GSP1318

總覽

您將瞭解如何藉由支援虛擬私有雲 (VPC) 輪輻及動態路由交換功能，運用 Network Connectivity Center (NCC) 大規模建立地端部署連線。將 VPC 設為 VPC 輪輻後，即可透過 NCC 中樞將該 VPC 連至多個 VPC 網路。如要建立與使用者地端部署網路的網路連線，您可以將路由器設備的虛擬 NIC、高可用性 VPN 通道或互連網路 VLAN 連結，連至 NCC VPC 輪輻所在的 NCC 中樞。

中樞資源提供集中式連線管理模式，可以在輪輻間建立互連網路。

在本實驗室，您將運用 NCC 中樞建立邏輯中樞和輪輻拓撲，在地端部署網路和工作負載 VPC 之間實作混合式連線。

課程內容

本實驗室將說明如何執行下列工作：

• 設定高可用性 VPN 通道
• 設定 Network Connectivity Center，將 VPC 設為輪輻
• 設定 Network Connectivity Center，將高可用性 VPN 通道設為混合式輪輻
• 驗證資料路徑

設定和需求

瞭解以下事項後，再點選「Start Lab」按鈕

請詳閱以下操作說明。實驗室活動會計時，且中途無法暫停。點選「Start Lab」後就會開始計時，顯示可使用 Google Cloud 資源的時間。

您將在真正的雲端環境完成實作實驗室活動，而不是模擬或示範環境。為此，我們會提供新的暫時憑證，供您在實驗室活動期間登入及存取 Google Cloud。

為了順利完成這個實驗室，請先確認：

• 可以使用標準的網際網路瀏覽器 (Chrome 瀏覽器為佳)。

注意事項：請使用無痕模式 (建議選項) 或私密瀏覽視窗執行此實驗室，這可以防止個人帳戶和學員帳戶之間的衝突，避免個人帳戶產生額外費用。

• 是時候完成實驗室活動了！別忘了，活動一旦開始將無法暫停。

注意事項：務必使用實驗室專用的學員帳戶。如果使用其他 Google Cloud 帳戶，可能會產生額外費用。

如何開始研究室及登入 Google Cloud 控制台

1. 點選「Start Lab」按鈕。如果實驗室會產生費用，畫面上會出現選擇付款方式的對話方塊。左側的「Lab Details」窗格會顯示下列項目：

   • 「Open Google Cloud console」按鈕
   • 剩餘時間
   • 必須在這個研究室中使用的臨時憑證
   • 完成這個實驗室所需的其他資訊 (如有)

2. 點選「Open Google Cloud console」；如果使用 Chrome 瀏覽器，也能按一下滑鼠右鍵，選取「在無痕視窗中開啟連結」。

   接著，實驗室會啟動相關資源，並開啟另一個分頁，顯示「登入」頁面。

   提示：您可以在不同的視窗中並排開啟分頁。

   注意：如果頁面中顯示「選擇帳戶」對話方塊，請點選「使用其他帳戶」。

3. 如有必要，請將下方的 Username 貼到「登入」對話方塊。

   {{{user_0.username | "Username"}}}

   您也可以在「Lab Details」窗格找到 Username。

4. 點選「下一步」。

5. 複製下方的 Password，並貼到「歡迎使用」對話方塊。

   {{{user_0.password | "Password"}}}

   您也可以在「Lab Details」窗格找到 Password。

6. 點選「下一步」。

   重要事項：請務必使用實驗室提供的憑證，而非自己的 Google Cloud 帳戶憑證。 注意：如果使用自己的 Google Cloud 帳戶來進行這個實驗室，可能會產生額外費用。

7. 按過後續的所有頁面：

   • 接受條款及細則。
   • 由於這是臨時帳戶，請勿新增救援選項或雙重驗證機制。
   • 請勿申請免費試用。

Google Cloud 控制台稍後會在這個分頁開啟。

注意：如要使用 Google Cloud 產品和服務，請點選「導覽選單」，或在「搜尋」欄位輸入服務或產品名稱。

啟動 Cloud Shell

Cloud Shell 是搭載多項開發工具的虛擬機器，提供永久的 5 GB 主目錄，而且在 Google Cloud 中運作。Cloud Shell 提供指令列存取權，方便您使用 Google Cloud 資源。

1. 點按 Google Cloud 控制台頂端的「啟用 Cloud Shell」圖示 。

2. 系統顯示視窗時，請按照下列步驟操作：

   • 繼續操作 Cloud Shell 視窗。
   • 授權 Cloud Shell 使用您的憑證發出 Google Cloud API 呼叫。

連線建立完成即代表已通過驗證，而且專案已設為您的 Project_ID：。輸出內容中有一行文字，宣告本工作階段的 Project_ID：

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

gcloud 是 Google Cloud 的指令列工具，已預先安裝於 Cloud Shell，並支援 Tab 鍵自動完成功能。

3. (選用) 您可以執行下列指令來列出使用中的帳戶：

gcloud auth list

4. 點按「授權」。

輸出內容：

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`

5. (選用) 您可以使用下列指令來列出專案 ID：

gcloud config list project

輸出內容：

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} 注意：如需 gcloud 的完整說明，請前往 Google Cloud 參閱 gcloud CLI 總覽指南。

環境變數

為本實驗室啟用 region 和 zone 環境變數：

region="{{{project_0.default_region | Region}}}" zone="{{{project_0.default_zone | Zone}}}"

啟用 Network Connectivity API

您必須先啟用 Network Connectivity API，才能使用 Network Connectivity Center 執行任何工作：

gcloud services enable networkconnectivity.googleapis.com

驗證現有的 Google Cloud 資源

本實驗室已備妥下列資源：

• 「路由 VPC」是指未設為 NCC VPC 輪輻的 VPC。
• 「工作負載 VPC」是指已設為 NCC 輪輻的 VPC。

工作 1：設定混合式連線

在本節中，您將設定高可用性 VPN 通道，在地端部署和路由 VPC 網路之間建立連線。

1. 在路由 VPC 中，設定 Cloud Router 和 BGP：

routing_vpc_network_name="routing-vpc" routing_vpc_router_name="routing-vpc-cr" routing_vpc_router_asn=64525 gcloud compute routers create "${routing_vpc_router_name}" \ --region="${region}" \ --network="${routing_vpc_network_name}" \ --asn="${routing_vpc_router_asn}"

2. 在地端部署 VPC 中，設定 Cloud Router 和 BGP：

on_prem_network_name="on-prem-net-vpc" on_prem_router_name="on-prem-router" on_prem_router_asn=64526 gcloud compute routers create "${on_prem_router_name}" \ --region="${region}" \ --network="${on_prem_network_name}" \ --asn="${on_prem_router_asn}"

3. 在路由 VPC 中，設定 VPN 閘道：

routing_vpn_gateway_name="routing-vpc-vpn-gateway" gcloud compute vpn-gateways create "${routing_vpn_gateway_name}" \ --region="${region}" \ --network="${routing_vpc_network_name}"

4. 在地端部署 VPC 中，設定 VPN 閘道：

on_prem_gateway_name="on-prem-vpn-gateway" gcloud compute vpn-gateways create "${on_prem_gateway_name}" \ --region="${region}" \ --network="${on_prem_network_name}"

5. 在路由 VPC 和地端部署 VPC 中，設定 VPN 通道：

secret_key=$(openssl rand -base64 24) routing_vpc_tunnel_name="routing-vpc-tunnel" on_prem_tunnel_name="on-prem-tunnel" gcloud compute vpn-tunnels create "${routing_vpc_tunnel_name}" \ --vpn-gateway="${routing_vpn_gateway_name}" \ --peer-gcp-gateway="${on_prem_gateway_name}" \ --router="${routing_vpc_router_name}" \ --region="${region}" \ --interface=0 \ --shared-secret="${secret_key}" gcloud compute vpn-tunnels create "${on_prem_tunnel_name}" \ --vpn-gateway="${on_prem_gateway_name}" \ --peer-gcp-gateway="${routing_vpn_gateway_name}" \ --router="${on_prem_router_name}" \ --region="${region}" \ --interface=0 \ --shared-secret="${secret_key}"

點選「Check my progress」，確認目標已達成。 設定 Cloud Router、VPN 閘道和 VPN 通道，建立混合式連線

6. 建立路由 VPC 和地端部署 Cloud Router 之間的 BGP 對接工作階段：

interface_hub_name="if-hub-to-prem" hub_router_ip="169.254.1.1" gcloud compute routers add-interface "${routing_vpc_router_name}" \ --interface-name="${interface_hub_name}" \ --ip-address="${hub_router_ip}" \ --mask-length=30 \ --vpn-tunnel="${routing_vpc_tunnel_name}" \ --region="${region}" bgp_hub_name="bgp-hub-to-prem" prem_router_ip="169.254.1.2" gcloud compute routers add-bgp-peer "${routing_vpc_router_name}" \ --peer-name="${bgp_hub_name}" \ --peer-ip-address="${prem_router_ip}" \ --interface="${interface_hub_name}" \ --peer-asn="${on_prem_router_asn}" \ --region="${region}" interface_prem_name="if-prem-to-hub" gcloud compute routers add-interface "${on_prem_router_name}" \ --interface-name="${interface_prem_name}" \ --ip-address="${prem_router_ip}" \ --mask-length=30 \ --vpn-tunnel="${on_prem_tunnel_name}" \ --region="${region}" bgp_prem_name="bgp-prem-to-hub" gcloud compute routers add-bgp-peer "${on_prem_router_name}" \ --peer-name="${bgp_prem_name}" \ --peer-ip-address="${hub_router_ip}" \ --interface="${interface_prem_name}" \ --peer-asn="${routing_vpc_router_asn}" \ --region="${region}"

NCC 中樞子網路預設不會向混合式輪輻 advertise。下一步會說明如何設定 Cloud Router，以便向地端部署網路 advertise NCC 子網路路由。

7. 向地端部署 Cloud Router advertise VPC 輪輻子網路：

vpc_spoke_subnet_ip_range="10.0.1.0/24" gcloud compute routers update "${routing_vpc_router_name}" \ --advertisement-mode custom \ --set-advertisement-groups=all_subnets \ --set-advertisement-ranges="${vpc_spoke_subnet_ip_range}" \ --region="${region}"

8. 向路由 VPC Cloud Router advertise 地端部署子網路：

gcloud compute routers update "${on_prem_router_name}" \ --advertisement-mode custom \ --set-advertisement-groups=all_subnets \ --region="${region}"

更新地端部署 Cloud Router 的 BGP 對接設定，以 MED 值「111」advertise 前置字串。在下一節中，您將觀察 NCC 的行為和 BGP MED 值。

on_prem_router_name="on-prem-router" bgp_prem_name="bgp-prem-to-hub" gcloud compute routers update-bgp-peer "${on_prem_router_name}" \ --peer-name="${bgp_prem_name}" \ --advertised-route-priority="111" \ --region="${region}"

9. 檢查路由 VPC 通道的狀態：

gcloud compute vpn-tunnels describe routing-vpc-tunnel \ --region="${region}" \ --format='flattened(status,detailedStatus)'

10. 檢查路由 VPC Cloud Router 的狀態：

gcloud compute routers get-status routing-vpc-cr \ --region="${region}"

點選「Check my progress」，確認目標已達成。 更新路由器來設定混合式連線

工作 2：Network Connectivity Center 中樞

您將以 gcloud 指令設定 NCC 中樞。NCC 中樞會做為控制層，負責在每個 VPC 輪輻之間建立路由設定。

1. 執行 gcloud 指令，建立 NCC 中樞：

hub_name="mesh-hub" gcloud network-connectivity hubs create "${hub_name}"

2. 描述新建立的 NCC 中樞，並記下名稱和相關聯的路徑：

gcloud network-connectivity hubs describe mesh-hub createTime: '2025-05-02T08:50:18.521689807Z' exportPsc: false name: projects/qwiklabs-gcp-02-xxxxxxx/locations/global/hubs/mesh-hub policyMode: PRESET presetTopology: MESH routeTables: - projects/qwiklabs-gcp-02-xxxxxxx/locations/global/hubs/mesh-hub/routeTables/default state: ACTIVE uniqueId: eff43930-6232-426a-9954-4db8fa462e07 updateTime: '2025-05-02T08:50:41.651321236Z'

3. NCC 中樞提供路由表，可定義用於建立資料連線的控制層。找出 NCC 中樞的路由表名稱：

gcloud network-connectivity hubs route-tables list --hub=mesh-hub

4. 找出 NCC 預設路由表的 URI：

   gcloud network-connectivity hubs route-tables describe default --hub=mesh-hub

5. 列出 NCC 中樞預設路由表的內容。在定義 NCC 混合式輪輻或 VPC 輪輻前，NCC 中樞的路由表為空白：

gcloud network-connectivity hubs route-tables routes list --hub=mesh-hub --route_table=default

NCC 中樞路由表應為空白。

點選「Check my progress」，確認目標已達成。 Network Connectivity Center 中樞

工作 3：NCC 混合式輪輻和 VPC 輪輻

在本節中，您將以 gcloud 指令設定兩個 NCC 輪輻，分別是 VPC 輪輻和混合式 (VPN) 輪輻。

將工作負載 VPC 設為 NCC 輪輻

1. 將工作負載 VPC 設為 NCC 輪輻，並指派給先前建立的 NCC 中樞：

vpc_spoke_name="workload-vpc-spoke" vpc_spoke_network_name="workload-vpc" gcloud network-connectivity spokes linked-vpc-network create "${vpc_spoke_name}" \ --hub="${hub_name}" \ --vpc-network="${vpc_spoke_network_name}" \ --global

使用者可採用 --global 旗標，避免在設定新的 NCC 輪輻時指定完整的 URI 路徑。

2. 執行下列 gcloud 指令，將 VPN 通道設為混合式輪輻，加入 mesh-hub：

vpn_spoke_name="hybrid-spoke" routing_vpc_tunnel_name="routing-vpc-tunnel" region="{{{project_0.default_region | Region}}}" hub_name="mesh-hub" gcloud network-connectivity spokes linked-vpn-tunnels create "${vpn_spoke_name}" \ --region="${region}" \ --hub="${hub_name}" \ --vpn-tunnels="${routing_vpc_tunnel_name}"

3. 列出 NCC 中樞預設路由表的內容，驗證 mesh-hub 的輪輻設定：

gcloud network-connectivity hubs list-spokes mesh-hub

4. 列出 NCC 中樞預設路由表的內容，分析 mesh-hub 的預設路由表：

gcloud network-connectivity hubs route-tables routes list --hub=mesh-hub \ --route_table=default

使用 NCC 混合式輪輻和動態路由交換功能時，系統會將 Cloud Router 取得的前置字串，連同 BGP MED 值一併傳播至 NCC 輪輻。

5. 執行 gcloud 指令，查看「111.」的優先順序值：

gcloud network-connectivity hubs route-tables routes list \ --hub=mesh-hub \ --route_table=default \ --effective-location={{{project_0.default_region | Region}}} \ --filter=10.0.3.0/24

點選「Check my progress」，確認目標已達成。 NCC 混合式輪輻和 VPC 輪輻

工作 4：驗證資料路徑

這項工作會驗證 NCC 混合式輪輻和 VPC 輪輻之間的資料路徑。

1. 執行下列 gcloud 指令，依輸出內容登入地端部署 VM：

gcloud compute instances list --filter="name=vm3-onprem"

2. 登入地端部署網路內的 VM 執行個體：

gcloud compute ssh vm3-onprem --zone={{{project_0.default_zone | Zone}}}

3. 如果系統提示您輸入通關密語，請輸入「Y」，然後按兩次 Enter 鍵，輸入空白的通關密語。

4. 在 vm3-onprem 的終端機執行 curl 指令，為託管於 workload-vpc 的 VM 建立網路工作階段：

curl 10.0.1.2 -v

5. 執行下列指令，返回 Cloud Shell 執行個體：

exit

工作 5：刪除資源

在正式環境中，您必須刪除未使用的資源，以免產生費用。以下說明如何輕鬆移除本實驗室所用的 NCC 輪輻和中樞：

刪除輪輻

1. 刪除 NCC 輪輻：

gcloud network-connectivity spokes delete workload-vpc-spoke --global \ --quiet gcloud network-connectivity spokes delete hybrid-spoke \ --quiet \ --region {{{project_0.default_region | Region}}}

2. 刪除 NCC 中樞：

gcloud network-connectivity hubs delete mesh-hub --quiet

3. 刪除高可用性 VPN 通道：

gcloud compute vpn-tunnels delete on-prem-tunnel \ --region={{{project_0.default_region | Region}}} \ --quiet gcloud compute vpn-tunnels delete routing-vpc-tunnel \ --region={{{project_0.default_region | Region}}} \ --quiet

4. 刪除 Cloud Router：

gcloud compute routers delete routing-vpc-cr --region {{{project_0.default_region | Region}}} --quiet gcloud compute routers delete on-prem-router --region {{{project_0.default_region | Region}}} --quiet

恭喜！

您學到如何運用 Network Connectivity Center 建立中樞和輪輻，在現有的 Google Cloud 資源和地端部署資源間建立連線，並確認可以在 NCC 混合式輪輻和 VPC 輪輻之間傳輸資料。

後續步驟/瞭解詳情

Google Cloud 教育訓練與認證

協助您瞭解如何充分運用 Google Cloud 的技術。我們的課程會介紹專業技能和最佳做法，讓您可以快速掌握要領並持續進修。我們提供從基本到進階等級的訓練課程，並有隨選、線上和虛擬課程等選項，方便您抽空參加。認證可協助您驗證及證明自己在 Google Cloud 技術方面的技能和專業知識。

使用手冊上次更新日期：2025 年 6 月 25 日

實驗室上次測試日期：2025 年 6 月 25 日

Copyright 2026 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標，其他公司和產品名稱則有可能是其關聯公司的商標。