Google Cloud Router
- Cloud Routerは、ネットワークトラフィックでカスタムの動的ルートとスケールを定義するのに役立つ、完全に分散および管理されたGoogleクラ
特長
- 従来のネットワークと仮想プライベートクラウド(VPC)ネットワークの両方で動作します。
- Cloud Routerは、Border Gateway Protocol(BGP)を使用して、仮想プライベートクラウド(VPC)ネットワークとオンプレミスネットワーク間のルートを交換します。
- 以下の場合は、Cloud Routerの使用が必要または推奨されます:
- クラウドNATに必要
- クラウド相互接続およびHA VPNに必要
- クラシックVPNに推奨される設定オプション
- オンプレミスネットワークをGoogle Cloudに拡張する場合は、Cloud Routerを使用して、Google Cloudネットワークとオンプレミスネットワーク間のルートを動的に交換します。
- Cloud Routerは、オンプレミスのVPNゲートウェイまたはルーターとピアします。 ルータはBGPを介してトポロジ情報を交換します。
ルート広告
- BGPを介して、Cloud Routerはオンプレミスネットワーク内のクライアントが到達できるGoogleリソースのIPアドレスを広告します。 オンプレミスネットワークは、アドバタイズされたIP範囲と一致する宛先IPアドレスを持つパケットをVPCネットワークに送信します。 Google Cloudに到達した後、VPCネットワークのファイアウォールルールとルートによって、google Cloudがパケットをルーティングする方法が決まります。
- Default Route Advertisement–Cloud Routerは、そのリージョン内のサブネットをリージョナルダイナミックルーティング用にアドバタイズし、vpcネットワーク内のすべてのサブネットをグロー
- カスタムルート提供情報–クラウドルーターがオンプレミスネットワークにアドバタイズするルートを明示的に指定します。
知識の検証
質問1
クラウドストレージバケットからファイルを取得する必要があるオンプレミスのデータセンターでwebアプリケーションをホス ただし、ベアメタルサーバーがパブリックIPアドレスを持ったり、インターネットにアクセスしたりすることを禁止するセキュリテ Webアプリケーションにクラウドストレージへの必要なアクセスを提供するために、Googleが推奨する慣行に従あなたは何をすべきですか?
- a.コマンドラインで
nslookupコマンドを発行してstorage.googleapis.comのIPアドレスを取得します。
b.サーバーのパブリックIPアドレスが必要な理由をセキュリティチームと話し合う。
c.サーバーからstorage.googleapis.comのIPアドレスへの出力トラフィックを明示的に許可します。 - Cloud VPNを使用して、google Cloud PlatformのカスタムモードVPCに接続するVPNトンネルを作成します。
B.Compute Engineインスタンスを作成し、Squidプロキシサーバーをインストールします。 場所としてカスタムモードVPCを使用します。
C.新しいインスタンスをプロキシとして使用してクラウドストレージバケットにアクセスするようにオンプレミスサーバーを構成します。 - a.
Migrate for Compute Engine(以前はVelostrataとして知られていました)を使用してオンプレミスサーバーを移行します。
b.storage.googleapis.comをバックエンドとして使用する内部ロードバランサー(ILB)をプロビジョニングします。
C.クラウドストレージに接続するためのプロキシとしてILBを使用するように新しいインスタンスを設定します。 - A.Cloud VPNまたはCloud Interconnectを使用してGCPへのVPNトンネルを作成します。
B.Cloud Routerを使用して199.36.153.4/30のカスタムルート提供情報を作成します。 VPNトンネルを介してオンプレミスネットワークにそのネットワークを発表します。
c.オンプレミスネットワークで*.googleapis.comをCNAMEとして解決するようにDNSサーバーを構成します。restricted.googleapis.com.
答えを見せてくれ!
正解:4
オンプレミスホストのプライベートGoogleアクセスでは、次の特別なドメインのいずれかにサービスを送信する必要があります。 選択した特別なドメインは、アクセスできるサービスを決定します:
private.googleapis.com (199.36.153.8/30)VPCサービスコントロールをサポートするクラウドApiや開発者Api、VPCサービスコントロールをサポートしないApiなど、ほとんどのGoogle Apiやサービスへのアクセ VPCサービス制御は、サービスを設定するときに適用されますperimeter.restricted.googleapis.com (199.36.153.4/30)VPCサービス制御をサポートするクラウドApiおよび開発者Apiへのアクセスのみを提供します。 Vpcサービスコントロールは、サービス境界を設定している場合は、これらのサービスに対して適用されます。 VPCサービス制御をサポートしていないGoogle APIまたはサービスへのアクセスは禁止されています。
オンプレミスホストが制限されたGoogle APIサービスに到達するには、Google Apiへのリクエストは、Cloud VPNトンネルまたはCloud Interconnect接続のいずれかを介してVPCネットワー
どちらの場合も、Google Apiおよびサービスへのすべての要求は、仮想IPアドレス(VIP)範囲199.36.153.4/30(VIP)に送信する必要があります。restricted.googleapis.com IPアドレスの範囲は、インターネットには通知されません。 VIPに送信されたトラフィックは、Googleのネットワーク内にのみ残ります。オンプレミスネットワーク内の
ルートは、オンプレミスネットワークで使用されるIPアドレス範囲のトラフィックを送信するように構成する必要があprivate.googleapis.com またはrestricted.googleapis.com vpcネットワークに接続するnext hop Cloud VPNトンネルまたはCloud Interconnect attachments(Vlan)へのドメイン。
Cloud Routerカスタムルート通知を使用して、次の宛先のルートを通知できます。
199.36.153.8/30–選択した場合private.googleapis.com199.36.153.4/30-制限を選択した場合。グーグルアピス…com
オンプレミスネットワークには、GOOGLEドメイン名が次のいずれかのIPアドレスのセットに解決されるようにDNSゾーンとレコードが構成されている必private.googleapis.com またはrestricted.googleapis.comクラウドDNS管理のプライベートゾーンを作成し、クラウドDNS受信サーバーポリシーを使用することも、オンプレミスのネームサーバーを構成することもできます。 たとえば、BINDまたはMicrosoft Active Directory DNSを使用できます。
したがって、正解は
1です。 Cloud VPNまたはCloud Interconnectを使用してGCPへのVPNトンネルを作成します。2. Cloud Routerを使用して、199.36.153.4/30のカスタムルート提供情報を作成します。 VPNトンネルを介してオンプレミスネットワークにそのネットワークを発表します。3. すべての*.googleapis.comトラフィックをrestricted.googleapis.comに解決するように、オンプレミスDNSサーバー上のCNAMEレコードを構成します。
オンプレミスのデータセンターのパブリックIPアドレスをプロビジョニングできないため、次のオプションが正しくありません。 さらに、オンプレミスネットワークをgoogleクラウドに個人的に接続するには、VPNトンネルを確立する必要がありますが、このオプションには記載されていません。
1。 コマンドラインでnslookupコマンドを発行して、storage.googleapis.comのIPアドレスを取得します。2. サーバーのパブリックIPアドレスが必要な理由について、セキュリティチームと話し合ってください。3. サーバーからstorage.googleapis.comのIPアドレスへの出力トラフィックを明示的に許可します。
Squidプロキシサーバーを使用すると、Compute Engineインスタンスを介してネットワークが公開されるため、次のオプションが正しくありません。 このオプションが要件を満たさないため、Cloud Storageに個人的に接続する必要があります。
1. Cloud VPNを使用して、google Cloud PlatformのカスタムモードVPCに接続するVPNトンネルを作成します。2. Compute Engineインスタンスを作成し、Squidプロキシサーバーをインストールします。 場所としてカスタムモードVPCを使用します。3. 新しいインスタンスをプロキシとして使用してクラウドストレージバケットにアクセスするようにオンプレミスサーバーを構成します。
次のオプションは、既存のオンプレミスサーバーをGoogle Cloudに移行する必要がないため、正しくありません。 シナリオでは、オンプレミスアプリケーションがクラウドストレージに個人的に接続する必要があるため、Migrate for Compute Engineを使用することはこのシナリオでは不適切であると記載されています。
1。Migrate for Compute Engineを使用してオンプレミスサーバーを移行する2. バックエンドとしてstorage.googleapis.comを使用する内部ロードバランサー(ILB)をプロビジョニングします。3. ILBをプロキシとして使用してクラウドストレージに接続するように新しいインスタンスを設定します。
https://cloud.google.com/vpc/docs/configure-private-google-access-hybrid
https://cloud.google.com/vpc-service-controls/docs/private-connectivity
https://cloud.google.com/network-connectivity/docs/router/how-to/advertising-custom-ip
注:この質問は、Google Certified Associate Cloud Engineer模擬試験から抽出されました。
詳細な説明を含むGoogle Cloud模擬試験の質問については、チュートリアルDojoポータルをチェックしてください。
リファレンス:
https://cloud.google.com/network-connectivity/docs/router/concepts/overview
Leave a Reply