Servizio di indirizzo IP pubblico
Il servizio di rete degli indirizzi IP pubblici (esterni) ti consente di connetterti da internet a una macchina virtuale (VM) dei carichi di lavoro, a un'appliance di gestione o a un bilanciatore del carico in esecuzione nel tuo cloud privato. Ad esempio, se esegui un server web sulla VM del carico di lavoro, puoi gestire il traffico web utilizzando un indirizzo IP pubblico tramite internet. Per impostazione predefinita, il servizio di rete IP pubblico è disabilitato.
L'allocazione di un indirizzo IP pubblico a una risorsa offre anche i seguenti vantaggi:
- Prevenzione degli attacchi Distributed Denial of Service (DDoS). Questa protezione viene attivata automaticamente per l'indirizzo IP pubblico.
- Monitoraggio del traffico sempre attivo e mitigazione in tempo reale degli attacchi comuni a livello di rete.
- Protezione e mitigazione degli attacchi su tutta la scala della rete globale. La rete può essere utilizzata per distribuire e mitigare il traffico degli attacchi in tutte le regioni.
Comportamento
Un indirizzo IP pubblico può essere assegnato a un solo indirizzo IP privato e l'indirizzo IP pubblico è dedicato a questo indirizzo IP privato finché non annulli l'assegnazione. Una risorsa associata a un indirizzo IP pubblico utilizza sempre l'indirizzo IP pubblico per l'accesso a internet. Puoi prenotare fino a 100 indirizzi IP pubblici per la rete VPC principale connessa a VMware Engine.
Per impostazione predefinita, il traffico in entrata da un indirizzo IP pubblico viene negato e è consentito solo l'accesso a internet in uscita. Per consentire il traffico in entrata, crea una regola firewall per l'indirizzo IP pubblico nella porta specifica.
Prerequisiti di gcloud e API
Per utilizzare lo strumento a riga di comando gcloud
o l'API per gestire le risorse VMware Engine, ti consigliamo di configurare gli strumenti come descritto di seguito.
gcloud
Imposta l'ID progetto predefinito:
gcloud config set project PROJECT_ID
Imposta una regione e/o una zona predefinite:
gcloud config set compute/region REGION
gcloud config set compute/zone ZONE
Per ulteriori informazioni sullo strumento gcloud vmware
, consulta la documentazione di riferimento di Cloud SDK.
API
Gli esempi di API in questo set di documentazione utilizzano lo strumento a riga di comando cURL
per eseguire query sull'API. È richiesto un token di accesso valido per la richiesta cURL
.
Esistono molti modi per ottenere un token di accesso valido. I passaggi seguenti utilizzano lo strumento gcloud
per generare un token di accesso:
Accedi a Google Cloud
gcloud auth login
Genera token di accesso ed esporta in TOKEN
export TOKEN=`gcloud auth print-access-token`
Verifica che TOKEN sia impostato correttamente
echo $TOKEN Output: TOKEN
Ora utilizza il token di autorizzazione nelle richieste all'API. Ad esempio:
curl -X GET -H "Authorization: Bearer \"$TOKEN\"" -H "Content-Type: application/json; charset=utf-8" https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations
Python
Gli esempi di codice Python in questa documentazione utilizzano la libreria VMware Engine per comunicare con l'API. Per poter utilizzare questo approccio, è necessario installare la libreria e configurare le Credenziali predefinite dell'applicazione.
Scarica e installa la libreria Python
pip install google-cloud-vmwareengine
Configura le informazioni dell'ADC eseguendo il comando nella shell
gcloud auth application-default login
o utilizza un file della chiave dell'account di servizio
export GOOGLE_APPLICATION_CREDENTIALS="FILE_PATH"
Per maggiori informazioni sulla libreria, visita la pagina di riferimento o visualizza gli esempi di codice su GitHub.
Abilitazione del servizio di rete IP pubblico in una regione
Prima di poter allocare un indirizzo IP pubblico a una VM di un carico di lavoro, devi abilitare il servizio di rete IP pubblico nella regione:
Console
- Accedi al portale VMware Engine.
- Vai a Rete > Impostazioni regionali.
- Nella riga corrispondente all'area geografica di interesse, seleziona Modifica. Se la regione non è elencata nella tabella di riepilogo, aggiungila facendo clic su Aggiungi regione.
- Imposta Servizio IP pubblico su Abilitato.
- Per abilitare il servizio IP pubblico, devi abilitare anche il servizio di rete di accesso a internet.
- È possibile abilitare il servizio di accesso a internet e lasciare disabilitato il servizio IP pubblico. In questo caso, l'allocazione di IP pubblici e VPN point-to-site non sarà disponibile.
- Nel campo CIDR servizi periferico, inserisci l'intervallo di indirizzi da utilizzare per gli indirizzi al gateway IP pubblico VMware Engine (intervallo di indirizzi /26).
- Fai clic su Invia.
Lo stato del servizio di rete passa a Enabled quando l'operazione è completata, in genere dopo diversi minuti.
gcloud
Utilizzando lo strumento gcloud
, esegui questo comando per creare il criterio di rete:
gcloud vmware network-policies create NETWORK_POLICY_NAME \ --vmware-engine-network NETWORK_NAME --edge-services-cidr IP_RANGE \ --location REGION --external-ip-access --internet-access
Sostituisci quanto segue:
NETWORK_POLICY_NAME
: il nome di questo criterio di reteNETWORK_NAME
: la rete per questa richiesta, deve essere nel formatoREGION-default
IP_RANGE
: l'intervallo CIDR da utilizzare per l'accesso a internet e i gateway di accesso IP esterni, con notazione CIDR. È richiesto un blocco CIDR RFC 1918 con prefisso "/26"REGION
: la regione della rete
API
curl -X POST -H "Authorization: Bearer TOKEN" -H "Content-Type: application/json; charset=utf-8" https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies?networkPolicyId=NETWORK_POLICY_NAME -d '{ "vmwareEngineNetwork":"projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/NETWORK_NAME", "edgeServiceCidr":IP_RANGE, "internetAccess: { "enabled": true }, "externalIp": { "enabled": true } }
Sostituisci quanto segue:
NETWORK_POLICY_NAME
: il nome di questo criterio di rete.PROJECT_ID
: l'ID progetto per questa richiestaREGION
: la regione della reteIP_RANGE
: l'intervallo CIDR da utilizzare per l'accesso a internet e i gateway di accesso IP esterni, con notazione CIDR. È richiesto un blocco CIDR RFC 1918 con prefisso "/26".NETWORK_NAME
: la rete a cui si applica questo criterio di rete deve essere nel formato>REGION-default
Python
Crea un nuovo criterio di rete con external_ip e internet_access impostati su True
con la seguente funzione:
Allocazione di un indirizzo IP pubblico
Per allocare un indirizzo IP pubblico per una VM di un carico di lavoro, segui questi passaggi:
- Accedi al portale Google Cloud VMware Engine
- Vai a Rete > IP pubblici.
- Fai clic su Assegna.
- Nel campo Nome, inserisci un nome per identificare la voce dell'indirizzo IP pubblico.
- Seleziona il Private Cloud che contiene la VM del carico di lavoro.
- Seleziona la Località in cui vuoi pubblicare l'IP pubblico allocato.
- Nel campo Indirizzo locale collegato, inserisci l'indirizzo IP locale della VM a cui vuoi assegnare questo indirizzo IP pubblico.
- Fai clic su Invia per iniziare l'attività di allocazione dell'indirizzo IP pubblico.
Puoi controllare lo stato dell'attività nella pagina Attività > Attività. Una volta completata l'allocazione, la nuova voce viene visualizzata nella pagina IP pubblici con lo stato Operazionale.