Google Cloud Router

  • Cloud Router est un service Google Cloud entièrement distribué et géré qui vous aide à définir des itinéraires dynamiques personnalisés et des échelles avec votre trafic réseau.

Caractéristiques

  • Il fonctionne à la fois avec les réseaux hérités et les réseaux de cloud privé virtuel (VPC).
  • Le routeur Cloud utilise le protocole BGP (Border Gateway Protocol) pour échanger des routes entre votre réseau de cloud privé virtuel (VPC) et votre réseau sur site.
  • L’utilisation du routeur Cloud est requise ou recommandée dans les cas suivants:
    • Requis pour Cloud NAT
    • Requis pour Cloud Interconnect et VPN HA
    • Une option de configuration recommandée pour le VPN classique
  • Lorsque vous étendez votre réseau sur site à Google Cloud, utilisez Cloud Router pour échanger dynamiquement des itinéraires entre vos réseaux Google Cloud et votre réseau sur site.
  • Le routeur Cloud se compare à votre passerelle ou routeur VPN sur site. Les routeurs échangent des informations de topologie via BGP.

Routes publicitaires

  • Via BGP, Cloud Router annonce les adresses IP des ressources Google que les clients de votre réseau local peuvent atteindre. Votre réseau local envoie ensuite des paquets à votre réseau VPC dont l’adresse IP de destination correspond à une plage IP annoncée. Après avoir atteint Google Cloud, les règles de pare-feu et les itinéraires de votre réseau VPC déterminent comment Google Cloud achemine les paquets.
  • Publicité d’itinéraire par défaut – Cloud Router annonce des sous-réseaux dans sa région pour le routage dynamique régional ou tous les sous-réseaux d’un réseau VPC pour le routage dynamique global.
  • Publicité de route personnalisée – Vous spécifiez explicitement les routes qu’un routeur Cloud annonce à votre réseau local.

Validez Vos connaissances

Question 1

Vous hébergez une application Web dans votre centre de données local qui doit récupérer des fichiers à partir d’un compartiment de stockage en nuage. Cependant, votre entreprise met strictement en œuvre des politiques de sécurité qui interdisent à vos serveurs nus d’avoir une adresse IP publique ou d’avoir un accès à Internet. Vous souhaitez suivre les pratiques recommandées par Google pour fournir à votre application Web l’accès nécessaire au stockage en nuage.Que devriez-vous faire?

  1. a. Émettez la commande nslookup sur votre ligne de commande pour obtenir l’adresse IP de storage.googleapis.com.
    b. Discutez avec l’équipe de sécurité des raisons pour lesquelles vous devez disposer d’une adresse IP publique pour les serveurs.
    c. Autorisez explicitement le trafic de sortie de vos serveurs à l’adresse IP storage.googleapis.com.
  2. a. Créez un tunnel VPN se connectant à un VPC en mode personnalisé dans la plate-forme Google Cloud à l’aide du VPN Cloud.
    b. Créez une instance de moteur de calcul et installez le serveur proxy Squid. Utilisez le VPC en mode personnalisé comme emplacement.
    c. Configurez vos serveurs sur site pour utiliser la nouvelle instance en tant que proxy pour accéder au compartiment de stockage en nuage.
  3. a. Migrez votre serveur local à l’aide de Migrate for Compute Engine (anciennement connu sous le nom de Velostrata).
    b. Provisionnez un équilibreur de charge interne (ILB) qui utilise storage.googleapis.com comme backend.
    c. Configurez les nouvelles instances pour utiliser l’ILB comme proxy pour se connecter au stockage en nuage.
  4. a. Créez un tunnel VPN vers GCP en utilisant Cloud VPN ou Cloud Interconnect.
    b. Utilisez Cloud Router pour créer une annonce d’itinéraire personnalisée pour 199.36.153.4/30. Annoncez ce réseau à votre réseau local via un tunnel VPN.
    c. Configurez le serveur DNS de votre réseau local pour résoudre *.googleapis.com en tant que CNAME pour restricted.googleapis.com.

Montre-moi la réponse !

Bonne réponse : 4

L’accès privé à Google pour les hôtes sur site nécessite que vous dirigiez les services vers l’un des domaines spéciaux suivants. Le domaine spécial que vous choisissez détermine les services auxquels vous pouvez accéder :

private.googleapis.com (199.36.153.8/30) permet d’accéder à la plupart des API et services Google, y compris les API Cloud et Développeurs prenant en charge les Contrôles de Service VPC et celles qui ne prennent pas en charge les Contrôles de service VPC. Les contrôles de service VPC sont appliqués lorsque vous configurez un service perimeter.restricted.googleapis.com (199.36.153.4/30) fournit uniquement l’accès aux API Cloud et développeurs prenant en charge les contrôles de service VPC. Les contrôles de service VPC sont appliqués pour ces services si vous avez configuré un périmètre de service. L’accès à toute API ou service Google qui ne prend pas en charge les contrôles de service VPC est interdit.

Pour que les hôtes sur site puissent accéder aux services d’API Google restreints, les demandes adressées aux API Google doivent être envoyées via un réseau VPC, soit via un tunnel VPN dans le Cloud, soit via une connexion d’interconnexion dans le Cloud.

Dans les deux cas, toutes les demandes d’API et de services Google doivent être envoyées à une plage d’adresses IP virtuelles (VIP) 199.36.153.4/30(restricted.googleapis.com ). La plage d’adresses IP n’est pas annoncée sur Internet. Le trafic envoyé au VIP reste uniquement sur le réseau de Google.Les routes

de votre réseau local doivent être configurées pour diriger le trafic pour les plages d’adresses IP utilisées par le private.googleapis.com ou restricted.googleapis.com domaines vers les tunnels VPN dans le Cloud ou les pièces jointes d’interconnexion dans le Cloud (VLAN) qui se connectent à votre réseau VPC.

Vous pouvez utiliser les publicités d’itinéraires personnalisés du routeur Cloud pour annoncer des itinéraires pour les destinations suivantes :

199.36.153.8/30– si vous avez choisi private.googleapis.com199.36.153.4/30– si vous avez choisi restreint.googleapis.com

Les zones et enregistrements DNS de votre réseau local doivent être configurés de manière à ce que les noms de domaine Google se résolvent en un ensemble d’adresses IP pour l’un ou l’autre private.googleapis.com ou restricted.googleapis.com . Vous pouvez créer des zones privées gérées par DNS Cloud et utiliser une stratégie de serveur entrant DNS Cloud, ou vous pouvez configurer des serveurs de noms sur site. Par exemple, vous pouvez utiliser BIND ou DNS Microsoft Active Directory.

Par conséquent, la bonne réponse est:

1. Créez un tunnel VPN vers GCP en utilisant Cloud VPN ou Cloud Interconnect.2. Utilisez Cloud Router pour créer une publicité d’itinéraire personnalisée pour199.36.153.4/30. Annoncez ce réseau à votre réseau local via un tunnel VPN.3. Configurez un enregistrement CNAME sur votre serveur DNS local pour résoudre tout le trafic*.googleapis.comenrestricted.googleapis.com.

L’option suivante est incorrecte car votre entreprise ne vous permet pas de fournir une adresse IP publique pour votre centre de données sur site. De plus, vous devez toujours établir un tunnel VPN pour connecter votre réseau local au Cloud Google en privé, ce qui n’est pas mentionné dans cette option:

1. Émettez la commandenslookupsur votre ligne de commande pour obtenir l’adresse IP destorage.googleapis.com.2. Discutez avec l’équipe de sécurité des raisons pour lesquelles vous devez disposer d’une adresse IP publique pour les serveurs.3. Autorisez explicitement le trafic de sortie de vos serveurs à l’adresse IPstorage.googleapis.com.

L’option suivante est incorrecte car l’utilisation d’un serveur proxy Squid expose votre réseau au public via l’instance de Compute Engine. Vous devez vous connecter au stockage en nuage en privé afin que cette option ne réponde pas à l’exigence :

1. Créez un tunnel VPN se connectant à un VPC en mode personnalisé dans la plate-forme Google Cloud à l’aide du VPN Cloud.2. Créez une instance de moteur de calcul et installez le serveur proxy Squid. Utilisez le VPC en mode personnalisé comme emplacement.3. Configurez vos serveurs sur site pour utiliser la nouvelle instance en tant que proxy pour accéder au compartiment de stockage en nuage.

L’option suivante est incorrecte car vous n’avez pas besoin de migrer votre serveur local existant vers Google Cloud. Il est indiqué dans le scénario que vous avez besoin que votre application sur site se connecte au stockage en nuage en privé, donc l’utilisation de Migrate for Compute Engine est inappropriée pour ce scénario:

1. Migrez votre serveur sur site à l’aide deMigrate for Compute Engine2. Provisionnez un équilibreur de charge interne (ILB) qui utilisestorage.googleapis.comcomme backend.3. Configurez les nouvelles instances pour utiliser l’ILB comme proxy pour se connecter au stockage en nuage.

https://cloud.google.com/vpc/docs/configure-private-google-access-hybrid
https://cloud.google.com/vpc-service-controls/docs/private-connectivity
https://cloud.google.com/network-connectivity/docs/router/how-to/advertising-custom-ip

Remarque : Cette question a été extraite de nos examens de pratique Google Certified Associate Cloud Engineer.

Pour plus de questions d’examen pratique Google Cloud avec des explications détaillées, consultez le portail Tutoriels Dojo:

Référence:
https://cloud.google.com/network-connectivity/docs/router/concepts/overview

Passez vos certifications AWS, Azure et Google Cloud avec les Tutoriels Dojo Portal

Nos Examens de Pratique des Architectes Certifiés AWS Les plus vendus

Inscrivez-vous maintenant – Nos Examens de Pratique AWS avec un Taux de Réussite de 95%

Cours GRATUIT AWS Cloud Practitioner Essentials!

Inscrivez–Vous Maintenant – Nos Examinateurs d’Examen de Certification Azure

Inscrivez-vous maintenant – Nos Examinateurs d’Examen de Certification Google Cloud

Tutoriels Guide d’Étude d’Examen Dojo eBooks

Abonnez-vous à notre Chaîne YouTube

Introduction GRATUITE au Cloud Computing pour les Débutants

Échantillonneurs de tests pratiques AWS, Azure, GCP GRATUITS

Parcourir d’autres cours

Articles récents

  • Démarrer avec SageMaker Ground Truth Private Workforce
  • AWS Transfer Family
  • Traitement et transformation évolutifs des données à l’aide de SageMaker Traitement (partie 2 de 2)

Leave a Reply