Configura l'accesso a internet per le VM dei carichi di lavoro
Puoi configurare il servizio di rete di accesso a internet per i carichi di lavoro VMware in Google Cloud VMware Engine in base alla regione. Puoi indirizzare il traffico legato a internet dalle VM dei tuoi carichi di lavoro utilizzando il perimetro internet di Google Cloud o una connessione on-premise.
Anche le VM dei carichi di lavoro che possono accedere a internet possono accedere ai servizi Google Cloud tramite l'accesso privato Google. L'accesso ai servizi Google Cloud che utilizza l'accesso privato Google rimane all'interno delle reti Google Cloud e non termina su internet.
Il servizio di rete di accesso a internet supporta quanto segue:
- Fino a 100 indirizzi IP pubblici per ogni regione
- Fino a 300 regole firewall per tabella firewall
- Velocità effettiva fino a 2 Gbit/s su 128.000 connessioni simultanee per ogni regione
- Protocolli TCP, UDP e ICMP
Il servizio di rete di accesso a internet non supporta la funzionalità ALG (Application Level Gateway).
Prima di iniziare
Per apportare modifiche alle impostazioni di accesso a internet del cloud privato, devi disporre dell'accesso amministrativo a VMware Engine.
Per abilitare l'accesso a internet, è necessario un intervallo di indirizzi CIDR per i servizi periferici. Quando abiliti l'accesso a internet o i servizi di rete IP pubblica, i gateway vengono implementati nel contesto del tenant del servizio.
Utilizza l'intervallo di indirizzi CIDR dei servizi periferici per l'indirizzamento di gateway internet e IP pubblici di VMware Engine. L'intervallo di indirizzi deve soddisfare i seguenti requisiti:
- Rispetta lo standard RFC 1918 come intervallo privato.
- Non avere una sovrapposizione con altri intervalli di indirizzi di VMware Engine, ad esempio l'intervallo di indirizzi utilizzato per le appliance di gestione o i segmenti NSX-T.
- Non avere una sovrapposizione con gli intervalli di indirizzi pubblicizzati su VMware Engine, come quelli utilizzati per le subnet di rete Virtual Private Cloud (VPC) o per le reti on-premise.
- Dedica un intervallo di indirizzi IP con 26 bit di subnet mask (/26).
Requisiti per gcloud e API
Per utilizzare lo strumento a riga di comando gcloud
o l'API per gestire le risorse VMware Engine, ti consigliamo di configurare gli strumenti come descritto di seguito.
gcloud
Imposta l'ID progetto predefinito:
gcloud config set project PROJECT_ID
Imposta una regione e/o una zona predefinite:
gcloud config set compute/region REGION
gcloud config set compute/zone ZONE
Per ulteriori informazioni sullo strumento gcloud vmware
, consulta la documentazione di riferimento di Cloud SDK.
API
Gli esempi di API in questo set di documentazione utilizzano lo strumento a riga di comando cURL
per eseguire query sull'API. È necessario un token di accesso valido per la richiesta cURL
.
Esistono molti modi per ottenere un token di accesso valido. I passaggi seguenti utilizzano lo strumento gcloud
per generare un token di accesso:
Accedi a Google Cloud
gcloud auth login
Genera il token di accesso ed esporta in TOKEN
export TOKEN=`gcloud auth print-access-token`
Verifica che TOKEN sia impostato correttamente
echo $TOKEN Output: TOKEN
Ora utilizza il token di autorizzazione nelle richieste all'API. Ad esempio:
curl -X GET -H "Authorization: Bearer \"$TOKEN\"" -H "Content-Type: application/json; charset=utf-8" https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations
Python
Gli esempi di codice Python in questa documentazione utilizzano la libreria VMware Engine per comunicare con l'API. Per poter utilizzare questo approccio, è necessario installare la libreria e configurare le Credenziali predefinite dell'applicazione.
scarica e installa la libreria Python
pip install google-cloud-vmwareengine
Configura le informazioni ADC eseguendo questi comandi nella shell
gcloud auth application-default login
o utilizzare un file di chiavi dell'account di servizio
export GOOGLE_APPLICATION_CREDENTIALS="FILE_PATH"
Per maggiori informazioni sulla libreria, visita la pagina di riferimento o visualizza gli esempi di codice su GitHub.
Configura il servizio di accesso a internet
Puoi consentire alle VM dei carichi di lavoro di accedere a internet abilitando il servizio di rete di accesso a internet. Il servizio di rete di accesso a internet è disabilitato per impostazione predefinita.
Attivare il servizio di accesso a internet in una regione
Console
Per abilitare il servizio di accesso a internet in una regione:
- Accedi al portale VMware Engine.
- Vai a Rete > Impostazioni regionali.
- Nella riga corrispondente alla regione di interesse, seleziona Modifica. Se la regione non è elencata nella tabella di riepilogo, aggiungila facendo clic su Aggiungi regione.
- Imposta Accesso a internet su Attivato.
- Puoi abilitare l'accesso a internet e lasciare disabilitato il servizio IP pubblico. In questo caso, l'allocazione di IP pubblici e VPN point-to-site non saranno disponibili.
- Nel campo Credenziale dei servizi Edge, inserisci l'intervallo di indirizzi da utilizzare per gli indirizzi del gateway internet VMware Engine (intervallo di indirizzi /26).
- Fai clic su Invia.
Lo stato del servizio cambia in Enabled al termine dell'operazione, in genere dopo diversi minuti.
gcloud
Utilizzando lo strumento gcloud
, esegui questo comando per creare un criterio di rete:
gcloud vmware network-policies create NETWORK_POLICY_NAME \ --vmware-engine-network projects/PROJECT_ID/locations/LOCATIONS/vmwareEngineNetworks/NETWORK_NAME \ --edge-services-cidr IP_RANGE \ --location REGION --internet-access
Sostituisci quanto segue:
NETWORK_POLICY_NAME
: il nome del criterio di rete. Deve essere nel formatoREGION-default
.NETWORK_NAME
: la rete a cui si applica questo criterio di reteIP_RANGE
: l'intervallo CIDR da utilizzare per l'accesso a internet e i gateway di accesso IP esterni, in notazione CIDR. È richiesto un blocco CIDR RFC 1918 con prefisso "/26".REGION
: la regione della rete
API
curl -X POST -H "Authorization: Bearer TOKEN" -H "Content-Type: application/json; charset=utf-8" https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies?networkPolicyId=NETWORK_POLICY_NAME -d "{ "vmwareEngineNetwork":"projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/NETWORK_NAME", "edgeServiceCidr":IP_RANGE, "internetAccess: { "enabled": true }, "externalIp": { "enabled": true } }"
Sostituisci quanto segue:
NETWORK_POLICY_NAME
: il nome del criterio di rete. Deve essere nel formatoREGION-default
.PROJECT_ID
: l'ID progetto per questa richiestaREGION
: la regione della reteIP_RANGE
: l'intervallo CIDR da utilizzare per l'accesso a internet e i gateway di accesso IP esterni, in notazione CIDR. È richiesto un blocco CIDR RFC 1918 con prefisso "/26".NETWORK_NAME
: la rete a cui si applica questo criterio di rete deve essere nel formato>REGION-default
Python
Disattivare il servizio di accesso a internet in una regione
Per disattivare il servizio di accesso a internet in una regione:
Console
- Accedi al portale VMware Engine.
- Vai a Rete > Impostazioni regionali.
- Nella riga corrispondente alla regione di interesse, seleziona Modifica.
- Imposta Accesso a internet su Disattivato.
- Devi disabilitare il servizio IP pubblico prima di poter disabilitare l'accesso a internet.
- Prima di poter disabilitare il servizio IP pubblico, devi eliminare tutti gli indirizzi IP pubblici allocati e i gateway VPN point-to-site.
- Fai clic su Invia.
Lo stato del servizio diventa Disattivato al completamento dell'operazione, in genere dopo diversi minuti.
gcloud
Utilizzando lo strumento gcloud
, esegui questo comando per aggiornare il criterio di rete:
gcloud vmware network-policies update NETWORK_POLICY_NAME \ --no-internet-access --location REGION
Sostituisci quanto segue:
NETWORK_POLICY_NAME
: il nome di questo criterio di reteREGION
: la regione della rete
API
curl -X PATCH -H "Authorization: Bearer TOKEN" -H "Content-Type: application/json; charset=utf-8" https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME?updateMask=internetAccess.enabled,externalIp.enabled -d "{ "internetAccess: { "enabled": false }, "externalIp": { "enabled": false } }"
Sostituisci quanto segue:
PROJECT_ID
: l'ID progetto per questa richiestaREGION
: la regione della reteNETWORK_POLICY_NAME
: il nome di questo criterio di rete
Python
Usa una connessione on-premise per l'accesso a internet dei carichi di lavoro
Facoltativamente, puoi indirizzare il traffico legato a internet dalle VM dei carichi di lavoro in VMware Engine tramite una connessione on-premise. Il traffico viene indirizzato in base allo stato di quanto segue:
- Annuncio di route predefinita (
0.0.0.0/0
) da on-premise - Servizio IP pubblico VMware Engine
- Servizio di accesso a internet di VMware Engine
- Controlli di servizio VPC sulla connessione in peering VPC tra rete VPC e VMware Engine
Abilita il routing del traffico internet tramite una connessione on-premise
Per accedere a internet dalle VM dei carichi di lavoro tramite una connessione on-premise, devi completare due passaggi:
- Pubblicizza la route predefinita (
0.0.0.0/0
) da on-premise su una connessione on-premise (Cloud VPN o Cloud Interconnect). Controlla il gateway Cloud VPN o il router Cloud dove termina la connessione on-premise alla VPN. - Disabilita l'accesso a internet e il servizio IP pubblico per la rete VMware Engine.
Console
- Accedi al portale VMware Engine
- Vai a Rete > Impostazioni regionali.
- Fai clic sull'icona Modifica per la regione in cui vuoi abilitare l'accesso a internet utilizzando una connessione on-premise.
Imposta IP pubblico su Disabilitato.
Imposta Accesso a internet su Disattivato.
Fai clic su Invia.
Abilita Controlli di servizio VPC sulla connessione in peering VPC tra la tua rete VPC e VMware Engine utilizzando il comando
gcloud services vpc-peerings enable-vpc-service-controls
:gcloud services vpc-peerings enable-vpc-service-controls \ --network=VPC_NETWORK \ --service=servicenetworking.googleapis.com
gcloud
Utilizzando lo strumento gcloud
, esegui questo comando per aggiornare il criterio di rete:
gcloud vmware network-policies update NETWORK_POLICY_NAME \ --no-internet-access --no-external-ip-address --location REGION
Sostituisci quanto segue:
NETWORK_POLICY_NAME
: il nome di questo criterio di reteREGION
: la regione della rete
Abilita quindi i controlli di servizio VPC per la connessione in peering VPC tra la tua rete VPC e VMware Engine utilizzando il comando gcloud services vpc-peerings enable-vpc-service-controls
:
gcloud services vpc-peerings enable-vpc-service-controls \ --network=VPC_NETWORK \ --service=servicenetworking.googleapis.com
API
curl -X PATCH -H "Authorization: Bearer TOKEN" -H "Content-Type: application/json; charset=utf-8" https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME?updateMask=internetAccess.enabled,externalIp.enabled -d "{ "internetAccess: { "enabled": false }, "externalIp: { "enabled": false } }"
Abilita quindi i controlli di servizio VPC per la connessione in peering VPC tra la tua rete VPC e VMware Engine utilizzando il comando gcloud services vpc-peerings enable-vpc-service-controls
:
gcloud services vpc-peerings enable-vpc-service-controls \ --network=VPC_NETWORK \ --service=servicenetworking.googleapis.com
Python
Imposta internet_access e external_ip su False
.
Abilita quindi i controlli di servizio VPC per la connessione in peering VPC tra la tua rete VPC e VMware Engine utilizzando il comando gcloud services vpc-peerings enable-vpc-service-controls
:
gcloud services vpc-peerings enable-vpc-service-controls \ --network=VPC_NETWORK \ --service=servicenetworking.googleapis.com
Disabilita il routing del traffico internet tramite una connessione on-premise
Per disabilitare il routing del traffico internet dalle VM dei tuoi carichi di lavoro tramite una connessione on-premise, interrompi la pubblicità della route predefinita (0.0.0.0/0
) e disabilita i controlli di servizio VPC sulla connessione in peering VPC.
Per disabilitare i controlli di servizio VPC sulla connessione in peering VPC tra la rete VPC e VMware Engine, utilizza il comando gcloud services vpc-peerings disable-vpc-service-controls
:
gcloud services vpc-peerings disable-vpc-service-controls \ --network=VPC_NETWORK \ --service=servicenetworking.googleapis.com
Passaggi successivi
- Scopri come allocare un indirizzo IP pubblico per una VM nel tuo cloud privato
- Scopri come le tabelle firewall e le regole firewall filtrano il traffico di rete da e verso le risorse cloud privato