Menyiapkan akses layanan pribadi
Akses layanan pribadi adalah koneksi pribadi antara jaringan Virtual Private Cloud (VPC) Anda dan jaringan di VMware Engine. Halaman ini menjelaskan cara menyiapkan akses layanan pribadi ke Google Cloud VMware Engine dan menghubungkan jaringan VPC ke cloud pribadi Anda.
Akses layanan pribadi memungkinkan perilaku berikut:
- Komunikasi eksklusif melalui alamat IP internal untuk instance virtual machine (VM) di jaringan VPC dan VM VMware. Instance VM tidak memerlukan akses internet atau alamat IP eksternal untuk menjangkau layanan yang tersedia melalui akses layanan pribadi.
- Komunikasi antara VM VMware dan layanan yang didukung Google Cloud, yang mendukung akses layanan pribadi menggunakan alamat IP internal.
- Penggunaan koneksi lokal yang ada untuk terhubung ke cloud pribadi VMware Engine, jika Anda memiliki konektivitas lokal yang menggunakan Cloud VPN atau Cloud Interconnect ke jaringan VPC Anda.
Anda dapat menyiapkan akses layanan pribadi secara terpisah dari pembuatan cloud pribadi VMware Engine. Koneksi pribadi dapat dibuat sebelum atau setelah pembuatan cloud pribadi tempat Anda ingin menghubungkan jaringan VPC.
-
Pastikan Anda memiliki peran berikut di project: Compute > Network Admin
Memeriksa peran
-
Di konsol Google Cloud, buka halaman IAM.
Buka IAM - Pilih project.
-
Di kolom Akun utama, cari baris yang berisi alamat email Anda.
Jika alamat email Anda tidak ada di kolom tersebut, berarti Anda tidak memiliki peran apa pun.
- Di kolom Peran untuk baris yang berisi alamat email Anda, periksa apakah daftar peran menyertakan peran yang diperlukan.
Memberikan peran
-
Di konsol Google Cloud, buka halaman IAM.
Buka IAM - Pilih project.
- Klik Berikan akses.
- Di kolom Akun utama baru, masukkan alamat email Anda.
- Di daftar Pilih peran, pilih peran.
- Untuk memberikan peran tambahan, klik Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
- Klik Simpan.
-
Sebelum memulai
- Temukan ID project yang di-peering jaringan VPC Anda dengan melakukan tindakan berikut:
- Di Konsol Google Cloud, buka Peering jaringan VPC. Koneksi peering jaringan VPC dengan nama servicenetworking-googleapis-com tercantum dalam tabel peering.
- Salin project ID yang di-peered agar Anda dapat menggunakannya saat menyiapkan koneksi pribadi di portal VMware Engine.
- Pilih jaringan VPC yang ingin dihubungkan ke akses layanan pribadi Anda dari opsi yang tersedia.
- Jika Anda menggunakan Cloud VPN untuk konektivitas lokal: pilih jaringan VPC yang terhubung ke sesi Cloud VPN Anda.
- Jika Anda menggunakan Cloud Interconnect untuk konektivitas lokal: pilih jaringan VPC tempat lampiran VLAN Cloud Interconnect Anda dihentikan.
- Aktifkan Service Networking API]network layanan yang memulai di project Anda.
- Pemilik project dan akun utama IAM dengan
peran Admin Jaringan Compute
(
roles/compute.networkAdmin) dapat membuat rentang IP yang dialokasikan dan mengelola koneksi pribadi. - Masukkan rentang alamat untuk koneksi layanan pribadi, untuk pengelolaan cloud pribadi, dan untuk segmen jaringan workload. Hal ini memastikan agar tidak ada konflik alamat IP antara subnet jaringan VPC Anda dan alamat IP yang Anda gunakan di VMware Engine.
Konektivitas multi-VPC
VMware Engine memungkinkan Anda mengakses cloud pribadi yang sama dari berbagai jaringan VPC tanpa perlu mengubah arsitektur VPC yang ada yang di-deploy di Google Cloud. Misalnya, konektivitas multi-VPC sangat berguna jika Anda memiliki jaringan VPC terpisah untuk pengujian dan pengembangan.
Situasi ini mengharuskan jaringan VPC untuk berkomunikasi dengan VM VMware atau alamat tujuan lainnya dalam grup resource vSphere terpisah di cloud pribadi yang sama atau di beberapa cloud pribadi.
Secara default, Anda dapat melakukan peering 3 jaringan VPC per region. Batas peering ini mencakup peering VPC yang digunakan oleh layanan jaringan akses internet. Untuk meningkatkan batas ini, hubungi Layanan Pelanggan Cloud.
VPC Bersama
Jika Anda menggunakan VPC Bersama, buat koneksi pribadi dan rentang IP yang dialokasikan di project host. Biasanya, administrator jaringan dalam project {i>host<i} harus melakukan tugas ini. Instance VM dalam project layanan dapat menggunakan koneksi pribadi setelah project host disiapkan.
Membuat koneksi pribadi
Untuk membuat koneksi pribadi, Anda harus terlebih dahulu membuat VPC Compute Engine dan koneksi akses layanan pribadi. Anda dapat melakukannya menggunakan Google Cloud CLI:
Membuat VPC Compute Engine dan koneksi akses layanan pribadi menggunakan Google Cloud CLI.
Untuk membuat VPC Compute Engine dan koneksi akses layanan pribadi menggunakan Google Cloud CLI, lakukan hal berikut:
Buat VPC dengan menjalankan perintah
gcloud compute networks create:gcloud compute networks create NETWORK_ID-vpc \ --subnet-mode=customGanti kode berikut:
NETWORK_ID: ID jaringan untuk permintaan ini.
Buat rentang yang dicadangkan dengan menjalankan perintah
gcloud compute addresses create:gcloud compute instances create VM_NAME \ [--image=IMAGE | --image-family=IMAGE_FAMILY] \ --image-project=IMAGE_PROJECT \ --machine-type=MACHINE_TYPE
gcloud compute addresses create RESERVED_RANGE_ID-range \ --global \ --purpose=VPC_PEERING \ --prefix-length=24 \ --description="DESCRIPTION" \ --network=RESERVED_RANGE_ID-vpcGanti kode berikut:
RESERVED_RANGE_ID: ID rentang yang dicadangkan untuk permintaan ini.DESCRIPTION: deskripsi untuk rentang yang dicadangkan ini.
Opsional: Jika Anda ingin mengekstrak project tenant jaringan layanan (SNTP) dan vpc untuk koneksi pribadi, jalankan perintah
gcloud compute networks peerings list:gcloud compute networks peerings list \ --network=NETWORK_ID
Temukan SNTP di kolom PEER_PROJECT dan SNVPC di PEER_NETWORK.
Buat koneksi pribadi dengan jenis PRIVATE_SERVICE_ACCESS dan mode pemilihan rute GLOBAL menggunakan Google Cloud CLI atau VMware Engine API:
gcloud
Buat koneksi pribadi dengan menjalankan perintah
gcloud vmware private-connections create:gcloud vmware private-connections create PRIVATE_CONNECTION_ID \ --location=REGION\ --description="" \ --vmware-engine-network=REGION-default \ --service-project=SERVICE_NETWORKING_TENANT_PROJECT\ --type=PRIVATE_SERVICE_ACCESS \ --routing-mode=GLOBAL
Ganti kode berikut:
PRIVATE_CONNECTION_ID: ID koneksi pribadi untuk permintaan ini.REGION: region tempat jaringan ini dibuat.SERVICE_NETWORKING_TENANT_PROJECT: nama project untuk VPC tenant jaringan layanan ini. Anda dapat menemukan SNTP di kolom PEER_PROJECT pada nama peeringservicenetworking-googleapis-com.
Opsional: Jika Anda ingin menampilkan koneksi pribadi, jalankan perintah
gcloud vmware private-connections create:gcloud vmware private-connections list \ --location=REGIONGanti kode berikut:
REGION: region jaringan yang akan dicantumkan.
API
Untuk membuat VPC Compute Engine dan koneksi akses layanan pribadi menggunakan VMware Engine API, lakukan hal berikut:
Buat koneksi pribadi dengan membuat permintaan
POST:POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections?private_connection_id=PRIVATE_CONNECTION_ID" -d '{ "description": "My first private connection", "vmware_engine_network": "projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/REGION -default", "type": "PRIVATE_SERVICE_ACCESS", "routing_mode": "GLOBAL", "service_network": "projects/SERVICE_NETWORKING_TENANT_PROJECT/global/networks/servicenetworking" }'Ganti kode berikut:
PRIVATE_CONNECTION_ID: ID koneksi pribadi untuk permintaan ini.REGION: region tempat koneksi pribadi ini dibuat.SERVICE_NETWORKING_TENANT_PROJECT: nama project untuk VPC tenant jaringan layanan ini. Anda dapat menemukan SNTP di kolom PEER_PROJECT pada nama peeringservicenetworking-googleapis-com.
Opsional: Jika Anda ingin mencantumkan koneksi pribadi, buat permintaan
GET:
GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections"
Ganti kode berikut:
PROJECT_ID: nama project untuk permintaan ini.REGION: region untuk menampilkan daftar koneksi pribadi.
Mengedit koneksi pribadi
Anda dapat mengedit koneksi pribadi menggunakan Google Cloud CLI atau VMware Engine API. Contoh berikut mengubah deskripsi dan memperbarui mode pemilihan rute menjadi REGIONAL:
gcloud
Edit koneksi pribadi dengan menjalankan perintah gcloud vmware private-connections
update:
gcloud vmware private-connections update PRIVATE_CONNECTION_ID \
--location=REGION \
--description="Updated description for the private connection" \
--routing-mode=REGIONAL
Ganti kode berikut:
PROJECT_ID: nama project untuk permintaan ini.REGION: region tempat mengupdate koneksi pribadi ini.PRIVATE_CONNECTION_ID: ID koneksi pribadi untuk permintaan ini.
API
Untuk mengedit koneksi pribadi menggunakan VMware Engine API, buat permintaan
PATCH:
PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID?update_mask=description, routing_mode" -d '{
"description": "Updated description for the private connection",
"routing_mode": "REGIONAL"
}'
Ganti kode berikut:
PROJECT_ID: nama project untuk permintaan ini.REGION: region tempat mengupdate koneksi pribadi ini.PRIVATE_CONNECTION_ID: ID koneksi pribadi untuk permintaan ini.
Menjelaskan koneksi pribadi
Untuk mendapatkan deskripsi koneksi pribadi apa pun menggunakan Google Cloud CLI atau VMware Engine API, lakukan hal berikut:
gcloud
Dapatkan deskripsi koneksi pribadi dengan menjalankan perintah gcloud vmware
private-connections describe:
gcloud vmware private-connections describe PRIVATE_CONNECTION_ID \
--location=REGION
Ganti kode berikut:
PRIVATE_CONNECTION_ID: ID koneksi pribadi untuk permintaan ini.REGION: region koneksi pribadi.
API
Untuk mendapatkan deskripsi koneksi pribadi menggunakan
VMware Engine API, buat permintaan GET:
GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID"
Ganti kode berikut:
PROJECT_ID: nama project untuk permintaan ini.PRIVATE_CONNECTION_ID: ID koneksi pribadi untuk permintaan ini.REGION: region koneksi pribadi.
Mencantumkan rute peering untuk koneksi pribadi
Untuk mencantumkan rute peering yang dipertukarkan untuk koneksi pribadi menggunakan Google Cloud CLI atau VMware Engine API, lakukan tindakan berikut:
gcloud
Buat daftar rute peering yang dipertukarkan untuk koneksi pribadi dengan menjalankan perintah gcloud vmware private-connections routes list:
gcloud vmware private-connections routes list \
--private-connection=PRIVATE_CONNECTION_ID \
--location=REGION
Ganti kode berikut:
PRIVATE_CONNECTION_ID: ID koneksi pribadi untuk permintaan ini.REGION: region koneksi pribadi.
API
Untuk mencantumkan rute peering yang dipertukarkan dengan koneksi pribadi menggunakan VMware Engine API, buat permintaan GET:
GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID/peeringRoutes"
Ganti kode berikut:
PROJECT_ID: nama project untuk permintaan ini.REGION: region koneksi pribadi.PRIVATE_CONNECTION_ID: ID koneksi pribadi untuk permintaan ini.
Batas pemilihan rute
Jumlah maksimum rute yang dapat diterima cloud pribadi adalah 200. Misalnya, rute tersebut dapat berasal dari jaringan lokal, jaringan VPC yang di-peering, dan cloud pribadi lainnya di jaringan VPC yang sama. Batas rute ini sesuai dengan jumlah maksimum pemberitahuan rute kustom Cloud Router per batas sesi BGP.
Di region tertentu, Anda dapat mengiklankan maksimal 100 rute unik dari VMware Engine ke jaringan VPC Anda menggunakan akses layanan pribadi. Misalnya, rute unik tersebut mencakup rentang alamat IP pengelolaan cloud pribadi, segmen jaringan workload NSX-T, dan rentang alamat IP jaringan HCX. Batas rute ini mencakup semua cloud pribadi di region dan sesuai dengan batas rute yang dipelajari Cloud Router.
Untuk mengetahui informasi tentang batas pemilihan rute, lihat Kuota dan batas Cloud Router.
Pemecahan masalah
Video berikut akan menunjukkan cara memverifikasi dan memecahkan masalah koneksi peering antara VPC Google Cloud dan Google Cloud VMware Engine.