Configura l'accesso privato ai servizi

L'accesso privato ai servizi è una connessione privata tra la tua rete Virtual Private Cloud (VPC) e le reti in VMware Engine. Questa pagina spiega come configurare l'accesso privato ai servizi a Google Cloud VMware Engine e connettere la rete VPC al cloud privato.

L'accesso privato ai servizi attiva il seguente comportamento:

  • Comunicazione esclusiva tramite indirizzo IP interno per le istanze di macchine virtuali (VM) nella rete VPC e nelle VM VMware. Le istanze VM non hanno bisogno dell'accesso a internet o di indirizzi IP esterni per raggiungere i servizi disponibili tramite l'accesso privato ai servizi.
  • Comunicazione tra le VM VMware e i servizi supportati da Google Cloud, che supportano l'accesso privato ai servizi tramite indirizzi IP interni.
  • Utilizzo delle connessioni on-premise esistenti per la connessione al cloud privato VMware Engine, se disponi di connettività on-premise mediante Cloud VPN o Cloud Interconnect alla tua rete VPC.

Puoi configurare l'accesso privato ai servizi indipendentemente dalla creazione del cloud privato di VMware Engine. La connessione privata può essere creata prima o dopo la creazione del cloud privato a cui vuoi connettere la rete VPC.

  1. Assicurati di disporre del ruolo o dei ruoli seguenti per il progetto: Compute > Network Admin

    Verifica i ruoli

    1. Nella console Google Cloud, vai alla pagina IAM.

      Vai a IAM
    2. Seleziona il progetto.

    3. Nella colonna Entità, individua la riga contenente il tuo indirizzo email.

      Se il tuo indirizzo email non è presente in quella colonna, non hai alcun ruolo.

    4. Nella colonna Ruolo della riga contenente il tuo indirizzo email, controlla se l'elenco dei ruoli include i ruoli richiesti.

    Concedi i ruoli

    1. Nella console Google Cloud, vai alla pagina IAM.

      Vai a IAM
    2. Seleziona il progetto.
    3. Fai clic su Concedi accesso.
    4. Nel campo Nuove entità, inserisci il tuo indirizzo email.
    5. Nell'elenco Seleziona un ruolo, scegli un ruolo.
    6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
    7. Fai clic su Salva.

Prima di iniziare

  1. Individua l'ID progetto in peering della tua rete VPC nel seguente modo:
    1. Nella console Google Cloud, vai a peering di rete VPC. Una connessione in peering di rete VPC con il nome servicenetworking-googleapis-com è elencata nella tabella di peering.
    2. Copia l'ID progetto in peering in modo da poterlo utilizzare durante la configurazione di una connessione privata nel portale VMware Engine.
  2. Seleziona una rete VPC dalle opzioni disponibili per connetterti al tuo accesso privato ai servizi.
    • Se utilizzi Cloud VPN per la connettività on-premise: seleziona la rete VPC connessa alla sessione Cloud VPN.
    • Se utilizzi Cloud Interconnect per la connettività on-premise: seleziona la rete VPC in cui termina il collegamento VLAN Cloud Interconnect.
  3. Attiva l'API Service Networking]per iniziare il networking di servizi nel tuo progetto.
  4. I proprietari del progetto e le entità IAM con il ruolo Amministratore rete Compute (roles/compute.networkAdmin) possono creare intervalli IP allocati e gestire le connessioni private.
  5. Inserisci intervalli di indirizzi per la connessione privata ai servizi, per la gestione del cloud privato e per i segmenti di rete dei carichi di lavoro. Ciò garantisce che non esistano conflitti di indirizzi IP tra le subnet di rete VPC e gli indirizzi IP utilizzati in VMware Engine.

Connettività multi-VPC

VMware Engine consente di accedere allo stesso cloud privato da reti VPC diverse senza la necessità di modificare le architetture VPC esistenti di cui è stato eseguito il deployment in Google Cloud. Ad esempio, la connettività multi-VPC è utile quando si dispone di reti VPC separate per i test e lo sviluppo.

Questa situazione richiede che le reti VPC comunichino con le VM VMware o altri indirizzi di destinazione in gruppi di risorse vSphere separati sullo stesso cloud privato o su più cloud privati.

Per impostazione predefinita, puoi eseguire il peering di 3 reti VPC per regione. Questo limite di peering include il peering VPC utilizzato dal servizio di rete di accesso a internet. Per aumentare questo limite, contatta l'assistenza clienti Google Cloud.

VPC condiviso

Se utilizzi il VPC condiviso, crea l'intervallo IP allocato e la connessione privata nel progetto host. In genere, queste attività devono essere svolte da un amministratore di rete nel progetto host. Le istanze VM nei progetti di servizio possono utilizzare la connessione privata dopo la configurazione del progetto host.

Crea una connessione privata

Per creare una connessione privata, devi prima creare un VPC di Compute Engine e una connessione di accesso privato ai servizi. Puoi farlo utilizzando Google Cloud CLI:

Crea un VPC di Compute Engine e una connessione di accesso privato ai servizi utilizzando Google Cloud CLI.

Per creare un VPC di Compute Engine e una connessione di accesso privato ai servizi utilizzando Google Cloud CLI, segui questi passaggi:

  1. Crea un VPC eseguendo il comando gcloud compute networks create:

    gcloud compute networks create NETWORK_ID-vpc \
    --subnet-mode=custom

    Sostituisci quanto segue:

    • NETWORK_ID: l'ID di rete per questa richiesta.

  2. Crea un intervallo riservato eseguendo il comando gcloud compute addresses create:

    gcloud compute instances create VM_NAME \
  [--image=IMAGE | --image-family=IMAGE_FAMILY] \
  --image-project=IMAGE_PROJECT \
  --machine-type=MACHINE_TYPE
    gcloud compute addresses create RESERVED_RANGE_ID-range \
    --global \
    --purpose=VPC_PEERING \
    --prefix-length=24 \
    --description="DESCRIPTION" \
    --network=RESERVED_RANGE_ID-vpc

    Sostituisci quanto segue:

    • RESERVED_RANGE_ID: l'ID intervallo riservato per questa richiesta.
    • DESCRIPTION: una descrizione per questo intervallo riservato.

  3. (Facoltativo) Se vuoi estrarre un progetto tenant di networking di servizi (SNTP) e VPC per la connessione privata, esegui il comando gcloud compute networks peerings list:

    gcloud compute networks peerings list \
   --network=NETWORK_ID

    Trova l'SNTP nella colonna PEER_PROJECT e SNVPC in PEER_NETWORK.

Crea una connessione privata con il tipo PRIVATE_SERVICE_ACCESS e la modalità di routing GLOBAL utilizzando Google Cloud CLI o l'API VMware Engine:

gcloud

  1. Crea una connessione privata eseguendo il comando gcloud vmware private-connections create:

    gcloud vmware private-connections create PRIVATE_CONNECTION_ID \
  --location=REGION\
  --description="" \
  --vmware-engine-network=REGION-default \
  --service-project=SERVICE_NETWORKING_TENANT_PROJECT\
  --type=PRIVATE_SERVICE_ACCESS \
  --routing-mode=GLOBAL

    Sostituisci quanto segue:

    • PRIVATE_CONNECTION_ID: l'ID connessione privata per questa richiesta.
    • REGION: la regione in cui creare questa rete.
    • SERVICE_NETWORKING_TENANT_PROJECT: il nome del progetto per questo VPC del tenant di networking del servizio. Puoi trovare l'SNTP nella colonna PEER_PROJECT del nome del peering servicenetworking-googleapis-com.

  2. (Facoltativo) Se vuoi elencare le tue connessioni private, esegui il comando gcloud vmware private-connections create:

      gcloud vmware private-connections list \
    --location=REGION

    Sostituisci quanto segue:

    • REGION: la regione della rete da elencare.

API

Per creare un VPC di Compute Engine e una connessione di accesso privato ai servizi utilizzando l'API VMware Engine, segui questi passaggi:

  1. Crea una connessione privata effettuando una richiesta POST: 

    POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections?private_connection_id=PRIVATE_CONNECTION_ID"
-d '{
  "description": "My first private connection",
  "vmware_engine_network":
"projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/REGION
-default",
  "type": "PRIVATE_SERVICE_ACCESS",
  "routing_mode": "GLOBAL",
  "service_network":
"projects/SERVICE_NETWORKING_TENANT_PROJECT/global/networks/servicenetworking"
}'

    Sostituisci quanto segue:

    • PRIVATE_CONNECTION_ID: l'ID connessione privata per questa richiesta.
    • REGION: la regione in cui creare questa connessione privata.
    • SERVICE_NETWORKING_TENANT_PROJECT: il nome del progetto per questo VPC del tenant di networking del servizio. Puoi trovare l'SNTP nella colonna PEER_PROJECT del nome del peering servicenetworking-googleapis-com.

  2. (Facoltativo) Se vuoi elencare le tue connessioni private, effettua una richiesta GET:

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections"

Sostituisci quanto segue:

  • PROJECT_ID: il nome del progetto per questa richiesta.
  • REGION: la regione in cui elencare le connessioni private.

Modificare una connessione privata

Puoi modificare una connessione privata utilizzando Google Cloud CLI o l'API VMware Engine. L'esempio seguente modifica la descrizione e aggiorna la modalità di routing in REGIONAL:

gcloud

Per modificare una connessione privata, esegui il comando gcloud vmware private-connections update:

  gcloud vmware private-connections update PRIVATE_CONNECTION_ID \
    --location=REGION \
    --description="Updated description for the private connection" \
    --routing-mode=REGIONAL

Sostituisci quanto segue:

  • PROJECT_ID: il nome del progetto per questa richiesta.
  • REGION: la regione in cui aggiornare questa connessione privata.
  • PRIVATE_CONNECTION_ID: l'ID connessione privata per questa richiesta.

API

Per modificare una connessione privata utilizzando l'API VMware Engine, effettua una richiesta PATCH:

PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID?update_mask=description, routing_mode" -d '{
  "description": "Updated description for the private connection",
  "routing_mode": "REGIONAL"
}'

Sostituisci quanto segue:

  • PROJECT_ID: il nome del progetto per questa richiesta.
  • REGION: la regione in cui aggiornare questa connessione privata.
  • PRIVATE_CONNECTION_ID: l'ID connessione privata per questa richiesta.

Descrivi una connessione privata

Per ottenere una descrizione di qualsiasi connessione privata utilizzando Google Cloud CLI o l'API VMware Engine, segui questi passaggi:

gcloud

Per ottenere una descrizione di una connessione privata, esegui il comando gcloud vmware private-connections describe:

  gcloud vmware private-connections describe PRIVATE_CONNECTION_ID \
    --location=REGION

Sostituisci quanto segue:

  • PRIVATE_CONNECTION_ID: l'ID connessione privata per questa richiesta.
  • REGION: la regione della connessione privata.

API

Per ottenere una descrizione di una connessione privata utilizzando l'API VMware Engine, effettua una richiesta GET:

GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID"

Sostituisci quanto segue:

  • PROJECT_ID: il nome del progetto per questa richiesta.
  • PRIVATE_CONNECTION_ID: l'ID connessione privata per questa richiesta.
  • REGION: la regione della connessione privata.

Elenca le route di peering per una connessione privata

Per elencare le route di peering scambiate per una connessione privata utilizzando Google Cloud CLI o l'API VMware Engine, segui questi passaggi:

gcloud

Elenca le route di peering scambiate per una connessione privata eseguendo il comando gcloud vmware private-connections routes list:

  gcloud vmware private-connections routes list \
    --private-connection=PRIVATE_CONNECTION_ID \
    --location=REGION

Sostituisci quanto segue:

  • PRIVATE_CONNECTION_ID: l'ID connessione privata per questa richiesta.
  • REGION: la regione della connessione privata.

API

Per elencare le route di peering scambiate per una connessione privata utilizzando l'API VMware Engine, crea una richiesta GET:

GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID/peeringRoutes"

Sostituisci quanto segue:

  • PROJECT_ID: il nome del progetto per questa richiesta.
  • REGION: la regione della connessione privata.
  • PRIVATE_CONNECTION_ID: l'ID connessione privata per questa richiesta.

Limiti di routing

Il numero massimo di route che un cloud privato può ricevere è 200. Ad esempio, queste route possono provenire da reti on-premise, reti VPC in peering e altri cloud privati nella stessa rete VPC. Questo limite di route corrisponde al numero massimo di annunci di route personalizzati del router Cloud per limite di sessione BGP.

In una determinata regione, puoi pubblicizzare al massimo 100 route uniche da VMware Engine alla tua rete VPC utilizzando l'accesso ai servizi privati. Ad esempio, queste route univoche includono intervalli di indirizzi IP per la gestione del cloud privato, segmenti di rete dei carichi di lavoro NSX-T e intervalli di indirizzi IP di rete HCX. Questo limite di route include tutti i cloud privati nella regione e corrisponde al limite di route appresa dal router Cloud.

Per informazioni sui limiti di routing, consulta Quote e limiti dei router Cloud.

Risoluzione dei problemi

Il video seguente mostra come verificare e risolvere i problemi di connessione in peering tra il VPC di Google Cloud e Google Cloud VMware Engine.

Passaggi successivi