Google Cloud Router
- Cloud Router Er en fullt distribuert Og administrert Google Cloud-tjeneste som hjelper deg med å definere tilpassede dynamiske ruter og skalaer med nettverkstrafikken din.
Funksjoner
- det fungerer med både eldre nettverk og Virtual Private Cloud (VPC) nettverk.
- Cloud Router bruker Border Gateway Protocol (Bgp) for å utveksle ruter mellom Virtual Private Cloud (VPC) – nettverket og det lokale nettverket.
- Bruk Av Cloud Router er nødvendig eller anbefalt i følgende tilfeller:
- Kreves For Cloud NAT
- Kreves For Cloud Interconnect og HA VPN
- et anbefalt konfigurasjonsalternativ For Klassisk VPN
- når Du utvider det lokale nettverket til Google Cloud, kan du bruke Nettskyruteren til å utveksle ruter mellom Google Cloud networks og det lokale nettverket dynamisk.
- cloud Router likestilles med DEN LOKALE VPN-gatewayen eller ruteren. Rutere utveksle topologi informasjon GJENNOM BGP.
Ruteannonser
- Gjennom Bgp annonserer Cloud Router IP-adressene Til Google-ressurser som klienter i ditt lokale nettverk kan nå. Det lokale nettverket sender deretter pakker til VPC-nettverket som har en mål-IP-adresse som samsvarer med et annonsert IP-område. Etter At DU har nådd Google Cloud, bestemmer BRANNMURREGLENE og rutene for vpc-nettverket Hvordan google Cloud ruter pakkene.
- Standard Rute Annonse – Cloud Router annonserer subnett i sin region for regional dynamisk ruting eller alle subnett i et VPC-nettverk for global dynamisk ruting.
- Tilpasset Ruteannonse – du angir eksplisitt rutene Som En Skyruter annonserer til det lokale nettverket.
Validere Din Kunnskap
Spørsmål 1
du er vert for et webprogram i ditt lokale datasenter som må hente filer fra En sky Lagring bøtte. Imidlertid implementerer firmaet strengt sikkerhetspolicyer som forbyr dine servere fra å ha en offentlig IP-adresse eller å ha tilgang til Internett. Du vil følge google-anbefalte fremgangsmåter for å gi webapplikasjonen din den nødvendige tilgangen til Skylagring.Hva bør du gjøre?
- A. Issue
nslookupkommando på kommandolinjen for å få IP-adressen forstorage.googleapis.com.
B. Diskuter med sikkerhetsteamet hvorfor du må ha en offentlig IP-adresse for serverne.
c. Tillat eksplisitt utgående trafikk fra serverne dine til IP-adressenstorage.googleapis.com. - a. Opprett EN VPN-tunnel som kobler TIL en EGENDEFINERT MODUS VPC i Google Cloud Platform ved Hjelp Av Cloud VPN.
B. Opprett En Forekomst Av Databehandlingsmotor og installer Squid Proxy-Serveren. Bruk egendefinert MODUS VPC som plassering.
c. Konfigurer lokale servere til å bruke den nye forekomsten som en proxy for å få tilgang Til sky Lagring bøtte. - A. Overfør den lokale serveren ved hjelp av
Migrate for Compute Engine(tidligere Kjent Som Velostrata).
B. Klargjør en intern belastningsfordeling (ILB) som brukerstorage.googleapis.comsom en backend.
c. Sett opp de nye instansene for Å bruke ILB som en proxy for å koble Til Skylagringen. - A. Opprett EN VPN-tunnel TIL GCP ved Hjelp Av Cloud VPN eller Cloud Interconnect.
b. Bruk Cloud Router til å opprette en tilpasset ruteannonse for199.36.153.4/30. Kunngjør det nettverket til ditt lokale nettverk via VPN tunnel.
c. Konfigurer DNS-serveren i det lokale nettverket for å løse*.googleapis.comsom EN CNAME til restricted.googleapis.com.
Vis meg svaret!
Riktig Svar: 4
Privat Google Access for lokale verter krever at du sender tjenester til ett av følgende spesielle domener. Det spesielle domenet du velger, bestemmer hvilke tjenester du har tilgang til:
private.googleapis.com (199.36.153.8 / 30) gir tilgang til De Fleste Google-Api-Er og-tjenester, inkludert Sky-Og Utvikler-Api-Er som støtter Vpc-Tjenestekontroller og De Som ikke støtter Vpc-Tjenestekontroller. VPC – Tjenestekontroller håndheves når du konfigurerer en tjeneste perimeter.restricted.googleapis.com (199.36.153.4 / 30) gir bare tilgang Til Sky-Og Utvikler-Api-er som støtter Vpc-Tjenestekontroller. VPC – Tjenestekontroller håndheves for disse tjenestene hvis du har konfigurert en tjenesteomkrets. Det er forbudt å få tilgang Til Google API eller-tjenester som ikke støtter Vpc-Tjenestekontroller.
for at lokale verter skal kunne nå begrensede Google API-tjenester, må forespørsler til Google Api-er sendes via ET VPC-nettverk, enten via EN Cloud VPN-tunnel eller Cloud Interconnect-tilkobling.
i begge tilfeller må alle forespørsler Til Google Api-Er og tjenester sendes til EN virtuell IP-adresse (VIP) range 199.36.153.4/30 (restricted.googleapis.com). IP-adresseområdet er ikke annonsert Til Internett. Trafikk som sendes TIL VIP, forblir bare Innenfor Googles nettverk.
Ruter i det lokale nettverket må konfigureres til å dirigere trafikk FOR IP-adresseområdene som brukes av private.googleapis.com eller restricted.googleapis.com domener til neste hop Cloud VPN tunneler eller Cloud Interconnect vedlegg (Vlan) som kobler TIL VPC-nettverket.
Du kan bruke Tilpassede Ruteannonser For Nettskyen Til å annonsere ruter for følgende destinasjoner:
199.36.153.8/30– hvis du velger private.googleapis.com199.36.153.4/30– hvis du velger begrenset.googleapis.com
det lokale nettverket må ha DNS-soner og poster konfigurert slik At Google-domenenavn løses til settet MED IP-adresser for begge private.googleapis.com eller restricted.googleapis.com. du kan opprette Dns-administrerte private soner I Skyen og bruke En dns-innkommende serverpolicy I Skyen, eller du kan konfigurere lokale navnetjenere. DU kan for eksempel BRUKE BIND Eller Microsoft Active Directory DNS.
derfor er det riktige svaret:
1. Opprett EN VPN-tunnel TIL GCP ved Hjelp Av Cloud VPN eller Cloud Interconnect.2. Bruk Cloud Router til å opprette en tilpasset ruteannonse for199.36.153.4/30. Kunngjør det nettverket til ditt lokale nettverk via VPN tunnel.3. Konfigurer EN CNAME-post på DEN LOKALE DNS-serveren for å løse all trafikk
*.googleapis.comtilrestricted.googleapis.com.
følgende alternativ er feil fordi firmaet ikke tillater deg å klargjøre en offentlig IP-adresse for det lokale datasenteret. Videre må du fortsatt etablere EN VPN-tunnel for å koble ditt lokale nettverk til Google Cloud privat, som ikke er nevnt i dette alternativet:
1. Issuenslookupkommando på kommandolinjen for å få IP-adressen forstorage.googleapis.com.2. Diskuter med sikkerhetsteamet hvorfor du må ha en offentlig IP-adresse for serverne.3. Tillat eksplisitt utgående trafikk fra serverne dine til IP-adressenstorage.googleapis.com.
følgende alternativ er feil fordi bruk Av En Squid Proxy-server eksponerer nettverket for publikum gjennom Compute Engine-forekomsten. Du må koble Til Skylagring privat, slik at dette alternativet ikke oppfyller kravet:
1. Opprett EN VPN-tunnel som kobler TIL en EGENDEFINERT MODUS VPC i Google Cloud Platform ved Hjelp Av Cloud VPN.2. Opprett En Compute Engine-forekomst og installer Squid Proxy-Serveren. Bruk egendefinert MODUS VPC som plassering.3. Konfigurer lokale servere til å bruke den nye forekomsten som en proxy for å få tilgang Til sky Lagring bøtte.
følgende alternativ er feil fordi du ikke trenger å overføre den eksisterende lokale serveren Til Google Cloud. Det står i scenariet at du trenger ditt lokale program for å koble til Skylagring privat, så bruk av Migrate for Compute Engine er upassende for dette scenariet:
1. Overfør den lokale serveren medMigrate for Compute Engine2. Klargjør en intern belastningsfordeling (ILB) som brukerstorage.googleapis.comsom en backend.3. Konfigurer de nye forekomstene for Å bruke ILB som en proxy for å koble Til Skylagringen.
https://cloud.google.com/vpc/docs/configure-private-google-access-hybrid
https://cloud.google.com/vpc-service-controls/docs/private-connectivity
https://cloud.google.com/network-connectivity/docs/router/how-to/advertising-custom-ip
Merk: dette spørsmålet ble hentet fra Våre Google Certified Associate Cloud Engineer Praksis Eksamener.
For Mer Google Cloud praksis eksamensspørsmål med detaljerte forklaringer, sjekk Ut Tutorials Dojo Portal:
Referanse:
https://cloud.google.com/network-connectivity/docs/router/concepts/overview
Leave a Reply