總覽

Google Cloud 虛擬私有雲 (VPC) 可為 Compute Engine 虛擬機器 (VM) 執行個體、Kubernetes Engine 容器及 App Engine 彈性環境提供網路功能。換句話說，如果沒有虛擬私有雲網路，您就無法建立 VM 執行個體、容器或 App Engine 應用程式。因此，每項 Google Cloud 專案都有一個預設網路，方便您立即開始執行所需工作。

虛擬私有雲網路是 Google Cloud 中的虛擬網路，概念與實體網路類似。虛擬私有雲網路是全域性資源，由多個資料中心內的一系列區域性虛擬子網路所組成。所有子網路均透過全域性廣域網路 (WAN) 相互連線。Google Cloud 中的虛擬私有雲網路在邏輯上彼此獨立。

在本實驗室中，您將建立有防火牆規則和兩個 VM 執行個體的自動模式虛擬私有雲網路網路，並探索 VM 執行個體的連線能力。

目標

在本實驗室中，您將瞭解如何執行下列工作：

• 探索預設虛擬私有雲網路
• 建立有防火牆規則的自動模式網路
• 使用 Compute Engine 建立 VM 執行個體
• 瞭解 VM 執行個體的連線能力

設定和需求

每個實驗室都會提供新的 Google Cloud 專案和一組資源，讓您在時限內免費使用。

1. 按一下「Start Lab」按鈕。如果研究室會產生費用，畫面中會出現選擇付款方式的彈出式視窗。左側的「Lab Details」窗格會顯示下列項目：

   • 「Open Google Cloud console」按鈕
   • 剩餘時間
   • 必須在這個研究室中使用的臨時憑證
   • 完成這個實驗室所需的其他資訊 (如有)

2. 點選「Open Google Cloud console」；如果使用 Chrome 瀏覽器，也能按一下滑鼠右鍵，選取「在無痕視窗中開啟連結」。

   接著，實驗室會啟動相關資源並開啟另一個分頁，當中顯示「登入」頁面。

   提示：您可以在不同的視窗中並排開啟分頁。

   注意：如果頁面中顯示「選擇帳戶」對話方塊，請點選「使用其他帳戶」。

3. 如有必要，請將下方的 Username 貼到「登入」對話方塊。

   {{{user_0.username | "Username"}}}

   您也可以在「Lab Details」窗格找到 Username。

4. 點選「下一步」。

5. 複製下方的 Password，並貼到「歡迎使用」對話方塊。

   {{{user_0.password | "Password"}}}

   您也可以在「Lab Details」窗格找到 Password。

6. 點選「下一步」。

   重要事項：請務必使用實驗室提供的憑證，而非自己的 Google Cloud 帳戶憑證。 注意：如果使用自己的 Google Cloud 帳戶來進行這個實驗室，可能會產生額外費用。

7. 按過後續的所有頁面：

   • 接受條款及細則。
   • 由於這是臨時帳戶，請勿新增救援選項或雙重驗證機制。
   • 請勿申請免費試用。

Google Cloud 控制台稍後會在這個分頁開啟。

注意：如要查看列出 Google Cloud 產品和服務的選單，請點選左上角的「導覽選單」，或在「搜尋」欄位輸入服務或產品名稱。

工作 1：探索預設網路

每項 Google Cloud 專案都有一個預設網路，其中包含子網路、路由和防火牆規則。

查看子網路

預設網路在各個 Google Cloud 區域中都有一個子網路。

1. 前往 Cloud 控制台，依序點選「導覽選單」圖示 >「虛擬私有雲網路」>「虛擬私有雲網路」。

2. 點選「預設」。

3. 點選「子網路」。

請注意預設網路及其子網路。
每個子網路皆與一個 Google Cloud 區域及一個私人 RFC 1918 CIDR 區塊相關聯，用於指定閘道和子網路的內部 IP 位址範圍。

查看路徑

路由可指示 VM 執行個體和虛擬私有雲網路如何將流量從執行個體傳送到該網路內或 Google Cloud 外的目的地。每個虛擬私有雲網路都含有一些預設路由，用於子網路之間的流量轉送，並將流量從符合資格的執行個體傳送到網際網路。

1. 點選左側窗格中的「路徑」。

2. 點選「有效路徑」中的「網路」，然後選取「default」。

3. 點選「區域」，並選取 Qwiklabs 指派給您的實驗室區域。

4. 點選「查看」。

   請注意各個子網路都有一個路徑。
   這些是代管路徑，不過您也能建立自訂的靜態路徑，將某些封包傳送至特定目的地。舉例來說，您可以建立路徑，將所有傳出流量傳送至設為 NAT 閘道的執行個體。

查看防火牆規則

每個虛擬私有雲網路都會導入可由您設定的分散式虛擬防火牆。透過防火牆規則，您可以控管哪些封包可傳送到哪些目的地。每個虛擬私有雲網路都設有兩個默示防火牆規則，分別會封鎖所有傳入連線及允許所有傳出連線。

• 在左側窗格中點選「防火牆」。
  請注意，預設網路含有以下 4 項 Ingress 防火牆規則：
  • default-allow-icmp
  • default-allow-rdp
  • default-allow-ssh
  • default-allow-internal

注意：這些防火牆規則允許來自任何位置 (0.0.0.0/0) 的 ICMP、RDP 和 SSH ingress 流量，以及 10.128.0.0/9 這個網路中的所有 TCP、UDP 和 ICMP 流量。您可以在「目標」、「篩選器」、「通訊協定/通訊埠」和「動作」欄中，查看這些規則的相關說明。

刪除防火牆規則

1. 選取所有預設網路防火牆規則。
2. 點選「刪除」。
3. 點選「刪除」即可確認刪除防火牆規則。

刪除預設網路

1. 前往 Cloud 控制台，依序點選「導覽選單」圖示 >「虛擬私有雲網路」>「虛擬私有雲網路」。
2. 選取「預設」網路。
3. 按一下「刪除虛擬私有雲網路」。
4. 點選「刪除」，以確認刪除「default」網路。
   請等待網路刪除完成，再繼續操作。
5. 點選左側窗格中的「路徑」。
   請注意，畫面上不會顯示任何路徑。
6. 在左側窗格中點選「防火牆」。
   請注意，畫面上不會顯示任何防火牆規則。

注意事項：如果沒有虛擬私有雲網路，就不會有路徑和防火牆規則！

嘗試建立 VM 執行個體

確認沒有虛擬私有雲網路，就無法建立 VM 執行個體。

1. 從「導覽選單」 依序點選「Compute Engine」>「VM 執行個體」。
2. 點選「建立執行個體」。
3. 保留預設值，然後點選「建立」。 「網路」分頁會顯示錯誤訊息。
4. 點選「查看問題」。
5. 請留意「網路介面」部分會顯示沒有其他網路和沒有可用網路的錯誤訊息。
6. 點選「取消」。

注意事項：一如預期，如果您沒有虛擬私有雲網路，就無法建立 VM 執行個體！

工作 2：建立虛擬私有雲網路和 VM 執行個體

請先建立虛擬私有雲網路，以便建立 VM 執行個體。

建立含有防火牆規則的自動模式虛擬私有雲網路

請建立自動模式網路來複製 default 網路。

1. 從「導覽選單」 依序點選「虛擬私有雲網路」>「虛擬私有雲網路」。
2. 點選「建立虛擬私有雲網路」。
3. 在「名稱」部分，輸入 mynetwork。
4. 在「子網路建立模式」部分，點選「自動」。 自動模式網路會自動在各個區域建立子網路。
5. 在「防火牆規則」部分，選取所有可用的規則。 這些是預設網路原先採用的標準防火牆規則。 雖然畫面中也會顯示 deny-all-ingress 和 allow-all-egress，不過您無法勾選或取消勾選這些規則，因為兩者都是默示規則。這兩項規則的優先順序較低 (「優先順序」欄的整數值越大，代表優先順序越低)，因此系統會先考量 allow-icmp、allow-custom、allow-rdp 和 allow-ssh 規則。
6. 點選「建立」。 新的網路準備就緒之後，您會發現每個區域均已建立子網路。
7. 查看 和 內子網路的 IP 位址範圍。

注意事項：如果刪除了預設網路，只要按照剛剛的方式建立自動模式網路，即可快速重新建立預設網路。重新建立網路之後，防火牆規則會從 allow-internal 變更為 allow-custom。

在 中建立 VM 執行個體

請在 區域中建立 VM 執行個體。一旦選取區域和可用區，系統就會決定要使用的子網路，並從子網路的 IP 位址範圍中指派內部 IP 位址。

1. 從「導覽選單」 依序點選「Compute Engine」>「VM 執行個體」。

2. 點選「建立執行個體」。

3. 指定下列屬性：

   屬性	值 (按照指示輸入值或選取選項)
   名稱	mynet-us-vm
   區域
   可用區

4. 「系列」請選取「E2」。

5. 「機型」請選取「e2-micro」(2 個 vCPU，1 GB 記憶體)。

6. 點選「建立」。

在 中建立 VM 執行個體

請在 區域建立 VM 執行個體。

1. 點選「建立執行個體」。

2. 指定下列屬性，其餘設定保持預設狀態：

   屬性	值 (按照指示輸入值或選取選項)
   名稱	mynet-r2-vm
   區域
   可用區

3. 「系列」請選取「E2」。

4. 「機型」請選取「e2-micro」(2 個 vCPU，1 GB 記憶體)。

5. 點選「建立」。

注意事項：這兩個 VM 執行個體的外部 IP 位址都是臨時位址。執行個體停止之後，獲派的所有臨時外部 IP 位址都會釋出並回到一般 Compute Engine 集區，供其他專案使用。

停止的執行個體再次啟動時，會獲派新的臨時外部 IP 位址。另外，您可以預留靜態外部 IP 位址，無限期將特定位址指派給專案，直到您明確釋出為止。

點選「Check my progress」，確認目標已達成。 建立虛擬私有雲網路和 VM 執行個體

工作 3：瞭解 VM 執行個體的連線能力

探索 VM 執行個體的連線能力。具體來說，請試著透過 SSH 使用 tcp:22 連線至您的 VM 執行個體，並運用 ICMP 對 VM 執行個體的內部和外部 IP 位址進行連線偵測 (ping)。接著，請逐一移除防火牆規則，藉此瞭解防火牆規則對連線的作用。

驗證 VM 執行個體的連線能力

您透過 mynetwork 建立的防火牆規則會允許來自 mynetwork 內部 (內部 IP) 和外部 (外部 IP) 的 SSH 和 ICMP ingress 流量。

1. 從「導覽選單」 依序點選「Compute Engine」>「VM 執行個體」。
   請記下 mynet-r2-vm 的內外部 IP 位址。

2. 在「mynet-us-vm」部分，點選「SSH」來啟動終端機並進行連線。

3. 如果出現「授權」彈出式視窗，請點選「授權」。

注意事項：由於設有 allow-ssh 防火牆規則，您可以透過 SSH 進行連線，該項規則會針對 tcp:22，允許從任何位置 (0.0.0.0/0) 傳入的流量。SSH 連線得以順暢運作，是因為 Compute Engine 會產生安全殼層金鑰，並透過下列其中一種方式儲存：

• 根據預設，Compute Engine 會將產生的金鑰新增至專案或執行個體中繼資料。
• 如果您的帳戶已設為使用 OS 登入，Compute Engine 會將產生的金鑰儲存於您的使用者帳戶。

另外，您可以建立安全殼層金鑰，並編輯公開安全殼層金鑰中繼資料，藉此控管 Linux 執行個體的存取權。

3. 為測試連至 mynet-r2-vm 內部 IP 的連線能力，請執行下列指令，並輸入 mynet-r2-vm 的內部 IP：

ping -c 3 <Enter mynet-r2-vm's internal IP here>

由於設有 allow-custom 防火牆規則，您可以對 mynet-r2-vm 的內部 IP 進行連線偵測 (ping)。

4. 為測試連至 mynet-r2-vm 外部 IP 的連線能力，請執行下列指令，並輸入 mynet-r2-vm 的外部 IP：

ping -c 3 <Enter mynet-r2-vm's external IP here>

注意：與預期相同，您可以透過 SSH 連至 mynet-us-vm，並對 mynet-r2-vm 的內外部 IP 位址進行連線偵測 (ping)。同樣地，您也能透過 SSH 連至 mynet-r2-vm，並對 mynet-us-vm 的內外部 IP 位址進行連線偵測 (ping)。

移除 allow-icmp 防火牆規則

請移除 allow-icmp 防火牆規則，並試著對 mynet-r2-vm 的內外部 IP 位址進行連線偵測 (ping)。

1. 從「導覽選單」 依序點選「虛擬私有雲網路」>「防火牆」。

2. 選取「mynetwork-allow-icmp」規則。

3. 點選「刪除」。

4. 點選「刪除」即可確認刪除。
   等待防火牆規則刪除完成。

5. 返回 mynet-us-vm 的 SSH 終端機。

6. 為測試連至 mynet-r2-vm 內部 IP 的連線能力，請執行下列指令，並輸入 mynet-r2-vm 的內部 IP：

ping -c 3 <Enter mynet-r2-vm's internal IP here>

由於設有 allow-custom 防火牆規則，您可以對 mynet-r2-vm 的內部 IP 進行連線偵測 (ping)。

7. 為測試連至 mynet-r2-vm 外部 IP 的連線能力，請執行下列指令，並輸入 mynet-r2-vm 的外部 IP：

ping -c 3 <Enter mynet-r2-vm's external IP here> 注意：「100% packet loss」代表您無法對 mynet-r2-vm 的外部 IP 進行連線偵測 (ping)。這是正常情況，因為您刪除了 allow-icmp 防火牆規則。

移除 allow-custom 防火牆規則

請移除 allow-custom 防火牆規則，並試著對 mynet-r2-vm 的內部 IP 位址進行連線偵測 (ping)。

1. 從「導覽選單」 依序點選「虛擬私有雲網路」>「防火牆」。
2. 選取「mynetwork-allow-custom」規則。
3. 點選「刪除」。
4. 點選「刪除」即可確認刪除。
   等待防火牆規則刪除完成。
5. 返回 mynet-us-vm 的 SSH 終端機。
6. 為測試連至 mynet-r2-vm 內部 IP 的連線能力，請執行下列指令，並輸入 mynet-r2-vm 的內部 IP：

ping -c 3 <Enter mynet-r2-vm's internal IP here> 注意：「100% packet loss」代表您無法對 mynet-r2-vm 的內部 IP 進行連線偵測 (ping)。這是正常情況，因為您刪除了 allow-custom 防火牆規則。

7. 關閉 SSH 終端機：

exit

移除 allow-ssh 防火牆規則

請移除 allow-ssh 防火牆規則，並試著透過 SSH 連線至 mynet-us-vm。

1. 從「導覽選單」 依序點選「虛擬私有雲網路」>「防火牆」。
2. 選取「mynetwork-allow-ssh」規則。
3. 點選「刪除」。
4. 點選「刪除」即可確認刪除。
5. 等待防火牆規則刪除完成。
6. 從「導覽選單」依序點選「Compute Engine」>「VM 執行個體」。
7. 在「mynet-us-vm」部分，點選「SSH」來啟動終端機並進行連線。

注意事項：由於您刪除了 allow-ssh 防火牆規則，你會看到「無法連線」的訊息，代表透過 SSH 連線至 mynet-us-vm 的作業失敗！

工作 4：回顧

在這個實驗室中，您探索了預設網路，以及預設網路的子網路、路徑和防火牆規則。刪除預設網路後，您確認了沒有虛擬私有雲網路時，無法建立任何 VM 執行個體。

因此，您建立了新的自動模式虛擬私有雲網路，內含子網路、路徑、防火牆規則和兩個 VM 執行個體。隨後，您測試了 VM 執行個體的連線能力，並瞭解防火牆規則對連線的作用。

關閉研究室

如果您已完成研究室，請按一下「End Lab」(關閉研究室)。Google Cloud Skills Boost 會移除您使用的資源，並清除所用帳戶。

您可以針對研究室的使用體驗評分。請選取合適的星級評等並提供意見，然後按一下「Submit」(提交)。

星級評等代表您的滿意程度：

• 1 星 = 非常不滿意
• 2 星 = 不滿意
• 3 星 = 普通
• 4 星 = 滿意
• 5 星 = 非常滿意

如果不想提供意見回饋，您可以直接關閉對話方塊。

如有任何想法、建議或指教，請透過「Support」(支援) 分頁提交。

Copyright 2022 Google LLC 保留所有權利。Google 和 Google 標誌是 Google LLC 的商標，其他公司和產品名稱則有可能是其關聯公司的商標。