Configurar o acesso privado a serviços
O acesso privado a serviços é uma conexão privada entre a rede de nuvem privada virtual (VPC, na sigla em inglês) e as redes no VMware Engine. Esta página explica como configurar o acesso privado a serviços no Google Cloud VMware Engine e conectar a rede VPC à nuvem privada.
O Acesso privado a serviços permite o seguinte comportamento:
- Comunicação exclusiva por endereço IP interno para instâncias de máquina virtual (VM) na sua rede VPC e nas VMs do VMware. As instâncias de VM não precisam de acesso à Internet ou de endereços IP externos para alcançar serviços disponíveis pelo acesso privado a serviços.
- Comunicação entre as VMs do VMware e os serviços com suporte do Google Cloud, que permitem o acesso privado a serviços usando endereços IP internos.
- O uso de conexões locais atuais para se conectar à nuvem privada do VMware Engine, se você tiver conectividade local usando o Cloud VPN ou o Cloud Interconnect com sua rede VPC.
É possível configurar o acesso privado a serviços independentemente da criação da nuvem privada do VMware Engine. A conexão particular pode ser criada antes ou depois da criação da nuvem privada à que você quer conectar sua rede VPC.
-
Verifique se você tem os seguintes papéis no projeto: Compute > Network Admin
Verificar os papéis
-
No console do Google Cloud, abra a página IAM.
Acessar IAM - Selecionar um projeto.
-
Na coluna Principal, encontre a linha que contém seu endereço de e-mail.
Caso seu endereço de e-mail não esteja nessa coluna, isso significa que você não tem papéis.
- Na coluna Papel da linha com seu endereço de e-mail, verifique se a lista de papéis inclui os papéis necessários.
Conceder os papéis
-
No console do Google Cloud, abra a página IAM.
Acesse o IAM - Selecionar um projeto.
- Clique em CONCEDER ACESSO.
- No campo Novos participantes, digite seu endereço de e-mail.
- Na lista Selecionar um papel, escolha um.
- Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
- Clique em Save.
-
Antes de começar
- Localize o ID do projeto com peering da rede VPC fazendo o seguinte:
- No Console do Google Cloud, acesse peering de rede VPC. Uma conexão de peering de rede VPC com o nome servicenetworking-googleapis-com está listada na tabela de peering.
- Copie o ID do projeto com peering para usá-lo ao configurar uma conexão particular no portal do VMware Engine.
- Selecione uma rede VPC para se conectar ao seu acesso de serviço particular nas opções disponíveis.
- Se você usa o Cloud VPN para conectividade local: selecione a rede VPC conectada à sua sessão do Cloud VPN.
- Se você usa o Cloud Interconnect para conectividade local: selecione a rede VPC em que o anexo da VLAN do Cloud Interconnect será encerrado.
- Ative a API Service Networking introdução à rede de serviço no seu projeto.
- Proprietários de projetos e principais do IAM com o papel de administrador de rede de computação
(
roles/compute.networkAdmin) podem criar intervalos de IP alocados e gerenciar conexões particulares. - Insira intervalos de endereços para a conexão de serviço particular para gerenciamento de nuvem privada e para segmentos de rede de carga de trabalho. Isso garante que não haja conflitos de endereço IP entre as sub-redes de VPC e de rede, além dos endereços IP usados no VMware Engine.
Conectividade de várias VPCs
O VMware Engine permite acessar a mesma nuvem privada a partir de redes VPC diferentes sem a necessidade de alterar qualquer arquitetura de VPC existente implantada no Google Cloud. Por exemplo, a conectividade multiVPC é útil quando você tem redes VPC separadas para teste e desenvolvimento.
Essa situação requer que as redes VPC se comuniquem com VMs do VMware ou outros endereços de destino em grupos de recursos do vSphere separados na mesma nuvem privada ou em várias nuvens privadas.
Por padrão, é possível fazer o peering de três redes VPC por região. Esse limite inclui o peering de VPC usado pelo serviço de rede de acesso à Internet. Para aumentar esse limite, entre em contato com o atendimento ao cliente do Cloud.
VPC compartilhada
Caso você use a VPC compartilhada, crie o intervalo de IP alocado e a conexão particular no projeto host. Normalmente, o administrador de rede nesse projeto é quem realiza essas tarefas. As instâncias de VM em projetos de serviço podem usar a conexão particular depois que o projeto host está configurado.
Crie uma conexão privada
Para criar uma conexão particular, crie primeiro uma VPC do Compute Engine e uma conexão de acesso a serviços particulares. É possível fazer isso usando a CLI do Google Cloud:
Criar uma VPC do Compute Engine e uma conexão de acesso a serviços particulares usando a Google Cloud CLI.
Para criar uma VPC do Compute Engine e uma conexão de acesso a serviços particulares usando a CLI do Google Cloud, faça o seguinte:
Crie uma VPC executando o comando
gcloud compute networks create:gcloud compute networks create NETWORK_ID-vpc \ --subnet-mode=customSubstitua:
NETWORK_ID: o ID de rede dessa solicitação.
Crie um intervalo reservado executando o comando
gcloud compute addresses create:gcloud compute instances create VM_NAME \ [--image=IMAGE | --image-family=IMAGE_FAMILY] \ --image-project=IMAGE_PROJECT \ --machine-type=MACHINE_TYPE
gcloud compute addresses create RESERVED_RANGE_ID-range \ --global \ --purpose=VPC_PEERING \ --prefix-length=24 \ --description="DESCRIPTION" \ --network=RESERVED_RANGE_ID-vpcSubstitua:
RESERVED_RANGE_ID: o ID do intervalo reservado para esta solicitação.DESCRIPTION: uma descrição para este intervalo reservado.
Opcional: se você quiser extrair um projeto de locatário de rede de serviço (SNTP) e a VPC para a conexão particular, execute o comando
gcloud compute networks peerings list:gcloud compute networks peerings list \ --network=NETWORK_ID
Encontre o SNTP na coluna PEER_PROJECT e a SNVPC em PEER_NETWORK.
Crie uma conexão particular com o tipo de PRIVATE_SERVICE_ACCESS e o modo de roteamento GLOBAL usando a Google Cloud cli ou a API VMware Engine:
gcloud
Execute o comando
gcloud vmware private-connections createpara criar uma conexão particular:gcloud vmware private-connections create PRIVATE_CONNECTION_ID \ --location=REGION\ --description="" \ --vmware-engine-network=REGION-default \ --service-project=SERVICE_NETWORKING_TENANT_PROJECT\ --type=PRIVATE_SERVICE_ACCESS \ --routing-mode=GLOBAL
Substitua:
PRIVATE_CONNECTION_ID: o ID da conexão privada desta solicitação.REGION: a região em que a rede será criada.SERVICE_NETWORKING_TENANT_PROJECT: o nome do projeto para essa VPC de locatário de rede de serviço. Encontre o SNTP na coluna PEER_PROJECT do nome de peeringservicenetworking-googleapis-com.
Opcional: se quiser listar suas conexões particulares, execute o comando
gcloud vmware private-connections create:gcloud vmware private-connections list \ --location=REGIONSubstitua:
REGION: a região da rede a ser listada.
API
Para criar uma VPC do Compute Engine e uma conexão de acesso a serviços particulares usando a API VMware Engine, faça o seguinte:
Crie uma conexão particular fazendo uma solicitação
POST:POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections?private_connection_id=PRIVATE_CONNECTION_ID" -d '{ "description": "My first private connection", "vmware_engine_network": "projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/REGION -default", "type": "PRIVATE_SERVICE_ACCESS", "routing_mode": "GLOBAL", "service_network": "projects/SERVICE_NETWORKING_TENANT_PROJECT/global/networks/servicenetworking" }'Substitua:
PRIVATE_CONNECTION_ID: o ID da conexão privada desta solicitação.REGION: a região em que essa conexão particular será criada.SERVICE_NETWORKING_TENANT_PROJECT: o nome do projeto para essa VPC de locatário de rede de serviço. Encontre o SNTP na coluna PEER_PROJECT do nome de peeringservicenetworking-googleapis-com.
Opcional: se quiser listar suas conexões particulares, faça uma solicitação
GET:
GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections"
Substitua:
PROJECT_ID: o nome do projeto para esta solicitação.REGION: a região em que as conexões privadas serão listadas.
Editar uma conexão particular
É possível editar uma conexão particular usando a CLI do Google Cloud ou a API VMware Engine. O exemplo a seguir altera a descrição e atualiza o modo de roteamento para REGIONAL:
gcloud
Edite uma conexão particular executando o comando gcloud vmware private-connections
update:
gcloud vmware private-connections update PRIVATE_CONNECTION_ID \
--location=REGION \
--description="Updated description for the private connection" \
--routing-mode=REGIONAL
Substitua:
PROJECT_ID: o nome do projeto para esta solicitação.REGION: a região em que essa conexão privada será atualizada.PRIVATE_CONNECTION_ID: o ID da conexão privada desta solicitação.
API
Para editar uma conexão particular usando a API VMware Engine, faça uma solicitação PATCH:
PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID?update_mask=description, routing_mode" -d '{
"description": "Updated description for the private connection",
"routing_mode": "REGIONAL"
}'
Substitua:
PROJECT_ID: o nome do projeto para esta solicitação.REGION: a região em que essa conexão privada será atualizada.PRIVATE_CONNECTION_ID: o ID da conexão privada desta solicitação.
Descrever uma conexão particular
Para ver uma descrição de qualquer conexão particular usando a CLI do Google Cloud ou a API VMware Engine, faça o seguinte:
gcloud
Para ver a descrição de uma conexão particular, execute o comando gcloud vmware
private-connections describe:
gcloud vmware private-connections describe PRIVATE_CONNECTION_ID \
--location=REGION
Substitua:
PRIVATE_CONNECTION_ID: o ID da conexão privada desta solicitação.REGION: a região da conexão particular.
API
Para ver a descrição de uma conexão particular usando a API VMware Engine, faça uma solicitação GET:
GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID"
Substitua:
PROJECT_ID: o nome do projeto para esta solicitação.PRIVATE_CONNECTION_ID: o ID da conexão privada desta solicitação.REGION: a região da conexão particular.
Listar rotas de peering para uma conexão particular
Para listar rotas de peering trocadas por uma conexão particular usando a CLI do Google Cloud ou a API do VMware Engine, faça o seguinte:
gcloud
Liste rotas de peering trocadas por uma conexão particular executando o comando gcloud vmware private-connections routes list:
gcloud vmware private-connections routes list \
--private-connection=PRIVATE_CONNECTION_ID \
--location=REGION
Substitua:
PRIVATE_CONNECTION_ID: o ID da conexão privada desta solicitação.REGION: a região da conexão particular.
API
Para listar rotas de peering trocadas por uma conexão particular usando a API VMware Engine, crie uma solicitação GET:
GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID/peeringRoutes"
Substitua:
PROJECT_ID: o nome do projeto para esta solicitação.REGION: a região da conexão particular.PRIVATE_CONNECTION_ID: o ID da conexão privada desta solicitação.
Limites de roteamento
O número máximo de rotas que uma nuvem privada pode receber é 200. Por exemplo, essas rotas podem vir de redes locais, de redes VPC com peering e de outras nuvens privadas na mesma rede. Esse limite de rota corresponde ao número máximo do Cloud Router para divulgações de rota personalizadas por limite de sessão do BGP.
Em uma região, é possível divulgar no máximo 100 rotas exclusivas do VMware Engine à rede VPC usando o acesso privado a serviços. Por exemplo, essas rotas exclusivas incluem intervalos de endereços IP de gerenciamento de nuvem privada, segmentos de rede de carga de trabalho NSX-T e intervalos de endereços IP de rede HCX. Esse limite de rota inclui todas as nuvens privadas da região e corresponde ao limite de rota aprendida do Cloud Router.
Para informações sobre limites de roteamento, consulte Cotas e limites do Cloud Router.
Solução de problemas
O vídeo a seguir mostra como verificar e resolver problemas de conexão de peering entre a VPC do Google Cloud e o Google Cloud VMware Engine.