáhnout. Vaše místní síť poté odešle do vaší VPC sítě pakety, které mají cílovou IP adresu odpovídající inzerovanému rozsahu IP. Po dosažení Google Cloud, pravidla a trasy brány firewall vaší VPC sítě určují, jak Google Cloud směruje pakety.
  • výchozí Route reklama-Cloud Router inzeruje podsítí ve svém regionu pro regionální dynamické směrování nebo všechny podsítí v VPC síti pro globální dynamické směrování.
  • Custom Route Advertisement-explicitně určujete trasy, které Cloud Router inzeruje do vaší místní sítě.

ověřte své znalosti

Otázka 1

hostujete webovou aplikaci v místním datovém centru, která potřebuje načíst soubory z kbelíku cloudového úložiště. Vaše společnost však striktně implementuje bezpečnostní zásady, které zakazují vašim holým kovovým serverům mít veřejnou IP adresu nebo mít jakýkoli přístup k internetu. Chcete-li své webové aplikaci poskytnout potřebný přístup k cloudovému úložišti, postupujte podle postupů doporučených společností Google.Co byste měli dělat?

  1. a. problém nslookup příkaz na příkazovém řádku získat IP adresu pro storage.googleapis.com.
    b. diskutujte s bezpečnostním týmem, proč potřebujete mít veřejnou IP adresu pro servery.
    c. explicitně povolte výstup z vašich serverů na IP adresu storage.googleapis.com.
  2. a. Vytvořte tunel VPN připojení k VPC ve vlastním režimu na platformě Google Cloud pomocí Cloud VPN.
    b. Vytvořte instanci Compute Engine a nainstalujte proxy server Squid. Jako umístění použijte VPC ve vlastním režimu.
    c. nakonfigurujte své místní servery tak, aby používaly novou instanci jako proxy pro přístup k úložišti Cloud.
  3. a. Migrujte svůj místní server pomocí Migrate for Compute Engine (dříve známý jako Velostrata).
    b. zajistěte vnitřní vyvažovač zatížení (ILB), který používá storage.googleapis.com jako backend.
    c. nastavte nové instance pro použití ILB jako proxy pro připojení k cloudovému úložišti.
  4. a. vytvořte VPN tunel pro GCP pomocí Cloud VPN nebo Cloud Interconnect.
    b. použijte Cloud Router k vytvoření vlastní reklamy na trasu pro 199.36.153.4/30. Oznamte tuto síť do své místní sítě prostřednictvím tunelu VPN.
    c. nakonfigurujte server DNS ve vaší místní síti tak, aby se *.googleapis.com vyřešil jako CNAME restricted.googleapis.com.

Ukaž mi odpověď!

správná odpověď: 4

soukromý přístup Google pro místní hostitele vyžaduje, abyste směrovali služby do jedné z následujících speciálních domén. Speciální doména, kterou vyberete, určuje, ke kterým službám máte přístup:

private.googleapis.com (199.36.153.8 / 30) poskytuje přístup k většině API a služeb Google, včetně cloudových a vývojářských API, která podporují ovládací prvky VPC služeb a ty, které nepodporují ovládací prvky VPC služeb. Při konfiguraci služby jsou vynuceny ovládací prvky služby VPC perimeter.restricted.googleapis.com (199.36.153.4 / 30) poskytuje pouze přístup k cloudovým a vývojářským API, která podporují ovládací prvky služby VPC. Ovládací prvky služby VPC jsou pro tyto služby vynuceny, pokud jste nakonfigurovali obvod služby. Přístup k jakémukoli rozhraní Google API nebo službě, která nepodporuje ovládací prvky služby VPC, je zakázán.

aby hostitelé v areálu dosáhli omezených služeb Google API, musí být požadavky na rozhraní API Google zasílány prostřednictvím VPC sítě, buď prostřednictvím tunelu Cloud VPN nebo cloudového propojení.

v obou případech musí být všechny požadavky na rozhraní API a služby Google odeslány na rozsah virtuální IP adresy (VIP) 199.36.153.4 / 30 (restricted.googleapis.com). rozsah IP adres není oznámen internetu. Provoz odeslaný VIP zůstává pouze v síti Google.

trasy ve vaší místní síti musí být nakonfigurovány tak, aby směrovaly provoz pro rozsahy IP adres používané private.googleapis.com nebo restricted.googleapis.com domény na další tunely hop Cloud VPN nebo přílohy Cloud Interconnect (VLAN), které se připojují k Vaší VPC síti.

reklamy na vlastní trasy Cloud routeru můžete použít k oznámení tras pro následující cíle:

199.36.153.8/30– pokud jste zvolili private.googleapis.com199.36.153.4/30– pokud jste zvolili omezené.googleapis.com

vaše místní síť musí mít zóny DNS a záznamy nakonfigurované tak, aby se názvy domén Google vyřešily na sadu IP adres private.googleapis.com nebo restricted.googleapis.com. můžete vytvořit soukromé zóny spravované cloudovým DNS a použít zásady příchozího serveru Cloud DNS nebo můžete nakonfigurovat místní jmenné servery. Můžete například použít BIND nebo Microsoft Active Directory DNS.

proto je správná odpověď:

1. Vytvořte VPN tunel pro GCP pomocí Cloud VPN nebo Cloud Interconnect.2. Použijte Cloud Router k vytvoření vlastní reklamy na trasu pro199.36.153.4/30. Oznamte tuto síť do své místní sítě prostřednictvím tunelu VPN.3. Nakonfigurujte záznam CNAME na vašem místním serveru DNS, abyste vyřešili veškerý provoz

*.googleapis.comnarestricted.googleapis.com.

následující volba je nesprávná, protože vaše společnost vám neumožňuje poskytnout veřejnou IP adresu pro vaše místní datové centrum. Kromě toho musíte ještě vytvořit tunel VPN pro soukromé připojení vaší místní sítě k cloudu Google, což není v této možnosti uvedeno:

1. Problémnslookuppříkaz na příkazovém řádku získat IP adresu prostorage.googleapis.com.2. Diskutujte s bezpečnostním týmem, proč potřebujete mít veřejnou IP adresu pro servery.3. Explicitně povolte výstup z vašich serverů na IP adresustorage.googleapis.com.

následující volba je nesprávná, protože použití proxy serveru Squid vystavuje vaši síť veřejnosti prostřednictvím instance Compute Engine. Musíte se připojit k cloudovému úložišti soukromě, takže tato možnost nesplňuje požadavek:

1. Vytvořte tunel VPN připojení k VPC ve vlastním režimu na platformě Google Cloud pomocí Cloud VPN.2. Vytvořte instanci Compute Engine a nainstalujte proxy server Squid. Jako umístění použijte VPC ve vlastním režimu.3. Nakonfigurujte své místní servery tak, aby novou instanci používaly jako proxy pro přístup k kbelíku cloudového úložiště.

následující možnost je nesprávná, protože nemusíte migrovat stávající místní server do služby Google Cloud. Ve scénáři je uvedeno, že pro soukromé připojení k cloudovému úložišti potřebujete vlastní aplikaci, takže použití Migrate for Compute Engine je pro tento scénář nevhodné:

1. Migrujte svůj místní server pomocíMigrate for Compute Engine2. Zajistěte vnitřní vyvažovač zatížení (ILB), který používástorage.googleapis.comjako backend.3. Nastavte nové instance pro použití ILB jako proxy pro připojení k cloudovému úložišti.

https://cloud.google.com/vpc/docs/configure-private-google-access-hybrid
https://cloud.google.com/vpc-service-controls/docs/private-connectivity
https://cloud.google.com/network-connectivity/docs/router/how-to/advertising-custom-ip

Poznámka: Tato otázka byla získána z našich praktických zkoušek Google Certified Associate Cloud Engineer.

pro více Google Cloud praxe zkouška otázky s podrobným vysvětlením, podívejte se na tutoriály Dojo portál:

Reference:
https://cloud.google.com/network-connectivity/docs/router/concepts/overview

projděte své certifikace AWS, Azure a Google Cloud pomocí portálu Tutorials Dojo

Naše nejprodávanější AWS Certified Solutions Architect Associate Practice zkoušky

Zaregistrujte se nyní – naše AWS Practice zkoušky s 95% úspěšností

bezplatný kurz AWS Cloud Practitioner Essentials!

Zaregistrujte se nyní – naši recenzenti Azure Certification Exam

Zaregistrujte se nyní – naši recenzenti Google Cloud Certification Exam

Návody Dojo zkouška Studijní příručka eBooks

přihlaste se k odběru našeho kanálu YouTube

zdarma Úvod do Cloud computingu pro začátečníky

zdarma AWS, Azure, GCP Practice Test Samplers

Procházejte další kurzy

poslední příspěvky

  • Začínáme se SageMaker ground truth private workforce
  • AWS transfer Family
  • škálovatelné zpracování a transformace dat pomocí SageMaker Zpracování (Část 2 z 2)

Leave a Reply