Carregando...
Nenhum resultado encontrado.

Aplique suas habilidades no console do Google Cloud

Instruções e requisitos de configuração do laboratório
Proteja sua conta e seu progresso. Sempre use uma janela anônima do navegador e suas credenciais para realizar este laboratório.

Implementar o Acesso privado do Google e o Cloud NAT (Azure)

Laboratório 1 hora 20 minutos universal_currency_alt 5 créditos show_chart Introdutório
info Este laboratório pode incorporar ferramentas de IA para ajudar no seu aprendizado.
Este conteúdo ainda não foi otimizado para dispositivos móveis.
Para aproveitar a melhor experiência, acesse nosso site em um computador desktop usando o link enviado a você por e-mail.

Como engenheiro de rede ou arquiteto de soluções, você pode vivenciar situações em que precisa de uma camada extra de segurança e/ou privacidade em sua arquitetura de rede. Por exemplo, talvez você precise de determinados recursos para iniciar conexões com redes externas ou até mesmo com a Internet pública, mas não quer que conexões não autorizadas tenham acesso a seus recursos particulares.

No Microsoft Azure, você usaria o Endpoint particular do Azure para reforçar a segurança e a privacidade. Trata-se de uma interface de rede que conecta seus recursos do Azure de forma privada a um serviço que é alimentado pelo Azure Private Link. Essa interface fornece comunicação privada entre sua rede virtual e os serviços do Azure sem usar um endereço IP público ou exposição na Internet.

Essa privacidade é obtida usando o gateway de conversão de endereços de rede (NAT) do Azure. O gateway NAT do Azure é um gateway de rede gerenciado e altamente disponível que fornece conectividade de saída de sua rede virtual para a Internet ou outras redes. Ele permite que você compartilhe um único endereço IP público para acesso de saída à Internet para suas máquinas virtuais (VMs).

Ao usar esses recursos do Azure, você pode aplicar o controle sobre o tráfego na sua rede, manter suas conexões privadas e interagir com suas VMs sem expô-las à Internet pública.

Diagrama do Azure

Pensando nisso, há algumas perguntas que você pode estar se fazendo ao trabalhar no Google Cloud:

  • Como você pode manter as conexões privadas?
  • Como é possível se conectar e interagir com suas VMs sem expô-las à Internet pública?
  • Como aplicar um controle granular sobre o tráfego na sua rede?

Agora você vai descobrir como dar segurança à sua arquitetura de rede no Google Cloud.

Visão geral

Neste laboratório, você vai implementar o Acesso privado do Google e o Cloud NAT em uma instância de VM que não tem um endereço IP externo. Depois você vai confirmar o acesso aos endereços IP públicos de APIs e serviços do Google, além de outras conexões com a Internet.

As instâncias de VM sem endereços IP externos são isoladas das redes externas. Usando o Cloud NAT, essas instâncias podem acessar a Internet para atualizações, patches e até inicialização, em alguns casos. Como um serviço gerenciado, o Cloud NAT oferece alta disponibilidade sem a necessidade de intervenção e gerenciamento de usuários.

Objetivos

Neste laboratório, você vai aprender o seguinte:

  • Configurar uma instância de VM sem um endereço IP externo
  • Conectar-se a uma instância de VM usando um túnel do Identity-Aware Proxy (IAP)
  • Ativar o Acesso privado do Google em uma sub-rede
  • Configurar um gateway do Cloud NAT
  • Confirmar o acesso aos endereços IP públicos de APIs e serviços do Google e a outras conexões com a Internet

Para cada laboratório, você recebe um novo projeto do Google Cloud e um conjunto de recursos por um determinado período e sem custos financeiros.

  1. Faça login no Qwiklabs em uma janela anônima.

  2. Confira o tempo de acesso do laboratório (por exemplo, 1:15:00) e finalize todas as atividades nesse prazo.
    Não é possível pausar o laboratório. Você pode reiniciar o desafio, mas vai precisar refazer todas as etapas.

  3. Quando tudo estiver pronto, clique em Começar o laboratório.

  4. Anote as credenciais (Nome de usuário e Senha). É com elas que você vai fazer login no Console do Google Cloud.

  5. Clique em Abrir Console do Google.

  6. Clique em Usar outra conta, depois copie e cole as credenciais deste laboratório nos locais indicados.
    Se você usar outras credenciais, vai receber mensagens de erro ou cobranças.

  7. Aceite os termos e pule a página de recursos de recuperação.

Tarefa 1: criar a instância de VM

Crie uma rede VPC com algumas regras de firewall e uma instância de VM que não tenha um endereço IP externo e depois se conecte à instância usando um túnel do IAP.

Criar uma rede VPC e regras de firewall

Primeiro crie uma rede VPC para a instância de VM e uma regra de firewall que permita acesso SSH.

  1. No console do Cloud, acesse o Menu de navegação (Ícone do menu de navegação) e clique em Rede VPC > Redes VPC.

  2. Clique em Criar rede VPC.

  3. Em Nome, digite privatenet.

  4. Em Modo de criação da sub-rede, clique em Personalizado.

  5. Em Nova sub-rede, não mude as configurações restantes e especifique os valores a seguir:

    Propriedade Valor (digite o valor ou selecione a opção conforme especificado)
    Nome privatenet-us
    Região
    Intervalo de endereços IPv4 10.130.0.0/20
Observação: não ative o Acesso privado do Google ainda.

  1. Clique em Concluído.

  2. Clique em Criar e aguarde a criação da rede.

  3. No painel esquerdo, clique em Firewall.

  4. Clique em Criar regra de firewall.

  5. Especifique os seguintes valores e não mude as configurações restantes:

    Propriedade Valor (digite o valor ou selecione a opção conforme especificado)
    Nome privatenet-allow-ssh
    Rede privatenet
    Destinos Todas as instâncias na rede
    Filtro de origem Intervalos IPv4
    Intervalos IPv4 de origem 35.235.240.0/20
    Portas e protocolos Portas e protocolos especificados

  6. Em TCP, clique na caixa de seleção e especifique a porta 22.

  7. Selecione Criar.

Observação: para se conectar à instância privada usando SSH, abra a porta adequada no firewall. As conexões do IAP são parte de um conjunto específico de endereços IP (35.235.240.0/20). Portanto, é possível limitar a regra a esse intervalo de CIDR.

Criar a instância de VM sem um endereço IP público

  1. No console do Cloud, acesse o menu de navegação (Ícone do menu de navegação) e clique em Compute Engine > Instâncias de VM.

  2. Clique em Criar instância.

  3. Na página Configuração da máquina, especifique as informações a seguir e mantenha as outras configurações no padrão:

    Propriedade Valor (digite o valor ou selecione a opção conforme especificado)
    Nome vm-internal
    Região
    Zona
    Série E2
    Tipo de máquina e2-medium (2 vCPUs, 4 GB de memória)

  4. Clique em SO e armazenamento.

  5. Se a Imagem mostrada não for Debian GNU/Linux 12 (bookworm), clique em Alterar, selecione Debian GNU/Linux 12 (bookworm) e clique em Selecionar.

  6. Clique em Rede.

  7. Em Interfaces de rede, edite a interface de rede especificando o seguinte:

    Propriedade Valor (digite o valor ou selecione a opção conforme especificado)
    Rede privatenet
    Sub-rede privatenet-us
    Endereço IPv4 externo Nenhum
Observação: a instância de VM tem como padrão um endereço IP externo temporário. É possível alterar essa configuração com uma restrição de política no âmbito da organização ou do projeto. Para saber mais sobre como controlar endereços IP externos em instâncias de VM, confira a documentação sobre endereços IP externos.
  1. Clique em Concluído.
  2. Clique em Criar e aguarde a criação da instância de VM.
  3. Na página Instâncias de VM, verifique se o IP externo de vm-internal está definido como Nenhum.

Clique em Verificar meu progresso para conferir o objetivo. Crie a instância de VM

Acessar vm_internal via SSH para testar o túnel do IAP

  1. No console do Cloud, clique em Ativar o Cloud Shell (Cloud Shell).
  2. Se for solicitado, clique em Continuar.
  3. Para se conectar a vm-internal, execute o seguinte comando:
gcloud compute ssh vm-internal --zone {{{project_0.default_zone|ZONE}}} --tunnel-through-iap
  1. Se for solicitado, clique em Autorizar.
  2. Se precisar continuar, pressione Y.
  3. Quando for solicitada uma senha longa, pressione ENTER.
  4. Quando for solicitada a mesma senha longa, pressione ENTER.

  1. Para testar a conectividade externa de vm-internal, execute o seguinte comando:
ping -c 2 www.google.com

Essa operação não vai funcionar porque vm-internal não tem um endereço IP externo.

  1. Espere o comando ping terminar.
  2. Para voltar à instância do Cloud Shell, execute o seguinte comando:
exit Observação: as instâncias sem endereços IP externos só podem ser acessadas por outras instâncias na rede usando um gateway VPN gerenciado ou um túnel do Cloud IAP. O Cloud IAP ativa o acesso baseado no contexto para as VMs via SSH e RDP sem Bastion Hosts. Se quiser saber mais, confira a postagem do blog Cloud IAP ativa o acesso a VMs com base em contexto usando SSH e RDP sem Bastion Hosts (em inglês).

Tarefa 2: ativar o Acesso privado do Google

As instâncias de VM que não têm endereços IP externos podem usar o Acesso privado do Google para acessar endereços IP externos de APIs e serviços do Google. Por padrão, o Acesso privado do Google está desativado em uma rede VPC.

Criar um bucket do Cloud Storage

Crie um bucket do Cloud Storage para testar o acesso a APIs e serviços do Google.

  1. No console do Cloud, acesse o menu de navegação (Ícone do menu de navegação) e clique em Cloud Storage > Buckets.

  2. Clique em Criar.

  3. Especifique os seguintes valores e não mude as configurações restantes:

    Propriedade Valor (digite o valor ou selecione a opção conforme especificado)
    Nome Digite um nome globalmente exclusivo
    Tipo de local Multirregional

  4. Clique em Criar. Se precisar ativar a prevenção contra acessos públicos, confira se essa opção está ativada e clique em Confirmar. Anote o nome do bucket de armazenamento.

  5. Armazene o nome do seu bucket em uma variável de ambiente:

export MY_BUCKET=[enter your bucket name here]
  1. Verifique usando o comando "echo":
echo $MY_BUCKET

Copiar um arquivo de imagem para o bucket

Copie uma imagem de um bucket público do Cloud Storage para seu próprio bucket.

  1. No Cloud Shell, execute este comando:
gcloud storage cp gs://cloud-training/gcpnet/private/access.svg gs://$MY_BUCKET
  1. No console do Cloud, clique no nome do bucket para verificar se a imagem foi copiada.

É possível clicar no nome da imagem no console do Cloud para ver um exemplo de implementação do Acesso privado do Google.

Acessar a imagem na sua instância de VM

  1. No Cloud Shell, execute o comando a seguir para copiar a imagem do bucket:
gcloud storage cp gs://$MY_BUCKET/*.svg .

Essa operação vai funcionar porque o Cloud Shell tem um endereço IP externo.

  1. Para se conectar a vm-internal, execute o seguinte comando:
gcloud compute ssh vm-internal --zone {{{project_0.default_zone|ZONE}}} --tunnel-through-iap

  1. Se for solicitado, digite Y para continuar.

  2. Armazene o nome do seu bucket em uma variável de ambiente:

export MY_BUCKET=[enter your bucket name here]
  1. Verifique usando o comando "echo":
echo $MY_BUCKET
  1. Tente copiar a imagem para vm-internal com o comando a seguir:
gcloud storage cp gs://$MY_BUCKET/*.svg .

Essa operação não vai funcionar porque vm-internal só pode enviar tráfego dentro da rede VPC. Isso acontece porque o Acesso privado do Google está desativado (por padrão).

  1. Pressione Ctrl+Z para interromper a solicitação.

Ativar o Acesso privado do Google

O Acesso privado do Google é ativado no âmbito da sub-rede. Depois disso, as instâncias na sub-rede que tiverem apenas endereços IP privados poderão enviar tráfego para APIs e serviços do Google pela rota padrão (0.0.0.0/0) com um próximo salto para o gateway de Internet padrão.

  1. No console do Cloud, acesse o Menu de navegação (Ícone do menu de navegação) e clique em Rede VPC > Redes VPC.
  2. Clique em privatenet para abrir a rede.
  3. Clique em Sub-redes e em privatenet-us.
  4. Clique em Editar.
  5. Em Acesso privado do Google, selecione Ativado.
  6. Clique em Salvar.

Clique em Verificar meu progresso para conferir o objetivo. Crie um bucket do Cloud Storage e ative o Acesso privado do Google

Observação para ativar o Acesso privado do Google, selecione Ativado na sub-rede.
  1. Execute este comando no Cloud Shell de vm-internal e tente copiar a imagem para vm-internal.
gcloud storage cp gs://$MY_BUCKET/*.svg .

Essa operação vai funcionar porque o Acesso privado do Google está ativado para a sub-rede de vm-internal.

  1. Para voltar à instância do Cloud Shell, execute o seguinte comando:
exit Observação: para conferir as APIs e serviços que você pode usar com o Acesso privado do Google, acesse Guia de opções de acesso particular para serviços.

Tarefa 3: configurar um gateway do Cloud NAT

Agora vm-internal pode acessar determinados serviços e APIs do Google sem um endereço IP externo, mas a instância ainda não pode acessar a Internet para receber atualizações e patches. Configure um gateway do Cloud NAT para permitir que vm-internal acesse a Internet.

Tente atualizar as instâncias de VM

  1. No Cloud Shell, execute o seguinte comando para sincronizar novamente o índice de pacotes:
sudo apt-get update

O resultado deve ser parecido com este (exemplo de resposta):

... Reading package lists... Done

Essa operação vai funcionar porque o Cloud Shell tem um endereço IP externo.

  1. Para se conectar a vm-internal, execute o seguinte comando:
gcloud compute ssh vm-internal --zone {{{project_0.default_zone|ZONE}}} --tunnel-through-iap
  1. Se for solicitado, digite Y para continuar.
  2. Execute o seguinte comando para sincronizar novamente o índice de pacotes de vm-internal:
sudo apt-get update

Essa operação vai funcionar apenas para pacotes do Google Cloud porque vm-internal só tem acesso a APIs e serviços do Google.

  1. Pressione Ctrl+C para interromper a solicitação.

Configurar um gateway do Cloud NAT

O Cloud NAT é um recurso regional. Ele pode ser configurado para permitir o tráfego de todos os intervalos de sub-redes de uma região, de determinadas sub-redes ou de intervalos de CIDR primários e secundários específicos.

  1. Na barra de título do console do Google Cloud, digite Serviços de rede no campo de Pesquisa e clique em Serviços de rede nos resultados da pesquisa.

  2. Em Serviço de rede, clique em Fixar ao lado desse item.

  3. Clique em Cloud NAT.

  4. Selecione Comece agora para configurar um gateway do NAT.

  5. Especifique o seguinte:

    Propriedade Valor (digite o valor ou selecione a opção conforme especificado)
    Nome do gateway nat-config
    Rede privatenet
    Região

  6. Em Cloud Router, selecione Criar novo roteador.

  7. Em Nome, digite nat-router.

  8. Selecione Criar.

Observação: na seção "Mapeamento NAT", é possível escolher as sub-redes que serão associadas ao gateway NAT. Também é possível atribuir manualmente os endereços IP estáticos que serão usados na operação NAT. Não altere a configuração de mapeamento NAT neste laboratório.
  1. Selecione Criar.
  2. Espere o status do gateway mudar para Em execução.

Clique em Verificar meu progresso para conferir o objetivo. Configure um gateway do Cloud NAT

Verifique o gateway do Cloud NAT

Pode levar até três minutos para a configuração NAT ser propagada na VM. Espere pelo menos um minuto antes de tentar acessar a Internet novamente.

  1. No Cloud Shell de vm-internal, execute o comando abaixo para tentar sincronizar novamente o índice de pacotes de vm-internal:
sudo apt-get update

O resultado deve ser parecido com este (exemplo de resposta):

... Reading package lists... Done

Essa operação vai funcionar porque vm-internal está usando o gateway do NAT.

  1. Para voltar à instância do Cloud Shell, execute o seguinte comando:
exit Observação: o gateway do Cloud NAT implementa apenas NAT de saída, não de entrada. Isso quer dizer que os hosts fora da rede VPC respondem a conexões iniciadas pelas instâncias, mas não estabelecem novas conexões com elas usando NAT.

Tarefa 4: configurar e visualizar registros com a geração de registros do Cloud NAT

A geração de registros do Cloud NAT permite registrar erros e conexões NAT. Quando esse recurso está ativado, uma entrada de registro pode ser gerada para cada um dos seguintes cenários:

  • Quando uma conexão de rede que usa NAT é criada.
  • Quando um pacote é descartado porque nenhuma porta estava disponível para NAT.

É possível registrar os dois tipos de eventos ou apenas um deles. Os registros criados são enviados para o Cloud Logging.

Como ativar a geração de registros

Se a geração de registros estiver ativada, todos os registros coletados serão enviados ao Cloud Logging por padrão. É possível filtrá-los para que somente determinados registros sejam enviados.

Você também pode especificar esses valores ao criar ou editar um gateway do NAT. As instruções a seguir mostram como ativar a geração de registros para um gateway do NAT.

  1. No console do Google Cloud, acesse o Menu de navegação (Ícone do menu de navegação) e clique em Serviços de rede > Cloud NAT.

  2. Selecione o gateway nat-config e depois Editar.

  3. Clique no menu suspenso Configurações avançadas para abrir essa seção.

  4. Em Logging, selecione Tradução e erros e clique em Salvar.

Geração de registros do NAT no Cloud Logging

Agora que você configurou a geração de registros do Cloud NAT para o gateway nat-config, veja onde encontrar os registros.

  1. Clique em nat-config para ver os detalhes. Em seguida, clique no link para Análise de registros.

  2. Uma nova guia da Análise de registros será aberta.

Como esse recurso acabou de ser ativado para o gateway, ainda não há registros.

Observação: mantenha esta guia aberta e retorne para a outra guia do console do Google Cloud.

Como gerar registros

Não se esqueça de que os registros do Cloud NAT são gerados para as seguintes sequências:

  • quando uma conexão de rede que usa NAT é criada;
  • quando um pacote é descartado porque nenhuma porta estava disponível para NAT.

Agora conecte o host novamente à VM interna para ver se algum registro é gerado.

  1. No Cloud Shell de vm-internal, execute o comando abaixo para tentar sincronizar novamente o índice de pacotes de vm-internal:
gcloud compute ssh vm-internal --zone {{{project_0.default_zone|ZONE}}} --tunnel-through-iap
  1. Se for solicitado, digite Y para continuar.
  2. Execute o seguinte comando para sincronizar novamente o índice de pacotes de vm-internal:
sudo apt-get update

O resultado deve ser parecido com este (exemplo de resposta):

... Reading package lists... Done
  1. Para voltar à instância do Cloud Shell, execute o seguinte comando:
exit

Agora veja se a conexão revelou algo novo nos registros.

Como visualizar os registros

  • Retorne à guia da Geração de registros de observabilidade e no menu de navegação, clique em Análise de registros.

Dois novos registros gerados vão aparecer após a conexão com a VM interna.

Observação: talvez seja necessário aguardar alguns minutos. Se ainda assim os registros não aparecerem, repita as etapas 1 a 4 da seção Como gerar registros e depois atualize a página de geração de registros.

Os registros incluem detalhes sobre a rede VPC conectada e o método usado para isso. Se quiser, expanda os rótulos e os detalhes para ver as informações.

Tarefa 5: revisão

Você criou a instância vm-internal sem um endereço IP externo e se conectou a ela de modo seguro usando um túnel do IAP. Depois você ativou o Acesso privado do Google, configurou um gateway do NAT e confirmou que vm-internal pode acessar APIs e serviços do Google, além de outros endereços IP públicos.

As instâncias de VM sem endereços IP externos são isoladas das redes externas. Usando o Cloud NAT, essas instâncias podem acessar a Internet para atualizações, patches e até inicialização, em alguns casos. Como um serviço gerenciado, o Cloud NAT oferece alta disponibilidade sem a necessidade de intervenção e gerenciamento de usuários.

O IAP usa os papéis e permissões atuais do projeto quando você se conecta às instâncias de VM. Por padrão, os proprietários da instância são os únicos que têm o papel Usuário do túnel protegido pelo IAP.

Para saber como permitir que outros usuários acessem suas VMs usando o encapsulamento do IAP, confira o Guia sobre como conceder acesso a mais usuários no Centro de arquitetura do Cloud.

O Acesso privado do Google e o Google Cloud NAT são dois recursos do Google Cloud que oferecem soluções de conectividade de rede, enquanto seus equivalentes no Microsoft Azure são o Private Link e o gateway NAT do Azure.

Veja um resumo das semelhanças e diferenças entre os dois serviços:

Semelhanças

  • As duas plataformas permitem o acesso privado aos recursos de nuvem pelos endereços IP privados, permitindo que os clientes acessem os serviços de forma privada, sem passar pela Internet pública.
  • As duas plataformas de nuvem aumentam a segurança ao limitar a exposição à Internet pública e ao permitir controles de acesso mais rígidos.
  • Tanto o Azure Private Link quanto o Acesso privado do Google usam uma arquitetura semelhante, em que a rede virtual do cliente é conectada à rede do provedor de serviços de nuvem usando uma conexão privada.
  • Ambas as plataformas oferecem serviços de conversão de endereços de rede (NAT) na nuvem, permitindo que os clientes compartilhem um número limitado de endereços IP públicos entre vários recursos.

Diferenças

  • O Google Cloud NAT é um recurso que fornece serviços NAT de saída para instâncias sem endereços IP públicos, enquanto o gateway NAT do Azure é um recurso que fornece serviços de NAT de saída para redes virtuais.
  • O Google Cloud NAT aceita configurações NAT de um para muitos e NAT de muitos para um, enquanto o gateway NAT do Azure aceita apenas NAT de um para muitos.
  • O Google Cloud NAT usa um único endereço IP NAT para todas as instâncias que usam o serviço, enquanto o gateway NAT do Azure permite que os clientes especifiquem um pool de endereços IP públicos para NAT.
  • O Acesso privado do Google permite que os clientes acessem os Serviços do Google de forma privada em uma rede VPC, enquanto o Private Link é um recurso do Azure que permite o acesso aos serviços do Azure de forma privada.
  • O Acesso privado do Google permite que os clientes acessem os Serviços do Google usando endereços IP privados, enquanto o Private Link permite que os clientes acessem os serviços do Azure usando Endpoints particulares do Azure, que são interfaces de rede virtual para o serviço.

Finalize o laboratório

Clique em Terminar o laboratório após a conclusão. O Google Cloud Ensina remove os recursos usados e limpa a conta por você.

Você vai poder avaliar sua experiência no laboratório. Basta selecionar o número de estrelas, digitar um comentário e clicar em Enviar.

O número de estrelas indica o seguinte:

  • 1 estrela = muito insatisfeito
  • 2 estrelas = insatisfeito
  • 3 estrelas = neutro
  • 4 estrelas = satisfeito
  • 5 estrelas = muito satisfeito

Feche a caixa de diálogo se não quiser enviar feedback.

Para enviar seu feedback, fazer sugestões ou correções, use a guia Suporte.

Copyright 2026 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos podem ser marcas registradas das empresas a que estão associados.

Antes de começar

  1. Os laboratórios criam um projeto e recursos do Google Cloud por um período fixo
  2. Os laboratórios têm um limite de tempo e não têm o recurso de pausa. Se você encerrar o laboratório, vai precisar recomeçar do início.
  3. No canto superior esquerdo da tela, clique em Começar o laboratório

Usar a navegação anônima

  1. Copie o nome de usuário e a senha fornecidos para o laboratório
  2. Clique em Abrir console no modo anônimo

Fazer login no console

  1. Faça login usando suas credenciais do laboratório. Usar outras credenciais pode causar erros ou gerar cobranças.
  2. Aceite os termos e pule a página de recursos de recuperação
  3. Não clique em Terminar o laboratório a menos que você tenha concluído ou queira recomeçar, porque isso vai apagar seu trabalho e remover o projeto

Este conteúdo não está disponível no momento

Você vai receber uma notificação por e-mail quando ele estiver disponível

Ótimo!

Vamos entrar em contato por e-mail se ele ficar disponível

Um laboratório por vez

Confirme para encerrar todos os laboratórios atuais e iniciar este

Use a navegação anônima para executar o laboratório

A melhor maneira de executar este laboratório é usando uma janela de navegação anônima ou privada. Isso evita conflitos entre sua conta pessoal e a conta de estudante, o que poderia causar cobranças extras na sua conta pessoal.