配置互联网访问权限和公共 IP 服务

您可以按区域为 Google Cloud VMware Engine 工作负载配置互联网访问权限和公共 IP 服务。您可以通过 Google Cloud 的互联网边缘或通过本地连接来定向来自 VMware 工作负载的互联网绑定流量。 本页面介绍了如何配置这些选项,并说明了互联网访问权限与公共 IP 服务之间的依赖关系。

准备工作

如需更改您的私有云的互联网访问设置,您必须对 VMware Engine 拥有管理员访问权限

如需启用互联网访问权限,您需要一个 Edge 服务 CIDR 地址范围。启用互联网访问权限和公共 IP 服务时,网关会在服务租户上下文中进行部署。此地址范围可用于处理 VMware Engine 互联网和公共 IP 网关。

地址范围必须满足以下要求:

  • 符合 RFC 1918 作为专用地址范围的要求。
  • 不与任何其他 VMware Engine 地址范围(例如,用于管理设备或 NSX-T 片段的地址范围)重叠。
  • 不与向 VMware Engine 通告的任何地址范围(例如,用于 VPC 子网或本地网络的地址范围)重叠。
  • 指定一个具有 26 个子网掩码位 (/26) 的 IP 地址范围。

在一个区域中启用互联网访问权限和公共 IP 服务

  1. 访问 VMware Engine 门户
  2. 选择网络 > 区域设置。互联网访问权限和公共 IP 服务默认处于停用状态。
  3. 在与关注区域对应的行中,选择修改。 如果总结表格中未列出您感兴趣的区域,请点击添加区域以添加该区域。
  4. 互联网访问公共 IP 按钮切换为已启用
    • 如果您要启用公共 IP 服务,则必须启用互联网访问权限。
    • 您可以启用互联网访问权限,并停用公共 IP 服务。如果执行此操作,则无法使用站点到站点 VPN 和公共 IP 分配。
  5. 提供 Edge services CIDR(/26 地址范围)。
  6. 点击提交

操作完成后,通常在几分钟后,服务的状态会变为 已启用

使用 专用 Google 访问通道访问 Google Cloud 服务的操作会保留在 Google Cloud 网络中,且不会退出互联网。

停用区域中的互联网访问权限和公共 IP 服务

  1. 访问 VMware Engine 门户
  2. 选择网络 > 区域设置。互联网访问权限和公共 IP 服务默认处于停用状态。
  3. 在与关注区域对应的行中,选择修改
  4. 互联网访问公共 IP 按钮切换为 已停用
    • 您必须先停用公共 IP 服务,然后才能停用互联网访问权限。
    • 您必须先删除所有已分配的公共 IP 地址和指向站点的 VPN 网关,然后才能停用公共 IP 服务。
  5. 点击提交

操作完成后,通常在几分钟后,服务的状态会变为 已停用

通过本地连接启用互联网访问

如需使用 专用 Google 访问通道 方法访问 Google Cloud 服务,请在您的 VPC 对等互连连接上启用 VPC Service Controls。

  1. 确保通过本地连接(Cloud VPN 或 Cloud Interconnect)从本地通告默认路由 (0.0.0.0/0)。检查 Cloud VPN 网关或 Cloud Router,其中与 VPN 的本地连接终止。
  2. 访问 VMware Engine 门户
  3. 选择网络 > 区域设置
  4. 点击您要使用本地连接来启用互联网访问的区域的修改图标。
  5. 公共 IP 切换为已停用

  6. 互联网访问权限切换为已停用

  7. 点击提交

  8. 使用 gcloud services vpc-peerings enable-vpc-service-controls 命令,在 VPC 与 VMware Engine 之间的 VPC 对等互连连接上启用 VPC Service Controls

    gcloud services vpc-peerings enable-vpc-service-controls \
        --network=VPC_NETWORK \
        --service=servicenetworking.googleapis.com

使用本地连接来停用互联网访问

如需在 VPC 与 VMware Engine 之间的 VPC 对等互连连接上停用 VPC Service Controls,请使用以下 gcloud services vpc-peerings disable-vpc-service-controls 命令

gcloud services vpc-peerings disable-vpc-service-controls \
    --network=VPC_NETWORK \
    --service=servicenetworking.googleapis.com

后续步骤