Configurer l'accès aux services privés

L'accès aux services privés est une connexion privée entre votre réseau de cloud privé virtuel (VPC) et les réseaux dans VMware Engine. Cette page explique comment configurer l'accès aux services privés de Google Cloud VMware Engine et connecter votre réseau VPC à votre cloud privé.

L'accès aux services privés permet d'effectuer les opérations suivantes :

• Communication exclusive par adresse IP interne pour les instances de machines virtuelles (VM) de votre réseau VPC et des VM VMware. Les instances de VM n'ont pas besoin d'accès Internet ni d'adresses IP externes pour accéder aux services disponibles via l'accès aux services privés.
• Communication entre les VM VMware et les services compatibles avec Google Cloud, qui acceptent l'accès aux services privés à l'aide d'adresses IP internes.
• Utilisez des connexions sur site existantes pour vous connecter à votre cloud privé VMware Engine. Si vous disposez d'une connectivité sur site, utilisez Cloud VPN ou Cloud Interconnect à votre réseau VPC.

Vous pouvez configurer l'accès aux services privés indépendamment de la création du cloud privé VMware Engine. La connexion privée peut être créée avant ou après la création du cloud privé auquel vous souhaitez connecter votre réseau VPC.

1. Assurez-vous que vous disposez du ou des rôles suivants au niveau du projet : Compute > Network Admin

   Vérifier les rôles

   1. Dans la console Google Cloud, accédez à la page IAM.

      Accéder à IAM
   2. Sélectionnez le projet.

   3. Dans la colonne Compte principal, recherchez la ligne qui contient votre adresse e-mail.

      Si votre adresse e-mail ne figure pas dans cette colonne, cela signifie que vous n'avez aucun rôle.

   4. Dans la colonne Rôle de la ligne contenant votre adresse e-mail, vérifiez si la liste des rôles inclut les rôles requis.

   Attribuer les rôles

   1. Dans la console Google Cloud, accédez à la page IAM.

      Accéder à IAM
   2. Sélectionnez le projet.
   3. Cliquez sur person_add Accorder l'accès.
   4. Dans le champ Nouveaux comptes principaux, saisissez votre adresse e-mail.
   5. Dans la liste Sélectinoner un rôle, sélectionnez un rôle.
   6. Pour attribuer des rôles supplémentaires, cliquez sur add Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
   7. Cliquez sur Enregistrer.

Avant de commencer

1. Recherchez l'ID du projet appairé de votre réseau VPC en procédant comme suit :
   1. Dans la console Google Cloud, accédez à la page Appairage de réseaux VPC. Une connexion d'appairage de réseaux VPC nommée servicenetworking-googleapis-com est répertoriée dans le tableau d'appairage.
   2. Copiez l'ID du projet appairé afin de pouvoir l'utiliser lors de la configuration d'une connexion privée dans le portail VMware Engine.
2. Sélectionnez un réseau VPC pour vous connecter à votre accès privé aux services parmi les options disponibles.
   • Si vous utilisez Cloud VPN pour la connectivité sur site : sélectionnez le réseau VPC connecté à votre session Cloud VPN.
   • Si vous utilisez Cloud Interconnect pour la connectivité sur site: sélectionnez le réseau VPC auquel votre rattachement de VLAN Cloud Interconnect se termine.
3. Activez l'API Service Networking]mise en réseau de services dans votre projet.
4. Les propriétaires de projets et les comptes principaux IAM dotés du rôle d'administrateur réseau Compute (roles/compute.networkAdmin) peuvent créer des plages d'adresses IP allouées et gérer les connexions privées.
5. Saisissez des plages d'adresses pour la connexion de service privée, la gestion du cloud privé et les segments de réseau de charge de travail. Cela garantit qu'il n'y a pas de conflit d'adresses IP entre vos sous-réseaux de réseau VPC et les adresses IP que vous utilisez dans VMware Engine.

Connectivité multi-VPC

VMware Engine vous permet d'accéder au même cloud privé depuis différents réseaux VPC sans avoir à modifier les architectures de VPC existantes déployées dans Google Cloud. Par exemple, la connectivité multi-VPC est utile lorsque vous avez des réseaux VPC distincts pour les tests et le développement.

Cette situation nécessite des réseaux VPC pour communiquer avec les VM VMware ou d'autres adresses de destination dans des groupes de ressources vSphere distincts dans le même cloud privé ou dans plusieurs.

Par défaut, vous pouvez appairer trois réseaux VPC par région. Cette limite d'appairage inclut l'appairage de VPC utilisé par le service réseau d'accès à Internet. Pour augmenter cette limite, contactez le service client Cloud.

VPC partagé

Si vous utilisez un VPC partagé, créez la plage d'adresses IP allouée et la connexion privée dans le projet hôte. En règle générale, un administrateur réseau du projet hôte doit effectuer ces tâches. Les instances de VM dans les projets de service peuvent utiliser la connexion privée une fois le projet hôte configuré.

Créer une connexion privée

Pour créer une connexion privée, vous devez d'abord créer un VPC Compute Engine et une connexion d'accès aux services privées. Vous pouvez le faire à l'aide de Google Cloud CLI:

Créer un VPC Compute Engine et une connexion d'accès aux services privées à l'aide de la Google Cloud CLI

Pour créer un VPC Compute Engine et une connexion d'accès aux services privés à l'aide de Google Cloud CLI, procédez comme suit:

1. Créez un VPC en exécutant la commande gcloud compute networks create:

   gcloud compute networks create NETWORK_ID-vpc \
       --subnet-mode=custom

   Remplacez les éléments suivants :

   • NETWORK_ID: ID de réseau pour cette requête.

2. Créez une plage réservée en exécutant la commande gcloud compute addresses create:

   gcloud compute instances create VM_NAME \
     [--image=IMAGE | --image-family=IMAGE_FAMILY] \
     --image-project=IMAGE_PROJECT \
     --machine-type=MACHINE_TYPE

   gcloud compute addresses create RESERVED_RANGE_ID-range \
       --global \
       --purpose=VPC_PEERING \
       --prefix-length=24 \
       --description="DESCRIPTION" \
       --network=RESERVED_RANGE_ID-vpc

   Remplacez les éléments suivants :

   • RESERVED_RANGE_ID: ID de plage réservée pour cette requête.
   • DESCRIPTION: description de la plage réservée.

3. Facultatif: Si vous souhaitez extraire un projet locataire de réseau de services (SNTP) et un VPC pour la connexion privée, exécutez la commande gcloud compute networks peerings list:

   gcloud compute networks peerings list \
      --network=NETWORK_ID

   Recherchez le SNTP dans la colonne PEER_PROJECT et le SNVPC dans PEER_NETWORK.

Créez une connexion privée avec le type PRIVATE_SERVICE_ACCESS et le mode de routage GLOBAL à l'aide de Google Cloud CLI ou de l'API VMware Engine:

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections"
    

Modifier une connexion privée

Vous pouvez modifier une connexion privée à l'aide de Google Cloud CLI ou de l'API VMware Engine. L'exemple suivant remplace la description et définit le mode de routage par REGIONAL:

  gcloud vmware private-connections update PRIVATE_CONNECTION_ID \
    --location=REGION \
    --description="Updated description for the private connection" \
    --routing-mode=REGIONAL

PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID?update_mask=description, routing_mode" -d '{
  "description": "Updated description for the private connection",
  "routing_mode": "REGIONAL"
}'

Décrire une connexion privée

Pour obtenir une description de n'importe quelle connexion privée à l'aide de Google Cloud CLI ou de l'API VMware Engine, procédez comme suit:

  gcloud vmware private-connections describe PRIVATE_CONNECTION_ID \
    --location=REGION

GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID"

Répertorier les routes d'appairage pour une connexion privée

Pour répertorier les routes d'appairage échangées pour une connexion privée à l'aide de Google Cloud CLI ou de l'API VMware Engine, procédez comme suit:

  gcloud vmware private-connections routes list \
    --private-connection=PRIVATE_CONNECTION_ID \
    --location=REGION

GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID/peeringRoutes"

Limites de routage

Le nombre maximal de routes qu'un cloud privé peut recevoir est 200. Par exemple, ces routes peuvent provenir de réseaux sur site, de réseaux VPC appairés et d'autres clouds privés appartenant au même réseau VPC. Cette limite de routage correspond au nombre maximal de routes personnalisées par routeur cloud de session.

Dans une région donnée, vous pouvez annoncer au maximum 100 routes uniques depuis VMware Engine vers votre réseau VPC à l'aide de l'accès aux services privés. Par exemple, ces routes uniques incluent des plages d'adresses IP de gestion de cloud privé, des segments de réseau de charge de travail NSX-T et des plages d'adresses IP du réseau HCX. Cette limite de routage inclut tous les clouds privés de la région et correspond à la limite de routes apprises par Cloud Router.

Pour en savoir plus sur les limites de routage, consultez la page Quotas et limites de Cloud Router.

Dépannage

La vidéo suivante vous montre comment vérifier et résoudre les problèmes de connexion d'appairage entre le VPC Google Cloud et Google Cloud VMware Engine.

Étapes suivantes

• Gérer l'activité et les ressources du cloud privé