Zugriff auf private Dienste einrichten

Der Zugriff auf private Dienste ist eine private Verbindung zwischen Ihrem Virtual Private Cloud-Netzwerk (VPC) und Netzwerken in VMware Engine. Auf dieser Seite wird erläutert, wie Sie den Zugriff auf private Dienste auf Google Cloud VMware Engine einrichten und Ihrem VPC-Netzwerk mit Ihrer privaten Cloud verbinden.

Der private Dienstzugriff ermöglicht Folgendes:

  • Exklusive Kommunikation über interne IP-Adressen zwischen VM-Instanzen in Ihrem VPC-Netzwerk und den VMware-VMs. VM-Instanzen erfordern keinen Internetzugang oder externe IP-Adressen, um verfügbare Dienste über den Zugriff auf private Dienste zu erreichen.
  • Kommunikation zwischen VMs von VMware und von Google Cloud unterstützten Diensten, die den Zugriff auf private Dienste über interne IP-Adressen unterstützen.
  • Verwendung einer vorhandenen lokalen Verbindung, um eine Verbindung zu Ihrer privaten VMware Engine-Cloud herzustellen, wenn eine lokale Verbindung über Cloud VPN oder Cloud Interconnect zu Ihrem VPC-Netzwerk existiert.

Sie können private Dienstzugriffe unabhängig von der Erstellung der privaten Cloud in VMware Engine einrichten. Die private Verbindung kann vor oder nach der Erstellung der privaten Cloud erstellt werden, mit der Sie Ihr VPC-Netzwerk verbinden möchten.

  1. Make sure that you have the following role or roles on the project: Compute > Network Admin

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Zu IAM
    2. Wählen Sie das Projekt aus.
    3. Klicken Sie auf Zugriff erlauben.

    4. Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Dies ist in der Regel die E-Mail-Adresse eines Google-Kontos.

    5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
    6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
    7. Klicken Sie auf Speichern.

    Hinweise

    1. So finden Sie die Peering-Projekt-ID Ihres VPC-Netzwerks:
      1. Gehen Sie in der Google Cloud Console zu VPC-Netzwerk-Peering. Eine VPC-Netzwerk-Peering-Verbindung mit dem Namen servicenetworking-googleapis-com wird in der Peering-Tabelle aufgeführt.
      2. Kopieren Sie die Peering-Projekt-ID, damit Sie sie beim Einrichten einer privaten Verbindung im VMware Engine-Portal verwenden können.
    2. Wählen Sie ein VPC-Netzwerk aus, das Sie über den verfügbaren Optionen.
      • Wenn Sie Cloud VPN für lokale Verbindungen verwenden: wählen Sie das VPC-Netzwerk aus, das mit Ihrem Cloud VPN-Sitzung.
      • Wenn Sie Cloud Interconnect für Lokale Verbindung: VPC-Netzwerk auswählen an dem Ihr VLAN-Anhang von Cloud Interconnect endet.
    3. Aktivieren Sie die Service Networking API]Einstieg in Service Networking in Ihrem Projekt.
    4. Projektinhaber und IAM-Hauptkonten mit der Rolle Compute-Netzwerkadministrator (roles/compute.networkAdmin) können zugewiesene IP-Adressbereiche erstellen und private Verbindungen verwalten.
    5. Geben Sie Adressbereiche für die private Dienstverbindung, für die private Cloudverwaltung und für Arbeitslastnetzwerk-Segmente ein. Dadurch wird sichergestellt, dass keine IP-Adresskonflikte zwischen Ihren VPC-Netzwerk-Subnetzen und den in VMware Engine verwendeten IP-Adressen bestehen.

    Multi-VPC-Konnektivität

    Mit VMware Engine können Sie über verschiedene VPC-Netzwerke auf dieselbe private Cloud zugreifen, ohne vorhandene VPC-Architekturen ändern zu müssen, die in Google Cloud bereitgestellt werden. Multi-VPC-Verbindungen sind beispielsweise nützlich, wenn Sie separate VPC-Netzwerke für Tests und Entwicklung haben.

    In dieser Situation müssen VPC-Netzwerke mit VMware-VMs oder anderen Zieladressen in separaten vSphere-Ressourcengruppen in derselben privaten Cloud oder in mehreren privaten Clouds kommunizieren.

    Standardmäßig können Sie drei VPC-Netzwerke pro Region über Peering verbinden. Dieses Peering-Limit umfasst das VPC-Peering, das vom Netzwerkdienst für den Internetzugriff verwendet wird. Wenden Sie sich an den Cloud-Kundendienst, um dieses Limit zu erhöhen.

    Freigegebene VPC

    Wenn Sie eine freigegebene VPC verwenden, erstellen Sie den zugewiesenen IP-Bereich und die private Verbindung im Hostprojekt. Normalerweise muss ein Netzwerkadministrator im Hostprojekt diese Aufgaben ausführen. VM-Instanzen in Dienstprojekten können die private Verbindung verwenden, nachdem das Hostprojekt eingerichtet wurde.

    Private Verbindung erstellen

    Wenn Sie eine private Verbindung erstellen möchten, müssen Sie zuerst eine Compute Engine-VPC und eine Verbindung für den privaten Dienstzugriff erstellen. Dazu können Sie den Google Cloud CLI:

    Erstellen Sie mit der Google Cloud CLI eine Compute Engine-VPC und eine Verbindung für den Zugriff auf private Dienste.

    So erstellen Sie mit der Google Cloud CLI eine Compute Engine-VPC und eine Verbindung für den Zugriff auf private Dienste:

    1. Erstellen Sie ein VPC mit dem Befehl gcloud compute networks create:

      gcloud compute networks create NETWORK_ID-vpc \
    --subnet-mode=custom

      Ersetzen Sie Folgendes:

      • NETWORK_ID: die Netzwerk-ID für diese Anfrage.

    2. Erstellen Sie einen reservierten Bereich, indem Sie den Befehl gcloud compute addresses create ausführen:

      gcloud compute instances create VM_NAME \
  [--image=IMAGE | --image-family=IMAGE_FAMILY] \
  --image-project=IMAGE_PROJECT \
  --machine-type=MACHINE_TYPE
       
      gcloud compute addresses create RESERVED_RANGE_ID-range \
    --global \
    --purpose=VPC_PEERING \
    --prefix-length=24 \
    --description="DESCRIPTION" \
    --network=RESERVED_RANGE_ID-vpc

      Ersetzen Sie Folgendes:

      • RESERVED_RANGE_ID: die ID des reservierten Bereichs für diese Anfrage.
      • DESCRIPTION: Eine Beschreibung für diesen reservierten Bereich.

    3. Optional: Wenn Sie ein SNTP (Service Networking Tenant Project) und ein VPC für die private Verbindung extrahieren möchten, führen Sie den Befehl gcloud compute networks peerings list aus:

      gcloud compute networks peerings list \
   --network=NETWORK_ID

      Suchen Sie in der Spalte PEER_PROJECT nach „SNTP“ und in PEER_NETWORK nach „SNVPC“.

    Erstellen Sie mit der Google Cloud CLI oder VMware Engine API eine private Verbindung mit dem Typ PRIVATE_SERVICE_ACCESS und dem Routingmodus GLOBAL:

    gcloud

    1. Erstellen Sie eine private Verbindung mit dem Befehl gcloud vmware private-connections create:

      gcloud vmware private-connections create PRIVATE_CONNECTION_ID \
  --location=REGION\
  --description="" \
  --vmware-engine-network=REGION-default \
  --service-project=SERVICE_NETWORKING_TENANT_PROJECT\
  --type=PRIVATE_SERVICE_ACCESS \
  --routing-mode=GLOBAL

      Ersetzen Sie Folgendes:

      • PRIVATE_CONNECTION_ID: Die ID der privaten Verbindung für diese Anfrage.
      • REGION: Die Region, in der dieses Netzwerk erstellt werden soll.
      • SERVICE_NETWORKING_TENANT_PROJECT: die Projektname für diese Dienstnetzwerk-Mandanten-VPC. Sie finden SNTP in der Spalte PEER_PROJECT des Peering-Namens servicenetworking-googleapis-com.

    2. Optional: Wenn Sie Ihre privaten Verbindungen auflisten möchten, führen Sie den Befehl gcloud vmware private-connections create aus:

        gcloud vmware private-connections list \
    --location=REGION

      Ersetzen Sie Folgendes:

      • REGION: die Region des Netzwerks, das aufgeführt werden soll.

    API

    So erstellen Sie mit der VMware Engine API eine Compute Engine-VPC und eine Verbindung für den privaten Dienstzugriff:

    1. Erstellen Sie eine private Verbindung, indem Sie eine POST-Anfrage stellen: 

      POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections?private_connection_id=PRIVATE_CONNECTION_ID"
-d '{
  "description": "My first private connection",
  "vmware_engine_network":
"projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/REGION
-default",
  "type": "PRIVATE_SERVICE_ACCESS",
  "routing_mode": "GLOBAL",
  "service_network":
"projects/SERVICE_NETWORKING_TENANT_PROJECT/global/networks/servicenetworking"
}'

      Ersetzen Sie Folgendes:

      • PRIVATE_CONNECTION_ID: das private Verbindungs-ID für diese Anfrage.
      • REGION: Die Region, in der dieses private Element erstellt werden soll
      • SERVICE_NETWORKING_TENANT_PROJECT: die Projektname für diese Dienstnetzwerk-Mandanten-VPC. Sie finden den SNTP in der Spalte PEER_PROJECT des Peeringnamens servicenetworking-googleapis-com.

    2. Optional: Wenn Sie Ihre privaten Verbindungen auflisten möchten, senden Sie eine GET-Anfrage:

        GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections"

    Ersetzen Sie Folgendes:

    • PROJECT_ID: der Projektname hierfür
    • REGION: die Region, in der die privaten Verbindungen aufgeführt werden sollen.

    Private Verbindung bearbeiten

    Sie können eine private Verbindung mit der Google Cloud CLI oder der VMware Engine API bearbeiten. Im folgenden Beispiel wird die Beschreibung geändert und der Routingmodus auf REGIONAL aktualisiert:

    gcloud

    Bearbeiten Sie eine private Verbindung mit dem Befehl gcloud vmware private-connections update:

      gcloud vmware private-connections update PRIVATE_CONNECTION_ID \
    --location=REGION \
    --description="Updated description for the private connection" \
    --routing-mode=REGIONAL

    Ersetzen Sie Folgendes:

    • PROJECT_ID: der Projektname für diese Anfrage.
    • REGION: die Region, in der diese private Verbindung aktualisiert werden soll.
    • PRIVATE_CONNECTION_ID: die ID der privaten Verbindung für diese Anfrage.

    API

    Zum Bearbeiten einer privaten Verbindung mit der VMware Engine API erstellen Sie einen PATCH Anfrage:

    PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID?update_mask=description, routing_mode" -d '{
  "description": "Updated description for the private connection",
  "routing_mode": "REGIONAL"
}'

    Ersetzen Sie Folgendes:

    • PROJECT_ID: der Projektname für diese Anfrage.
    • REGION: die Region, in der diese private Verbindung aktualisiert werden soll.
    • PRIVATE_CONNECTION_ID: die private Verbindung ID für diese Anfrage.

    Private Verbindung beschreiben

    So rufen Sie mit der Google Cloud CLI oder der VMware Engine API eine Beschreibung einer privaten Verbindung ab:

    gcloud

    Rufen Sie mit dem Befehl gcloud vmware private-connections describe die Beschreibung einer privaten Verbindung ab:

      gcloud vmware private-connections describe PRIVATE_CONNECTION_ID \
    --location=REGION

    Ersetzen Sie Folgendes:

    • PRIVATE_CONNECTION_ID: die ID der privaten Verbindung für diese Anfrage.
    • REGION: Region der privaten Verbindung.

    API

    Wenn Sie eine Beschreibung einer privaten Verbindung mit der VMware Engine API abrufen möchten, senden Sie eine GET-Anfrage:

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID"

    Ersetzen Sie Folgendes:

    • PROJECT_ID: der Projektname für diese Anfrage.
    • PRIVATE_CONNECTION_ID: die ID der privaten Verbindung für diese Anfrage.
    • REGION: Region der privaten Verbindung.

    Peering-Routen für eine private Verbindung auflisten

    Zum Auflisten der für eine private Verbindung ausgetauschten Peering-Routen mithilfe der Führen Sie in der Google Cloud CLI oder VMware Engine API die folgenden Schritte aus:

    gcloud

    Führen Sie den Befehl gcloud vmware private-connections routes list aus, um Peering-Routen aufzulisten, die für eine private Verbindung ausgetauscht wurden:

      gcloud vmware private-connections routes list \
    --private-connection=PRIVATE_CONNECTION_ID \
    --location=REGION

    Ersetzen Sie Folgendes:

    • PRIVATE_CONNECTION_ID: die ID der privaten Verbindung für diese Anfrage.
    • REGION: Region der privaten Verbindung.

    API

    Wenn Sie die Peering-Routen auflisten möchten, die für eine private Verbindung mit der VMware Engine API ausgetauscht wurden, erstellen Sie eine GET-Anfrage:

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID/peeringRoutes"

    Ersetzen Sie Folgendes:

    • PROJECT_ID: der Projektname für diese Anfrage.
    • REGION: die Region der privaten Verbindung.
    • PRIVATE_CONNECTION_ID: die ID der privaten Verbindung für diese Anfrage.

    Routing-Limits

    Die maximale Anzahl von Routen, die eine private Cloud empfangen kann, ist 200. Diese Routen können beispielsweise von lokalen Netzwerken, Peering-VPC-Netzwerken und anderen privaten Clouds im selben VPC-Netzwerk stammen. Dieses Routenlimit entspricht der maximalen Anzahl von benutzerdefinierten Route Advertisements pro BGP-Sitzung auf dem Cloud Router.

    In einer bestimmten Region können Sie maximal 100 eindeutige Routen von VMware Engine zu Ihrem VPC-Netzwerk weitergeben. Verwenden Sie dazu den privaten Dienstzugriff. Zu diesen eindeutigen Routen gehören beispielsweise IP-Adressbereiche für die private Cloudverwaltung, Netzwerksegmente für NSX-T-Arbeitslasten und IP-Adressbereiche des HCX-Netzwerks. Dieses Routenlimit umfasst alle privaten Clouds in der Region und entspricht dem Limit für erkannte Routen des Cloud Router.

    Informationen zu Routingbeschränkungen finden Sie unter Cloud Router-Kontingente und .

    Fehlerbehebung

    Im folgenden Video erfahren Sie, wie Sie Probleme mit Peering-Verbindungen zwischen der Google Cloud VPC und der Google Cloud VMware Engine prüfen und beheben.

    Nächste Schritte