Questo tutorial descrive come utilizzare il peering di rete VPC per eseguire il deployment di un'architettura hub-and-spoke.
Questo tutorial è rivolto a tecnici di rete cloud e professionisti delle operazioni che implementare un'architettura hub e spoke nel proprio ambiente Google Cloud utilizzando appliance centralizzate che comprendono delle macchine virtuali Compute Engine. In questo tutorial, eseguirai il deployment come gateway NAT, ma puoi utilizzare lo stesso approccio come i firewall di nuova generazione. Questo tutorial presuppone che tu avere familiarità con le reti VPC Compute Engine.
Architettura
In questa architettura, di reti VPC spoke che comunicano con l'esterno tramite una rete VPC hub in cui il traffico viene instradato attraverso una un pool centralizzato di appliance, in questo caso Network Address Translation (NAT) gateway VPN ad alta disponibilità. Le route pertinenti vengono esportate dal VPC hub nelle reti VPC dello spoke. I gateway NAT configurati come backend di un bilanciatore del carico con una nuova route predefinita, bilanciatore del carico di rete passthrough interno di Cloud Load Balancing come hop successivo.
Puoi ottenere lo stesso tipo di distribuzione del carico e alta disponibilità utilizzando più route con routing ECMP (Equal-cost multipath). Tuttavia, l'utilizzo del bilanciatore del carico di rete passthrough interno presenta i seguenti vantaggi:
- Il traffico viene inoltrato alle istanze integre solo se si basano su controlli di integrità. Con ECMP, il traffico viene inoltrato a tutte le istanze attive a cui fa riferimento la route. L'utilizzo di un bilanciatore del carico di rete passthrough interno elimina la possibilità di route inutilizzate. Inoltre, non è necessario pulire le route vengono terminate o riavviate.
- Il failover è potenzialmente più rapido perché è possibile ottimizzare il controllo di integrità timer. Se utilizzi i gruppi di istanze gestite e la riparazione automatica, puoi comunque personalizzare i timer dei controlli di integrità, ma vengono utilizzati per ricreare l'istanza, non per instradare il traffico.
Google offre inoltre Cloud NAT come servizio gestito, che offre disponibilità elevata senza gestione e intervento da parte dell'utente. Tuttavia, Cloud NAT non è supportato in questo caso d'uso perché la configurazione NAT non viene importata in una rete con membri in peer.
Il seguente diagramma mostra la topologia creata in questo tutorial.
La topologia è composta da una rete VPC hub e due spoke
Reti VPC in peering con il VPC dell'hub
utilizzando il peering di rete VPC. La rete VPC dell'hub ha due istanze di gateway NAT dietro un bilanciatore del carico di rete passthrough interno.
Una route predefinita statica (0/0 NAT-GW-ILB
) indica il bilanciatore del carico di rete passthrough interno come hop successivo. Questa route predefinita statica viene esportata
il peering di rete VPC mediante
route personalizzate.
Obiettivi
- Crea più reti VPC e mettile in peering utilizzando un'architettura hub and spoke.
- Crea e configura i gateway NAT nella rete VPC dell'hub.
- Configura il bilanciatore del carico di rete passthrough interno come hop successivo.
- Verifica la connettività dalle reti VPC spoke al pubblico internet.
Costi
In questo documento utilizzi i seguenti componenti fatturabili di Google Cloud:
Per generare una stima dei costi basata sull'utilizzo previsto,
utilizza il Calcolatore prezzi.
Una volta completate le attività descritte in questo documento, puoi evitare la fatturazione continua eliminando le risorse che hai creato. Per ulteriori informazioni, consulta la pagina Pulizia.
Prima di iniziare
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine API.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine API.
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
In questo tutorial, esegui tutti i comandi da Cloud Shell.
Configurazione dell'ambiente
In Cloud Shell, assicurati di lavorare nel progetto Google Cloud che hai creato o selezionato. Sostituisci
project-id
con il tuo progetto Google Cloud.gcloud config set project project-id export PROJECT_ID=`gcloud config list --format="value(core.project)"`
Imposta la regione e la zona di calcolo predefinite.
gcloud config set compute/region us-central1 gcloud config set compute/zone us-central1-c export REGION=us-central1 export ZONE=us-central1-c
In questo tutorial, la regione è
us-central1
e la zona èus-central1-c
.
Creazione delle reti e delle subnet VPC
In Cloud Shell, crea la rete e la subnet VPC dell'hub:
gcloud compute networks create hub-vpc --subnet-mode custom gcloud compute networks subnets create hub-subnet1 \ --network hub-vpc --range 10.0.0.0/24
Crea le reti VPC spoke, denominate
spoke1-vpc
espoke2-vpc
, con una subnet ciascuna:gcloud compute networks create spoke1-vpc --subnet-mode custom gcloud compute networks create spoke2-vpc --subnet-mode custom gcloud compute networks subnets create spoke1-subnet1 \ --network spoke1-vpc --range 192.168.1.0/24 gcloud compute networks subnets create spoke2-subnet1 \ --network spoke2-vpc --range 192.168.2.0/24
Crea regole firewall nella rete VPC dell'hub e nello spoke reti VPC. Queste regole consentono il traffico interno (TCP/80 e 443, UDP/53 e ICMP) dagli intervalli RFC 1918 specificati:
gcloud compute firewall-rules create hub-vpc-web-ping-dns \ --network hub-vpc --allow tcp:80,tcp:443,icmp,udp:53 \ --source-ranges 10.0.0.0/24,192.168.1.0/24,192.168.2.0/24 gcloud compute firewall-rules create spoke1-vpc-web-ping-dns \ --network spoke1-vpc --allow tcp:80,tcp:443,icmp,udp:53 \ --source-ranges 10.0.0.0/24,192.168.1.0/24 gcloud compute firewall-rules create spoke2-vpc-web-ping-dns \ --network spoke2-vpc --allow tcp:80,tcp:443,icmp,udp:53 \ --source-ranges 10.0.0.0/24,192.168.2.0/24
Crea regole firewall nella rete VPC hub e nelle reti VPC spoke per consentire a IAP per SSH di accedere a tutte le tue macchine virtuali:
gcloud compute firewall-rules create hub-vpc-iap \ --network hub-vpc --allow tcp:22 \ --source-ranges 35.235.240.0/20 gcloud compute firewall-rules create spoke1-vpc-iap \ --network spoke1-vpc --allow tcp:22 \ --source-ranges 35.235.240.0/20 gcloud compute firewall-rules create spoke2-vpc-iap \ --network spoke2-vpc --allow tcp:22 \ --source-ranges 35.235.240.0/20
Questo tutorial utilizza Identity-Aware Proxy (IAP) per SSH. Per ulteriori informazioni, consulta la pagina Connessione a istanze senza indirizzi IP esterni.
Crea una regola firewall per consentire i controlli di integrità per i gruppi di istanze con riparazione automatica nella rete VPC dell'hub:
gcloud compute firewall-rules create hub-vpc-health-checks \ --network hub-vpc --allow tcp:443 --target-tags nat-gw \ --source-ranges 130.211.0.0/22,35.191.0.0/16
Creazione delle istanze e delle route richieste
In Cloud Shell, crea il modello di istanza per il gateway NAT con uno script di avvio che configura il gateway NAT:
gcloud compute instance-templates create \ hub-nat-gw-ilbnhop-template \ --network hub-vpc \ --subnet hub-subnet1 \ --machine-type n1-standard-2 --can-ip-forward \ --tags nat-gw --scopes default,compute-rw \ --metadata startup-script='#! /bin/bash apt-get update # Enable IP forwarding: echo 1 > /proc/sys/net/ipv4/ip_forward echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/20-example.conf # Read VM network configuration: md_vm="http://metadata.google.internal/computeMetadata/v1/instance/" md_net="$md_vm/network-interfaces" nic0_gw="$(curl $md_net/0/gateway -H "Metadata-Flavor:Google")" nic0_mask="$(curl $md_net/0/subnetmask -H "Metadata-Flavor:Google")" nic0_addr="$(curl $md_net/0/ip -H "Metadata-Flavor:Google")" nic0_id="$(ip addr show | grep $nic0_addr | tail -c 5)" # Use a web server to pass the health check for this example. # In production, use a more complete test. sudo apt-get update sudo apt-get install apache2 -y sudo a2ensite default-ssl sudo a2enmod ssl echo "Example web page to pass health check" | \ tee /var/www/html/index.html sudo systemctl restart apache2 # Enable IP masquerading iptables -t nat -A POSTROUTING -o $nic0_id -j MASQUERADE'
Questo tutorial utilizza
n1-standard-2
come tipo di istanza, ma puoi usare il numero o la dimensione del gateway che desideri. Ricorda di prendere in considerazione come la larghezza di banda in uscita massima per VM.Crea un controllo di integrità HTTP:
gcloud compute health-checks create http nat-gw-ilbnhop-health-check \ --region us-central1 \ --port 80
Crea un gruppo di istanze regionale con due istanze distribuite in una singola regione:
gcloud compute instance-groups managed create \ hub-nat-gw-ilbnhop-mig \ --region us-central1 --size=2 \ --template=hub-nat-gw-ilbnhop-template \ --health-check nat-gw-ilbnhop-health-check \ --initial-delay 15
In questo tutorial, il ritardo iniziale è impostato su 15 secondi. In un ambiente di produzione deployment, personalizza questa impostazione in base alle tue esigenze. Questo il tutorial non sta usando criteri di scalabilità automatica.
Crea un servizio di backend e aggiungi il gruppo di istanze:
gcloud compute backend-services create hub-nat-gw-ilbnhop-backend \ --load-balancing-scheme=internal \ --protocol=tcp \ --health-checks=nat-gw-ilbnhop-health-check gcloud compute backend-services add-backend \ hub-nat-gw-ilbnhop-backend \ --instance-group=hub-nat-gw-ilbnhop-mig \ --instance-group-region=us-central1
Crea una regola di inoltro:
gcloud compute forwarding-rules create \ hub-nat-gw-ilbnhop \ --load-balancing-scheme=internal \ --network=hub-vpc \ --subnet=hub-subnet1 \ --address=10.0.0.10 \ --ip-protocol=TCP \ --ports=all \ --backend-service=hub-nat-gw-ilbnhop-backend \ --backend-service-region=us-central1 \ --service-label=hub-nat-gw-ilbnhop
Anche se la regola di forwarding viene definita solo con TCP, quando utilizzi il protocollo bilanciatore del carico di rete passthrough interno come hop successivo, la regola di forwarding inoltra tutti traffico a tutte le porte delle VM di backend. Il bilanciatore del carico di rete passthrough interno è un bilanciatore del carico regionale.
Crea una nuova route con la regola di inoltro come hop successivo:
gcloud compute routes create hub-nat-gw-ilbnhop \ --network=hub-vpc \ --destination-range=0.0.0.0/0 \ --next-hop-ilb=hub-nat-gw-ilbnhop \ --next-hop-ilb-region=us-central1 \ --priority=800
Puoi specificare i tag di rete in modo che la route dell'hop successivo si applichi solo le istanze client configurate con il tag, ma i tag sono non esportati o importati tramite il peering di rete VPC.
Elimina la route predefinita dal VPC hub:
export hub_default_route=$(gcloud compute routes list \ --format="value(name)" --filter="network:hub-vpc AND \ nextHopGateway:default-internet-gateway" | head -n 1) gcloud compute routes delete $hub_default_route -q
Crea una nuova route con tag per consentire il traffico solo dai gateway NAT:
gcloud compute routes create hub-default-tagged \ --network hub-vpc --destination-range 0.0.0.0/0 \ --next-hop-gateway default-internet-gateway \ --priority 700 --tags nat-gw
Elimina le route predefinite per internet dalla VPC di ogni spoke:
export spoke1_default_route=$(gcloud compute routes list \ --format="value(name)" --filter="network:spoke1-vpc AND \ nextHopGateway:default-internet-gateway") gcloud compute routes delete $spoke1_default_route -q export spoke2_default_route=$(gcloud compute routes list \ --format="value(name)" \ --filter="network:spoke2-vpc AND nextHopGateway:default-internet-gateway") gcloud compute routes delete $spoke2_default_route -q
In caso di conflitto tra percorsi locali e percorsi importati, quelli locali hanno sempre la precedenza. Per ulteriori informazioni, consulta la sezione Ordine di routing.
Crea VM client:
gcloud compute instances create spoke1-client \ --subnet=spoke1-subnet1 --no-address \ --metadata startup-script='#! /bin/bash apt-get update apt-get install dnsutils -y' gcloud compute instances create spoke2-client \ --subnet=spoke2-subnet1 --no-address \ --metadata startup-script='#! /bin/bash apt-get update apt-get install dnsutils -y'
Creazione delle connessioni di peering di rete VPC
Il peering di rete VPC è bidirezionale e deve essere definito su entrambe le estremità. Una rete VPC può essere in peering con più reti VPC, ma sono applicati limiti. Per raggiungere la route predefinita tramite il peering di rete VPC, utilizza la funzionalità di importazione ed esportazione di route personalizzate tramite il peering di rete VPC.
Per questo tutorial, crea tutte le reti VPC nello stesso progetto Google Cloud.
In Cloud Shell, crea il VPC connessioni dalla rete VPC hub al VPC spoke reti con il flag di esportazione della route abilitato:
gcloud compute networks peerings create hub-to-spoke1 \ --network hub-vpc --peer-network spoke1-vpc \ --peer-project $PROJECT_ID \ --export-custom-routes gcloud compute networks peerings create hub-to-spoke2 \ --network hub-vpc --peer-network spoke2-vpc \ --peer-project $PROJECT_ID \ --export-custom-routes
Crea una connessione di peering di rete VPC dalla rete VPC
spoke1
alla rete VPC hub con il flag di importazione route abilitato:gcloud compute networks peerings create spoke1-to-hub \ --network spoke1-vpc --peer-network hub-vpc \ --peer-project $PROJECT_ID \ --import-custom-routes
Crea una connessione di peering di rete VPC da
spoke2
dalla rete VPC alla rete VPC dell'hub con flag di importazione del percorso abilitato:gcloud compute networks peerings create spoke2-to-hub \ --network spoke2-vpc --peer-network hub-vpc \ --peer-project $PROJECT_ID \ --import-custom-routes
Verifica della propagazione e della connettività delle route
In Cloud Shell, verifica che le route statiche siano state create correttamente nell'ambito degli script di avvio.
gcloud compute routes list --filter="network:hub-vpc"
Assicurati che
hub-default-tagged
ehub-nat-gw-ilbanhop
route sono presenti nell'output:NAME NETWORK DEST_RANGE NEXT_HOP PRIORITY default-route-13a4b635b5eab48c hub-vpc 10.0.0.0/24 hub-vpc 1000 hub-default-tagged hub-vpc 0.0.0.0/0 default-internet-gateway 700 hub-nat-gw-ilbanhop hub-vpc 0.0.0.0/0 10.0.0.10 800 peering-route-3274f1257a9842a0 hub-vpc 192.168.2.0/24 hub-to-spoke2 1000 peering-route-798c5777f13094bc hub-vpc 192.168.1.0/24 hub-to-spoke1 1000
Verifica la tabella di routing
spoke1-vpc
per assicurarti che la route predefinita sia stata importata correttamente:gcloud compute routes list --filter="network:spoke1-vpc"
Assicurati che sia presente un percorso che inizia con
peering-route
con0.0.0.0/0
come valoreDEST_RANGE
nell'output:NAME NETWORK DEST_RANGE NEXT_HOP PRIORITY default-route-75f6ea8f5fc54813 spoke1-vpc 192.168.1.0/24 spoke1-vpc 1000 peering-route-6c7f130b860bfd39 spoke1-vpc 10.0.0.0/24 spoke1-to-hub 1000 peering-route-9d44d362f98afbd8 spoke1-vpc 0.0.0.0/0 spoke1-to-hub 800
Connettiti a uno dei client mediante SSH IAP:
gcloud compute ssh spoke1-client --tunnel-through-iap
Verifica la connettività testando il DNS pubblico di Google tramite il gateway NAT:
sudo hping3 -S -p 80 -c 3 dns.google
Poiché il bilanciatore del carico di rete passthrough interno supporta TCP e UDP, non puoi verificare la connettività a internet utilizzando un ping basato su ICMP, quindi devi utilizzare uno strumento come hping3.
L'output è simile al seguente:
HPING dns.google (eth0 8.8.4.4): S set, 40 headers + 0 data bytes len=44 ip=8.8.4.4 ttl=126 DF id=0 sport=80 flags=SA seq=0 win=65535 rtt=4.6 ms len=44 ip=8.8.4.4 ttl=126 DF id=0 sport=80 flags=SA seq=1 win=65535 rtt=4.4 ms len=44 ip=8.8.4.4 ttl=126 DF id=0 sport=80 flags=SA seq=2 win=65535 rtt=4.3 ms --- dns.google hping statistic --- 3 packets transmitted, 3 packets received, 0% packet loss round-trip min/avg/max = 4.3/4.4/4.6 ms
Verifica l'indirizzo IP pubblico che utilizzi per comunicare con internet:
curl ifconfig.co
L'output mostra un indirizzo IP pubblico di una delle istanze del gateway NAT. Se esegui di nuovo il comando, l'output potrebbe mostrare un indirizzo IP pubblico diverso perché le connessioni vengono distribuite utilizzando l'affinità di sessione del bilanciamento del carico interno configurato (per impostazione predefinita, IP client, protocollo e porta).
Il peering di rete VPC non è transitivo, quindi non esiste connettività tra le reti VPC spoke tramite il peering di rete VPC.
Considerazioni per un ambiente di produzione
La configurazione creata in questo tutorial fornisce due gateway NAT in una singola regione. Tuttavia, il bilanciamento del carico ECMP non è perfetto e un singolo flusso non viene distribuito su più link, il che è ciò che si vuole quando si utilizzano dispositivi stateful come i firewall di nuova generazione.
Per eseguire il deployment di questa configurazione nell'ambiente di produzione, valuta la possibilità seguenti punti:
- Questa configurazione è ideale per i link in uscita effimeri o senza stato. Se la dimensione del pool di gateway NAT cambia, le connessioni TCP potrebbero venga ribilanciato, il che potrebbe comportare la reimpostazione della connessione stabilita.
- I nodi non vengono aggiornati automaticamente, quindi se un'installazione Debian predefinita presenta una vulnerabilità di sicurezza, devi aggiornare l'immagine manualmente.
- Se hai VM in più regioni, devi configurare i gateway NAT in ogni regione.
- La larghezza di banda per gateway può variare in base al tipo di hardware. Assicurati di considerare fattori come la larghezza di banda in uscita massima per VM. Durante un gateway in caso di errore, il traffico viene distribuito ai gateway rimanenti. Poiché l'esecuzione i flussi di lavoro non vengono riprogrammati e il traffico non si ripristina immediatamente di ritorno online. Assicurati quindi di lasciare un overhead sufficiente quando dimensioni.
- Per ricevere avvisi in caso di risultati imprevisti, utilizza Cloud Monitoring per monitorare i gruppi di istanze gestite e il traffico di rete.
Esegui la pulizia
Il modo più semplice per eliminare la fatturazione è quello di eliminare il progetto Google Cloud creato per il tutorial. In alternativa, puoi eliminare il singolo Google Cloud.
Elimina il progetto
- In the Google Cloud console, go to the Manage resources page.
- In the project list, select the project that you want to delete, and then click Delete.
- In the dialog, type the project ID, and then click Shut down to delete the project.
Elimina le singole risorse
Se vuoi mantenere il progetto Google Cloud, puoi eliminare le risorse che hai creato per questo tutorial.
Elimina le connessioni di peering di rete VPC:
gcloud compute networks peerings delete spoke2-to-hub \ --network spoke2-vpc -q gcloud compute networks peerings delete spoke1-to-hub \ --network spoke1-vpc -q gcloud compute networks peerings delete hub-to-spoke1 \ --network hub-vpc -q gcloud compute networks peerings delete hub-to-spoke2 \ --network hub-vpc -q
Elimina le istanze, le risorse, i modelli e le route del bilanciatore del carico:
gcloud compute instances delete spoke1-client \ --zone=us-central1-c -q gcloud compute instances delete spoke2-client \ --zone=us-central1-c -q gcloud compute routes delete hub-nat-gw-ilbnhop -q gcloud compute forwarding-rules delete hub-nat-gw-ilbnhop -q gcloud compute backend-services delete -q hub-nat-gw-ilbnhop-backend -q gcloud compute instance-groups managed delete hub-nat-gw-ilbnhop-mig \ --region us-central1 -q gcloud compute health-checks delete nat-gw-ilbnhop-health-check -q gcloud compute instance-templates delete hub-nat-gw-ilbnhop-template -q gcloud compute routes delete hub-default-tagged -q
Elimina le regole firewall, le subnet e le reti VPC:
gcloud compute firewall-rules delete spoke2-vpc-iap -q gcloud compute firewall-rules delete spoke2-vpc-web-ping-dns -q gcloud compute firewall-rules delete spoke1-vpc-iap -q gcloud compute firewall-rules delete spoke1-vpc-web-ping-dns -q gcloud compute firewall-rules delete hub-vpc-iap -q gcloud compute firewall-rules delete hub-vpc-web-ping-dns -q gcloud compute firewall-rules delete hub-vpc-health-checks -q gcloud compute networks subnets delete spoke1-subnet1 \ --region us-central1 -q gcloud compute networks subnets delete spoke2-subnet1 \ --region us-central1 -q gcloud compute networks subnets delete hub-subnet1 \ --region us-central1 -q gcloud compute networks delete spoke1-vpc -q gcloud compute networks delete spoke2-vpc -q gcloud compute networks delete hub-vpc -q
Passaggi successivi
- Scopri le best practice e le architetture di riferimento per la progettazione di VPC.
- Esamina il Peering di rete VPC e Bilanciatori del carico di rete passthrough interni come hop successivi documentazione.
- Informazioni configurazioni speciali per le istanze VM.