Google Cloud Router

  • Cloud Router är en fullt distribuerad och hanterad Google Cloud-tjänst som hjälper dig att definiera anpassade dynamiska rutter och skalor med din nätverkstrafik.

funktioner

  • det fungerar med både äldre nätverk och virtuella privata moln (VPC) nätverk.
  • Cloud Router använder Border Gateway Protocol (BGP) för att utbyta rutter mellan ditt virtuella privata moln (VPC) nätverk och ditt lokala nätverk.
  • användning av Cloud Router krävs eller rekommenderas i följande fall:
    • krävs för Cloud NAT
    • krävs för Cloud Interconnect och ha VPN
    • ett rekommenderat konfigurationsalternativ för Classic VPN
  • när du utökar ditt lokala nätverk till Google Cloud använder du Cloud Router för att dynamiskt utbyta rutter mellan dina Google Cloud-nätverk och ditt lokala nätverk.
  • Cloud Router jämnar med din lokala VPN-gateway eller router. Routrarna utbyter topologiinformation via BGP.

Ruttannonser

  • genom BGP annonserar Cloud Router IP-adresserna för Google-resurser som klienter i ditt lokala nätverk kan nå. Ditt lokala nätverk skickar sedan paket till ditt VPC-nätverk som har en destinations-IP-adress som matchar ett annonserat IP-intervall. När du har nått Google Cloud bestämmer ditt VPC-nätverks brandväggsregler och rutter hur Google Cloud dirigerar paketen.
  • Standardvägsannons – Cloud Router annonserar undernät i sin region för regional dynamisk routing eller alla undernät i ett VPC-nätverk för global dynamisk routing.
  • Anpassad Ruttannons – du anger uttryckligen de rutter som en Molnrouter annonserar till ditt lokala nätverk.

validera din kunskap

Fråga 1

du är värd för en webbapplikation i ditt lokala datacenter som behöver hämta filer från en molnlagringshink. Ditt företag implementerar dock strikt säkerhetspolicyer som förbjuder dina barmetallservrar att ha en offentlig IP-adress eller ha tillgång till Internet. Du vill följa Googles rekommenderade metoder för att ge din webbapplikation nödvändig åtkomst till molnlagring.Vad ska du göra?

  1. a. Issue nslookup kommando på kommandoraden för att få IP-adressen för storage.googleapis.com.
    B. diskutera med säkerhetsteamet varför du behöver ha en offentlig IP-adress för servrarna.
    c. uttryckligen tillåta utträdestrafik från dina servrar till IP-adressen storage.googleapis.com.
  2. a. Skapa en VPN-tunnel som ansluter till en anpassad VPC i Google Cloud Platform med Cloud VPN.
    b. skapa en Compute Engine-instans och installera Squid-proxyservern. Använd custom-mode VPC som plats.
    C. konfigurera dina lokala servrar för att använda den nya instansen som en proxy för att komma åt molnlagringshinken.
  3. a. migrera din lokala server med Migrate for Compute Engine (tidigare känd som Velostrata).
    B. tillhandahålla en intern lastbalanserare (ILB) som använder storage.googleapis.com som backend.
    c. Ställ in de nya instanserna för att använda ILB som en proxy för att ansluta till molnlagringen.
  4. A. skapa en VPN-tunnel till GCP med Cloud VPN eller Cloud Interconnect.
    b. använd Cloud Router för att skapa en anpassad ruttannons för 199.36.153.4/30. Meddela det nätverket till ditt lokala nätverk via VPN tunnel.
    C. konfigurera DNS-servern i ditt lokala nätverk för att lösa *.googleapis.com som ett CNAME till restricted.googleapis.com.

Visa mig svaret!

rätt svar: 4

privat Google-åtkomst för lokala värdar kräver att du dirigerar tjänster till en av följande specialdomäner. Den speciella domänen du väljer avgör vilka tjänster du kan komma åt:

private.googleapis.com (199.36.153.8 / 30) ger tillgång till de flesta Google API: er och tjänster, inklusive moln och utvecklare API: er som stöder VPC Service Controls och de som inte stöder VPC Service Controls. VPC-Tjänstekontroller tillämpas när du konfigurerar en tjänst perimeter.restricted.googleapis.com (199.36.153.4 / 30) ger endast åtkomst till API: er för moln och utvecklare som stöder VPC-servicekontroller. VPC-Tjänstekontroller tillämpas för dessa tjänster om du har konfigurerat en tjänstomkrets. Åtkomst till alla Google API eller tjänster som inte stöder VPC-Tjänstekontroller är förbjuden.

för att lokala värdar ska kunna nå begränsade Google API-tjänster måste förfrågningar till Google API: er skickas via ett VPC-nätverk, antingen via en VPN-tunnel eller en molnanslutning.

i båda fallen måste alla förfrågningar till Google API och tjänster skickas till en virtuell IP-adress (VIP) intervall 199.36.153.4/30 (restricted.googleapis.com). IP-adressintervallet meddelas inte till Internet. Trafik som skickas till VIP stannar endast i Googles nätverk.

rutter i ditt lokala nätverk måste konfigureras för att dirigera trafik för de IP-adressintervall som används av private.googleapis.com eller restricted.googleapis.com domäner till nästa hop Cloud VPN-tunnlar eller Cloud Interconnect-bilagor (VLAN) som ansluter till ditt VPC-nätverk.

du kan använda anpassade Ruttannonser för Cloud Router för att meddela rutter för följande destinationer:

ditt lokala nätverk måste ha DNS-zoner och poster konfigurerade så att Google-domännamn löser sig till uppsättningen IP-adresser för antingen private.googleapis.com eller restricted.googleapis.com. du kan skapa moln DNS-hanterade privata zoner och använda en moln DNS inkommande server princip, eller så kan du konfigurera lokala namnservrar. Du kan till exempel använda BIND eller Microsoft Active Directory DNS.

därför är det rätta svaret:

1. Skapa en VPN-tunnel till GCP med Cloud VPN eller Cloud Interconnect.2. Använd Cloud Router för att skapa en anpassad ruttannons för199.36.153.4/30. Meddela det nätverket till ditt lokala nätverk via VPN tunnel.3. Konfigurera en CNAME-post på din lokala DNS-server för att lösa All*.googleapis.comtrafik tillrestricted.googleapis.com.

följande alternativ är felaktigt eftersom ditt företag inte tillåter att du tillhandahåller en offentlig IP-adress för ditt lokala datacenter. Dessutom måste du fortfarande upprätta en VPN-tunnel för att ansluta ditt lokala nätverk till Google Cloud privat, vilket inte nämns i det här alternativet:

1. Fråganslookupkommando på kommandoraden för att få IP-adressen förstorage.googleapis.com.2. Diskutera med säkerhetsteamet varför du behöver ha en offentlig IP-adress för servrarna.3. Uttryckligen tillåta utträdestrafik från dina servrar till IP-adressenstorage.googleapis.com.

följande alternativ är felaktigt eftersom användning av en Squid-proxyserver exponerar ditt nätverk för allmänheten via Compute Engine-instansen. Du måste ansluta till molnlagring privat så att det här alternativet inte uppfyller kravet:

1. Skapa en VPN-tunnel som ansluter till en anpassad VPC i Google Cloud Platform med Cloud VPN.2. Skapa en Compute Engine-instans och installera Squid-proxyservern. Använd custom-mode VPC som plats.3. Konfigurera dina lokala servrar för att använda den nya instansen som en proxy för att komma åt molnlagringshinken.

följande alternativ är felaktigt eftersom du inte behöver migrera din befintliga lokala server till Google Cloud. Det anges i scenariot att du behöver din lokala applikation för att ansluta till molnlagring privat så att använda Migrate for Compute Engine är olämpligt för detta scenario:

1. Migrera din lokala server medMigrate for Compute Engine2. En intern lastbalanserare (ILB) som använderstorage.googleapis.comsom backend.3. Ställ in de nya instanserna för att använda ILB som en proxy för att ansluta till molnlagringen.

https://cloud.google.com/vpc/docs/configure-private-google-access-hybrid
https://cloud.google.com/vpc-service-controls/docs/private-connectivity
https://cloud.google.com/network-connectivity/docs/router/how-to/advertising-custom-ip

den här frågan extraherades från våra Google Certified Associate Cloud Engineer Practice Exams.

för mer Google Cloud practice exam Frågor med detaljerade förklaringar, kolla in Tutorials Dojo Portal:

referens:
https://cloud.google.com/network-connectivity/docs/router/concepts/overview

skicka dina AWS–, Azure-och Google Cloud-certifieringar med Tutorials Dojo Portal

våra bästsäljande AWS Certified Solutions Architect Associate Practice Exams

Anmäl dig nu-våra AWS Practice Exams med 95% godkänd kurs

gratis AWS Cloud Practitioner Essentials-kurs!

Anmäl dig nu – våra Azure Certification Exam granskare

Anmäl dig nu – våra Google Cloud Certification Exam granskare

Tutorials Dojo Exam Study Guide e-böcker

prenumerera på vår YouTube-kanal

gratis Intro till Cloud Computing för nybörjare

gratis AWS, Azure, GCP Practice Test Samplers

bläddra bland andra kurser

Senaste inlägg

  • komma igång med Sagemaker Ground Truth private workforce
  • AWS transfer family
  • skalbar databehandling och transformation med sagemaker Bearbetning (del 2 av 2)

Leave a Reply