Google Cloud Router
- Cloud Router to w pełni rozproszona i zarządzana usługa Google Cloud, która pomaga definiować niestandardowe dynamiczne trasy i skalować je z ruchem sieciowym.
funkcje
- działa zarówno z sieciami starszymi, jak i z wirtualną chmurą prywatną (VPC).
- Cloud Router wykorzystuje protokół Border Gateway Protocol (BGP) do wymiany tras między siecią Virtual Private Cloud (VPC) a siecią lokalną.
- używanie routera w chmurze jest wymagane lub zalecane w następujących przypadkach:
- wymagane dla Cloud NAT
- wymagane dla Cloud Interconnect i HA VPN
- zalecana opcja konfiguracji dla klasycznego VPN
- gdy rozszerzasz sieć lokalną na Google Cloud, użyj Cloud Router do dynamicznej wymiany tras między sieciami Google Cloud a siecią lokalną.
- Router w chmurze współpracuje z lokalną bramą VPN lub routerem. Routery wymieniają informacje o topologii za pośrednictwem BGP.
reklamy trasy
- za pośrednictwem BGP Cloud Router reklamuje adresy IP zasobów Google, do których klienci w sieci lokalnej mogą dotrzeć. Sieć lokalna wysyła następnie pakiety do sieci VPC, które mają docelowy adres IP odpowiadający reklamowanemu zakresowi IP. Po dotarciu do Google Cloud reguły i trasy zapory sieci VPC określają sposób kierowania pakietów przez Google Cloud.
- domyślna Reklama trasy-Router w chmurze reklamuje podsieci w swoim regionie dla dynamicznego routingu regionalnego lub wszystkie podsieci w sieci VPC dla globalnego dynamicznego routingu.
- Niestandardowa Reklama trasy-wyraźnie określasz trasy, które Router w chmurze reklamuje w Twojej sieci lokalnej.
sprawdzaj swoją wiedzę
Pytanie 1
hostujesz aplikację internetową w lokalnym centrum danych, która musi pobierać pliki z zasobnika pamięci w chmurze. Jednak Twoja firma ściśle wdraża politykę bezpieczeństwa, która zabrania serwerom bare-metal posiadania publicznego adresu IP lub dostępu do Internetu. Chcesz postępować zgodnie z zalecanymi przez Google praktykami, aby zapewnić aplikacji internetowej niezbędny dostęp do magazynu w chmurze.Co powinieneś zrobić?
- a. wydaj polecenie
nslookup
w wierszu poleceń, aby uzyskać adres IP dlastorage.googleapis.com
.
B. Porozmawiaj z zespołem ds. bezpieczeństwa, dlaczego musisz mieć publiczny adres IP dla serwerów .
C. jawnie Zezwalaj na ruch wychodzący z serwerów na adres IPstorage.googleapis.com
. - a. Utwórz tunel VPN łączący się z niestandardowym trybem VPC w Google Cloud Platform przy użyciu Cloud VPN.
B. Utwórz instancję silnika obliczeniowego i zainstaluj serwer proxy Squid. Użyj trybu niestandardowego VPC jako lokalizacji.
C. Skonfiguruj lokalne serwery tak, aby używały nowej instancji jako serwera proxy w celu uzyskania dostępu do zasobnika pamięci masowej w chmurze. - a. Przenieś serwer lokalny za pomocą
Migrate for Compute Engine
(wcześniej znany jako Velostrata).
B. zapewnia wewnętrzny load balancer (ILB), który używastorage.googleapis.com
jako zaplecza.
C. Skonfiguruj nowe instancje, aby używały ILB jako serwera proxy do łączenia się z pamięcią masową w chmurze. - a. Utwórz tunel VPN do GCP za pomocą Cloud VPN lub Cloud Interconnect.
B. użyj routera w chmurze, aby utworzyć niestandardową reklamę trasy dla199.36.153.4/30
. Ogłoś tę sieć do sieci lokalnej za pośrednictwem tunelu VPN.
C. Skonfiguruj serwer DNS w sieci lokalnej, aby rozwiązać*.googleapis.com
jako CNAME restricted.googleapis.com.
Pokaż mi odpowiedź!
poprawna odpowiedź: 4
prywatny dostęp Google dla hostów lokalnych wymaga kierowania usług do jednej z następujących specjalnych domen. Wybrana przez ciebie specjalna domena określa, do których usług możesz uzyskać dostęp:
private.googleapis.com (199.36.153.8 / 30) zapewnia dostęp do większości interfejsów API i usług Google, w tym interfejsów API w chmurze i dla programistów obsługujących kontrolki usług VPC oraz tych, które nie obsługują kontrolek usług VPC. Kontrolki usługi VPC są wymuszane podczas konfigurowania usługi perimeter.restricted.googleapis.com (199.36.153.4 / 30) zapewnia dostęp tylko do interfejsów API w chmurze i dla programistów, które obsługują kontrolki usług VPC. Kontrolki usług VPC są egzekwowane dla tych usług, jeśli skonfigurowano Obwód usługi. Dostęp do dowolnego interfejsu API lub usługi Google, które nie obsługują kontroli usług VPC, jest zabroniony.
aby hosty lokalne mogły korzystać z ograniczonych usług Google API, żądania do interfejsów API Google muszą być wysyłane za pośrednictwem sieci VPC, albo przez tunel VPN w chmurze, albo połączenie w chmurze.
w obu przypadkach wszystkie żądania do interfejsów API i usług Google muszą być wysyłane na wirtualny adres IP (VIP) z zakresu 199.36.153.4 / 30 (restricted.googleapis.com). zakres adresów IP nie jest ogłaszany w Internecie. Ruch wysyłany do VIP pozostaje tylko w sieci Google.
trasy w sieci lokalnej muszą być skonfigurowane do kierowania ruchem dla zakresów adresów IP używanych przez private.googleapis.com lub restricted.googleapis.com domeny do następnego tuneli hop Cloud VPN lub łączy w chmurze załączniki (VLAN), które łączą się z Twoją siecią VPC.
możesz użyć reklam niestandardowych tras w chmurze routera, aby ogłosić trasy dla następujących miejsc docelowych:
199.36.153.4/30 – jeśli wybrałeś restricted.googleapis.com
Twoja sieć lokalna musi mieć strefy i rekordy DNS skonfigurowane tak, aby nazwy domen Google odpowiadały zestawowi adresów IP dla obu private.googleapis.com lub restricted.googleapis.com. możesz tworzyć strefy prywatne zarządzane przez chmurę DNS i korzystać z zasad serwera przychodzącego w chmurze DNS lub konfigurować lokalne serwery nazw. Na przykład można użyć BIND lub Microsoft Active Directory DNS.
stąd poprawna odpowiedź to:
1. Utwórz tunel VPN do GCP za pomocą Cloud VPN lub Cloud Interconnect.2. Użyj Cloud Router, aby utworzyć niestandardową reklamę trasy dla199.36.153.4/30
. Ogłoś tę sieć do sieci lokalnej za pośrednictwem tunelu VPN.3. Skonfiguruj rekord CNAME na lokalnym serwerze DNS, aby rozwiązać cały ruch
*.googleapis.com
dorestricted.googleapis.com
.
poniższa opcja jest nieprawidłowa, ponieważ Twoja firma nie zezwala na podanie publicznego adresu IP dla lokalnego centrum danych. Co więcej, nadal musisz utworzyć tunel VPN, aby połączyć swoją lokalną sieć z Google Cloud prywatnie, co nie jest wymienione w tej opcji:
1. Wydaj polecenienslookup
w wierszu poleceń, aby uzyskać adres IP dlastorage.googleapis.com
.2. Porozmawiaj z zespołem ds. bezpieczeństwa, dlaczego musisz mieć publiczny adres IP dla serwerów.3. Jawnie Zezwalaj na wysyłanie ruchu z serwerów na adres IPstorage.googleapis.com
.
poniższa opcja jest niepoprawna, ponieważ użycie serwera proxy Squid ujawnia Twoją sieć publicznie poprzez instancję silnika obliczeniowego. Musisz połączyć się z pamięcią masową w chmurze prywatnie, więc ta opcja nie spełnia wymogu:
1. Utwórz tunel VPN łączący się z niestandardowym trybem VPC w Google Cloud Platform przy użyciu Cloud VPN.2. Utwórz instancję silnika obliczeniowego i zainstaluj serwer proxy Squid. Użyj trybu niestandardowego VPC jako lokalizacji.3. Skonfiguruj lokalne serwery tak, aby używały nowej instancji jako serwera proxy w celu uzyskania dostępu do zasobnika pamięci masowej w chmurze.
Poniższa opcja jest nieprawidłowa, ponieważ nie musisz migrować istniejącego serwera lokalnego do Google Cloud. W scenariuszu podano, że potrzebujesz aplikacji lokalnej, aby połączyć się z pamięcią masową w chmurze prywatnie, więc użycie Migrate for Compute Engine
jest nieodpowiednie dla tego scenariusza:
1. Migracja serwera lokalnego przy użyciuMigrate for Compute Engine
2. Zapewnia wewnętrzny load balancer (ILB), który używastorage.googleapis.com
jako zaplecza.3. Skonfiguruj nowe instancje, aby używały ILB jako serwera proxy do łączenia się z pamięcią masową w chmurze.
https://cloud.google.com/vpc/docs/configure-private-google-access-hybrid
https://cloud.google.com/vpc-service-controls/docs/private-connectivity
https://cloud.google.com/network-connectivity/docs/router/how-to/advertising-custom-ip
uwaga: to pytanie zostało zaczerpnięte z naszych Google Certified Associate Cloud Engineer Practice Exams.
aby uzyskać więcej pytań dotyczących egzaminu praktycznego Google Cloud ze szczegółowymi wyjaśnieniami, sprawdź Portal Dojo Tutorials:
odniesienie:
https://cloud.google.com/network-connectivity/docs/router/concepts/overview
zdaj certyfikaty AWS, Azure i Google Cloud z samouczkami Dojo Portal
nasze bestsellerowe egzaminy AWS Certified Solutions Architect Associate Practice Practice Exams
Zapisz się teraz – nasze egzaminy AWS Practice Exams z 95% Wskaźnikiem zdań
darmowy kurs AWS Cloud Practitioner Essentials!
Zapisz się teraz – nasi Recenzenci egzaminów certyfikacyjnych Azure
Zapisz się teraz – nasi Recenzenci egzaminów certyfikacyjnych Google Cloud
samouczki Dojo Exam Study Guide ebooki
Zapisz się na nasz kanał YouTube
bezpłatne Wprowadzenie do Cloud Computing dla początkujących
darmowy test praktyczny AWS, Azure, GCP samplery
Przeglądaj inne kursy
Ostatnie posty
- pierwsze kroki z Sagemaker ground truth private Workforce
- AWS transfer family
- skalowalne przetwarzanie i transformacja danych za pomocą sagemaker Przetwarzanie (część 2 z 2)
Leave a Reply