Google Cloud Router
- Cloud Router is een volledig gedistribueerde en beheerde Google Cloud service die u helpt bij het definiëren van aangepaste dynamische routes en schalen met uw netwerkverkeer.
Features
- het werkt met zowel oudere netwerken als VPC-netwerken (Virtual Private Cloud).
- Cloud Router gebruikt Border Gateway Protocol (BGP) om routes uit te wisselen tussen uw Virtual Private Cloud (VPC) netwerk en uw on-premises netwerk.
- het gebruik van Cloud Router is vereist of aanbevolen in de volgende gevallen:
- vereist voor Cloud NAT
- vereist voor Cloud Interconnect en HA VPN
- een aanbevolen configuratie-optie voor klassieke VPN
- wanneer u uw on-premise netwerk uitbreidt naar Google Cloud, gebruikt u de Cloud Router om dynamisch routes uit te wisselen tussen uw Google Cloud-netwerken en uw on-premise netwerk.
- Cloud Router peers met uw on-premises VPN gateway of router. De routers wisselen topologische informatie uit via BGP.
Routeadvertenties
- via BGP adverteert Cloud Router de IP-adressen van Google-bronnen die klanten in uw lokale netwerk kunnen bereiken. Uw on-premises netwerk verzendt vervolgens Pakketten naar uw VPC-netwerk met een bestemmingsip-adres dat overeenkomt met een geadverteerd IP-bereik. Na het bereiken van Google Cloud bepalen de firewallregels en routes van uw VPC-netwerk hoe Google Cloud de pakketten routeert.
- standaard Routeadvertentie-Cloud Router adverteert subnetten in zijn Regio voor regionale dynamische routering of alle subnetten in een VPC-netwerk voor wereldwijde dynamische routering.
- aangepaste Routeadvertentie – u specificeert expliciet de routes die een Cloudrouter adverteert op uw on-premises netwerk.
Valideer uw kennis
Vraag 1
u Host een webtoepassing in uw datacenter dat bestanden moet ophalen uit een Cloud Storage bucket. Echter, uw bedrijf strikt implementeert beveiligingsbeleid dat uw bare-metal servers te verbieden van het hebben van een openbaar IP-adres of het hebben van toegang tot het Internet. U wilt de door Google aanbevolen praktijken volgen om uw webapplicatie de nodige toegang tot cloudopslag te bieden.Wat moet je doen?
- a. geef
nslookup
opdracht op uw opdrachtregel om het IP-adres voorstorage.googleapis.com
te verkrijgen.
B. bespreek met het beveiligingsteam waarom u een openbaar IP-adres voor de servers nodig hebt.
c. laat expliciet uitgaand verkeer van uw servers naar het IP-adres vanstorage.googleapis.com
toe. - a. Maak een VPN-tunnel die verbinding maakt met een aangepaste VPC in het Google Cloud-Platform met behulp van Cloud VPN.
b. Maak een Compute Engine-instantie aan en installeer de Squid-proxyserver. Gebruik de custom-mode VPC als locatie.
C. configureer uw on-premises servers om de nieuwe instantie te gebruiken als een proxy om toegang te krijgen tot de Cloud Storage bucket. - a. migreer uw server op locatie met
Migrate for Compute Engine
(voorheen bekend als Velostrata).
B. voorziening een interne load balancer (ILB) diestorage.googleapis.com
als backend gebruikt.
c. stel de nieuwe instanties in om de ILB te gebruiken als proxy om verbinding te maken met de cloudopslag. - A. Maak een VPN-tunnel naar GCP met behulp van Cloud VPN of Cloud Interconnect.
B. Gebruik Cloud Router om een aangepaste route-advertentie te maken voor199.36.153.4/30
. Kondig dat netwerk aan op uw on-premises netwerk via VPN tunnel.
C. Configureer de DNS-server in uw on-premises netwerk om*.googleapis.com
op te lossen als een CNAME naar restricted.googleapis.com.
laat me het antwoord zien!
Correct antwoord: 4
Private Google Access for on-premises hosts vereist dat u services direct naar een van de volgende speciale domeinen. Het speciale domein dat u kiest bepaalt welke services u kunt openen:
private.googleapis.com (199.36.153.8/30) biedt toegang tot de meeste API ‘s en services van Google, waaronder API’ s voor Cloud-en ontwikkelaars die VPC-Servicebesturingen ondersteunen en API ‘ s die geen VPC-Servicebesturingen ondersteunen. VPC-Servicebesturingen worden afgedwongen wanneer u een service configureert perimeter.restricted.googleapis.com (199.36.153.4/30) biedt alleen toegang tot Cloud-en ontwikkelaar API ‘ s die VPC-Servicebesturingen ondersteunen. VPC-Servicebesturingselementen worden afgedwongen voor deze services als u een serviceperimeter hebt geconfigureerd. Toegang tot een Google-API of-service die geen ondersteuning biedt voor VPC-Servicebesturingen is verboden.
als hosts op locatie beperkte Google API-services willen bereiken, moeten verzoeken aan Google API ‘ s worden verzonden via een VPC-netwerk, hetzij via een Cloud VPN-tunnel of een Cloudinterconnectverbinding.
in beide gevallen moeten alle verzoeken aan Google API ‘ s en services worden verzonden naar een virtueel IP-adres (VIP) range 199.36.153.4/30 (restricted.googleapis.com). het IP-adresbereik wordt niet aangekondigd op het Internet. Verkeer verzonden naar de VIP blijft binnen het netwerk van Google alleen.
Routes in uw on-premises netwerk moeten worden geconfigureerd om het verkeer te sturen voor de IP-adresbereiken die worden gebruikt door de private.googleapis.com of restricted.googleapis.com domeinen naar de volgende hop Cloud VPN-tunnels of Cloud Interconnect attachments (VLAN ‘ s) die verbinding maken met uw VPC-netwerk.
u kunt aangepaste Routeadvertenties in de Cloud Router gebruiken om routes voor de volgende bestemmingen aan te kondigen:
199.36.153.8/30
– als u kiest private.googleapis.com199.36.153.4/30
– als u beperkt kiest.googleapis.com
uw on-premises netwerk moet DNS-zones en records hebben geconfigureerd zodat Google-domeinnamen omzetten naar de set IP-adressen voor beide private.googleapis.com of restricted.googleapis.com.u kunt door DNS beheerde privézones in de Cloud maken en een beleid voor binnenkomende DNS-servers in de Cloud gebruiken, of u kunt On-premises nameservers configureren. U kunt bijvoorbeeld BIND of Microsoft Active Directory DNS gebruiken.
daarom is het juiste antwoord:
1. Maak een VPN-tunnel naar GCP met behulp van Cloud VPN of Cloud Interconnect.2. Gebruik Cloud Router om een aangepaste routeadvertentie voor
199.36.153.4/30
te maken. Kondig dat netwerk aan op uw on-premises netwerk via VPN tunnel.3. Configureer een CNAME record op uw on-premises DNS server om al het*.googleapis.com
verkeer op te lossen naarrestricted.googleapis.com
.
de volgende optie is onjuist omdat uw bedrijf u niet toestaat om een openbaar IP-adres voor uw on-premise datacenter te verstrekken. Bovendien moet u nog steeds een VPN-tunnel opzetten om uw on-premises netwerk privé te verbinden met de Google Cloud, wat niet wordt vermeld in deze optie:
1. Voer het commandonslookup
uit op de commandoregel om het IP-adres vanstorage.googleapis.com
te verkrijgen.2. Bespreek met het beveiligingsteam waarom u een openbaar IP-adres voor de servers moet hebben.3. Laat expliciet uitgaand verkeer van uw servers naar het IP-adres vanstorage.googleapis.com
toe.
de volgende optie is onjuist omdat het gebruik van een Squid-proxyserver uw netwerk blootstelt aan het publiek via de Compute Engine-instantie. U moet privé verbinding maken met cloudopslag zodat deze optie niet voldoet aan de eis:
1. Maak een VPN-tunnel die verbinding maakt met een aangepaste VPC in het Google Cloud-Platform met behulp van Cloud VPN.2. Maak een Compute Engine instance en installeer de Squid Proxy Server. Gebruik de custom-mode VPC als locatie.3. Configureer uw on-premises servers om de nieuwe instantie te gebruiken als een proxy om toegang te krijgen tot de Cloud Storage bucket.
de volgende optie is onjuist omdat u uw bestaande server niet naar Google Cloud hoeft te migreren. In het scenario staat dat u uw on-premise applicatie nodig hebt om privé verbinding te maken met cloudopslag, dus het gebruik van Migrate for Compute Engine
is niet geschikt voor dit scenario:
1. Migreer uw server op locatie metMigrate for Compute Engine
2. Verschaf een interne load balancer (ILB) diestorage.googleapis.com
als backend gebruikt.3. Stel de nieuwe instanties in om de ILB te gebruiken als een proxy om verbinding te maken met de cloudopslag.
https://cloud.google.com/vpc/docs/configure-private-google-access-hybrid
https://cloud.google.com/vpc-service-controls/docs/private-connectivity
https://cloud.google.com/network-connectivity/docs/router/how-to/advertising-custom-ip
Opmerking: deze vraag is afkomstig uit onze Google Certified Associate Cloud Engineer praktijkexamens.
voor meer Google Cloud practice examenvragen met gedetailleerde uitleg, kijk op de Tutorials Dojo Portal:
referentie:
https://cloud.google.com/network-connectivity/docs/router/concepts/overview
slaag voor uw AWS -, Azure-en Google Cloud-certificaten met de Tutorials Dojo-Portal
onze bestseller AWS Certified Solutions Architect Associate Practice-examens
schrijf u nu in-onze AWS Practice-examens met 95% Passeringspercentage
gratis AWS Cloud Practitioner Essentials cursus!
Inschrijven Nu – Onze Azure Examen Reviewers
Inschrijven Nu – Onze Google Cloud Certificering Examen Reviewers
Tutorials Dojo Examen studiegids eBooks
Abonneren op ons YouTube-Kanaal
GRATIS Intro van Cloud Computing voor Beginners
GRATIS AWS, Azure, GCP Praktijk Test Samplers
Bladeren in Andere Cursussen
Laatste Berichten
- Aan de Slag met SageMaker Grond Waarheid Eigen Personeelsbestand
- AWS Transfer Familie
- Schaalbare Data-Verwerking en Transformatie met behulp van SageMaker Verwerking (Deel 2 van 2)
Leave a Reply