Überblick

In diesem Lab implementieren Sie den privaten Google-Zugriff und Cloud NAT für eine VM-Instanz ohne externe IP-Adresse. Anschließend prüfen Sie den Zugriff auf öffentliche IP-Adressen von Google APIs und Diensten sowie andere Verbindungen zum Internet.

VM-Instanzen ohne externe IP-Adressen sind von externen Netzwerken isoliert. Mithilfe von Cloud NAT können diese Instanzen auf das Internet zugreifen, um Updates und Patches abzurufen. In einigen Fällen wird es auch zum Bootstrapping verwendet. Cloud NAT ist ein verwalteter Dienst, mit dem sich Hochverfügbarkeit ohne Nutzerverwaltung und -interaktion erreichen lässt.

Ziele

Aufgaben in diesem Lab:

• VM-Instanz ohne externe IP-Adresse konfigurieren
• Verbindung zu einer VM-Instanz mithilfe eines IAP-Tunnels (Identity-Aware Proxy) herstellen
• Privaten Google-Zugriff für ein Subnetz aktivieren
• Cloud NAT-Gateway konfigurieren
• Zugriff auf öffentliche IP-Adressen von Google APIs und Diensten sowie andere Verbindungen zum Internet prüfen

Einrichtung und Anforderungen

Für jedes Lab werden Ihnen ein neues Google Cloud-Projekt und die entsprechenden Ressourcen für eine bestimmte Zeit kostenlos zur Verfügung gestellt.

1. Klicken Sie auf Lab starten. Wenn Sie für das Lab bezahlen müssen, wird ein Pop-up-Fenster geöffnet, in dem Sie Ihre Zahlungsmethode auswählen können. Auf der linken Seite befindet sich der Bereich Details zum Lab mit diesen Informationen:

   • Schaltfläche Google Cloud Console öffnen
   • Restzeit
   • Temporäre Anmeldedaten für das Lab
   • Ggf. weitere Informationen für dieses Lab

2. Klicken Sie auf Google Cloud Console öffnen (oder klicken Sie mit der rechten Maustaste und wählen Sie Link in Inkognitofenster öffnen aus, wenn Sie Chrome verwenden).

   Im Lab werden Ressourcen aktiviert. Anschließend wird ein weiterer Tab mit der Seite Anmelden geöffnet.

   Tipp: Ordnen Sie die Tabs nebeneinander in separaten Fenstern an.

   Hinweis: Wird das Dialogfeld Konto auswählen angezeigt, klicken Sie auf Anderes Konto verwenden.

3. Kopieren Sie bei Bedarf den folgenden Nutzernamen und fügen Sie ihn in das Dialogfeld Anmelden ein.

   {{{user_0.username | "Username"}}}

   Sie finden den Nutzernamen auch im Bereich Details zum Lab.

4. Klicken Sie auf Weiter.

5. Kopieren Sie das folgende Passwort und fügen Sie es in das Dialogfeld Willkommen ein.

   {{{user_0.password | "Password"}}}

   Sie finden das Passwort auch im Bereich Details zum Lab.

6. Klicken Sie auf Weiter.

   Wichtig: Sie müssen die für das Lab bereitgestellten Anmeldedaten verwenden. Nutzen Sie nicht die Anmeldedaten Ihres Google Cloud-Kontos. Hinweis: Wenn Sie Ihr eigenes Google Cloud-Konto für dieses Lab nutzen, können zusätzliche Kosten anfallen.

7. Klicken Sie sich durch die nachfolgenden Seiten:

   • Akzeptieren Sie die Nutzungsbedingungen.
   • Fügen Sie keine Wiederherstellungsoptionen oder Zwei-Faktor-Authentifizierung hinzu (da dies nur ein temporäres Konto ist).
   • Melden Sie sich nicht für kostenlose Testversionen an.

Nach wenigen Augenblicken wird die Google Cloud Console in diesem Tab geöffnet.

Hinweis: Wenn Sie eine Liste der Google Cloud-Produkte und ‑Dienste aufrufen möchten, klicken Sie oben links auf das Navigationsmenü oder geben Sie den Namen des Produkts oder Dienstes in das Feld Suchen ein.

Aufgabe 1: VM-Instanz erstellen

Sie erstellen ein VPC-Netzwerk mit einigen Firewallregeln und eine VM-Instanz ohne externe IP-Adresse. Anschließend stellen Sie über einen IAP-Tunnel eine Verbindung zur Instanz her.

VPC-Netzwerk und Firewallregeln erstellen

Als Erstes erstellen Sie ein VPC-Netzwerk für die VM-Instanz und eine Firewallregel, die SSH-Zugriff zulässt.

1. Klicken Sie in der Google Cloud Console im Navigationsmenü () auf VPC-Netzwerk > VPC-Netzwerke.

2. Klicken Sie auf VPC-Netzwerk erstellen.

3. Geben Sie unter Name die Bezeichnung privatenet ein.

4. Klicken Sie unter Modus für Subnetzerstellung auf Benutzerdefiniert.

5. Geben Sie unter Neues Subnetz die nachfolgenden Werte an und belassen Sie alle anderen Werte auf den Standardeinstellungen:

   Attribut	Wert (Wert eingeben beziehungsweise Option auswählen)
   Name	privatenet-us
   Region
   IPv4-Bereich	10.130.0.0/20

Hinweis: Aktivieren Sie die Option Privater Google-Zugriff noch nicht.

6. Klicken Sie auf Fertig.

7. Klicken Sie auf Erstellen und warten Sie, bis das Netzwerk erstellt ist.

8. Klicken Sie im linken Bereich auf Firewall.

9. Klicken Sie auf Firewallregel erstellen.

10. Legen Sie Folgendes fest und übernehmen Sie ansonsten die Standardeinstellungen:

    Attribut	Wert (Wert eingeben beziehungsweise Option auswählen)
    Name	privatenet-allow-ssh
    Netzwerk	privatenet
    Ziele	Alle Instanzen im Netzwerk
    Quellfilter	IPv4-Bereiche
    Quell-IPv4-Bereiche	35.235.240.0/20
    Protokolle und Ports	Angegebene Protokolle und Ports

11. Klicken Sie für tcp auf das Kästchen und geben Sie den Port 22 an.

12. Klicken Sie auf Erstellen.

Hinweis: Um eine SSH-Verbindung zu Ihrer privaten Instanz herzustellen, müssen Sie einen entsprechenden Port in der Firewall öffnen. IAP-Verbindungen stammen von einem bestimmten Satz von IP-Adressen (35.235.240.0/20). Daher können Sie die Regel auf diesen CIDR-Bereich beschränken.

VM-Instanz ohne öffentliche IP-Adresse erstellen

1. Klicken Sie in der Google Cloud Console im Navigationsmenü () auf Compute Engine > VM-Instanzen.

2. Klicken Sie auf Instanz erstellen.

3. Geben Sie auf der Seite Maschinenkonfiguration die nachfolgenden Werte an und belassen Sie alle anderen Werte auf den Standardeinstellungen:

   Attribut	Wert (Wert eingeben beziehungsweise Option auswählen)
   Name	vm-internal
   Region
   Zone
   Reihe	E2
   Maschinentyp	e2-standard-2 (2 vCPUs, 1 Kern, 8 GB Arbeitsspeicher)

4. Klicken Sie auf Betriebssystem und Speicher.

5. Wenn das angezeigte Image nicht Debian GNU/Linux 12 (Bookworm) ist, klicken Sie auf Ändern, wählen Sie Debian GNU/Linux 12 (Bookworm) aus und klicken Sie dann auf Auswählen.

6. Klicken Sie auf Netzwerke.

7. Bearbeiten Sie unter Netzwerkschnittstellen die Netzwerkschnittstelle, indem Sie die nachfolgenden Werte angeben:

   Attribut	Wert (Wert eingeben beziehungsweise Option auswählen)
   Netzwerk	privatenet
   Subnetzwerk	privatenet-us
   Externe IPv4-Adresse	Keine

Hinweis: Standardmäßig hat eine VM-Instanz eine sitzungsspezifische externe IP-Adresse. Das kann mit einer Richtlinieneinschränkung auf Organisations- oder Projektebene geändert werden. Weitere Informationen zum Steuern von externen IP-Adressen von VM-Instanzen finden Sie in der Dokumentation zu externen IP-Adressen.

8. Klicken Sie auf Fertig.
9. Klicken Sie auf Erstellen und warten Sie, bis die VM-Instanz fertig ist.
10. Prüfen Sie auf der Seite VM-Instanzen, ob im Feld Externe IP-Adresse für vm-internal der Wert – angegeben ist.

Klicken Sie auf Fortschritt prüfen. VM-Instanz erstellen

SSH-Verbindung zu "vm-internal" herstellen, um den IAP-Tunnel zu testen

1. Klicken Sie in der Cloud Console auf Cloud Shell aktivieren ().

2. Wenn Sie dazu aufgefordert werden, klicken Sie auf Weiter.

3. Wenn Sie zur Autorisierung aufgefordert werden, klicken Sie auf Autorisieren.

4. Führen Sie den folgenden Befehl in der Cloud Shell aus, um Auth einzurichten, ohne einen Browser zu öffnen.

   gcloud auth login --no-launch-browser

   Wenn Sie die Eingabeaufforderung [Y/n] erhalten, drücken Sie Y und dann die EINGABETASTE.

   Sie erhalten damit einen Link zum Öffnen in Ihrem Browser. Öffnen Sie den Link in dem Browser, mit dem Sie sich im Lab-Konto angemeldet haben. Wenn Sie angemeldet sind, erhalten Sie einen Bestätigungscode zum Kopieren. Fügen Sie diesen Code in die Cloud Shell ein.

5. Stellen Sie dann eine Verbindung zu vm-internal her, indem Sie den folgenden Befehl ausführen:

gcloud compute ssh vm-internal --zone {{{project_0.default_zone|ZONE}}} --tunnel-through-iap

6. Wenn Sie gefragt werden, ob Sie fortfahren möchten, geben Sie Y ein.
7. Wenn Sie zur Eingabe einer Passphrase aufgefordert werden, drücken Sie die Eingabetaste.
8. Wenn Sie zur Eingabe derselben Passphrase aufgefordert werden, drücken Sie die Eingabetaste.

9. Führen Sie zum Testen der externen Konnektivität von vm-internal den folgenden Befehl aus:

ping -c 2 www.google.com

Dieser Befehl sollte nicht funktionieren, weil vm-internal keine externe IP-Adresse hat.

10. Warten Sie, bis der ping-Befehl abgeschlossen ist.
11. Führen Sie den folgenden Befehl aus, um zur Cloud Shell-Instanz zurückzukehren:

exit Hinweis: Wenn Instanzen keine externen IP-Adressen haben, können sie von anderen Instanzen im Netzwerk nur über ein verwaltetes VPN-Gateway oder einen Cloud IAP-Tunnel erreicht werden. Cloud IAP ermöglicht kontextsensitiven Zugriff auf VMs über SSH und RDP ohne Bastion Hosts. Weitere Informationen finden Sie im Blogpost Cloud IAP enables context-aware access to VMs via SSH and RDP without bastion hosts.

Aufgabe 2: Privaten Google-Zugriff aktivieren

VM-Instanzen ohne externe IP-Adressen können externe IP-Adressen von Google APIs und Diensten über privaten Google-Zugriff erreichen. In einem VPC-Netzwerk ist der private Google-Zugriff standardmäßig deaktiviert.

Cloud Storage-Bucket erstellen

Sie erstellen einen Cloud Storage-Bucket, um den Zugriff auf Google APIs und Dienste zu testen.

1. Wählen Sie in der Google Cloud Console im Navigationsmenü () die Option Cloud Storage > Buckets aus.

2. Klicken Sie auf +Erstellen.

3. Geben Sie Folgendes an und lassen Sie ansonsten die Standardeinstellungen unverändert:

   Attribut	Wert (Wert eingeben beziehungsweise Option auswählen)
   Name	Geben Sie einen global eindeutigen Namen ein.
   Standorttyp	Multiregional

4. Klicken Sie auf Erstellen. Wenn Sie aufgefordert werden, die Verhinderung des öffentlichen Zugriffs zu aktivieren, achten Sie darauf, dass das Häkchen gesetzt ist, und klicken Sie auf Bestätigen. Notieren Sie sich den Namen Ihres Storage-Buckets.

5. Speichern Sie den Namen Ihres Buckets in einer Umgebungsvariablen:

export MY_BUCKET=[enter your bucket name here]

6. Prüfen Sie dies mit dem echo-Befehl:

echo $MY_BUCKET

Bilddatei in Ihren Bucket kopieren

Sie kopieren ein Bild aus einem öffentlichen Cloud Storage-Bucket in Ihren eigenen.

1. Führen Sie in der Cloud Shell den folgenden Befehl aus:

gcloud storage cp gs://cloud-training/gcpnet/private/access.svg gs://$MY_BUCKET

2. Klicken Sie in der Cloud Console auf den Namen Ihres Buckets, um zu prüfen, ob das Bild kopiert wurde.

Sie können in der Cloud Console auf den Namen des Bilds klicken und sich so ein Beispiel dafür ansehen, wie der private Google-Zugriff implementiert wird.

Von der VM-Instanz auf das Bild zugreifen

1. Kopieren Sie in der Cloud Shell das Bild in Ihrem Bucket, indem Sie den folgenden Befehl ausführen:

gcloud storage cp gs://$MY_BUCKET/*.svg .

Dies sollte funktionieren, da die Cloud Shell über eine externe IP-Adresse verfügt.

2. Stellen Sie dann eine Verbindung zu vm-internal her, indem Sie den folgenden Befehl ausführen:

gcloud compute ssh vm-internal --zone {{{project_0.default_zone|ZONE}}} --tunnel-through-iap

3. Wenn Sie dazu aufgefordert werden, geben Sie Y ein, um fortzufahren.

4. Speichern Sie den Namen Ihres Buckets in einer Umgebungsvariablen:

export MY_BUCKET=[enter your bucket name here]

5. Prüfen Sie dies mit dem echo-Befehl:

echo $MY_BUCKET

6. Versuchen Sie, das Bild in vm-internal zu kopieren, indem Sie den folgenden Befehl ausführen:

gcloud storage cp gs://$MY_BUCKET/*.svg .

Dieser Befehl sollte nicht funktionieren, weil der private Google-Zugriff standardmäßig deaktiviert ist und vm-internal Traffic nur innerhalb des VPC-Netzwerks senden kann.

7. Drücken Sie STRG + C, um die Anfrage abzubrechen.

Privaten Google-Zugriff aktivieren

Der private Google-Zugriff wird auf Subnetzebene aktiviert. Damit können Instanzen im Subnetz, die nur private IP-Adressen haben, Traffic an Google APIs und Dienste über die Standardroute (0.0.0.0/0) mit dem Standard-Internetgateway als nächstem Hop senden.

1. Klicken Sie in der Cloud Console im Navigationsmenü () auf VPC-Netzwerk > VPC-Netzwerke.
2. Klicken Sie auf privatenet, um das Netzwerk zu öffnen.
3. Klicken Sie auf Subnetze und dann auf privatenet-us.
4. Klicken Sie auf Bearbeiten.
5. Wählen Sie für Privater Google-Zugriff die Option Ein aus.
6. Klicken Sie auf Speichern.

Klicken Sie auf Fortschritt prüfen. Cloud Storage-Bucket erstellen und privaten Google-Zugriff aktivieren

Tipp: Wählen Sie einfach Ein im Subnetz aus und der private Google-Zugriff wird aktiviert.

7. Führen Sie den folgenden Befehl in der Cloud Shell für vm-internal aus, um das Bild nach vm-internal zu kopieren:

gcloud storage cp gs://$MY_BUCKET/*.svg .

Dies sollte funktionieren, weil im Subnetz von vm-internal die Option Privater Google-Zugriff aktiviert ist.

8. Führen Sie den folgenden Befehl aus, um zur Cloud Shell-Instanz zurückzukehren:

exit Hinweis: Im Leitfaden zu privaten Zugriffsoptionen für Dienste finden Sie unter „Unterstützte Dienste“ die APIs und Dienste, die Sie mit dem privaten Google-Zugriff verwenden können.

Aufgabe 3: Cloud NAT-Gateway konfigurieren

Zwar kann vm-internal nun auch ohne externe IP-Adresse auf bestimmte Google APIs und Dienste zugreifen, nicht jedoch auf das Internet, um Updates und Patches abzurufen. Konfigurieren Sie ein Cloud NAT-Gateway, über das vm-internal das Internet erreichen kann.

VM-Instanzen aktualisieren

1. Führen Sie den folgenden Befehl aus, um in der Cloud Shell den Paketindex noch einmal zu synchronisieren:

sudo apt-get update

Die Ausgabe sieht in etwa so aus (Beispielausgabe):

... Reading package lists... Done

Dies sollte funktionieren, da Cloud Shell über eine externe IP-Adresse verfügt.

2. Stellen Sie dann eine Verbindung zu vm-internal her, indem Sie den folgenden Befehl ausführen:

gcloud compute ssh vm-internal --zone {{{project_0.default_zone|ZONE}}} --tunnel-through-iap

3. Wenn Sie dazu aufgefordert werden, geben Sie Y ein, um fortzufahren.
4. Um den Paketinhalt von vm-internal noch einmal zu synchronisieren, führen Sie den folgenden Befehl aus:

sudo apt-get update

Dies sollte nur für Google Cloud-Pakete funktionieren, da vm-internal nur auf Google APIs und Dienste zugreifen kann.

5. Drücken Sie STRG + C, um die Anfrage abzubrechen.

Cloud NAT-Gateway konfigurieren

Cloud NAT ist eine regionale Ressource. Sie können sie so konfigurieren, dass Traffic aus allen Bereichen aller Subnetze in einer Region, nur aus bestimmten Subnetzen in der Region oder nur aus bestimmten primären und sekundären CIDR-Bereichen zugelassen wird.

1. Geben Sie in der Titelleiste der Google Cloud Console Netzwerkdienste in das Suchfeld ein und klicken Sie dann im Bereich Produkte und Seiten auf Netzwerkdienste.

2. Klicken Sie auf der Seite Netzwerkdienst neben „Netzwerkdienste“ auf Anpinnen.

3. Klicken Sie auf Cloud NAT.

4. Klicken Sie auf Jetzt starten, um ein NAT-Gateway zu konfigurieren.

5. Geben Sie Folgendes an:

   Attribut	Wert (Wert eingeben bzw. Option auswählen)
   Name des Gateways	nat-config
   Netzwerk	privatenet
   Region

6. Wählen Sie für Cloud Router die Option Neuen Router erstellen aus.

7. Geben Sie unter Name die Bezeichnung nat-router ein.

8. Klicken Sie auf Erstellen.

Hinweis: Im Abschnitt „NAT-Zuordnung“ können Sie die Subnetze auswählen, die dem NAT-Gateway zugeordnet werden sollen. Sie können außerdem manuell statische IP-Adressen zuweisen, die bei der Ausführung von NAT verwendet werden sollen. Ändern Sie die Konfiguration der NAT-Zuordnung in diesem Lab nicht.

9. Klicken Sie auf Erstellen.
10. Warten Sie, bis sich der Status des Gateways in Wird ausgeführt ändert.

Klicken Sie auf Fortschritt prüfen. Cloud NAT-Gateway konfigurieren

Cloud NAT-Gateway prüfen

Es kann bis zu drei Minuten dauern, bis die NAT-Konfiguration auf die VM übertragen wird. Warten Sie daher mindestens eine Minute, bevor Sie noch einmal versuchen, auf das Internet zuzugreifen.

1. Führen Sie den folgenden Befehl aus, um in der Cloud Shell für vm-internal den Paketindex von vm-internal noch einmal zu synchronisieren:

sudo apt-get update

Die Ausgabe sieht in etwa so aus (Beispielausgabe):

... Reading package lists... Done

Dies sollte funktionieren, da vm-internal das NAT-Gateway verwendet.

2. Führen Sie den folgenden Befehl aus, um zur Cloud Shell-Instanz zurückzukehren:

exit Hinweis: Ausgehender NAT-Traffic wird vom Cloud NAT-Gateway implementiert, eingehender NAT-Traffic jedoch nicht. Dies bedeutet, dass Hosts außerhalb Ihres VPC-Netzwerks nur auf Verbindungen reagieren können, die von Ihren Instanzen initiiert werden. Neue, externe Verbindungen mit Ihren Instanzen lassen sich nicht über NAT initiieren.

Aufgabe 4: Logs mit Cloud NAT-Logging konfigurieren und anzeigen

Cloud NAT-Logging ermöglicht das Logging von NAT-Verbindungen und Fehlern. Wenn Cloud NAT-Logging aktiviert ist, kann für jedes der folgenden Szenarien ein Logeintrag erstellt werden:

• Wenn eine Netzwerkverbindung mit NAT erstellt wird.
• Wenn ein Paket verworfen wird, weil kein Port für NAT verfügbar war.

Sie können wählen, ob Sie beide Arten von Ereignissen oder nur eines der beiden Ereignisse protokollieren möchten. Erstellte Logs werden an Cloud Logging gesendet.

Logging aktivieren

Wenn das Logging aktiviert ist, werden alle erfassten Logs standardmäßig an Cloud Logging gesendet. Sie können sie so filtern, dass nur bestimmte Logs gesendet werden.

Sie können diese Werte auch angeben, wenn Sie ein NAT-Gateway erstellen oder eines bearbeiten, nachdem es erstellt wurde. In der folgenden Anleitung wird gezeigt, wie Sie das Logging für ein vorhandenes NAT-Gateway aktivieren.

1. Klicken Sie in der Google Cloud Console im Navigationsmenü () auf Netzwerkdienste > Cloud NAT.

2. Klicken Sie auf das Gateway nat-config und dann auf Bearbeiten.

3. Klicken Sie auf das Drop-down-Menü Erweiterte Konfigurationen, um den Bereich zu öffnen.

4. Wählen Sie unter Logging die Option Übersetzung und Fehler aus und klicken Sie dann auf Speichern.

NAT-Logging in Cloud Logging

Nachdem Sie Cloud NAT-Logging für das Gateway nat-config eingerichtet haben, erfahren Sie nun, wo Sie die Logs einsehen können.

1. Klicken Sie auf nat-config, um sich die Details anzusehen. Klicken Sie dann auf Im Log-Explorer ansehen.

2. Dadurch wird ein neuer Tab mit dem Log-Explorer geöffnet.

Sie werden feststellen, dass noch keine Logs vorhanden sind, da wir diese Funktion gerade erst für das Gateway aktiviert haben.

Hinweis: Lassen Sie diesen Tab geöffnet und kehren Sie zum anderen Tab der Google Cloud Console zurück.

Logs erstellen

Zur Erinnerung: Cloud NAT-Logs werden für folgende Szenarien erstellt:

• Wenn eine Netzwerkverbindung mit NAT erstellt wird.
• Wenn ein Paket verworfen wird, weil kein Port für NAT verfügbar war.

Verbinden wir den Host wieder mit der internen VM, um zu prüfen, ob Logs erstellt werden.

1. Führen Sie den folgenden Befehl aus, um in der Cloud Shell für vm-internal den Paketindex von vm-internal noch einmal zu synchronisieren:

gcloud compute ssh vm-internal --zone {{{project_0.default_zone|ZONE}}} --tunnel-through-iap

2. Wenn Sie dazu aufgefordert werden, geben Sie Y ein, um fortzufahren.
3. Versuchen Sie, den Paketindex von vm-internal noch einmal zu synchronisieren. Führen Sie dazu den folgenden Befehl aus:

sudo apt-get update

Die Ausgabe sieht in etwa so aus (Beispielausgabe):

... Reading package lists... Done

4. Führen Sie den folgenden Befehl aus, um zur Cloud Shell-Instanz zurückzukehren:

exit

Schauen Sie nun nach, ob das Öffnen dieser Verbindung zu neuen Informationen in Ihren Logs geführt hat.

Logs ansehen

• Kehren Sie zum Tab „Log-Explorer“ zurück und klicken Sie im Navigationsmenü auf Log-Explorer.

Sie sollten zwei neue Logs sehen, die erstellt wurden, nachdem eine Verbindung zur internen VM hergestellt wurde.

Hinweis: Es kann einige Minuten dauern, bis die Logs angezeigt werden. Wenn Sie die Logs immer noch nicht sehen können, wiederholen Sie die Schritte 1 bis 4 aus dem Abschnitt Logs generieren und aktualisieren Sie dann die Logging-Seite.

Die Logs enthalten Details über das VPC-Netzwerk, mit dem Sie sich verbunden haben, und über die verwendete Verbindungsmethode. Sie können nach Belieben verschiedene Labels und Details maximieren.

Aufgabe 5: Zusammenfassung

Sie haben vm-internal erstellt, eine Instanz ohne externe IP-Adresse, und über einen IAP-Tunnel eine sichere Verbindung dazu hergestellt. Anschließend haben Sie den privaten Google-Zugriff aktiviert, ein NAT-Gateway konfiguriert und geprüft, ob vm-internal auf Google APIs und Dienste sowie andere öffentliche IP-Adressen zugreifen kann.

VM-Instanzen ohne externe IP-Adressen sind von externen Netzwerken isoliert. Mithilfe von Cloud NAT können diese Instanzen auf das Internet zugreifen, um Updates und Patches abzurufen. In einigen Fällen wird es auch zum Bootstrapping verwendet. Cloud NAT ist ein verwalteter Dienst, mit dem sich Hochverfügbarkeit ohne Nutzerverwaltung und -interaktion erreichen lässt.

Wenn Sie eine Verbindung zu VM-Instanzen herstellen, verwendet IAP Ihre vorhandenen Projektrollen und Berechtigungen. Standardmäßig sind die Inhaber*innen von Instanzen die einzigen mit der Rolle Nutzer IAP-gesicherter Tunnel.

Informationen dazu, wie Sie anderen Nutzerinnen und Nutzern den Zugriff auf Ihre VMs über IAP-Tunnel ermöglichen, finden Sie im Cloud Architecture Center.

Lab beenden

Wenn Sie das Lab abgeschlossen haben, klicken Sie auf Lab beenden. Google Cloud Skills Boost entfernt daraufhin die von Ihnen genutzten Ressourcen und bereinigt das Konto.

Anschließend erhalten Sie die Möglichkeit, das Lab zu bewerten. Wählen Sie die entsprechende Anzahl von Sternen aus, schreiben Sie einen Kommentar und klicken Sie anschließend auf Senden.

Die Anzahl der Sterne hat folgende Bedeutung:

• 1 Stern = Sehr unzufrieden
• 2 Sterne = Unzufrieden
• 3 Sterne = Neutral
• 4 Sterne = Zufrieden
• 5 Sterne = Sehr zufrieden

Wenn Sie kein Feedback geben möchten, können Sie das Dialogfeld einfach schließen.

Verwenden Sie für Feedback, Vorschläge oder Korrekturen den Tab Support.

© 2026 Google LLC. Alle Rechte vorbehalten. Google und das Google-Logo sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen können Marken der jeweils mit ihnen verbundenen Unternehmen sein.