Zugriff auf private Dienste einrichten

Der Zugriff auf private Dienste ist eine private Verbindung zwischen Ihrem Virtual Private Cloud-Netzwerk (VPC) und Netzwerken in VMware Engine. Auf dieser Seite wird erläutert, wie Sie den Zugriff auf private Dienste auf Google Cloud VMware Engine einrichten und Ihrem VPC-Netzwerk mit Ihrer privaten Cloud verbinden.

Der private Dienstzugriff ermöglicht Folgendes:

  • Exklusive Kommunikation über interne IP-Adressen zwischen VM-Instanzen in Ihrem VPC-Netzwerk und den VMware-VMs. VM-Instanzen erfordern keinen Internetzugang oder externe IP-Adressen, um verfügbare Dienste über den Zugriff auf private Dienste zu erreichen.
  • Kommunikation zwischen VMs von VMware und von Google Cloud unterstützten Diensten, die den Zugriff auf private Dienste über interne IP-Adressen unterstützen.
  • Verwendung einer vorhandenen lokalen Verbindung, um eine Verbindung zu Ihrer privaten VMware Engine-Cloud herzustellen, wenn eine lokale Verbindung über Cloud VPN oder Cloud Interconnect zu Ihrem VPC-Netzwerk existiert.

Sie können private Dienstzugriffe unabhängig von der Erstellung der privaten Cloud in VMware Engine einrichten. Die private Verbindung kann vor oder nach der Erstellung der privaten Cloud erstellt werden, mit der Sie Ihr VPC-Netzwerk verbinden möchten.

  1. Prüfen Sie, ob Sie die folgenden Rollen für das Projekt haben: Compute > Network Admin

    Auf Rollen prüfen

    1. Öffnen Sie in der Google Cloud Console die Seite IAM.

      IAM aufrufen
    2. Wählen Sie das Projekt aus.

    3. Suchen Sie in der Spalte Hauptkonto die Zeile mit Ihrer E-Mail-Adresse.

      Ist Ihre E-Mail-Adresse nicht in dieser Spalte enthalten, haben Sie keine Rollen.

    4. Prüfen Sie in der Spalte Rolle der Zeile mit Ihrer E-Mail-Adresse, ob die Liste der Rollen die erforderlichen Rollen enthält.

    Rollen zuweisen

    1. Öffnen Sie in der Google Cloud Console die Seite IAM.

      IAM aufrufen
    2. Wählen Sie das Projekt aus.
    3. Klicken Sie auf Zugriff erlauben.
    4. Geben Sie in das Feld Neue Hauptkonten Ihre E-Mail-Adresse ein.
    5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
    6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
    7. Klicken Sie auf Speichern.

Hinweise

  1. Suchen Sie die Peering-Projekt-ID Ihres VPC-Netzwerk. Gehen Sie dazu so vor:
    1. Gehen Sie in der Google Cloud Console zu VPC-Netzwerk-Peering. Eine VPC-Netzwerk-Peering-Verbindung namens servicenetworking-googleapis-com wird in der Peering-Tabelle aufgeführt.
    2. Kopieren Sie die Peering-Projekt-ID, damit Sie sie beim Einrichten einer privaten Verbindung im VMware Engine-Portal verwenden können.
  2. Wählen Sie aus den verfügbaren Optionen ein VPC-Netzwerk aus, um eine Verbindung zu Ihrem privaten Dienstzugriff herzustellen.
    • Wenn Sie Cloud VPN für lokale Verbindungen verwenden: Wählen Sie das VPC-Netzwerk aus, das mit Ihrer Cloud VPN-Sitzung verbunden ist.
    • Wenn Sie Cloud Interconnect für lokale Verbindungen verwenden, wählen Sie das VPC-Netzwerk aus, in dem Ihr Cloud Interconnect-VLAN-Anhang endet.
  3. Aktivieren Sie die Service Networking API]Dienstnetzwerke in Ihrem Projekt.
  4. Projektinhaber und IAM-Hauptkonten mit der Rolle „Compute Network Admin“ (roles/compute.networkAdmin) können zugewiesene IP-Bereiche erstellen und private Verbindungen verwalten.
  5. Geben Sie Adressbereiche für die private Dienstverbindung, für die Verwaltung der privaten Cloud und für Netzwerksegmente von Arbeitslasten ein. Dadurch wird sichergestellt, dass keine IP-Adresskonflikte zwischen den Subnetzen Ihres VPC-Netzwerk und den IP-Adressen, die Sie in der VMware Engine verwenden, auftreten.

Multi-VPC-Konnektivität

Mit VMware Engine können Sie über verschiedene VPC-Netzwerke auf dieselbe private Cloud zugreifen, ohne vorhandene VPC-Architekturen ändern zu müssen, die in Google Cloud bereitgestellt werden. Multi-VPC-Verbindungen sind beispielsweise nützlich, wenn Sie separate VPC-Netzwerke für Tests und Entwicklung haben.

In dieser Situation müssen VPC-Netzwerke mit VMware-VMs oder anderen Zieladressen in separaten vSphere-Ressourcengruppen in derselben privaten Cloud oder in mehreren privaten Clouds kommunizieren.

Standardmäßig können Sie drei VPC-Netzwerke pro Region über Peering verbinden. Dieses Peering-Limit umfasst das vom Netzwerkdienst für den Internetzugriff verwendete VPC-Peering. Wenn Sie dieses Limit erhöhen möchten, wenden Sie sich an Cloud Customer Care.

Freigegebene VPC

Wenn Sie eine freigegebene VPC verwenden, erstellen Sie den zugewiesenen IP-Bereich und die private Verbindung im Hostprojekt. Normalerweise muss ein Netzwerkadministrator im Hostprojekt diese Aufgaben ausführen. VM-Instanzen in Dienstprojekten können die private Verbindung verwenden, nachdem das Hostprojekt eingerichtet wurde.

Private Verbindung erstellen

Zum Erstellen einer privaten Verbindung müssen Sie zuerst eine Compute Engine-VPC und eine Verbindung für den privaten Dienstzugriff erstellen. Verwenden Sie dazu die Google Cloud CLI:

Erstellen Sie über die Google Cloud CLI eine Compute Engine-VPC und eine Verbindung für privaten Dienstzugriff.

So erstellen Sie eine Compute Engine-VPC und eine Verbindung für privaten Dienstzugriff über die Google Cloud CLI:

  1. Erstellen Sie mit dem Befehl gcloud compute networks create eine VPC:

    gcloud compute networks create NETWORK_ID-vpc \
    --subnet-mode=custom

    Ersetzen Sie Folgendes:

    • NETWORK_ID: die Netzwerk-ID für diese Anfrage.

  2. Erstellen Sie mit dem Befehl gcloud compute addresses create einen reservierten Bereich:

    gcloud compute instances create VM_NAME \
  [--image=IMAGE | --image-family=IMAGE_FAMILY] \
  --image-project=IMAGE_PROJECT \
  --machine-type=MACHINE_TYPE
    gcloud compute addresses create RESERVED_RANGE_ID-range \
    --global \
    --purpose=VPC_PEERING \
    --prefix-length=24 \
    --description="DESCRIPTION" \
    --network=RESERVED_RANGE_ID-vpc

    Ersetzen Sie Folgendes:

    • RESERVED_RANGE_ID: die ID des reservierten Bereichs für diese Anfrage.
    • DESCRIPTION ist eine Beschreibung für diesen reservierten Bereich.

  3. Optional: Wenn Sie ein Dienstnetzwerk-Mandantenprojekt (SNTP) und VPC für die private Verbindung extrahieren möchten, führen Sie den Befehl gcloud compute networks peerings list aus:

    gcloud compute networks peerings list \
   --network=NETWORK_ID

    Suchen Sie das SNTP in der Spalte PEER_PROJECT und die SNVPC in PEER_NETWORK.

Erstellen Sie mit der Google Cloud CLI oder der VMware Engine API eine private Verbindung mit dem Typ PRIVATE_SERVICE_ACCESS und dem Routingmodus GLOBAL:

gcloud

  1. Erstellen Sie mit dem Befehl gcloud vmware private-connections create eine private Verbindung:

    gcloud vmware private-connections create PRIVATE_CONNECTION_ID \
  --location=REGION\
  --description="" \
  --vmware-engine-network=REGION-default \
  --service-project=SERVICE_NETWORKING_TENANT_PROJECT\
  --type=PRIVATE_SERVICE_ACCESS \
  --routing-mode=GLOBAL

    Ersetzen Sie Folgendes:

    • PRIVATE_CONNECTION_ID: Die ID der privaten Verbindung für diese Anfrage.
    • REGION: Die Region, in der dieses Netzwerk erstellt werden soll.
    • SERVICE_NETWORKING_TENANT_PROJECT: der Projektname für diese VPC des Dienstnetzwerkmandanten. Sie finden das SNTP in der Spalte PEER_PROJECT des Peering-Namens servicenetworking-googleapis-com.

  2. Optional: Wenn Sie Ihre privaten Verbindungen auflisten möchten, führen Sie den Befehl gcloud vmware private-connections create aus:

      gcloud vmware private-connections list \
    --location=REGION

    Ersetzen Sie Folgendes:

    • REGION: Region des Netzwerks, das aufgelistet werden soll.

API

So erstellen Sie eine Compute Engine-VPC und eine Verbindung für privaten Dienstzugriff mithilfe der VMware Engine API:

  1. Erstellen Sie mit einer POST-Anfrage eine private Verbindung: 

    POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections?private_connection_id=PRIVATE_CONNECTION_ID"
-d '{
  "description": "My first private connection",
  "vmware_engine_network":
"projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/REGION
-default",
  "type": "PRIVATE_SERVICE_ACCESS",
  "routing_mode": "GLOBAL",
  "service_network":
"projects/SERVICE_NETWORKING_TENANT_PROJECT/global/networks/servicenetworking"
}'

    Ersetzen Sie Folgendes:

    • PRIVATE_CONNECTION_ID: Die ID der privaten Verbindung für diese Anfrage.
    • REGION: Die Region, in der diese private Verbindung erstellt werden soll.
    • SERVICE_NETWORKING_TENANT_PROJECT: der Projektname für diese VPC des Dienstnetzwerkmandanten. Sie finden das SNTP in der Spalte PEER_PROJECT des Peering-Namens servicenetworking-googleapis-com.

  2. Optional: Wenn Sie Ihre privaten Verbindungen auflisten möchten, senden Sie eine GET-Anfrage:

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections"

Ersetzen Sie Folgendes:

  • PROJECT_ID ist der Projektname für diese Anfrage.
  • REGION: Die Region, in der die privaten Verbindungen aufgelistet werden sollen.

Private Verbindung bearbeiten

Sie können eine private Verbindung mit der Google Cloud CLI oder der VMware Engine API bearbeiten. Im folgenden Beispiel wird die Beschreibung geändert und der Routingmodus in REGIONAL aktualisiert:

gcloud

Bearbeiten Sie eine private Verbindung mit dem Befehl gcloud vmware private-connections update:

  gcloud vmware private-connections update PRIVATE_CONNECTION_ID \
    --location=REGION \
    --description="Updated description for the private connection" \
    --routing-mode=REGIONAL

Ersetzen Sie Folgendes:

  • PROJECT_ID: der Projektname für diese Anfrage.
  • REGION: Die Region, in der diese private Verbindung aktualisiert werden soll.
  • PRIVATE_CONNECTION_ID ist die ID der privaten Verbindung für diese Anfrage.

API

Zum Bearbeiten einer privaten Verbindung mit der VMware Engine API senden Sie eine PATCH-Anfrage:

PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID?update_mask=description, routing_mode" -d '{
  "description": "Updated description for the private connection",
  "routing_mode": "REGIONAL"
}'

Ersetzen Sie Folgendes:

  • PROJECT_ID: der Projektname für diese Anfrage.
  • REGION: Die Region, in der diese private Verbindung aktualisiert werden soll.
  • PRIVATE_CONNECTION_ID ist die ID der privaten Verbindung für diese Anfrage.

Private Verbindung beschreiben

So können Sie eine Beschreibung jeder privaten Verbindung mit der Google Cloud CLI oder der VMware Engine API abrufen:

gcloud

Rufen Sie mit dem Befehl gcloud vmware private-connections describe eine Beschreibung einer privaten Verbindung ab:

  gcloud vmware private-connections describe PRIVATE_CONNECTION_ID \
    --location=REGION

Ersetzen Sie Folgendes:

  • PRIVATE_CONNECTION_ID ist die ID der privaten Verbindung für diese Anfrage.
  • REGION: die Region der privaten Verbindung.

API

Um mit der VMware Engine API eine Beschreibung einer privaten Verbindung abzurufen, senden Sie eine GET-Anfrage:

GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID"

Ersetzen Sie Folgendes:

  • PROJECT_ID: der Projektname für diese Anfrage.
  • PRIVATE_CONNECTION_ID ist die ID der privaten Verbindung für diese Anfrage.
  • REGION: die Region der privaten Verbindung.

Peering-Routen für eine private Verbindung auflisten

So listen Sie Peering-Routen auf, die über die Google Cloud CLI oder die VMware Engine API gegen eine private Verbindung ausgetauscht wurden:

gcloud

Listen Sie Peering-Routen auf, die gegen eine private Verbindung ausgetauscht wurden. Führen Sie dazu den Befehl gcloud vmware private-connections routes list aus:

  gcloud vmware private-connections routes list \
    --private-connection=PRIVATE_CONNECTION_ID \
    --location=REGION

Ersetzen Sie Folgendes:

  • PRIVATE_CONNECTION_ID ist die ID der privaten Verbindung für diese Anfrage.
  • REGION: die Region der privaten Verbindung.

API

Erstellen Sie eine GET-Anfrage, um Peering-Routen aufzulisten, die über die VMware Engine API gegen eine private Verbindung ausgetauscht wurden:

GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID/peeringRoutes"

Ersetzen Sie Folgendes:

  • PROJECT_ID: der Projektname für diese Anfrage.
  • REGION: die Region der privaten Verbindung.
  • PRIVATE_CONNECTION_ID ist die ID der privaten Verbindung für diese Anfrage.

Routing-Limits

Die maximale Anzahl von Routen, die eine private Cloud empfangen kann, ist 200. Diese Routen können beispielsweise aus lokalen Netzwerken, Peering-VPC-Netzwerken und anderen privaten Clouds im selben VPC-Netzwerk stammen. Dieses Routenlimit entspricht der maximalen Anzahl von benutzerdefinierten Route Advertisements pro BGP-Sitzung auf dem Cloud Router.

In einer bestimmten Region können Sie maximal 100 eindeutige Routen von VMware Engine zu Ihrem VPC-Netzwerk weitergeben. Verwenden Sie dazu den privaten Dienstzugriff. Zu diesen eindeutigen Routen gehören beispielsweise IP-Adressbereiche für die private Cloudverwaltung, Netzwerksegmente für NSX-T-Arbeitslasten und IP-Adressbereiche des HCX-Netzwerks. Dieses Routenlimit umfasst alle privaten Clouds in der Region und entspricht dem Limit für erkannte Routen des Cloud Router.

Informationen zu Routinglimits finden Sie unter Kontingente und Limits für Cloud Router.

Fehlerbehebung

Im folgenden Video erfahren Sie, wie Sie Peering-Verbindungsprobleme zwischen Google Cloud VPC und Google Cloud VMware Engine prüfen und beheben können.

Nächste Schritte