Servizio di indirizzo IP pubblico
Il servizio di rete di indirizzi IP pubblici (esterni) ti consente di connetterti da internet a una macchina virtuale (VM), a un'appliance di gestione o a un bilanciatore del carico in esecuzione nel tuo cloud privato. Ad esempio, se esegui un server web sulla VM con carico di lavoro, puoi gestire il traffico web utilizzando un indirizzo IP pubblico attraverso internet. Per impostazione predefinita, il servizio di rete IP pubblica è disabilitato.
L'allocazione di un indirizzo IP pubblico a una risorsa offre anche i seguenti vantaggi:
- Prevenzione degli attacchi DDoS (Distributed Denial of Service). Questa protezione viene abilitata automaticamente per l'indirizzo IP pubblico.
- Monitoraggio del traffico sempre attivo e mitigazione in tempo reale degli attacchi più comuni a livello di rete.
- Protezione e mitigazione degli attacchi su tutta la scala della rete globale. La rete può essere utilizzata per distribuire e mitigare il traffico degli attacchi in tutte le regioni.
Comportamento
Un indirizzo IP pubblico può essere assegnato a un solo indirizzo IP privato e l'indirizzo IP pubblico è dedicato a questo indirizzo IP privato finché non annulli l'assegnazione. Una risorsa associata a un indirizzo IP pubblico utilizza sempre l'indirizzo IP pubblico per l'accesso a internet. Puoi prenotare fino a 100 indirizzi IP pubblici per la rete VPC principale connessa a VMware Engine.
Per impostazione predefinita, il traffico in entrata su un indirizzo IP pubblico viene negato e è consentito solo l'accesso a internet in uscita. Per consentire il traffico in entrata, crea una regola firewall per l'indirizzo IP pubblico sulla porta specifica.
Prerequisiti per gcloud e API
Per utilizzare lo strumento a riga di comando gcloud
o l'API per gestire le risorse VMware Engine, ti consigliamo di configurare gli strumenti come descritto di seguito.
gcloud
Imposta l'ID progetto predefinito:
gcloud config set project PROJECT_ID
Imposta una regione e/o una zona predefinite:
gcloud config set compute/region REGION
gcloud config set compute/zone ZONE
Per ulteriori informazioni sullo strumento gcloud vmware
, consulta la documentazione di riferimento di Cloud SDK.
API
Gli esempi di API in questo set di documentazione utilizzano lo strumento a riga di comando cURL
per eseguire query sull'API. È necessario un token di accesso valido per la richiesta cURL
.
Esistono molti modi per ottenere un token di accesso valido. I passaggi seguenti utilizzano lo strumento gcloud
per generare un token di accesso:
Accedi a Google Cloud
gcloud auth login
Genera il token di accesso ed esporta in TOKEN
export TOKEN=`gcloud auth print-access-token`
Verifica che TOKEN sia impostato correttamente
echo $TOKEN Output: TOKEN
Ora utilizza il token di autorizzazione nelle richieste all'API. Ad esempio:
curl -X GET -H "Authorization: Bearer \"$TOKEN\"" -H "Content-Type: application/json; charset=utf-8" https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations
Python
Gli esempi di codice Python in questa documentazione utilizzano la libreria VMware Engine per comunicare con l'API. Per poter utilizzare questo approccio, è necessario installare la libreria e configurare le Credenziali predefinite dell'applicazione.
scarica e installa la libreria Python
pip install google-cloud-vmwareengine
Configura le informazioni ADC eseguendo questi comandi nella shell
gcloud auth application-default login
o utilizzare un file di chiavi dell'account di servizio
export GOOGLE_APPLICATION_CREDENTIALS="FILE_PATH"
Per maggiori informazioni sulla libreria, visita la pagina di riferimento o visualizza gli esempi di codice su GitHub.
Abilitazione del servizio di rete IP pubblica in una regione
Prima di poter allocare un indirizzo IP pubblico a una VM del carico di lavoro, devi abilitare il servizio di rete IP pubblico nella regione:
Console
- Accedi al portale VMware Engine.
- Vai a Rete > Impostazioni regionali.
- Nella riga corrispondente alla regione di interesse, seleziona Modifica. Se la regione non è elencata nella tabella di riepilogo, aggiungila facendo clic su Aggiungi regione.
- Imposta Servizio IP pubblico su Abilitato.
- Per abilitare il servizio IP pubblico, devi abilitare anche il servizio di rete di accesso a internet.
- Puoi abilitare il servizio di accesso a internet e lasciare disabilitato il servizio IP pubblico. In questo caso, non saranno disponibili la VPN point-to-site e l'allocazione di IP pubblici.
- Nel campo Credenziale dei servizi Edge, inserisci l'intervallo di indirizzi da utilizzare per gli indirizzi del gateway IP pubblico di VMware Engine (intervallo di indirizzi /26).
- Fai clic su Invia.
Lo stato del servizio di rete diventa Enabled al completamento dell'operazione, in genere dopo diversi minuti.
gcloud
Utilizzando lo strumento gcloud
, esegui questo comando per creare un criterio di rete:
gcloud vmware network-policies create NETWORK_POLICY_NAME \ --vmware-engine-network NETWORK_NAME --edge-services-cidr IP_RANGE \ --location REGION --external-ip-access --internet-access
Sostituisci quanto segue:
NETWORK_POLICY_NAME
: il nome di questo criterio di reteNETWORK_NAME
: la rete per questa richiesta, deve essere nel formatoREGION-default
IP_RANGE
: l'intervallo CIDR da utilizzare per l'accesso a internet e i gateway di accesso IP esterni, in notazione CIDR. È richiesto un blocco CIDR RFC 1918 con prefisso "/26"REGION
: la regione della rete
API
curl -X POST -H "Authorization: Bearer TOKEN" -H "Content-Type: application/json; charset=utf-8" https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies?networkPolicyId=NETWORK_POLICY_NAME -d '{ "vmwareEngineNetwork":"projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/NETWORK_NAME", "edgeServiceCidr":IP_RANGE, "internetAccess: { "enabled": true }, "externalIp": { "enabled": true } }
Sostituisci quanto segue:
NETWORK_POLICY_NAME
: il nome del criterio di rete.PROJECT_ID
: l'ID progetto per questa richiestaREGION
: la regione della reteIP_RANGE
: l'intervallo CIDR da utilizzare per l'accesso a internet e i gateway di accesso IP esterni, in notazione CIDR. È richiesto un blocco CIDR RFC 1918 con prefisso "/26".NETWORK_NAME
: la rete a cui si applica questo criterio di rete deve essere nel formato>REGION-default
Python
Crea un nuovo criterio di rete con external_ip e internet_access impostati su True
con la seguente funzione:
Allocazione di un indirizzo IP pubblico
Per allocare un indirizzo IP pubblico per una VM del carico di lavoro:
- Accedi al portale Google Cloud VMware Engine
- Vai a Rete > IP pubblici.
- Fai clic su Assegna.
- Nel campo Nome, inserisci un nome per identificare la voce relativa all'indirizzo IP pubblico.
- Seleziona il Cloud privato che contiene la VM del carico di lavoro.
- Seleziona la località in cui vuoi gestire l'IP pubblico allocato.
- Nel campo Indirizzo locale collegato, inserisci l'indirizzo IP locale della VM a cui vuoi assegnare questo indirizzo IP pubblico.
- Fai clic su Invia per iniziare l'attività di allocazione dell'indirizzo IP pubblico.
Puoi controllare lo stato dell'attività nella pagina Attività > Tasks. Al termine dell'allocazione, la nuova voce viene visualizzata nella pagina IP pubblici con lo stato Operational.