Google Cloud Router
- Cloud Router ist ein vollständig verteilter und verwalteter Google Cloud-Dienst, mit dem Sie benutzerdefinierte dynamische Routen definieren und mit Ihrem Netzwerkverkehr skalieren können.
Eigenschaften
- Es funktioniert sowohl mit Legacy-Netzwerken als auch mit VPC-Netzwerken (Virtual Private Cloud).
- Cloud Router verwendet das Border Gateway Protocol (BGP), um Routen zwischen Ihrem Virtual Private Cloud (VPC)-Netzwerk und Ihrem lokalen Netzwerk auszutauschen.
- Die Verwendung von Cloud Router ist in den folgenden Fällen erforderlich oder wird empfohlen:
- Erforderlich für Cloud NAT
- Erforderlich für Cloud Interconnect und HA VPN
- Eine empfohlene Konfigurationsoption für Classic VPN
- Wenn Sie Ihr lokales Netzwerk auf Google Cloud erweitern, können Sie mithilfe von Cloud Router Routen dynamisch zwischen Ihren Google Cloud-Netzwerken und Ihrem lokalen Netzwerk austauschen.
- Cloud Router Peers mit Ihrem lokalen VPN-Gateway oder Router. Die Router tauschen Topologieinformationen über BGP aus.
Anzeigen weiterleiten
- Über BGP wirbt Cloud Router für die IP-Adressen von Google-Ressourcen, die Clients in Ihrem lokalen Netzwerk erreichen können. Ihr lokales Netzwerk sendet dann Pakete an Ihr VPC-Netzwerk, deren Ziel-IP-Adresse mit einem angekündigten IP-Bereich übereinstimmt. Nach Erreichen von Google Cloud bestimmen die Firewall-Regeln und -Routen Ihres VPC-Netzwerks, wie Google Cloud die Pakete weiterleitet.
- Standard-Routenanzeige – Cloud Router kündigt Subnetze in seiner Region für regionales dynamisches Routing oder alle Subnetze in einem VPC-Netzwerk für globales dynamisches Routing an.
- Benutzerdefinierte Routenanzeige – Sie geben explizit die Routen an, die ein Cloud-Router für Ihr lokales Netzwerk ankündigt.
Überprüfen Sie Ihr Wissen
Frage 1
Sie hosten eine Webanwendung in Ihrem lokalen Rechenzentrum, die Dateien aus einem Cloud-Speicher-Bucket abrufen muss. Ihr Unternehmen implementiert jedoch streng Sicherheitsrichtlinien, die es Ihren Bare-Metal-Servern verbieten, eine öffentliche IP-Adresse zu haben oder auf das Internet zuzugreifen. Sie möchten die von Google empfohlenen Vorgehensweisen befolgen, um Ihrer Webanwendung den erforderlichen Zugriff auf Cloud-Speicher zu gewähren.Was sollten Sie tun?
- a. Geben Sie den Befehl
nslookup
in Ihre Befehlszeile ein, um die IP-Adresse fürstorage.googleapis.com
abzurufen.
b. Besprechen Sie mit dem Sicherheitsteam, warum Sie eine öffentliche IP-Adresse für die Server benötigen.
c. Erlauben Sie explizit den ausgehenden Datenverkehr von Ihren Servern an die IP-Adresse vonstorage.googleapis.com
. - ein. Erstellen Sie mithilfe von Cloud VPN einen VPN-Tunnel, der eine Verbindung zu einer benutzerdefinierten VPC in der Google Cloud Platform herstellt.
b. Erstellen Sie eine Compute Engine-Instanz und installieren Sie den Squid-Proxyserver. Verwenden Sie die VPC im benutzerdefinierten Modus als Speicherort.
c. Konfigurieren Sie Ihre lokalen Server so, dass die neue Instanz als Proxy für den Zugriff auf den Cloud Storage-Bucket verwendet wird. - a. Migrieren Sie Ihren lokalen Server mit
Migrate for Compute Engine
(früher bekannt als Velostrata).
b. Stellen Sie einen internen Load Balancer (ILB) bereit, derstorage.googleapis.com
als Backend verwendet.
c. Richten Sie die neuen Instanzen so ein, dass die ILB als Proxy für die Verbindung mit dem Cloud-Speicher verwendet wird. - a. Erstellen Sie mit Cloud VPN oder Cloud Interconnect einen VPN-Tunnel zu GCP.
b. Verwenden Sie Cloud Router, um eine benutzerdefinierte Routenanzeige für199.36.153.4/30
zu erstellen. Verbinden Sie dieses Netzwerk über einen VPN-Tunnel mit Ihrem lokalen Netzwerk.
c. Konfigurieren Sie den DNS-Server in Ihrem lokalen Netzwerk so, dass*.googleapis.com
als CNAME restricted.googleapis.com.
Zeig mir die Antwort!
Richtige Antwort: 4
Für den privaten Google-Zugriff für lokale Hosts müssen Sie Dienste an eine der folgenden speziellen Domänen weiterleiten. Die spezielle Domain, die Sie auswählen, bestimmt, auf welche Dienste Sie zugreifen können:
private.googleapis.com (199.36.153.8 / 30) bietet Zugriff auf die meisten Google-APIs und -Dienste, einschließlich Cloud- und Entwickler-APIs, die VPC-Dienststeuerelemente unterstützen, und solche, die keine VPC-Dienststeuerelemente unterstützen. VPC-Dienststeuerelemente werden erzwungen, wenn Sie einen Dienst konfigurieren perimeter.restricted.googleapis.com (199.36.153.4 / 30) bietet nur Zugriff auf Cloud- und Entwickler-APIs, die VPC-Dienststeuerelemente unterstützen. VPC-Dienststeuerelemente werden für diese Dienste erzwungen, wenn Sie einen Dienstperimeter konfiguriert haben. Der Zugriff auf Google-APIs oder -Dienste, die keine VPC-Dienstkontrollen unterstützen, ist untersagt.
Damit lokale Hosts eingeschränkte Google API-Dienste erreichen können, müssen Anforderungen an Google APIs über ein VPC-Netzwerk gesendet werden, entweder über einen Cloud VPN-Tunnel oder eine Cloud Interconnect-Verbindung.
In beiden Fällen müssen alle Anfragen an Google-APIs und -Dienste an eine virtuelle IP-Adresse (VIP) im Bereich 199.36.153.4/30 gesendet werden (restricted.googleapis.com ). Der IP-Adressbereich wird dem Internet nicht bekannt gegeben. Der an den VIP gesendete Datenverkehr bleibt nur im Google-Netzwerk.
Routen in Ihrem lokalen Netzwerk müssen so konfiguriert sein, dass der Datenverkehr für die private.googleapis.com oder restricted.googleapis.com verbinden Sie sich mit den Next Hop Cloud VPN-Tunneln oder Cloud Interconnect Attachments (VLANs), die eine Verbindung zu Ihrem VPC-Netzwerk herstellen.
Sie können benutzerdefinierte Routenanzeigen für Cloud Router verwenden, um Routen für die folgenden Ziele anzukündigen:
199.36.153.8/30
– wenn Sie Folgendes ausgewählt haben private.googleapis.com199.36.153.4/30
– wenn Sie eingeschränkt gewählt haben.googleapis.com
In Ihrem lokalen Netzwerk müssen DNS-Zonen und -Einträge konfiguriert sein, damit Google-Domänennamen in den Satz von IP-Adressen für private.googleapis.com oder restricted.googleapis.com Sie können von Cloud DNS verwaltete private Zonen erstellen und eine Richtlinie für eingehende Cloud DNS-Server verwenden oder lokale Nameserver konfigurieren. Sie können beispielsweise BIND oder Microsoft Active Directory DNS verwenden.
Daher lautet die richtige Antwort:
1. Erstellen Sie einen VPN-Tunnel zu GCP mit Cloud VPN oder Cloud Interconnect.2. Verwenden Sie Cloud Router, um eine benutzerdefinierte Routenanzeige für199.36.153.4/30
zu erstellen. Verbinden Sie dieses Netzwerk über einen VPN-Tunnel mit Ihrem lokalen Netzwerk.3. Konfigurieren Sie einen CNAME-Eintrag auf Ihrem lokalen DNS-Server, um den gesamten*.googleapis.com
-Datenverkehr inrestricted.googleapis.com
aufzulösen.
Die folgende Option ist nicht korrekt, da Ihr Unternehmen die Bereitstellung einer öffentlichen IP-Adresse für Ihr lokales Rechenzentrum nicht zulässt. Darüber hinaus müssen Sie noch einen VPN-Tunnel einrichten, um Ihr lokales Netzwerk privat mit der Google Cloud zu verbinden, was in dieser Option nicht erwähnt wird:
1. Geben Sie den Befehlnslookup
in Ihrer Befehlszeile aus, um die IP-Adresse fürstorage.googleapis.com
abzurufen.2. Besprechen Sie mit dem Sicherheitsteam, warum Sie eine öffentliche IP-Adresse für die Server benötigen.3. Erlauben Sie explizit den ausgehenden Datenverkehr von Ihren Servern an die IP-Adressestorage.googleapis.com
.
Die folgende Option ist falsch, da die Verwendung eines Squid-Proxyservers Ihr Netzwerk über die Compute Engine-Instanz der Öffentlichkeit zugänglich macht. Sie müssen sich privat mit dem Cloud-Speicher verbinden, damit diese Option die Anforderung nicht erfüllt:
1. Erstellen Sie mithilfe von Cloud VPN einen VPN-Tunnel, der eine Verbindung zu einer benutzerdefinierten VPC in der Google Cloud Platform herstellt.2. Erstellen Sie eine Compute Engine-Instanz und installieren Sie den Squid-Proxyserver. Verwenden Sie die VPC im benutzerdefinierten Modus als Speicherort.3. Konfigurieren Sie Ihre lokalen Server so, dass die neue Instanz als Proxy für den Zugriff auf den Cloud Storage-Bucket verwendet wird.
Die folgende Option ist falsch, da Sie Ihren vorhandenen lokalen Server nicht zu Google Cloud migrieren müssen. In dem Szenario wird angegeben, dass Ihre lokale Anwendung eine private Verbindung zum Cloud-Speicher herstellen muss, sodass die Verwendung von Migrate for Compute Engine
für dieses Szenario ungeeignet ist:
1. Migrieren Sie Ihren lokalen Server mitMigrate for Compute Engine
2. Stellen Sie einen internen Load Balancer (ILB) bereit, derstorage.googleapis.com
als Backend verwendet.3. Richten Sie die neuen Instanzen so ein, dass die ILB als Proxy für die Verbindung mit dem Cloud-Speicher verwendet wird.
https://cloud.google.com/vpc/docs/configure-private-google-access-hybrid
https://cloud.google.com/vpc-service-controls/docs/private-connectivity
https://cloud.google.com/network-connectivity/docs/router/how-to/advertising-custom-ip
Hinweis: Diese Frage wurde aus unseren Google Certified Associate Cloud Engineer-Praxisprüfungen extrahiert.
Weitere Fragen zur Google Cloud-Übungsprüfung mit detaillierten Erklärungen finden Sie im Tutorials Dojo-Portal:
Referenz:
https://cloud.google.com/network-connectivity/docs/router/concepts/overview
Bestehen Sie Ihre AWS-, Azure- und Google Cloud-Zertifizierungen mit dem AWS Dojo Portal
Unsere meistverkauften AWS Certified Solutions Architect Associate-Praxisprüfungen
Melden Sie sich jetzt an – Unsere AWS-Praxisprüfungen mit einer Erfolgsquote von 95%
KOSTENLOSER AWS Cloud Practitioner Essentials-Kurs!
Jetzt anmelden – Unsere Azure Certification Exam Reviewer
Jetzt anmelden – Unsere Google Cloud Certification Exam Reviewer
Tutorials Dojo Exam Study Guide eBooks
Abonnieren Sie unseren YouTube-Kanal
KOSTENLOSE Einführung in Cloud Computing für Anfänger
KOSTENLOSE AWS, Azure, GCP Practice Test Sampler
Weitere Kurse durchsuchen
Aktuelle Beiträge
- Erste Schritte mit SageMaker Ground Truth Private Workforce
- AWS Transfer Family
- Skalierbare Datenverarbeitung und -transformation mit SageMaker Verarbeitung (Teil 2 von 2)
Leave a Reply