Огляд

Віртуальна приватна хмара (VPC) Google Cloud забезпечує підключення до мережі екземплярів віртуальних машин Compute Engine, контейнерів Kubernetes Engine і гнучкого середовища App Engine. Тобто без мережі VPC неможливо створити екземпляри віртуальних машин, контейнери й додатки App Engine. Тому для кожного проєкту Google Cloud уже налаштовано мережу за умовчанням.

Мережа VPC побудована за принципом фізичної мережі, але розміщена у віртуальному середовищі Google Cloud. Мережа VPC – це глобальний ресурс, що містить низку регіональних віртуальних підмереж у центрах обробки даних, з’єднаних між собою за допомогою глобальної мережі (WAN). У Google Cloud мережі VPC логічно ізольовані одна від одної.

На цьому практичному занятті ви створите автоматичну мережу VPC з правилами брандмауера й двома екземплярами віртуальних машин. Потім ви перетворите автоматичну мережу на мережу з власним режимом і створите інші мережі такого типу за схемою, наведеною нижче, а також перевірите підключення до різних мереж.

Цілі

На цьому практичному занятті ви навчитеся виконувати наведені нижче дії.

• Вивчати принцип роботи мережі VPC за умовчанням.
• Створювати автоматичну мережу з правилами брандмауера.
• Перетворювати автоматичну мережу на мережу з власним режимом.
• Створювати мережі VPC з власним режимом із правилами брандмауера.
• Створювати екземпляри віртуальних машин за допомогою Compute Engine.
• Вивчати можливості підключення екземплярів віртуальних машин у різних мережах VPC.

Налаштування й вимоги

Для кожного практичного заняття ви безкоштовно отримуєте новий проект Google Cloud і набір ресурсів на визначений період часу.

1. Натисніть кнопку Почати заняття. Якщо за практичне заняття необхідно заплатити, відкриється спливаюче вікно, де ви зможете обрати спосіб оплати. Ліворуч розміщено панель Відомості про практичне заняття з такими компонентами:

   • кнопка Відкрити консоль Google;
   • час до закінчення;
   • тимчасові облікові дані, які потрібно використовувати для доступу до цього практичного заняття;
   • інша інформація, необхідна для виконання цього практичного заняття.

2. Натисніть Відкрити консоль Google або натисніть правою кнопкою миші й виберіть Відкрити анонімне вікно, якщо ви використовуєте вебпереглядач Chrome.

   Завантажаться необхідні ресурси. Потім відкриється нова вкладка зі сторінкою Вхід.

   Порада. Упорядковуйте вкладки в окремих вікнах, розміщуючи їх поруч.

   Примітка. Якщо з’явиться вікно Виберіть обліковий запис, натисніть Вибрати інший обліковий запис.

3. За потреби скопіюйте значення в полі Username (Ім’я користувача) нижче й вставте його у вікні Вхід.

   {{{user_0.username | "Username"}}}

   Поле Username (Ім’я користувача) також можна знайти на панелі Відомості про практичне заняття.

4. Натисніть Next (Далі).

5. Скопіюйте значення в полі Password (Пароль) нижче й вставте його у вікні Welcome (Привітання).

   {{{user_0.password | "Password"}}}

   Поле Password (Пароль) також можна знайти на панелі Відомості про практичне заняття.

6. Натисніть Next (Далі).

   Важливо. Обов’язково використовуйте облікові дані, призначені для відповідного практичного заняття. Не використовуйте облікові дані Google Cloud. Примітка. Якщо ввійти у власний обліковий запис Google Cloud, може стягуватися додаткова плата.

7. Що від вас очікується

   • Прийміть Умови використання.
   • Не додавайте способи відновлення й двохетапну перевірку (оскільки це тимчасовий обліковий запис).
   • Не реєструйте безкоштовні пробні версії.

Через кілька секунд Google Cloud Console відкриється в новій вкладці.

Примітка. Щоб переглянути меню зі списком продуктів і сервісів Google Cloud, натисніть меню навігації вгорі ліворуч або введіть назву сервісу чи продукту в полі пошуку.

Завдання 1. Ознайомтеся з принципом роботи мережі за умовчанням

Для кожного проєкту Google Cloud налаштовано мережу за умовчанням із підмережами, маршрутами й правилами брандмауера.

Перегляньте підмережі

Мережа за умовчанням має окрему підмережу в кожному регіоні Google Cloud.

• У меню навігації () на консолі Google Cloud натисніть VPC network (Мережа VPC) > VPC networks (Мережі VPC).
• Перегляньте схему мережі за умовчанням із її підмережами.
  Кожна підмережа зв’язана з регіоном Google Cloud і приватним блоком CIDR (за RFC 1918) за допомогою внутрішнього діапазону ІР-адрес і шлюзу.

Перегляньте маршрути

Маршрути визначають, як екземпляри віртуальних машин і мережа VPC спрямовують трафік з екземпляра до цільової адреси всередині мережі або за межами Google Cloud. Кожна мережа VPC має призначені за умовчанням маршрути, щоб передавати дані підмережами й спрямовувати трафік із придатних екземплярів до Інтернету.

1. На панелі ліворуч натисніть Routes (Маршрути).

2. У розкривному списку Network (Мережа) виберіть default (за умовчанням).

3. У розкривному списку Region (Регіон) натисніть .

4. Натисніть View (Переглянути).

Зверніть увагу, що є окремі маршрути для кожної підмережі, а також для інтернет-шлюзу за умовчанням – Default internet gateway (0.0.0.0/0).
Цими маршрутами керує система, проте можна створити власні статичні маршрути, щоб спрямовувати певні пакети до визначених цільових адрес. Наприклад, маршрут для спрямування всього вихідного трафіку до екземпляра, налаштованого як шлюз NAT.

Перегляньте правила брандмауера

Кожна мережа VPC має розподілений віртуальний брандмауер, який можна налаштувати. Правила брандмауера визначають, які пакети можна передавати на різні адреси. Кожна мережа VPC має два неявні правила брандмауера, які блокують вхідні й дозволяють вихідні з’єднання.

• На панелі ліворуч натисніть Firewall (Брандмауер).
  Зверніть увагу, що для мережі default (за умовчанням) трафік типу Ingress (Вхідний) регулюють такі 4 правила брандмауера:

  • default-allow-icmp;
  • default-allow-rdp;
  • default-allow-ssh;
  • default-allow-internal.

  Ці правила дозволяють вхідний трафік за протоколами ICMP, RDP й SSH із будь-якого місцеположення (0.0.0.0/0), а також весь трафік за протоколами TCP, UDP й ICMP всередині мережі (10.128.0.0/9). Відомості про правила наведено в стовпцях Targets (Цілі), Filters (Фільтри), Protocols/ports (Протоколи/порти) і Action (Дії).

Видаліть правила брандмауера

1. На панелі ліворуч натисніть Firewall policies (Правила брандмауера).
2. Виберіть усі правила мережевого брандмауера за умовчанням зі списку VPC firewall rules (Правила брандмауера для мережі VPC).
3. Натисніть Delete (Видалити).
4. Щоб підтвердити видалення, натисніть Delete (Видалити) ще раз.

Видаліть мережу за умовчанням

1. У меню навігації () натисніть VPC network (Мережа VPC) > VPC networks (Мережі VPC).
2. Виберіть мережу default (за умовчанням).
3. Натисніть Delete VPC network (Видалити мережу VPC) і введіть default.
4. Щоб підтвердити видалення, натисніть Delete (Видалити) ще раз.

Перш ніж продовжувати, зачекайте, доки мережу буде видалено.

5. На панелі ліворуч натисніть Routes (Маршрути).

Зверніть увагу, що маршрути не відображаються.

6. На панелі ліворуч натисніть Firewall (Брандмауер).

Правила брандмауера також не відображаються.

Примітка. Маршрути відображаються лише за наявності налаштованої мережі VPC.

Спробуйте створити екземпляр віртуальної машини

Упевніться, що екземпляр віртуальної машини не можна створити без мережі VPC.

1. У меню навігації натисніть Compute Engine > VM instances (Екземпляри віртуальних машин).
2. Натисніть Create Instance (Створити екземпляр).
3. Підтвердьте значення за умовчанням і натисніть Create (Створити).

На вкладці Networking (Мережі) з’явиться помилка.

4. Натисніть Go to Issues (Переглянути помилки).

   У розділі Network Interfaces (Мережеві інтерфейси) з’явиться повідомлення про помилку No more networks available (Немає доступних мереж).

5. Натисніть Cancel (Скасувати).

Примітка. Як і очікувалося, екземпляр віртуальної машини не можна створити за відсутності мережі VPC.

Завдання 2. Створіть мережу з автоматичним режимом

Ви маєте створити автоматичну мережу з двома екземплярами віртуальних машин. Такі мережі легко налаштовувати й використовувати, оскільки для них автоматично створюються підмережі в кожному регіоні. Однак ви не зможете повністю контролювати створення підмереж у вашій мережі VPC, зокрема використання діапазонів ІР-адрес і регіонів.

У цьому завданні ви використовуватимете автоматичну мережу для створення прототипів. Щоб дізнатися більше про вибір автоматичної мережі, перегляньте документацію Google VPC.

Увімкніть потрібні API

• У терміналі Cloud Shell увімкніть сервіси, що використовуватимуться в практичному занятті, за допомогою командного рядка gcloud.

gcloud services enable \ iap.googleapis.com \ networkmanagement.googleapis.com

Створіть автоматичну мережу VPC з правилами брандмауера

1. У меню навігації () натисніть VPC network (Мережа VPC) > VPC networks (Мережі VPC).
2. Натисніть Create VPC network (Створити мережу VPC).
3. У полі Name (Назва) введіть mynetwork.
4. Для опції Subnet creation mode (Режим створення підмережі) виберіть Automatic (Автоматичний).

Для автоматичних мереж автоматично створюються підмережі в кожному регіоні.

5. Виберіть усі доступні правила для опції Firewall rules (Правила брандмауера).

Будуть застосовані ті самі стандартні правила брандмауера, що й для мережі за умовчанням. Правила deny-all-ingress і allow-all-egress також відображатимуться, проте їх не можна вибрати чи вимкнути, оскільки вони неявні. Ці правила мають нижчий пріоритет (що більше число в полі Priority, то він нижчий), щоб першими застосовувалися спеціальні правила й правила для протоколів ICMP, RDP та SSH.

6. Натисніть Create (Створити).

7. Коли нова мережа буде готова, натисніть mynetwork > Subnets (Підмережі). Перегляньте діапазон IP-адрес для підмереж у регіонах і .

Примітка. Якщо видалити мережу за умовчанням, її можна швидко відновити, створивши автоматичну мережу описаним вище способом.

Додайте правило брандмауера IAP

1. Створивши мережу VPC, перейдіть у розділ VPC network (Мережа VPC) > Firewall (Брандмауер).

2. Натисніть Create firewall rule (Створити правило брандмауера).

3. Укажіть наведену нижче інформацію.

   • Name (Назва): allow-iap-ssh

   • Network (Мережа): mynetwork

   • Priority (Пріоритет): 1000

   • Direction of traffic (Напрямок трафіку): Ingress (Вхідний)

   • Action on match (Дія в разі збігу): Allow (Дозволити)

   • Targets (Цілі): Specified target tags (Указані цільові теги)

   • Target tags (Цільові теги): iap-gce

   • Source filter (Фільтр за джерелом): діапазони IPv4

   • Source IP ranges (Діапазони вихідних IP-адрес): 35.235.240.0/20

   • Protocols and ports (Протоколи й порти): поставте прапорець біля опції Specified protocols and ports (Указані протоколи й порти), а потім введіть: tcp:22

4. Натисніть Create (Створити).

Створіть екземпляр віртуальної машини в регіоні

Створіть екземпляр віртуальної машини в регіоні . Від вибору регіону й зони залежить призначення підмережі та внутрішньої IP-адреси з діапазону IP-адрес підмережі.

1. У меню навігації () натисніть Compute Engine > VM instances (Екземпляри віртуальних машин).

2. Натисніть Create Instance (Створити екземпляр).

3. Укажіть наведену нижче інформацію.

   Властивість	Значення (укажіть значення або виберіть зі списку)
   Name (Назва)	mynet-us-vm
   Region (Регіон)
   Zone (Зона)

4. Відкрийте Series (Серії) і виберіть E2.

5. Для параметра Machine type (Тип машини) виберіть e2-medium (з 2 віртуальними центральними процесорами й 4 ГБ пам’яті).

6. Натисніть OS and storage (ОС і сховище).

7. Якщо під заголовком Image (Образ) не відображається варіант Debian GNU/Linux 12 (bookworm), натисніть Change (Змінити), виберіть Debian GNU/Linux 12 (bookworm) і натисніть Select (Вибрати).

8. Натисніть Networking (Мережі).

9. Введіть iap-gce у полі Network tags (Мережеві теги).

10. Натисніть Create (Створити).

Створіть екземпляр віртуальної машини в регіоні

Створіть екземпляр віртуальної машини в регіоні .

1. Натисніть Create Instance (Створити екземпляр).

2. Укажіть наведену нижче інформацію.

   Властивість	Значення (укажіть значення або виберіть зі списку)
   Name (Назва)	mynet-notus-vm
   Region (Регіон)
   Zone (Зона)

3. Відкрийте Series (Серії) і виберіть E2.

4. Для параметра Machine type (Тип машини) виберіть e2-medium (з 2 віртуальними центральними процесорами й 4 ГБ пам’яті).

5. Натисніть OS and storage (ОС і сховище).

6. Якщо під заголовком Image (Образ) не відображається варіант Debian GNU/Linux 12 (bookworm), натисніть Change (Змінити), виберіть Debian GNU/Linux 12 (bookworm) і натисніть Select (Вибрати).

7. Натисніть Networking (Мережі).

8. Введіть iap-gce у полі Network tags (Мережеві теги).

9. Натисніть Create (Створити).

Примітка. Для обох екземплярів віртуальних машин призначаються тимчасові зовнішні IP-адреси. Якщо екземпляр зупинено, усі тимчасові зовнішні IP-адреси, які йому призначено, повертаються в загальний пул адрес Compute Engine. Після цього їх можна використовувати для інших проєктів.

Якщо екземпляр буде запущено знову, йому буде призначено нову тимчасову зовнішню IP-адресу. Ви також можете зарезервувати статичну зовнішню IP-адресу. У такому разі проєкту призначається постійна адреса, доки резервування не буде скасовано.

Перевірте можливість підключення до екземплярів віртуальних машин

Правила брандмауера, створені для мережі mynetwork, дозволяють вхідний трафік через протоколи SSH і ICMP всередині мережі mynetwork (на внутрішню IP-адресу) і ззовні (на зовнішню IP-адресу).

1. У меню навігації натисніть Compute Engine > VM instances (Екземпляри віртуальних машин).

Зафіксуйте внутрішню й зовнішню IP-адреси для екземпляра mynet-notus-vm.

2. Щоб отримати доступ до екземпляра віртуальної машини mynet-us-vm через SSH, виконайте наведену нижче команду.

gcloud compute ssh mynet-us-vm \ --zone={{{ project_0.default_zone | Zone 1}}} \ --tunnel-through-iap

Якщо з’явиться запит продовжити, введіть Y.

Коли з’явиться запит на парольну фразу, натисніть клавішу ENTER, щоб залишити її пустою, а потім – ENTER ще раз.

Примітка. Протокол SSH можна використовувати завдяки правилу брандмауера allow-ssh, що дозволяє вхідний трафік із будь-якого джерела (0.0.0.0/0) через порт tcp:22. Підключення через протокол SSH працює стабільно завдяки тому, що Compute Engine генерує ключ SSH і зберігає його в одному з наведених нижче місць.

• За умовчанням Compute Engine додає згенерований ключ у метадані проєкту або екземпляра.
• Якщо для облікового запису налаштовано сервіс OS Login, Compute Engine зберігає згенерований ключ у такому обліковому записі.

Важливо. Доступ через SSH працює, лише якщо оновлення метаданих дозволено для екземпляра. Якщо оновлення метаданих заблоковано (наприклад, через правило або неправильну конфігурацію), доступ через SSH може не працювати, навіть якщо правило брандмауера дозволяє використовувати порт 22.

Ви також можете керувати доступом до екземплярів Linux, створюючи ключі SSH і редагуючи метадані відкритих ключів SSH.

3. Щоб перевірити підключення до внутрішньої IP-адреси екземпляра mynet-notus-vm, виконайте наведену нижче команду, указавши відповідну IP-адресу.

ping -c 3 <Введіть внутрішню IP-адресу екземпляра mynet-notus-vm тут>

Правило брандмауера allow-custom дає змогу надсилати запити ping на внутрішню IP-адресу екземпляра mynet-notus-vm.

4. Щоб перевірити підключення до зовнішньої IP-адреси екземпляра mynet-notus-vm, виконайте наведену нижче команду, указавши відповідну IP-адресу.

ping -c 3 <Введіть зовнішню IP-адресу екземпляра mynet-notus-vm тут>

5. Введіть команду exit, щоб вийти із сеансу SSH і повернутися в Cloud Shell.

Примітка. Ви можете підключатися до екземпляра mynet-us-vm через протокол SSH і надсилати запити ping на внутрішню й зовнішню IP-адреси екземпляра mynet-notus-vm. Ви також можете підключатися через протокол SSH до екземпляра mynet-notus-vm і надсилати запити ping на внутрішню й зовнішню IP-адреси екземпляра mynet-us-vm.

Перетворіть автоматичну мережу на мережу з власним режимом

Автоматична мережа виконує всі потрібні функції, однак вас попросили перетворити її на мережу з власним режимом, щоб нові підмережі не створювались автоматично в нових регіонах, коли вони стають доступними. Це може призвести до збігу IP-адрес, що використовуються підмережами, створеними вручну, і статичними маршрутами, або завадити загальному плануванню мережі.

1. У меню навігації () натисніть VPC network (Мережа VPC) > VPC networks (Мережі VPC).
2. Натисніть mynetwork, щоб перейти на сторінку цієї мережі.
3. Натисніть Edit (Редагувати).
4. Для опції Subnet creation mode (Режим створення підмережі) виберіть Custom (Власний).
5. Натисніть Save (Зберегти).
6. Поверніться на сторінку VPC networks (Мережі VPC).

Зачекайте, доки параметр Mode (Режим) мережі mynetwork зміниться на Custom (Власний).

Під час очікування можна натиснути Refresh (Оновити).

Щоб підтвердити виконання завдання, натисніть Підтвердити виконання. Створіть мережу VPC й екземпляри віртуальних машин

Примітка. Автоматичну мережу можна легко перетворити на мережу з власним режимом, яка дасть вам більше можливостей. У робочій версії рекомендуємо використовувати саме мережу з власним режимом.

Завдання 3. Створіть мережі з власним режимом

Вам поставили завдання створити дві додаткові мережі з власним режимом (managementnet і privatenet) та правилами брандмауера, які дозволяють вхідний трафік за протоколами SSH, ICMP й RDP, а також екземпляри віртуальних машин, як показано на цій діаграмі (за винятком vm-appliance):

Зверніть увагу, що діапазони IP-адрес у форматі CIDR цих мереж не збігаються. Завдяки цьому ви можете налаштувати такі механізми, як піринг VPC між мережами. Указавши діапазони IP-адрес у форматі CIDR, які відрізняються від вашої локальної мережі, ви навіть можете налаштувати гібридне з’єднання за допомогою VPN або Cloud Interconnect.

Створіть мережу managementnet

Створіть мережу managementnet за допомогою консолі Cloud.

1. У меню навігації () на консолі Google Cloud натисніть VPC network (Мережа VPC) > VPC networks (Мережі VPC).

2. Натисніть Create VPC network (Створити мережу VPC).

3. У полі Name (Назва) введіть managementnet.

4. Для опції Subnet creation mode (Режим створення підмережі) виберіть Custom (Власний).

5. Укажіть наведені нижче відомості, а решту налаштувань залиште зі значеннями за умовчанням.

   Властивість	Значення (укажіть значення або виберіть зі списку)
   Name (Назва)	managementsubnet-us
   Region (Регіон)
   IPv4 range (Діапазон IPv4)	10.240.0.0/20

6. Натисніть Done (Готово).

7. Натисніть Equivalent Command Line (Еквівалент командного рядка).

   Як ви можете побачити, мережі й підмережі можна створювати за допомогою командного рядка gcloud. Ви створите мережу privatenet за допомогою цих команд з аналогічними параметрами.

8. Натисніть Close (Закрити).

9. Натисніть Create (Створити).

Створіть мережу privatenet

Створіть мережу privatenet за допомогою командного рядка gcloud.

1. На консолі Google Cloud натисніть Activate Cloud Shell (Активувати Cloud Shell) ().
2. За потреби натисніть Continue (Продовжити).
3. Щоб створити мережу privatenet, виконайте наведену нижче команду. Натисніть Authorize (Авторизувати), якщо побачите відповідний запит.

gcloud compute networks create privatenet --subnet-mode=custom

4. Щоб створити підмережу privatesubnet-us, виконайте таку команду:

gcloud compute networks subnets create privatesubnet-us --network=privatenet --region={{{project_0.default_region|Region 1}}} --range=172.16.0.0/24

5. Щоб створити підмережу privatesubnet-notus, виконайте таку команду:

gcloud compute networks subnets create privatesubnet-notus --network=privatenet --region={{{project_0.default_region_2|Region 2}}} --range=172.20.0.0/20

6. Щоб переглянути список доступних мереж VPC, виконайте таку команду:

gcloud compute networks list

Вивід матиме такий вигляд:

NAME: managementnet SUBNET_MODE: CUSTOM BGP_ROUTING_MODE: REGIONAL IPV4_RANGE: GATEWAY_IPV4: NAME: mynetwork SUBNET_MODE: CUSTOM BGP_ROUTING_MODE: REGIONAL IPV4_RANGE: GATEWAY_IPV4: NAME: privatenet SUBNET_MODE: CUSTOM BGP_ROUTING_MODE: REGIONAL IPV4_RANGE: GATEWAY_IPV4:

7. Щоб переглянути список доступних підмереж VPC (відсортованих за мережею VPC), виконайте таку команду:

gcloud compute networks subnets list --sort-by=NETWORK Примітка. Оскільки мережі managementnet і privatenet є мережами з власним режимом, вони мають лише ті підмережі, які створили ви. Мережа mynetwork також є мережею з власним режимом, однак ви створили її як автоматичну, тому вона має підмережі в кожному регіоні.

8. У меню навігації () на консолі Google Cloud натисніть VPC network (Мережа VPC) > VPC networks (Мережі VPC).
   Переконайтеся, що на консолі Cloud відображаються ті самі мережі й підмережі.

Створіть правила брандмауера для мережі managementnet

Створіть правила брандмауера, щоб дозволити вхідний трафік за протоколами SSH, ICMP й RDP до екземплярів віртуальних машин у мережі managementnet.

1. У меню навігації () на консолі Google Cloud натисніть VPC network (Мережа VPC) > Firewall (Брандмауер).

2. Натисніть Create firewall rule (Створити правило брандмауера).

3. Укажіть наведені нижче відомості, а решту налаштувань залиште зі значеннями за умовчанням.

   Властивість	Значення (укажіть значення або виберіть зі списку)
   Name (Назва)	managementnet-allow-icmp-ssh-rdp
   Network (Мережа)	managementnet
   Targets (Цілі)	All instances in the network (Усі екземпляри в мережі)
   Source filter (Фільтр за джерелом)	IPv4 Ranges (Діапазони IPv4)
   Source IPv4 ranges (Джерела діапазонів IPv4)	0.0.0.0/0
   Protocols and ports (Протоколи й порти)	Specified protocols and ports (Указані протоколи й порти)

Примітка. Щоб указати всі мережі, додайте маску підмережі /0 у Source IPv4 ranges (Джерела діапазонів IPv4).

4. Виберіть tcp й укажіть порти 22 та 3389.

5. Виберіть опцію Other protocols (Інші протоколи) і вкажіть протокол icmp.

6. Натисніть Equivalent Command Line (Еквівалент командного рядка).

   Як ви можете побачити, правила брандмауера можна створювати за допомогою командного рядка gcloud. Ви створите правила брандмауера для мережі privatenet за допомогою цих команд з аналогічними параметрами.

7. Натисніть Close (Закрити).

8. Натисніть Create (Створити).

Створіть правила брандмауера для мережі privatenet

Створіть правила брандмауера для мережі privatenet за допомогою командного рядка gcloud.

1. Поверніться до Cloud Shell. За потреби натисніть Activate Cloud Shell (Активувати Cloud Shell) ().
2. Щоб створити правило брандмауера privatenet-allow-icmp-ssh-rdp, виконайте таку команду:

gcloud compute firewall-rules create privatenet-allow-icmp-ssh-rdp --direction=INGRESS --priority=1000 --network=privatenet --action=ALLOW --rules=icmp,tcp:22,tcp:3389 --source-ranges=0.0.0.0/0

Вивід матиме такий вигляд:

NAME: privatenet-allow-icmp-ssh-rdp NETWORK: privatenet DIRECTION: INGRESS PRIORITY: 1000 ALLOW: icmp,tcp:22,tcp:3389 DENY: DISABLED: False

3. Щоб переглянути список правил брандмауера (відсортованих за мережею VPC), виконайте таку команду:

gcloud compute firewall-rules list --sort-by=NETWORK

Вивід матиме такий вигляд:

NAME: managementnet-allow-icmp-ssh-rdp NETWORK: managementnet DIRECTION: INGRESS PRIORITY: 1000 ALLOW: tcp:22,tcp:3389,icmp DENY: DISABLED: False NAME: mynetwork-allow-custom NETWORK: mynetwork DIRECTION: INGRESS PRIORITY: 65534 ALLOW: all DENY: DISABLED: False NAME: mynetwork-allow-icmp NETWORK: mynetwork DIRECTION: INGRESS PRIORITY: 65534 ALLOW: icmp DENY: DISABLED: False NAME: mynetwork-allow-rdp NETWORK: mynetwork DIRECTION: INGRESS PRIORITY: 65534 ALLOW: tcp:3389 DENY: DISABLED: False NAME: mynetwork-allow-ssh NETWORK: mynetwork DIRECTION: INGRESS PRIORITY: 65534 ALLOW: tcp:22 DENY: DISABLED: False NAME: privatenet-allow-icmp-ssh-rdp NETWORK: privatenet DIRECTION: INGRESS PRIORITY: 1000 ALLOW: icmp,tcp:22,tcp:3389 DENY: DISABLED: False

Правила брандмауера для мережі mynetwork було створено автоматично. Ви можете вказати кілька протоколів і портів в одному правилі брандмауера (як зробили це для мереж privatenet і managementnet) або в кількох правилах (як у мережі default (за умовчанням) і мережі mynetwork).

4. У меню навігації () на консолі Cloud натисніть VPC network (Мережа VPC) > Firewall (Брандмауер).
   Переконайтеся, що на консолі Cloud відображаються ті самі правила брандмауера.

Щоб підтвердити виконання завдання, натисніть Підтвердити виконання. Створіть мережі VPC з власним режимом із правилами брандмауера

Тепер створіть два екземпляри віртуальних машин:

• managementnet-us-vm у managementsubnet-us
• privatenet-us-vm у privatesubnet-us

Створіть екземпляр managementnet-us-vm

Створіть екземпляр managementnet-us-vm за допомогою консолі Cloud.

1. У меню навігації () на консолі Google Cloud натисніть Compute Engine > VM instances (Екземпляри віртуальних машин).

2. Натисніть Create Instance (Створити екземпляр).

3. Укажіть наведені нижче відомості, а решту налаштувань залиште зі значеннями за умовчанням.

   Властивість	Значення (укажіть значення або виберіть зі списку)
   Name (Назва)	managementnet-us-vm
   Region (Регіон)
   Zone (Зона)
   Series (Серія)	E2
   Machine type (Тип машини)	e2-micro (2 vCPU, 1 core, 1 GB memory) (e2-micro (2 віртуальні ЦП, 1 ядро, 1 ГБ пам’яті))
   Boot disk (Завантажувальний диск)	Debian GNU/Linux 12 (bookworm)

4. Натисніть Networking (Мережі).

5. У розділі Network interfaces (Мережеві інтерфейси) натисніть потрібне спадне меню, щоб змінити властивість.

6. Укажіть наведені нижче відомості, а решту налаштувань залиште зі значеннями за умовчанням.

   Властивість	Значення (укажіть значення або виберіть зі списку)
   Network (Мережа)	managementnet
   Subnetwork (Підмережа)	managementsubnet-us

Примітка. Можна вказати лише підмережі в межах вибраного регіону.

7. Натисніть Done (Готово).

8. Натисніть Equivalent Code (Еквівалентний код).

   Як ви можете побачити, екземпляри віртуальних машин також можна створити за допомогою командного рядка gcloud. Ви створите екземпляр privatenet-us-vm за допомогою цих команд з аналогічними параметрами.

9. Натисніть Create (Створити).

Створіть екземпляр privatenet-us-vm

Створіть екземпляр privatenet-us-vm за допомогою командного рядка gcloud.

1. Поверніться до Cloud Shell. За потреби натисніть Activate Cloud Shell (Активувати Cloud Shell) ().
2. Щоб створити екземпляр privatenet-us-vm, виконайте наведену нижче команду.

gcloud compute instances create privatenet-us-vm --zone={{{project_0.default_zone|Zone 1}}} --machine-type=e2-micro --subnet=privatesubnet-us --image-family=debian-12 --image-project=debian-cloud --boot-disk-size=10GB --boot-disk-type=pd-standard --boot-disk-device-name=privatenet-us-vm

3. Щоб переглянути список екземплярів віртуальних машин (відсортованих за зоною), виконайте наведену нижче команду.

gcloud compute instances list --sort-by=ZONE

4. У меню навігації () на консолі Cloud натисніть Compute Engine > VM instances (Екземпляри віртуальних машин).

Переконайтеся, що на консолі Cloud відображаються ті самі екземпляри віртуальних машин.

5. У розділі Columns (Стовпці) виберіть Zone (Зона).

   Є три екземпляри в зоні і один екземпляр у зоні . Однак ці екземпляри використовуються в трьох мережах VPC (managementnet, mynetwork і privatenet), причому всі екземпляри мають різні зони й мережі. Виконуючи наступне завдання, ви побачите, як це впливає на внутрішнє з’єднання.

Щоб підтвердити виконання завдання, натисніть Підтвердити виконання. Створіть екземпляри віртуальних машин

Примітка. Щоб переглянути додаткову інформацію про мережі для кожного екземпляра віртуальної машини, натисніть посилання nic0 у стовпці Internal IP (Внутрішня IP-адреса). На сторінці мережевого інтерфейсу відобразиться інформація про підмережу з діапазоном IP-адрес у форматі CIDR, правилами брандмауера й маршрутами відповідного екземпляра та інші дані аналізу мережі.

Завдання 4. Ознайомтеся з можливостями підключення в різних мережах

Ознайомтеся з можливостями підключення до екземплярів віртуальних машин. Зокрема, порівняйте, як працюють екземпляри віртуальних машин, розміщені в одній зоні, і екземпляри віртуальних машин в одній мережі VPC.

Надішліть запит ping на зовнішні IP-адреси

Надішліть запит ping на зовнішні IP-адреси екземплярів віртуальних машин, щоб перевірити, чи можете ви підключитися до них із мережі Інтернет.

1. У меню навігації на консолі Google Cloud натисніть Compute Engine > VM instances (Екземпляри віртуальних машин).
   Зафіксуйте зовнішні IP-адреси екземплярів mynet-notus-vm, managementnet-us-vm і privatenet-us-vm.
2. Щоб отримати доступ до екземпляра віртуальної машини mynet-us-vm через SSH, виконайте наведену нижче команду.

gcloud compute ssh mynet-us-vm \ --zone={{{ project_0.default_zone | Zone 1}}} \ --tunnel-through-iap

3. Щоб перевірити підключення до зовнішньої IP-адреси екземпляра mynet-notus-vm, виконайте наведену нижче команду, указавши відповідну IP-адресу.

ping -c 3 <Введіть зовнішню IP-адресу екземпляра mynet-notus-vm тут>

Це має спрацювати.

4. Щоб перевірити підключення до зовнішньої IP-адреси екземпляра managementnet-us-vm, виконайте наведену нижче команду, указавши відповідну IP-адресу.

ping -c 3 <Введіть зовнішню IP-адресу екземпляра managementnet-us-vm тут>

Це має спрацювати.

5. Щоб перевірити підключення до зовнішньої IP-адреси екземпляра privatenet-us-vm, виконайте наведену нижче команду, указавши відповідну IP-адресу.

ping -c 3 <Введіть зовнішню IP-адресу екземпляра privatenet-us-vm тут>

Це має спрацювати.

Примітка. Ви можете надіслати запит ping на зовнішню IP-адресу всіх екземплярів віртуальних машин, навіть якщо вони в іншій зоні або мережі VPC. Це підтверджує, що загальний доступ до цих екземплярів контролюється лише правилами брандмауера ICMP, які ви встановили раніше.

Надішліть запит ping на внутрішні IP-адреси

Надішліть запит ping на внутрішні IP-адреси екземплярів віртуальних машин, щоб перевірити, чи можете ви підключитися до них із мережі VPC.

1. У меню навігації на консолі Cloud натисніть Compute Engine > VM instances (Екземпляри віртуальних машин).
   Зафіксуйте внутрішні IP-адреси екземплярів mynet-notus-vm, managementnet-us-vm і privatenet-us-vm.
2. Поверніться до сеансу SSH для екземпляра mynet-us-vm.
3. Щоб перевірити підключення до внутрішньої IP-адреси екземпляра mynet-notus-vm, виконайте наведену нижче команду, указавши відповідну IP-адресу.

ping -c 3 <Введіть внутрішню IP-адресу екземпляра mynet-notus-vm тут> Примітка. Ви можете надіслати запит ping на внутрішню IP-адресу екземпляра mynet-notus-vm, оскільки вона розміщена в одній мережі VPC з джерелом запиту ping (mynet-us-vm), хоча ці два екземпляри віртуальних машин розміщені в різних зонах, регіонах і на різних континентах.

4. Щоб перевірити підключення до внутрішньої IP-адреси екземпляра managementnet-us-vm, виконайте наведену нижче команду, указавши відповідну IP-адресу.

ping -c 3 <Введіть внутрішню IP-адресу екземпляра managementnet-us-vm тут> Примітка. Це не спрацює, про що свідчить втрата 100% пакетів.

5. Щоб перевірити підключення до внутрішньої IP-адреси екземпляра privatenet-us-vm, виконайте наведену нижче команду, указавши відповідну IP-адресу.

ping -c 3 <Введіть внутрішню IP-адресу екземпляра privatenet-us-vm тут> Примітка. Це також не спрацює, про що свідчить втрата 100% пакетів. Ви не можете надсилати запити ping на внутрішні IP-адреси екземплярів managementnet-us-vm і privatenet-us-vm, оскільки ці екземпляри й джерело запитів ping (mynet-us-vm) розміщуються в різних мережах VPC, незважаючи на те, що всі вони перебувають в одній зоні.

Завдання 5. Перевірка

На цьому практичному занятті ви ознайомилися з принципом роботи мережі за умовчанням і дізналися, що без мережі VPC не можна створити екземпляри віртуальних машин. Після цього ви створили нову автоматичну мережу VPC з підмережами, маршрутами, правилами брандмауера й двома екземплярами віртуальних машин, а також перевірили можливість підключення до цих екземплярів. Оскільки в робочій версії не рекомендується використовувати автоматичні мережі, ви перетворили автоматичну мережу на мережу з власним режимом.

Потім ви створили ще дві мережі VPC з власним режимом із правилами брандмауера й екземплярами віртуальних машин за допомогою консолі Cloud і командного рядка gcloud. Після цього ви перевірили можливість підключення в мережах VPC: надсилання запитів ping на зовнішні IP-адреси спрацювало, а на внутрішні IP-адреси – ні.

За умовчанням мережі VPC є ізольованими приватними мережевими доменами. Тому між мережами не допускається зв’язок внутрішніх IP-адрес, якщо тільки ви не налаштуєте такі механізми, як піринг VPC або VPN.

Завершіть практичне заняття

Закінчивши виконувати практичне заняття, натисніть кнопку End Lab (Завершити практичне заняття). Google Skills вилучить використані ресурси й очистить обліковий запис.

Ви зможете оцінити, наскільки вам сподобалося виконувати практичне заняття на платформі. Виберіть потрібну кількість зірочок, введіть коментар і натисніть Submit (Надіслати).

Кількість зірочок відповідає певній оцінці:

• 1 зірочка = зовсім не сподобалося
• 2 зірочки = не сподобалося
• 3 зірочки = не можу сказати напевно
• 4 зірочки = сподобалося
• 5 зірочок = дуже сподобалося

Якщо ви не хочете надсилати відгук, просто закрийте діалогове вікно.

Залишайте свої відгуки, пропозиції або коментарі на вкладці Support (Підтримка).

© Google LLC 2026. Усі права захищено. Назва й логотип Google є торговельними марками Google LLC. Усі інші назви компаній і продуктів можуть бути торговельними марками відповідних компаній, з якими вони пов’язані.