Google Cloud Router
- Cloud Router é um serviço de nuvem do Google totalmente distribuído e gerenciado que ajuda a definir rotas dinâmicas personalizadas e escalas com o tráfego de rede.
recursos
- funciona com redes legadas e redes de nuvem privada Virtual (VPC).
- o Cloud Router utiliza o Border Gateway Protocol (BGP) para trocar rotas entre a sua rede Virtual Private Cloud (VPC) e a sua rede local.
- usar o Cloud Router é necessário ou recomendado nos seguintes casos:
- necessário para o Cloud NAT
- necessário para o Cloud Interconnect e o HA VPN
- uma opção de configuração recomendada para o Classic VPN
- ao estender sua rede local para o Google Cloud, use o Cloud Router para trocar rotas dinamicamente entre suas redes do Google Cloud e sua rede local.
- o Cloud Router combina com o seu gateway ou router VPN local. Os roteadores trocam informações de topologia por meio do BGP.
roteie anúncios
- por meio do BGP, o Cloud Router anuncia os endereços IP dos recursos do Google que os clientes em sua rede local podem alcançar. Sua rede local envia pacotes para sua rede VPC que possuem um endereço IP de destino correspondente a um intervalo de IP anunciado. Depois de chegar ao Google Cloud, as regras e rotas do firewall da sua rede VPC determinam como o Google Cloud roteia os pacotes.
- anúncio de rota padrão-o Cloud Router anuncia sub-redes em sua região para roteamento dinâmico regional ou todas as sub-redes em uma rede VPC para roteamento dinâmico global.
- custom Route Advertisement-você especifica explicitamente as rotas que um roteador em nuvem anuncia para sua rede local.
Valide seu conhecimento
Pergunta 1
você está hospedando um aplicativo da web em seu data center local que precisa buscar arquivos de um bucket de Armazenamento Em Nuvem. No entanto, sua empresa implementa estritamente Políticas de segurança que proíbem seus servidores bare-metal de ter um endereço IP público ou ter qualquer acesso à Internet. Você deseja seguir as práticas recomendadas pelo Google para fornecer ao seu aplicativo da web o acesso necessário ao armazenamento em nuvem.O que você deve fazer?
- A. Issue
nslookup
comando em sua linha de comando para obter o endereço IP parastorage.googleapis.com
.
B. discuta com a equipe de segurança por que você precisa ter um endereço IP público para os servidores.C. permitir explicitamente o tráfego de saída de seus servidores para o endereço IP destorage.googleapis.com
. - a. Crie um túnel VPN conectando-se a um VPC de modo personalizado na plataforma Google Cloud usando o Cloud VPN.B. crie uma instância do Compute Engine e instale o servidor Proxy Squid. Use o VPC de modo personalizado como local.C. Configure seus servidores locais para usar a nova instância como um proxy para acessar o bucket de Armazenamento Em Nuvem.
- A. migre seu servidor local usando
Migrate for Compute Engine
(anteriormente conhecido como Velostrata).
B. provisionar um balanceador de carga interno (ILB) que usastorage.googleapis.com
como back-end.
C. configure as novas instâncias para usar o ILB como um proxy para se conectar ao armazenamento em nuvem.Crie um túnel VPN para o GCP usando o Cloud VPN ou o Cloud Interconnect.
B. Use o Cloud Router para criar um anúncio de rota personalizado para199.36.153.4/30
. Anuncie essa rede para sua rede local via túnel VPN.
c. Configurar o servidor DNS em sua rede local para resolver*.googleapis.com
como um CNAME para restricted.googleapis.com.
Mostre-me a resposta!
resposta correta: 4
o acesso privado do Google para hosts locais exige que você direcione os serviços para um dos seguintes domínios especiais. O domínio especial que você escolher determina quais serviços você pode acessar:
private.googleapis.com (199.36.153.8/30) fornece acesso à maioria das APIs e serviços do Google, incluindo APIs de nuvem e desenvolvedor que suportam controles de serviço VPC e aqueles que não suportam controles de Serviço VPC. Os controles de serviço VPC são aplicados quando você configura um serviço perimeter.restricted.googleapis.com (199.36.153.4/30) fornece apenas acesso a APIs de nuvem e desenvolvedor que suportam controles de serviço VPC. Os controles de serviço VPC são aplicados para esses serviços se você configurou um perímetro de serviço. É proibido o acesso a qualquer API ou serviço do Google que não suporte controles de serviço VPC.Para que os hosts locais alcancem serviços restritos de API do Google, as solicitações às APIs do Google devem ser enviadas por meio de uma rede VPC, seja por meio de um túnel VPN em nuvem ou conexão de interconexão em nuvem.
Em ambos os casos, todos os pedidos para o Google APIs e serviços devem ser enviadas para um endereço IP virtual (VIP) intervalo 199.36.153.4/30 (restricted.googleapis.com). O intervalo de endereços IP não está anunciado para a Internet. O tráfego enviado para o VIP permanece apenas na rede do Google.
as rotas em sua rede local devem ser configuradas para direcionar o tráfego para os intervalos de endereços IP usados pelo private.googleapis.com ou restricted.googleapis.com domínios para os próximos túneis hop Cloud VPN ou anexos de interconexão em nuvem (VLANs) que se conectam à sua rede VPC.
você pode usar Anúncios de rotas personalizadas do Cloud Router para anunciar rotas para os seguintes destinos:
199.36.153.8/30
– se você escolher private.googleapis.com199.36.153.4/30
– se você escolheu Restrito.googleapis.com
Sua rede local deve ter zonas de DNS e registros configurado para que o Google resolver nomes de domínio para o conjunto de endereços IP para private.googleapis.com ou restricted.googleapis.com. Você pode criar Nuvem DNS-privada gerenciada e zonas de usar uma Nuvem de DNS servidor de entrada de política, ou você pode configurar o local de servidores de nomes. Por exemplo, você pode usar BIND ou DNS do Microsoft Active Directory.
portanto, a resposta correta é:
1. Crie um túnel VPN para o GCP usando o Cloud VPN ou o Cloud Interconnect.2. Use o Cloud Router para criar um anúncio de rota personalizado para
199.36.153.4/30
. Anuncie essa rede para sua rede local via túnel VPN.3. Configure um registro CNAME em seu servidor DNS local para resolver todo o tráfego*.googleapis.com
pararestricted.googleapis.com
.A seguinte opção está incorreta porque sua empresa não permite que você provisione um endereço IP público para seu data center local. Além disso, você ainda precisa estabelecer um túnel VPN para conectar sua rede local à nuvem do Google em particular, o que não é mencionado nesta opção: 1. Emita o comandonslookup
em sua linha de comando para obter o endereço IP parastorage.googleapis.com
.2. Discuta com a equipe de segurança por que você precisa ter um endereço IP público para os servidores.3. Permita explicitamente o tráfego de saída de seus servidores para o endereço IP destorage.googleapis.com
.
a seguinte opção está incorreta porque usar um servidor Proxy Squid expõe sua rede ao público por meio da instância do Compute Engine. Você precisa se conectar ao armazenamento em nuvem em particular para que esta opção não atenda aos requisitos:
1. Crie um túnel VPN conectando-se a um VPC de modo personalizado na plataforma Google Cloud usando o Cloud VPN.2. Crie uma instância do Compute Engine e instale o servidor Proxy Squid. Use o VPC de modo personalizado como local.3. Configure seus servidores locais para usar a nova instância como um proxy para acessar o bucket de Armazenamento Em Nuvem.
a seguinte opção está incorreta porque você não precisa migrar seu servidor local existente para o Google Cloud. É indicado no cenário que você precisa de seu aplicativo local para se conectar ao armazenamento em nuvem de forma privada, portanto, usar Migrate for Compute Engine
é inadequado para este cenário:
1. Migre seu servidor local usandoMigrate for Compute Engine
2. Provisionar um balanceador de carga interno (ILB) que usastorage.googleapis.com
como back-end.3. Configure as novas instâncias para usar o ILB como um proxy para se conectar ao armazenamento em nuvem.
https://cloud.google.com/vpc/docs/configure-private-google-access-hybrid
https://cloud.google.com/vpc-service-controls/docs/private-connectivity
https://cloud.google.com/network-connectivity/docs/router/how-to/advertising-custom-ip
Nota: esta pergunta foi extraída de nossos exames de prática de Engenheiro de nuvem associado certificado pelo Google.
para mais perguntas do exame prático do Google Cloud com explicações detalhadas, confira os tutoriais Dojo Portal:
referência:
https://cloud.google.com/network-connectivity/docs/router/concepts/overview
passe suas certificações AWS, Azure e Google Cloud com os tutoriais Dojo Portal
nossos Mais vendidos AWS Certified Solutions Architect Associate Practice Exams
Inscreva – se agora-nossos exames práticos da AWS com taxa de aprovação de 95%
curso gratuito AWS Cloud Practitioner Essentials!
inscreva-se Agora – o Nosso Azure Exame de Certificação de Revisores
inscreva-se Agora – Google Cloud Exame de Certificação de Revisores
Tutoriais Dojo Exame Guia de Estudo-books
Subscrever o nosso Canal no YouTube
LIVRE de Introdução à Computação em Nuvem para Iniciantes
GRATUITO da AWS, Azure, BPC Prática de Teste de Samplers
Procurar Outros Cursos
Posts Recentes
- primeiros passos com SageMaker Chão Verdade Privado da força de trabalho
- AWS Transferência de Família
- Escalável de Processamento de Dados e de Transformação usando SageMaker Processamento (Parte 2 de 2)
Leave a Reply