GCP 스킬마크~6 획득.VPC 네트워크 귀걸이~Security & IDentity Fundamentals

8925 단어 gcp Security

실제 실험실을 실시할 때의 기록을 게재하다.
학습에 도움이 되는 링크를 쓰고, 나중에 볼 학습 노트를 위해, 약간 곤혹스러운 절차를 밟는다.
그리고 지령을 잊고 싶지 않기 때문에 기록해야 한다.

학습을 돕는 링크는'학습에 도움이 되는 링크'에 요약되어 있다.

학습 노트에

아이콘이 있다.

곤혹스러운 단계는 조목별로 열거하는 것이다.
실제 단계에 대해서는 Google Cloud Skills Boost의 랩 단계를 참조하십시오.

임무'Security & Identity Fundamentals의 네 번째 실험실.
SkillBoost의 시작 방법은 기사 "GCP 스킬 배지 1 Google Cloud Skill Boost 받기"를 보십시오.
이 기사는'GCP 스킬 휘장 획득!　〜Security & Identity Fundamentals Advent Calendar 2021'의 일부로 공개됐다.
25일 스킬 배지를 획득할 수 있는 속도로 공개됐다.
실험실 정보
랩 이름: VPC 네트워크 귀걸이
소요 시간: 45분 수준: Advanced에 필요한 신용 카드: 7
요약:
두 개의 서로 다른 프로젝트를 통해 각각 VPC 네트워크를 만들고 두 개의 VPC 사이에 구멍을 설치하며 세션을 설정하여 연결 테스트를 한다.
예를 들어 조직은 프로젝트-A의network-A와 프로젝트-B의network-B 사이에 VPC 네트워크 귀걸이를 만들어야 한다.이 경우 넷워크-A와 넷워크-B의 관리자는 각자의 네트워크에 피어싱 귀걸이를 설치해야 한다.
(랩: 랩에서 생성한 NW의 최종 이미지)

학습 노트

: VPC 네트워크 천공?
동일하거나 다른 조직의 GCP 프로젝트 간에 개인 통신을 구성하는 수단
공유된 VPC와는 다릅니다.공유 VPC는 서로 다른 GCP 프로젝트 간에만 유효합니다.
VPC 네트워크 귀걸이는 다음과 같은 경우에 유용하다.
· 조직에 여러 개의 네트워크 관리 영역이 있을 때
• 다른 조직과 귀걸이를 할 때
분산형 다항목 네트워크 작업 방법
개별 관리 그룹에서 고유한 글로벌 방화벽과 라우팅 테이블을 제어하고 유지할 수 있습니다.
또한 공통 VPC와 다릅니다.공유 VPC는 방화벽 규칙과 라우팅 테이블의 호스트 항목을 중앙 집중식으로 관리하는 방법입니다.
VM 인스턴스는 내부 IP 주소를 통해 개인 커뮤니케이션을 수행할 수 있습니다.
외부 IP 주소 및 VPN 사용에 따른 지연 시간, 보안, 비용 문제 없음
학습에 유용한 링크
참조 링크:
VPC 네트워크 개요
VPC 네트워크 귀걸이의 개요
관련 SDK:
https://cloud.google.com/sdk/gcloud/reference/compute/networks
https://cloud.google.com/sdk/gcloud/reference/compute/instances
https://cloud.google.com/sdk/gcloud/reference/compute/firewall-rules
랩 구현 기록
이 실험실은 두 항목을 사용한다.
실험실 가동 화면의 정보를 미리 검사하다.
Project1은 Project-A로, Project2는 Project-B로 작업할 수 있습니다.

처음에는 프로젝트 A가 CloudConstore에 표시되는 상태여야 합니다.
CloudShell을 시작하고 ＋를 누르면 두 번째 CloudShell을 시작하여 프로젝트-B에 연결합니다.

$gcloud config set project <PROJECT_ID2>

VPC 네트워크 피어 설정
프로젝트에서 사용자 정의 네트워크 만들기
첫 번째 CloudShell은 Project-A에 사용자 정의 네트워크를 생성합니다.

gcloud compute networks create network-a --subnet-mode custom

Created [https://www.googleapis.com/compute/v1/projects/[Project-AのID]/global/networks/network-a].
NAME: network-a
SUBNET_MODE: CUSTOM
BGP_ROUTING_MODE: REGIONAL
IPV4_RANGE:
GATEWAY_IPV4:

Instances on this network will not be reachable until firewall rules
are created. As an example, you can allow all internal traffic between
instances as well as SSH, RDP, and ICMP by running:
$

VPC 내에 서브넷을 만들고 영역 및 IP 범위를 지정합니다.

$ gcloud compute networks subnets create network-a-central --network network-a \
>     --range 10.0.0.0/16 --region us-central1

Created [https://www.googleapis.com/compute/v1/projects/[Project-AのID]/regions/us-central1/subnetworks/network-a-central].
NAME: network-a-central
REGION: us-central1
NETWORK: network-a
RANGE: 10.0.0.0/16
STACK_TYPE: IPV4_ONLY
IPV6_ACCESS_TYPE:
IPV6_CIDR_RANGE:
EXTERNAL_IPV6_CIDR_RANGE:
$

VM 인스턴스 만들기

$ gcloud compute instances create vm-a --zone us-central1-a --network network-a --subnet network-a-central

Created [https://www.googleapis.com/compute/v1/projects/[Project-AのID]/zones/us-central1-a/instances/vm-a].
NAME: vm-a
ZONE: us-central1-a
MACHINE_TYPE: n1-standard-1
PREEMPTIBLE:
INTERNAL_IP: 10.0.0.2
EXTERNAL_IP: 35.223.175.40
STATUS: RUNNING
$

방화벽 규칙을 편집하여 icmp 및 tcp/22 ssh를 allow로 만듭니다.
실험실에서의 마지막 소통을 확인하기 위해 ssh와 핑을 사용했기 때문이다.

$ gcloud compute firewall-rules create network-a-fw --network network-a --allow tcp:22,icmp

Creating firewall...working..Created [https://www.googleapis.com/compute/v1/projects/[Project-AのID]/global/firewalls/network-a-fw].
Creating firewall...done.
NAME: network-a-fw
NETWORK: network-a
DIRECTION: INGRESS
PRIORITY: 1000
ALLOW: tcp:22,icmp
DENY:
DISABLED: False

두 번째 CloudShell에서 Project-B에 사용자 정의 네트워크를 생성합니다.
우리는 사랑을 끊을 것이다.
VPC 네트워크 피어 세션 설정
여기서는 CloudConstore 를 사용합니다.
우선'프로젝트-A'의 콘솔을 이용해 network-a부터'프로젝트-B'까지networc-b의 귀걸이를 제작한다.
그리고'프로젝트-B'의 콘솔networc-b으로'프로젝트-A'network-a로 향하는 귀걸이를 제작한다.

귀걸이 제작 조작

햄버거&VPC 네트워크>VPC 네트워크>로 이동>

오른쪽 빵에서 "CREATE PEERING CONNINCTION"

을 클릭

Continue

를 직접 누릅니다.

[Name]의 per-ab

입력

[Your VPC network]에서 귀걸이 소스의 NW를 선택합니다.「network-a」

[Peerd VPC Network]에서 [기타 항목]

선택

[Project ID]를 두 번째 프로젝트 ID로 대체

[VPC Network name]에 "network-b"

입력
클릭

[Create]

설정 후의 디스플레이 예시.
이 상태에서 한 방향의 세션만 만들었기 때문에 Status는 Inactive

다른 브라우저 탭을 열고 컨트롤러를 표시하며 프로젝트를 '프로젝트-B' 로 전환하고 역귀걸이를 생성합니다.
설정 값:
　[Name]:peer-ab
　[Your VPC network] :network-b
[Peerd VPC Network]: [기타 항목] 선택
[Project ID]: 두 번째 항목의 ID로 바꾸기
　[VPC Network name]:network-b
결과에 나타난 예.이번에는 양방향 세션이어서 Status가 Active로 바뀌었습니다.

CloudShell을 확인하기 위해 프로젝트-A의 모든 VPC 네트워크의 루트를 표시합니다.

$ gcloud compute routes list --project　[Project-AのID]

…
NAME: default-route-730b4154fcca58f5
NETWORK: network-a
DEST_RANGE: 0.0.0.0/0
NEXT_HOP: default-internet-gateway
PRIORITY: 1000
…
NAME: peering-route-1ff76c14819d0fd6
NETWORK: network-a
DEST_RANGE: 10.8.0.0/16
NEXT_HOP: peer-ab
PRIORITY: 0

연결 테스트
(Project-A) 레이블에 구현
햄버거 > Compute Engine > 에는 VM Instance가 표시됩니다.
VM 목록이 표시되므로 vm-A의 Internal-IP를 복사합니다.
(Project-B) 레이블에서 구현
햄버거 > Compute Engine > 에는 VM Instance가 표시됩니다.
VM 목록이 표시되므로 "vm-b"의 SSH 버튼을 눌러 연결합니다.
따라서 복사된 Project-A의 vm-A의 Internal-PIP에 대해 Ping을 수행합니다.
만약 순조롭다면 성공할 것이다.
수고하셨습니다.
이렇게 실험실의 절차가 끝났다.
오른쪽 상단의 점수가'100/100'으로 표시된 것을 확인한 후'실험실 퇴출'을 누르세요.

Reference

이 문제에 관하여(GCP 스킬마크~6 획득.VPC 네트워크 귀걸이~Security & IDentity Fundamentals), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/orange-tora/items/0985bc0781adcfba13b6

텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.

우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)

jwt 인터페이스의 안전성 실현

NuGet으로 관리

좋은 웹페이지 즐겨찾기

개발자 우수 사이트 수집

개발자가 알아야 할 필수 사이트 100선 추천 우리는 당신을 위해 100개의 자주 사용하는 개발자 학습 사이트를 정리했습니다