GSP210

Panoramica

Una rete Virtual Private Cloud (VPC) di Google Cloud fornisce le funzionalità di rete necessarie per le istanze delle macchine virtuali (VM) di Compute Engine, i container di Kubernetes Engine e l'ambiente flessibile di App Engine. In altre parole, senza una rete VPC non è possibile creare istanze VM, container o applicazioni App Engine. Per questo motivo, a ogni progetto Google Cloud è associata una rete predefinita con cui iniziare.

In sostanza, una rete VPC è come una rete fisica, ad eccezione del fatto che è virtualizzata all'interno di Google Cloud. Una rete VPC è una risorsa globale formata da un elenco di subnet virtuali regionali ubicate in data center, tutte collegate tramite una rete WAN (wide area network) globale. Le reti VPC sono isolate logicamente tra loro in Google Cloud.

In questo lab, creerai una rete VPC in modalità automatica con regole firewall e due istanze VM. Successivamente, esplorerai la connettività per le istanze VM.

Obiettivi

In questo lab imparerai a:

• Esplorare la rete VPC predefinita
• Creare una rete in modalità automatica con regole del firewall
• Creare istanze VM utilizzando Compute Engine
• Esplorare la connettività per le istanze VM

Configurazione e requisiti

Prima di fare clic sul pulsante Avvia lab

Leggi le seguenti istruzioni. I lab sono a tempo e non possono essere messi in pausa. Il timer si avvia quando fai clic su Avvia lab e ti mostra per quanto tempo avrai a disposizione le risorse Google Cloud.

Con questo lab pratico avrai la possibilità di completare le attività in prima persona, in un ambiente cloud reale e non di simulazione o demo. Riceverai delle nuove credenziali temporanee che potrai utilizzare per accedere a Google Cloud per la durata del lab.

Per completare il lab, avrai bisogno di:

• Accesso a un browser internet standard (Chrome è il browser consigliato).

Nota: utilizza una finestra del browser in incognito o privata per eseguire questo lab. Ciò evita eventuali conflitti tra il tuo account personale e l'account Studente, che potrebbero causare addebiti aggiuntivi sul tuo account personale.

• È ora di completare il lab: ricorda che, una volta iniziato, non puoi metterlo in pausa.

Nota: se hai già un account o un progetto Google Cloud personale, non utilizzarlo per questo lab per evitare addebiti aggiuntivi al tuo account.

Come avviare il lab e accedere alla console Google Cloud

1. Fai clic sul pulsante Avvia lab. Se devi effettuare il pagamento per il lab, si apre una finestra popup per permetterti di selezionare il metodo di pagamento. A sinistra, trovi il riquadro Dettagli lab con le seguenti informazioni:

   • Pulsante Apri console Google
   • Tempo rimanente
   • Credenziali temporanee da utilizzare per il lab
   • Altre informazioni per seguire questo lab, se necessario

2. Fai clic su Apri console Google. Il lab avvia le risorse e apre un'altra scheda con la pagina di accesso.

   Suggerimento: disponi le schede in finestre separate posizionate fianco a fianco.

   Note: se visualizzi la finestra di dialogo Scegli un account, fai clic su Utilizza un altro account.

3. Se necessario, copia il Nome utente dal riquadro Dettagli lab e incollalo nella finestra di dialogo di accesso. Fai clic su Avanti.

4. Copia la Password dal riquadro Dettagli lab e incollala nella finestra di dialogo di benvenuto. Fai clic su Avanti.

   Importante: devi utilizzare le credenziali presenti nel riquadro di sinistra. Non utilizzare le tue credenziali Google Cloud Skills Boost. Nota: utilizzare il tuo account Google Cloud per questo lab potrebbe comportare addebiti aggiuntivi.

5. Fai clic nelle pagine successive:

   • Accetta i termini e le condizioni.
   • Non inserire opzioni di recupero o l'autenticazione a due fattori, perché si tratta di un account temporaneo.
   • Non registrarti per le prove gratuite.

Dopo qualche istante, la console Google Cloud si apre in questa scheda.

Nota: puoi visualizzare il menu con un elenco di prodotti e servizi Google Cloud facendo clic sul menu di navigazione in alto a sinistra.

Attività 1: esplora la rete predefinita

A ogni progetto Google Cloud è associata una rete predefinita con le relative subnet, route e regole firewall.

Visualizza le subnet

La rete predefinita ha una subnet in ogni regione di Google Cloud.

1. Nella console Cloud, vai a Menu di navigazione () > Rete VPC > Reti VPC.

2. Fai clic sulla rete predefinita. Osserva i dati della rete predefinita e le subnet.

Nota: ogni subnet è associata a una regione di Google Cloud e a un blocco CIDR privato conforme alla RFC 1918, per l'intervallo degli indirizzi IP interni, e a un gateway.

Visualizza le route

Le route mostrano alle istanze VM e alla rete VPC come inviare il traffico a una destinazione sia all'interno della rete sia all'esterno di Google Cloud.

Ogni rete VPC include alcune route predefinite per instradare il traffico tra le sue subnet e inviarlo da istanze idonee a internet.

1. Nel riquadro sulla sinistra, fai clic su Route.

2. Nella scheda Route operative, seleziona la rete predefinita e la regione us-central1.

Tieni presente che esiste una route per ogni subnet e una route per il Gateway internet predefinito (0.0.0.0./0).

Nota: queste route vengono gestite per tuo conto, ma puoi creare route statiche personalizzate per indirizzare determinati pacchetti verso destinazioni specifiche. Ad esempio, puoi creare una route che invia tutto il traffico in uscita a un'istanza configurata come gateway NAT.

Visualizza le regole firewall

Ogni rete VPC implementa un firewall virtuale distribuito che puoi configurare. Le regole firewall ti consentono di specificare quali pacchetti possono essere inviati a quali destinazioni.

Ogni rete VPC prevede due regole firewall implicite che bloccano tutte le connessioni in entrata e consentono tutte le connessioni in uscita.

1. Nel riquadro a sinistra, fai clic su Firewall.

Tieni presente che sono presenti 4 regole firewall in entrata per la rete predefinita:

• default-allow-icmp
• default-allow-internal
• default-allow-rdp
• default-allow-ssh

Nota: queste regole firewall consentono il traffico in entrata per i protocolli ICMP, RDP e SSH, da qualsiasi origine (0.0.0.0/0), nonché tutto il traffico per i protocolli TCP, UDP e ICMP interno alla rete (10.128.0.0/9). Le colonne Destinazioni, Filtri di origine, Protocolli/Porte e Azione spiegano queste regole.

Elimina la rete predefinita

1. Seleziona tutte le regole del firewall e fai clic su ELIMINA.

2. Nel riquadro a sinistra, fai clic su Reti VPC.

3. Fai clic sulla rete predefinita.

4. Fai clic su Elimina rete VPC nella parte superiore della pagina,

5. quindi fai clic su ELIMINA per confermare l'eliminazione della rete predefinita.

   Nota: attendi che la rete venga eliminata prima di procedere.

6. Nel riquadro sulla sinistra, fai clic su Route.

   Vedrai che non sono presenti route. Potrebbe essere necessario fare clic sul pulsante Aggiorna nella parte superiore della pagina.

Nota: in assenza di una rete VPC, non sono presenti route.

Prova a creare un'istanza VM

Verifica di non poter creare un'istanza VM in assenza di una rete VPC.

1. Nella console Cloud, vai a Menu di navigazione () > Compute Engine > Istanze VM.

2. Fai clic su +CREA ISTANZA per creare un'istanza VM.

3. Lascia invariati i valori predefiniti e fai clic su Crea.

   Nota: esamina l'errore.

4. Espandi la sezione Opzioni avanzate e scorri verso il basso fino a Interfacce di rete.

   Nota: osserva l'errore Non sono disponibili altre reti in questo progetto sotto la casella Rete.

5. Fai clic su Annulla.

Nota: come previsto, non è possibile creare un'istanza VM in assenza di una rete VPC.

Attività 2: crea una rete VPC e delle istanze VM

Crea una rete VPC in modo da poter creare istanze VM.

Crea una rete VPC in modalità automatica con le regole firewall

Replica la rete predefinita creando una rete in modalità automatica.

1. Nella console, vai a Menu di navigazione () > Rete VPC > Reti VPC, quindi fai clic su +CREA RETE VPC.

2. Imposta il campo Nome su mynetwork.

3. In corrispondenza di Modalità creazione subnet, fai clic su Automatica.

   Le reti in modalità automatica creano automaticamente delle subnet in ogni regione.

4. In corrispondenza di Regole firewall, seleziona tutte le regole disponibili.

   Si tratta delle stesse regole firewall standard che erano incluse nella rete predefinita.

Nota: vengono visualizzate anche le regole deny-all-ingress e allow-all-egress, che tuttavia non puoi né selezionare né deselezionare perché sono implicite. Queste due regole hanno un livello di Priorità inferiore (i numeri interi più elevati indicano livelli di priorità inferiori), pertanto vengono prese in considerazione prima le regole di autorizzazione ICMP, RDP, SSH e quelle personalizzate.

5. Fai clic su CREA, quindi attendi che venga creata la rete mynetwork.

   Tieni presente che è stata creata una subnet per ogni regione.

6. Fai clic sul nome mynetwork, quindi registra l'intervallo di indirizzi IP per le subnet in e , poiché dovrai farvi riferimento nei prossimi passaggi.

Nota: se dovesse accaderti di eliminare la rete predefinita, potrai ricrearla rapidamente creando una rete in modalità automatica, come hai appena fatto.

Verifica l'attività completata

Fai clic su Controlla i miei progressi per verificare l'attività eseguita. Se hai completato correttamente l'attività, ti viene assegnato un punteggio di valutazione.

Crea una rete VPC.

Crea un'istanza VM in

Crea un'istanza VM nella regione . La selezione di una regione e di una zona determina la subnet che verrà utilizzata e l'assegnazione dell'indirizzo IP interno a partire dal relativo intervallo di indirizzi IP.

1. Nella console, vai a Menu di navigazione () > Compute Engine > Istanze VM.

2. Fai clic su +CREA ISTANZA.

3. Imposta i valori seguenti e lascia le impostazioni predefinite per gli altri valori:

   Proprietà	Valore (digita il valore o seleziona l'opzione come specificato)
   Nome	mynet-us-vm
   Regione
   Zona
   Serie	E2
   Tipo di macchina	e2-micro

4. Fai clic su Crea, quindi attendi il completamento della creazione dell'istanza.

5. Verifica che l'indirizzo IP interno sia stato assegnato dall'intervallo di indirizzi IP specificato per la subnet in .

Verifica l'attività completata

Fai clic su Controlla i miei progressi per verificare l'attività eseguita. Se hai completato correttamente l'attività, ti viene assegnato un punteggio di valutazione.

Crea un'istanza VM in .

Crea un'istanza VM in

Crea un'istanza VM nella regione .

1. Fai clic su +CREA ISTANZA.

2. Imposta i valori seguenti e lascia le impostazioni predefinite per gli altri valori:

   Proprietà	Valore (digita il valore o seleziona l'opzione come specificato)
   Nome	mynet-second-vm
   Regione
   Zona
   Serie	E2
   Tipo di macchina	e2-micro

3. Fai clic su Crea, quindi attendi il completamento della creazione dell'istanza.

Nota: se viene visualizzato un errore in cui viene segnalato che le risorse disponibili nella zona selezionata non sono sufficienti per soddisfare la richiesta, prova a ripetere i Passaggi 1-3 per una zona diversa.

4. Verifica che l'indirizzo IP interno sia stato assegnato dall'intervallo di indirizzi IP specificato per la subnet in .

   Il valore di IP interno dovrebbe essere , poiché x.x.x.1 è riservato al gateway e non hai configurato altre istanze nella stessa subnet.

Nota: gli indirizzi IP esterni di entrambe le istanze VM sono temporanei. In caso di interruzione di un'istanza, qualsiasi indirizzo IP esterno temporaneo assegnato all'istanza verrà di nuovo rilasciato nel pool generale di Compute Engine e reso disponibile per l'utilizzo in altri progetti.

Quando un'istanza interrotta viene riavviata, le viene assegnato un nuovo indirizzo IP esterno temporaneo. In alternativa, puoi riservare un indirizzo IP esterno statico, il che determina l'assegnazione di quell'indirizzo al tuo progetto per un tempo indeterminato finché non lo rilasci esplicitamente.

Verifica l'attività completata

Fai clic su Controlla i miei progressi per verificare l'attività eseguita. Se hai completato correttamente l'attività, ti viene assegnato un punteggio di valutazione.

Crea un'istanza VM in .

Attività 3: esplora la connettività per le istanze VM

Esplora la connettività per le istanze VM. In particolare, esplora la connettività SSH alle istanze VM utilizzando tcp:22 e invia un ping sia all'indirizzo IP esterno sia a quello interno delle istanze utilizzando ICMP. Quindi, verifica gli effetti delle regole del firewall sulla connettività rimuovendole una alla volta.

Verifica la connettività per le istanze VM

Le regole del firewall che hai creato con mynetwork consentono il traffico su SSH e ICMP in ingresso dall'interno di mynetwork (IP interno) e all'esterno di questa rete (IP esterno).

1. Nella console, vai a Menu di navigazione () > Compute Engine > Istanze VM.

   Osserva gli indirizzi IP interni ed esterni per mynet-second-vm.

2. Per mynet-us-vm, fai clic su SSH per avviare un terminale e stabilire la connessione. Potresti dover fare clic su SSH due volte.

   Puoi utilizzare il protocollo SSH in quanto la regola del firewall allow-ssh consente il traffico in ingresso da qualsiasi origine (0.0.0.0/0) per tcp:22.

   Nota: la connessione SSH funziona perfettamente, dal momento che Compute Engine genera una chiave SSH per te e la archivia in una delle seguenti posizioni:
   • Per impostazione predefinita, Compute Engine aggiunge la chiave generata ai metadati di progetto o istanza.
   • Se il tuo account è configurato per utilizzare OS Login, Compute Engine archivia la chiave generata con il tuo account utente.
   In alternativa, puoi controllare l'accesso alle istanze Linux mediante la creazione di chiavi SSH e la modifica dei metadati della chiave SSH pubblica.

3. Per verificare la connettività all'indirizzo IP interno di mynet-second-vm, esegui il comando seguente usando l'indirizzo IP interno di mynet-second-vm:

   ping -c 3 <Enter mynet-second-vm's internal IP here>

   Sei in grado di inviare un ping all'IP interno di mynet-second-vm in virtù della regola del firewall allow-custom.

4. Per verificare la connettività all'indirizzo IP esterno di mynet-second-vm, esegui il comando seguente utilizzando l'indirizzo IP esterno di mynet-second-vm:

   ping -c 3 <Enter mynet-second-vm's external IP here>

Attività 4: verifica le tue conoscenze

Di seguito sono riportate domande a scelta multipla per affinare le tue conoscenze relative ai concetti di questo lab. Rispondi alle domande al meglio delle tue capacità.

Nota: è stato possibile utilizzare SSH per stabilire una connessione a mynet-us-vm e inviare un ping agli indirizzi IP interno ed esterno di mynet-second-vm come previsto. In alternativa, potresti ottenere gli stessi risultati utilizzando SSH per stabilire una connessione a mynet-second-vm e inviare un ping agli indirizzi IP interno ed esterno di mynet-us-vm.

Attività 5: rimuovi la regola firewall allow-icmp

Rimuovi la regola firewall allow-icmp e prova a inviare un ping sia all'indirizzo IP esterno sia a quello interno di mynet-second-vm.

1. Nella console, vai a Menu di navigazione () > Rete VPC > Firewall.

2. Seleziona la regola mynetwork-allow-icmp.

3. Fai clic su ELIMINA.

4. Fai clic su ELIMINA per confermare l'eliminazione.

   Attendi il completamento dell'eliminazione della regola del firewall.

5. Torna al terminale SSH di mynet-us-vm.

6. Per verificare la connettività all'indirizzo IP interno di mynet-second-vm, esegui il comando seguente usando l'indirizzo IP interno di mynet-second-vm:

ping -c 3 <Enter mynet-second-vm's internal IP here>

Sei in grado di inviare un ping all'IP interno di mynet-second-vm in virtù della regola del firewall allow-custom.

7. Per verificare la connettività all'indirizzo IP esterno di mynet-second-vm, esegui il comando seguente utilizzando l'indirizzo IP esterno di mynet-second-vm:

   ping -c 3 <Enter mynet-second-vm's external IP here>

Nota: la perdita di pacchetti del 100% indica che non puoi inviare un ping all'IP esterno di mynet-second-vm. Questo comportamento è previsto perché hai eliminato la regola firewall allow-icmp.

Attività 6: rimuovi la regola firewall allow-custom

Rimuovi la regola firewall allow-custom e prova a inviare un ping all'indirizzo IP interno di mynet-second-vm.

1. Nella console, vai a Menu di navigazione () > Rete VPC > Firewall.

2. Seleziona la regola mynetwork-allow-custom e fai clic su ELIMINA.

3. Fai clic su ELIMINA per confermare l'eliminazione.

   Attendi il completamento dell'eliminazione della regola del firewall.

4. Torna al terminale SSH di mynet-us-vm.

5. Per verificare la connettività all'indirizzo IP interno di mynet-second-vm, esegui il comando seguente usando l'indirizzo IP interno di mynet-second-vm:

   ping -c 3 <Enter mynet-second-vm's internal IP here>

Nota: la perdita di pacchetti del 100% indica che non puoi inviare un ping all'IP interno di mynet-second-vm. Questo comportamento è previsto perché hai eliminato la regola firewall allow-custom.

6. Chiudi il terminale SSH:

   exit

Attività 7: rimuovi la regola firewall allow-ssh

Rimuovi la regola firewall allow-ssh e tenta di stabilire una connessione a mynet-us-vm su SSH.

1. Nella console, vai a Menu di navigazione () > Rete VPC > Firewall.

2. Seleziona la regola mynetwork-allow-ssh e fai clic su ELIMINA.

3. Fai clic su ELIMINA per confermare l'eliminazione.

   Attendi il completamento dell'eliminazione della regola del firewall.

4. Nella console, vai a Menu di navigazione () > Compute Engine > Istanze VM.

5. Per mynet-us-vm, fai clic su SSH per avviare un terminale e stabilire la connessione.

Nota: il messaggio Connessione non riuscita indica che non è possibile stabilire una connessione a mynet-us-vm, perché hai eliminato la regola del firewall allow-ssh.

Complimenti!

In questo lab hai esplorato la rete predefinita con le relative subnet, route e regole del firewall. Hai eliminato la rete predefinita e hai verificato che non puoi creare istanze VM senza una rete VPC. Hai quindi creato una nuova rete VPC in modalità automatica con subnet, route, regole del firewall e due istanze VM. Poi, hai testato la connettività per le istanze VM e hai esaminato gli effetti delle regole del firewall sulla connettività.

Passaggi successivi/Scopri di più

Per scoprire di più sulle reti VPC di Google, leggi la panoramica sulle reti Virtual Private Cloud (VPC).

Ultimo aggiornamento del manuale: 10 febbraio 2024

Ultimo test del lab: 1° settembre 2023

Copyright 2024 Google LLC Tutti i diritti riservati. Google e il logo Google sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.