GSP210

Informações gerais

A nuvem privada virtual (VPC) do Google Cloud oferece funcionalidade de rede para instâncias de máquina virtual (VM) do Compute Engine, contêineres do Kubernetes Engine e o App Engine Flex. Ou seja, sem uma rede VPC, não é possível criar instâncias de VM, contêineres ou aplicativos do App Engine. Assim, cada projeto do Google Cloud tem uma rede padrão para você começar.

Pense em uma rede VPC da mesma maneira que você pensaria em uma rede física, só que virtualizada dentro do Google Cloud. Uma rede VPC é um recurso global que contém sub-redes virtuais regionais em data centers, conectadas por uma rede global de longa distância (WAN, na sigla em inglês). As redes VPC são isoladas logicamente umas das outras no Google Cloud.

Neste laboratório, você vai criar uma rede VPC automática com regras de firewall e duas instâncias de VM. Depois, você vai analisar a conectividade das instâncias de VM.

Objetivos

Neste laboratório, você aprenderá a fazer o seguinte:

• Analisar a rede VPC padrão
• Criar uma rede de modo automático com regras de firewall
• Criar instâncias de VM usando o Compute Engine
• Analisar a conectividade das instâncias de VM

Configuração e requisitos

Antes de clicar no botão Start Lab

Leia estas instruções. Os laboratórios são cronometrados e não podem ser pausados. O timer é iniciado quando você clica em Começar o laboratório e mostra por quanto tempo os recursos do Google Cloud vão ficar disponíveis.

Este laboratório prático permite que você realize as atividades em um ambiente real de nuvem, não em uma simulação ou demonstração. Você vai receber novas credenciais temporárias para fazer login e acessar o Google Cloud durante o laboratório.

Confira os requisitos para concluir o laboratório:

• Acesso a um navegador de Internet padrão (recomendamos o Chrome).

Observação: para executar este laboratório, use o modo de navegação anônima ou uma janela anônima do navegador. Isso evita conflitos entre sua conta pessoal e a conta de estudante, o que poderia causar cobranças extras na sua conta pessoal.

• Tempo para concluir o laboratório---não se esqueça: depois de começar, não será possível pausar o laboratório.

Observação: não use seu projeto ou conta do Google Cloud neste laboratório para evitar cobranças extras na sua conta.

Como iniciar seu laboratório e fazer login no console do Google Cloud

1. Clique no botão Começar o laboratório. Se for preciso pagar, você verá um pop-up para selecionar a forma de pagamento. No painel Detalhes do laboratório à esquerda, você verá o seguinte:

   • O botão Abrir Console do Cloud
   • Tempo restante
   • As credenciais temporárias que você vai usar neste laboratório
   • Outras informações se forem necessárias

2. Clique em Abrir Console do Google. O laboratório ativa recursos e depois abre outra guia com a página Fazer login.

   Dica: coloque as guias em janelas separadas lado a lado.

   Observação: se aparecer a caixa de diálogo Escolher uma conta, clique em Usar outra conta.

3. Caso seja preciso, copie o Nome de usuário no painel Detalhes do laboratório e cole esse nome na caixa de diálogo Fazer login. Clique em Avançar.

4. Copie a Senha no painel Detalhes do laboratório e a cole na caixa de diálogo Olá. Clique em Avançar.

   Importante: você precisa usar as credenciais do painel à esquerda. Não use suas credenciais do Google Cloud Ensina. Observação: se você usar sua própria conta do Google Cloud neste laboratório, é possível que receba cobranças adicionais.

5. Acesse as próximas páginas:

   • Aceite os Termos e Condições.
   • Não adicione opções de recuperação nem autenticação de dois fatores (porque essa é uma conta temporária).
   • Não se inscreva em testes gratuitos.

Depois de alguns instantes, o console do GCP vai ser aberto nesta guia.

Observação: para ver uma lista dos produtos e serviços do Google Cloud, clique no Menu de navegação no canto superior esquerdo.

Tarefa 1: analisar a rede padrão

Cada projeto do Google Cloud tem uma rede padrão com sub-redes, rotas e regras de firewall.

Conferir as sub-redes

A rede padrão tem uma sub-rede em cada região do Google Cloud.

1. No console do Cloud, acesse Menu de navegação () > Rede VPC > Redes VPC.

2. Clique na rede padrão. Confira os detalhes de rede padrão e as sub-redes.

Observação: cada sub-rede está associada a uma região do Google Cloud e a um bloco privado CIDR RFC 1918 para o respectivo intervalo de endereços IP interno e um gateway.

Conferir as rotas

As rotas informam às instâncias de VM e à rede VPC como enviar tráfego de uma instância para um destino, dentro da rede ou fora do Google Cloud.

Cada rede VPC vem com algumas rotas padrão para rotear o tráfego entre as sub-redes e enviar o tráfego de instâncias qualificadas para a Internet.

1. No painel esquerdo, clique em Rotas.

2. Na guia Rotas efetivas, selecione a rede padrão e a região us-central1.

Existe uma rota para cada sub-rede e outra para o Gateway de Internet padrão (0.0.0.0./0).

Observação: elas são gerenciadas para você, mas é possível criar rotas estáticas personalizadas para direcionar alguns pacotes a destinos específicos. Por exemplo, você pode criar uma rota que envie todo o tráfego de saída para uma instância configurada como um gateway NAT.

Conferir as regras de firewall

Cada rede VPC implementa um firewall virtual distribuído que você pode configurar. As regras de firewall permitem controlar quais pacotes têm permissão para chegar até determinados destinos.

Toda rede VPC tem duas regras de firewall implícitas que bloqueiam todas as conexões de entrada e permitem todas as conexões de saída.

1. No painel esquerdo, clique em Firewall.

Existem quatro regras de firewall de Entrada para a rede padrão:

• default-allow-icmp
• default-allow-internal
• default-allow-rdp
• default-allow-ssh

Observação: essas regras de firewall permitem o tráfego de entrada ICMP, RDP e SSH de qualquer lugar (0.0.0.0/0) e todo o tráfego TCP, UDP e ICMP dentro da rede (10.128.0.0/9). As colunas Destinos, Filtros de origem, Protocolos/portas e Ação explicam essas regras.

Excluir a rede padrão

1. Selecione todas as regras de firewall e clique em Excluir.

2. No painel esquerdo, clique em Redes VPC.

3. Clique na rede padrão.

4. Clique em Excluir rede VPC na parte de cima da página.

5. Clique em EXCLUIR para confirmar a exclusão da rede padrão.

   Observação: aguarde a rede ser excluída antes de continuar.

6. No painel esquerdo, clique em Rotas.

   Observe que não há rotas. Pode ser necessário clicar no botão Atualizar na parte de cima da página.

Observação: sem uma rede VPC, não há rotas.

Tentar criar uma instância de VM

Não é possível criar uma instância de VM sem uma rede VPC.

1. No console do Cloud, acesse Menu de navegação () > Compute Engine > Instâncias de VM.

2. Clique em +CRIAR INSTÂNCIA para criar uma instância de VM.

3. Não altere os valores e clique em Criar.

   Observação: confira o erro.

4. Expanda a seção Opções avançadas e role para baixo até Interfaces de rede.

   Observação: confira o erro Nenhuma rede disponível neste projeto na caixa Rede.

5. Clique em Cancelar.

Observação: como esperado, não é possível criar uma instância de VM sem uma rede VPC.

Tarefa 2: criar uma rede VPC e instâncias de VM

Crie uma rede VPC para poder criar instâncias de VM.

Crie uma rede VPC de modo automático com regras de firewall

Replique a rede padrão ao criar uma rede de modo automático.

1. No Console, acesse Menu de navegação () > Rede VPC > Redes VPC e clique em +CRIAR REDE VPC.

2. No campo Nome, digite mynetwork.

3. Em Modo de criação da sub-rede, clique em Automático.

   As redes de modo automático criam sub-redes em cada região automaticamente.

4. Em Regras de firewall, selecione todas as opções disponíveis.

   Essas são as mesmas regras de firewall da rede padrão.

Observação: as regras deny-all-ingress e allow-all-egress também aparecem, mas não podem ser selecionadas ou desativadas porque são implícitas. Elas têm uma Prioridade mais baixa, o que é indicado pelos números inteiros mais altos, para que as regras allow ICMP, custom, RDP e SSH sejam consideradas primeiro.

5. Clique em CRIAR e aguarde a criação de mynetwork ser concluída.

   Observe a sub-rede ser criada para cada região.

6. Clique no nome mynetwork e registre o intervalo de endereço IP para as sub-redes em e . Volte a elas nas próximas etapas.

Observação: se a rede padrão for excluída, vai ser possível recuperá-la rapidamente criando uma rede de modo automático, como você acabou de fazer.

Testar a tarefa concluída

Clique em Verificar meu progresso para conferir a tarefa realizada. Se a tarefa tiver sido concluída, você vai receber uma pontuação de avaliação.

Crie uma rede VPC.

Crie uma instância de VM em

Crie uma instância de VM na região . Selecionar uma região e uma zona determina a sub-rede e atribui o endereço IP interno do intervalo de endereços IP da sub-rede.

1. No Console, acesse Menu de navegação () > Compute Engine > Instâncias de VM.

2. Clique em +CRIAR INSTÂNCIA.

3. Defina os seguintes valores e mantenha o restante como padrão:

   Propriedade	Valor (digite o valor ou selecione a opção conforme especificado)
   Nome	mynet-us-vm
   Região
   Zona
   Série	E2
   Tipo de máquina	e2-micro

4. Clique em Criar e aguarde a instância ser criada.

5. Verifique se o IP interno foi atribuído do intervalo de endereços IP da sub-rede em .

Testar a tarefa concluída

Clique em Verificar meu progresso para conferir a tarefa realizada. Se a tarefa tiver sido concluída, você vai receber uma pontuação de avaliação.

Crie uma instância de VM em .

Crie uma instância de VM em

Crie uma instância de VM na região .

1. Clique em +CRIAR INSTÂNCIA.

2. Defina os seguintes valores e mantenha o restante como padrão:

   Propriedade	Valor (digite o valor ou selecione a opção conforme especificado)
   Nome	mynet-second-vm
   Região
   Zona
   Série	E2
   Tipo de máquina	e2-micro

3. Clique em Criar e aguarde a instância ser criada.

Observação: se você receber uma mensagem de erro informando que essa zona não tem recursos suficientes para atender à solicitação, tente executar as etapas 1-3 de novo com outra zona.

4. Verifique se o IP interno foi atribuído do intervalo de endereços IP da sub-rede em .

   O IP interno precisa ser porque x.x.x.1 está reservado para o gateway e você ainda não configurou outras instâncias nessa sub-rede.

Observação: os Endereços IP externos das duas instâncias de VM são temporários. Se uma instância for interrompida, todos os endereços IP externos temporários atribuídos a ela serão liberados no pool geral do Compute Engine e ficarão disponíveis para uso em outros projetos.

Quando essa instância for iniciada novamente, um novo endereço IP temporário será atribuído a ela. Também é possível reservar um endereço IP externo estático, que sempre será atribuído ao seu projeto até que você o libere.

Testar a tarefa concluída

Clique em Verificar meu progresso para conferir a tarefa realizada. Se a tarefa tiver sido concluída, você vai receber uma pontuação de avaliação.

Crie uma instância de VM em .

Tarefa 3: analisar a conectividade das instâncias de VM

Analise a conectividade das instâncias de VM. Conecte-se via SSH às suas instâncias de VM usando tcp:22 e dê um ping nos endereços IP interno e externo delas usando o ICMP. Depois, remova as regras de firewall uma por uma para entender como elas afetam a conectividade.

Verifique a conectividade das instâncias de VM

As regras de firewall que você criou com mynetwork permitem o tráfego SSH e ICMP de entrada dentro de mynetwork (IP interno) e fora dessa rede (IP externo).

1. No console, acesse Menu de navegação () > Compute Engine > Instâncias de VM.

   Confira os endereços IP interno e externo de mynet-second-vm.

2. Em mynet-us-vm, clique em SSH para iniciar um terminal e se conectar. Talvez você precise clicar em SSH duas vezes.

   Você pode usar SSH porque a regra de firewall allow-ssh permite tráfego de entrada de qualquer origem (0.0.0.0/0) para tcp:22.

   Observação: a conexão SSH funciona sem problemas porque o Compute Engine gera uma chave SSH e a armazena em um dos seguintes locais:
   • Por padrão, o Compute Engine adiciona a chave gerada aos metadados do projeto ou da instância.
   • Se a conta estiver configurada para usar o Login do SO, o Compute Engine armazenará a chave gerada com sua conta de usuário.
   Também é possível controlar o acesso às instâncias do Linux criando chaves SSH e editando os metadados de chaves SSH públicas.

3. Para testar a conectividade com o IP interno de mynet-second-vm, execute o seguinte comando usando o IP interno de mynet-second-vm:

   ping -c 3 <Enter mynet-second-vm's internal IP here>

   Você pode dar ping no IP interno de mynet-second-vm porque a regra de firewall allow-custom permite isso.

4. Para testar a conectividade com o IP externo de mynet-second-vm, execute o seguinte comando usando o IP externo de mynet-second-vm:

   ping -c 3 <Enter mynet-second-vm's external IP here>

Tarefa 4: testar seu conhecimento

Responda às perguntas de múltipla escolha a seguir para reforçar os conceitos abordados neste laboratório. Use tudo o que você aprendeu até aqui.

Observação: você se conectou a mynet-us-vm via SSH e deu ping nos endereços IP interno e externo de mynet-second-vm como esperado. Você também poderia ter se conectado a mynet-second-vm via SSH e dado ping nos endereços IP interno e externo de mynet-us-vm.

Tarefa 5: remover a regra de firewall allow-icmp

Remova a regra de firewall allow-icmp e tente dar ping nos endereços IP interno e externo de mynet-second-vm.

1. No Console, acesse Menu de navegação () > Rede VPC > Firewall.

2. Acesse a regra mynetwork-allow-icmp.

3. Clique em EXCLUIR.

4. Clique novamente em EXCLUIR para confirmar a ação.

   Aguarde a regra de firewall ser excluída.

5. Volte para o terminal SSH de mynet-us-vm.

6. Para testar a conectividade com o IP interno de mynet-second-vm, execute o seguinte comando usando o IP interno de mynet-second-vm:

ping -c 3 <Enter mynet-second-vm's internal IP here>

Você pode dar ping no IP interno de mynet-second-vm porque a regra de firewall allow-custom permite isso.

7. Para testar a conectividade com o IP externo de mynet-second-vm, execute o seguinte comando usando o IP externo de mynet-second-vm:

   ping -c 3 <Enter mynet-second-vm's external IP here>

Observação: a perda total dos pacotes indica que não é possível dar ping no IP externo de mynet-second-vm. Isso é esperado porque você excluiu a regra de firewall allow-icmp.

Tarefa 6: remover a regra de firewall allow-custom

Remova a regra de firewall allow-custom e tente dar ping no endereço IP interno de mynet-second-vm.

1. No Console, acesse Menu de navegação () > Rede VPC > Firewall.

2. Marque a regra mynetwork-allow-custom e clique em EXCLUIR.

3. Clique novamente em EXCLUIR para confirmar a ação.

   Aguarde a regra de firewall ser excluída.

4. Volte para o terminal SSH de mynet-us-vm.

5. Para testar a conectividade com o IP interno de mynet-second-vm, execute o seguinte comando usando o IP interno de mynet-second-vm:

   ping -c 3 <Enter mynet-second-vm's internal IP here>

Observação: a perda total dos pacotes indica que não é possível dar ping no IP interno de mynet-second-vm. Isso é esperado porque você excluiu a regra de firewall allow-custom.

6. Feche o terminal SSH:

   exit

Tarefa 7: remover a regra de firewall allow-ssh

Remova a regra de firewall allow-ssh e tente se conectar a mynet-us-vm via SSH.

1. No Console, acesse Menu de navegação () > Rede VPC > Firewall.

2. Marque a regra mynetwork-allow-ssh e clique em EXCLUIR.

3. Clique novamente em EXCLUIR para confirmar a ação.

   Aguarde a regra de firewall ser excluída.

4. No console, acesse Menu de navegação () > Compute Engine > Instâncias de VM.

5. Em mynet-us-vm, clique em SSH para iniciar um terminal e se conectar.

Observação: a mensagem Falha na conexão indica que não é possível se conectar a mynet-us-vm via SSH porque você excluiu a regra de firewall allow-ssh.

Parabéns!

Neste laboratório, você analisou a rede padrão junto com as sub-redes, rotas e regras de firewall que ela contém. Você excluiu a rede padrão e verificou que não é possível criar instâncias de VM sem uma rede VPC. Por isso, você criou uma nova rede VPC de modo automático com sub-redes, rotas, regras de firewall e duas instâncias de VM. Depois, você testou a conectividade das instâncias de VM e analisou os efeitos das regras de firewall na conectividade.

Próximas etapas / Saiba mais

Saiba mais sobre VPCs do Google em Informações gerais da rede de nuvem privada virtual (VPC).

Manual atualizado em 10 de fevereiro de 2024

Laboratório testado em 1º de setembro de 2023

Copyright 2024 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de produtos e empresas podem ser marcas registradas das respectivas empresas a que estão associados.