Google Cloud Router

  • Cloud Router è un servizio Cloud Google completamente distribuito e gestito che consente di definire percorsi dinamici personalizzati e scale con il traffico di rete.

Caratteristiche

  • Funziona sia con reti legacy che con reti VPC (Virtual Private Cloud).
  • Cloud Router utilizza Border Gateway Protocol (BGP) per scambiare percorsi tra la rete VPC (Virtual Private Cloud) e la rete locale.
  • L’utilizzo di Cloud Router è richiesto o consigliato nei seguenti casi:
    • Richiesto per Cloud NAT
    • Richiesto per Cloud Interconnect e HA VPN
    • Un’opzione di configurazione consigliata per Classic VPN
  • Quando estendi la rete locale a Google Cloud, utilizza Cloud Router per scambiare dinamicamente i percorsi tra le reti Google Cloud e la rete locale.
  • Router cloud collega il gateway o il router VPN locale. I router scambiano informazioni sulla topologia tramite BGP.

Route advertisements

  • Tramite BGP, Cloud Router pubblicizza gli indirizzi IP delle risorse di Google che i client della tua rete locale possono raggiungere. La rete locale invia quindi pacchetti alla rete VPC con un indirizzo IP di destinazione corrispondente a un intervallo IP pubblicizzato. Dopo aver raggiunto Google Cloud, le regole e i percorsi del firewall della rete VPC determinano il modo in cui Google Cloud instrada i pacchetti.
  • Pubblicità Route predefinita-Cloud Router pubblicizza le sottoreti nella sua regione per il routing dinamico regionale o tutte le sottoreti in una rete VPC per il routing dinamico globale.
  • Pubblicità personalizzata del percorso: si specificano esplicitamente i percorsi che un router cloud pubblicizza sulla rete locale.

Convalida le tue conoscenze

Domanda 1

Stai ospitando un’applicazione Web nel tuo data center locale che deve recuperare i file da un bucket di archiviazione cloud. Tuttavia, la tua azienda implementa rigorosamente politiche di sicurezza che vietano ai tuoi server bare-metal di avere un indirizzo IP pubblico o di avere accesso a Internet. Si desidera seguire le pratiche consigliate da Google per fornire all’applicazione Web l’accesso necessario all’archiviazione cloud.Cosa dovresti fare?

  1. a. Emettere il comando nslookup sulla riga di comando per ottenere l’indirizzo IP per storage.googleapis.com.
    b. Discutere con il team di sicurezza perché è necessario disporre di un indirizzo IP pubblico per i server.
    c. Consentire esplicitamente il traffico in uscita dai server all’indirizzo IP di storage.googleapis.com.
  2. a. Crea un tunnel VPN collegandoti a un VPC in modalità personalizzata nella piattaforma Cloud di Google utilizzando Cloud VPN.
    b. Creare un’istanza di Compute Engine e installare il server proxy Squid. Utilizzare il VPC in modalità personalizzata come posizione.
    c. Configurare i server locali per utilizzare la nuova istanza come proxy per accedere al bucket di archiviazione cloud.
  3. a. Eseguire la migrazione del server locale utilizzando Migrate for Compute Engine (precedentemente noto come Velostrata).
    b. Eseguire il provisioning di un ILB (Internal Load balancer) che utilizza storage.googleapis.com come backend.
    c. Impostare le nuove istanze per utilizzare l’ILB come proxy per connettersi allo storage cloud.
  4. a. Creare un tunnel VPN per GCP utilizzando Cloud VPN o Cloud Interconnect.
    b. Utilizzare Cloud Router per creare un annuncio di percorso personalizzato per 199.36.153.4/30. Annuncia quella rete alla tua rete locale tramite tunnel VPN.
    c. Configurare il server DNS nella rete locale per risolvere *.googleapis.com come CNAME per restricted.googleapis.com.

Mostrami la risposta!

Risposta corretta: 4

L’accesso privato a Google per gli host locali richiede che tu diriga i servizi a uno dei seguenti domini speciali. Il dominio speciale scelto determina a quali servizi è possibile accedere:

private.googleapis.com (199.36.153.8/30) fornisce l’accesso alla maggior parte delle API e dei servizi di Google, incluse le API cloud e Developer che supportano i controlli dei servizi VPC e quelle che non supportano i controlli dei servizi VPC. I controlli del servizio VPC vengono applicati quando si configura un servizio perimeter.restricted.googleapis.com (199.36.153.4/30) fornisce solo l’accesso alle API cloud e Developer che supportano i controlli del servizio VPC. I controlli del servizio VPC vengono applicati per questi servizi se è stato configurato un perimetro di servizio. L’accesso a qualsiasi API o servizio di Google che non supporta i controlli del servizio VPC è vietato.

Affinché gli host locali raggiungano i servizi Google API limitati, le richieste alle API di Google devono essere inviate tramite una rete VPC, tramite un tunnel VPN cloud o una connessione di interconnessione cloud.

In entrambi i casi, tutte le richieste alle API e ai servizi di Google devono essere inviate a un indirizzo IP virtuale (VIP) intervallo 199.36.153.4/30 (restricted.googleapis.com). L’intervallo di indirizzi IP non viene annunciato a Internet. Il traffico inviato al VIP rimane solo all’interno della rete di Google.

Le rotte nella rete locale devono essere configurate per indirizzare il traffico per gli intervalli di indirizzi IP utilizzati private.googleapis.com oppure restricted.googleapis.com ai prossimi tunnel VPN hop Cloud o allegati di interconnessione cloud (VLAN) che si connettono alla rete VPC.

È possibile utilizzare Cloud Router Custom Route Advertisements per annunciare i percorsi per le seguenti destinazioni:

199.36.153.8/30– se si è scelto private.googleapis.comLa rete locale deve disporre di zone e record DNS configurati in modo che i nomi di dominio di Google vengano risolti nel set di indirizzi IP per private.googleapis.com oppure restricted.googleapis.com. È possibile creare zone private gestite da Cloud DNS e utilizzare un criterio server inbound DNS cloud oppure configurare server dei nomi locali. Ad esempio, è possibile utilizzare BIND o Microsoft Active Directory DNS.

Quindi, la risposta corretta è:

1. Creare un tunnel VPN per GCP utilizzando Cloud VPN o Cloud Interconnect.2. Utilizzare Cloud Router per creare un percorso personalizzato pubblicità per

199.36.153.4/30. Annuncia quella rete alla tua rete locale tramite tunnel VPN.3. Configurare un record CNAME sul server DNS locale per risolvere tutto il traffico*.googleapis.comsurestricted.googleapis.com.

L’opzione seguente non è corretta perché l’azienda non consente di fornire un indirizzo IP pubblico per il data center locale. Inoltre, è ancora necessario stabilire un tunnel VPN per collegare la rete locale a Google Cloud privatamente, che non è menzionato in questa opzione:

1. Emettere il comandonslookupsulla riga di comando per ottenere l’indirizzo IP perstorage.googleapis.com.2. Discutere con il team di sicurezza perché è necessario disporre di un indirizzo IP pubblico per i server.3. Consentire esplicitamente il traffico in uscita dai server all’indirizzo IP distorage.googleapis.com.

L’opzione seguente non è corretta perché l’utilizzo di un server proxy Squid espone la rete al pubblico tramite l’istanza di Compute Engine. È necessario connettersi al Cloud Storage privatamente, quindi questa opzione non soddisfa il requisito:

1. Crea un tunnel VPN collegandoti a un VPC in modalità personalizzata nella piattaforma Cloud di Google utilizzando Cloud VPN.2. Creare un’istanza di Compute Engine e installare il server proxy Squid. Utilizzare il VPC in modalità personalizzata come posizione.3. Configurare i server locali per utilizzare la nuova istanza come proxy per accedere al bucket di archiviazione cloud.

L’opzione seguente non è corretta perché non è necessario migrare il server locale esistente su Google Cloud. Nello scenario si afferma che è necessario che l’applicazione locale si connetta all’archiviazione cloud privatamente, quindi l’utilizzo di Migrate for Compute Engine non è appropriato per questo scenario:

1. Eseguire la migrazione del server locale utilizzandoMigrate for Compute Engine2. Eseguire il provisioning di un ILB (Internal Load balancer) che utilizzastorage.googleapis.comcome backend.3. Impostare le nuove istanze per utilizzare l’ILB come proxy per connettersi al Cloud Storage.

https://cloud.google.com/vpc/docs/configure-private-google-access-hybrid
https://cloud.google.com/vpc-service-controls/docs/private-connectivity
https://cloud.google.com/network-connectivity/docs/router/how-to/advertising-custom-ip

Nota: Questa domanda è stata estratta dai nostri esami di pratica Google Certified Associate Cloud Engineer.

Per ulteriori domande d’esame pratica Google Cloud con spiegazioni dettagliate, controllare il Tutorial Dojo Portal:

Riferimento:
https://cloud.google.com/network-connectivity/docs/router/concepts/overview

Passa le tue certificazioni AWS, Azure e Google Cloud con il portale Tutorial Dojo

Il nostro bestseller AWS Certified Solutions Architect Associate Practice Exams

Iscriviti ora – I nostri AWS Practice Exams con tasso di superamento del 95%

Corso GRATUITO AWS Cloud Practitioner Essentials!

iscriviti Ora – il Nostro Azzurro Esame di Certificazione Revisori

iscriviti Ora – il Nostro Google Cloud Esame di Certificazione Revisori

Tutorial Dojo Exam Study Guide ebook

Iscriviti al nostro Canale YouTube

GRATUITO di introduzione al Cloud Computing per i Principianti

FREE AWS, Azure, GCP Prova Pratica Campionatori

Sfoglia Altri Corsi

Post Recenti

  • iniziamo con SageMaker Verità a Terra Privata della forza lavoro
  • AWS Trasferire la Famiglia
  • Scalabile per l’Elaborazione Dati e la Trasformazione utilizzando SageMaker Elaborazione (Parte 2 di 2)

Leave a Reply