(Legacy) Private Verbindungen einrichten

Der Zugriff auf private Dienste ist eine private Verbindung zwischen Ihrem Virtual Private Cloud-Netzwerk (VPC) und Netzwerken in VMware Engine. Auf dieser Seite wird erläutert, wie Sie den Zugriff auf private Dienste auf Google Cloud VMware Engine einrichten und Ihrem VPC-Netzwerk mit Ihrer privaten Cloud verbinden.

Der private Dienstzugriff ermöglicht Folgendes:

  • Exklusive Kommunikation über interne IP-Adressen zwischen VM-Instanzen in Ihrem VPC-Netzwerk und den VMware-VMs. VM-Instanzen erfordern keinen Internetzugang oder externe IP-Adressen, um verfügbare Dienste über den Zugriff auf private Dienste zu erreichen.
  • Kommunikation zwischen VMs von VMware und von Google Cloud unterstützten Diensten, die den Zugriff auf private Dienste über interne IP-Adressen unterstützen.
  • Verwendung einer vorhandenen lokalen Verbindung, um eine Verbindung zu Ihrer privaten VMware Engine-Cloud herzustellen, wenn eine lokale Verbindung über Cloud VPN oder Cloud Interconnect zu Ihrem VPC-Netzwerk existiert.

Sie können private Dienstzugriffe unabhängig von der Erstellung der privaten Cloud in VMware Engine einrichten. Die private Verbindung kann vor oder nach der Erstellung der privaten Cloud erstellt werden, mit der Sie Ihr VPC-Netzwerk verbinden möchten.

Berechtigungen

  1. Make sure that you have the following role or roles on the project: Compute > Network Admin

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.
    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      IAM aufrufen
    2. Wählen Sie das Projekt aus.
    3. Klicken Sie auf Zugriff erlauben.
    4. Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Dies ist in der Regel die E-Mail-Adresse eines Google-Kontos.

    5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
    6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
    7. Klicken Sie auf Speichern.

    Hinweis

    1. Sie müssen bereits ein VPC-Netzwerk haben.
    2. Aktivieren Sie die Service Networking API in Ihrem Projekt.
    3. Konfigurieren Sie den Zugriff auf private Dienste im VPC-Netzwerk, mit dem Sie eine Verbindung herstellen möchten.

    4. So finden Sie die Peering-Projekt-ID Ihres VPC-Netzwerks:

      1. Gehen Sie in der Google Cloud Console zu VPC-Netzwerk-Peering. Eine VPC-Netzwerk-Peering-Verbindung mit dem Namen servicenetworking-googleapis-com wird in der Peering-Tabelle aufgeführt.
      2. Kopieren Sie die Peering-Projekt-ID, damit Sie sie beim Einrichten einer privaten Verbindung in der Google Cloud Console verwenden können.

    Multi-VPC-Konnektivität

    Mit VMware Engine können Sie über verschiedene VPC-Netzwerke auf dieselbe private Cloud zugreifen, ohne vorhandene VPC-Architekturen ändern zu müssen, die in Google Cloud bereitgestellt werden. Multi-VPC-Verbindungen sind beispielsweise nützlich, wenn Sie separate VPC-Netzwerke für Tests und Entwicklung haben.

    In dieser Situation müssen VPC-Netzwerke mit VMware-VMs oder anderen Zieladressen in separaten vSphere-Ressourcengruppen in derselben privaten Cloud oder in mehreren privaten Clouds kommunizieren.

    Standardmäßig können Sie drei VPC-Netzwerke pro Region über Peering verbinden. Dieses Das Peering-Limit umfasst das VPC-Peering, das vom Netzwerkdienst für den Internetzugriff verwendet wird. Wenden Sie sich an den Cloud-Kundendienst, um dieses Limit zu erhöhen.

    Eindeutigkeit der IP-Adresse

    Wenn Sie Ihr VPC-Netzwerk mit einem regionalen VMware Engine-Netzwerk verbinden, beachten Sie die folgenden Richtlinien, um für eindeutige IP-Adressen zu sorgen:

    • VMware Engine-IP-Bereiche und Subnetze in Ihrem VPC-Netzwerk können den Parameter in denselben IP-Adressbereichen.

    • VMware Engine-IP-Bereiche können nicht in einen Subnetz-IP-Adressbereich in Ihrem VPC-Netzwerk. Subnetzrouten in Ihrem VPC-Netzwerk müssen die spezifischsten IP-Adressbereiche haben.

    • In der Übersicht zu VPC-Netzwerkrouten finden Sie weitere Informationen zur Funktionsweise von VPC-Netzwerkrouten.

    • Wenn Sie zwei oder mehr VMware Engine-Netzwerke mit demselben VPC-Netzwerk, müssen Sie entweder für jedes VMware Engine-Netzwerk oder Sie müssen die NSX-T-Konnektivität nur für einem der VMware Engine-Netzwerke, die denselben IP-Bereich wie ein anderes verwenden VMware Engine-Netzwerk

    Private Verbindung erstellen

    Erstellen Sie eine private Verbindung in der Console, der Google Cloud CLI oder der REST API. Legen Sie in Ihrer Anfrage den Verbindungstyp auf PRIVATE_SERVICE_ACCESS und den Routingmodus auf GLOBAL fest.

    Console

    1. Rufen Sie in der Google Cloud Console die Seite Private Verbindungen auf.

      Zu „Private Verbindungen“

    2. Klicken Sie auf Erstellen.

    3. Geben Sie einen Namen und eine Beschreibung für die Verbindung an.

    4. Wählen Sie das VMware Engine-Netzwerk aus, mit dem Sie eine Verbindung herstellen möchten.

    5. Fügen Sie in das Feld ID des Peering-Projekts die ID des Peering-Projekts ein, die Sie aus den Voraussetzungen kopiert haben.

    6. Wählen Sie unter Typ der privaten Verbindung die Option Zugriff auf private Dienste aus.

    7. Wählen Sie den Routingmodus für diese VPC-Netzwerk-Peering-Verbindung aus. In den meisten Fällen empfehlen wir den globalen Routingmodus. Wenn Sie nicht möchten, dass Google die über Peering mit Ihrem VPC-Netzwerk verbunden sind, für alle Regionen verwenden, wählen Sie stattdessen den Routingmodus Regional aus. Bei dieser Auswahl wird der vorhandene Routingmodus überschrieben.

    8. Klicken Sie auf Senden.

    Wenn die Verbindung erstellt wurde, können Sie die spezifische Verbindung aus die Liste der privaten Verbindungen. Auf der Detailseite für jede private Verbindung werden der Routingmodus der privaten Verbindung und alle über VPC-Peering erlernten Routen angezeigt.

    Die Tabelle Exportierte Routen zeigt private Clouds, die aus der Region erkannt wurden und über VPC-Peering exportiert. Wenn mehrere VPC-Netzwerke mit demselben regionalen VMware Engine-Netzwerk verbunden sind. die von einem VPC-Netzwerk empfangen werden, nicht an den anderen VPC-Netzwerk.

    gcloud

    1. Erstellen Sie eine private Verbindung, indem Sie den gcloud vmware private-connections create-Befehl:

      gcloud vmware private-connections create PRIVATE_CONNECTION_ID \
        --location=REGION\
        --description="" \
        --vmware-engine-network=NETWORK_ID \
        --service-project=SERVICE_NETWORKING_TENANT_PROJECT\
        --type=PRIVATE_SERVICE_ACCESS \
        --routing-mode=MODE
      

      Ersetzen Sie Folgendes:

      • PRIVATE_CONNECTION_ID: das private Verbindungsname zum Erstellen
      • REGION: Die Region, in der dieses private Element erstellt werden soll Verbindung in; muss mit der VMware Engine-Netzwerkregion übereinstimmen
      • NETWORK_ID: Name des VMware Engine-Netzwerks
      • SERVICE_NETWORKING_TENANT_PROJECT: die Projektname für diese Dienstnetzwerk-Mandanten-VPC. Sie finden den SNTP in der Spalte PEER_PROJECT des Peeringnamens servicenetworking-googleapis-com.
      • MODE: Routingmodus, entweder GLOBAL oder REGIONAL
    2. Optional: Wenn Sie Ihre privaten Verbindungen auflisten möchten, führen Sie den Befehl gcloud vmware private-connections list aus:

      gcloud vmware private-connections list \
          --location=REGION

      Ersetzen Sie Folgendes:

      • REGION: Region des Netzwerks, das aufgelistet werden soll.

    API

    So erstellen Sie mit der VMware Engine API eine Compute Engine-VPC und eine Verbindung für den privaten Dienstzugriff:

    1. Erstellen Sie eine private Verbindung, indem Sie eine POST-Anfrage senden:

      POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections?private_connection_id=PRIVATE_CONNECTION_ID"
      
      '{
        "description": "My first private connection",
        "vmware_engine_network":
      "projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/NETWORK_ID
        "type": "PRIVATE_SERVICE_ACCESS",
        "routing_mode": "MODE",
        "service_network":
      "projects/SERVICE_NETWORKING_TENANT_PROJECT/global/networks/SERVICE_NETWORK"
      }'
      

      Ersetzen Sie Folgendes:

      • PRIVATE_CONNECTION_ID: der Name der privaten Verbindung für diese Anfrage
      • REGION: die Region, in der diese private Verbindung erstellt werden soll
      • NETWORK_ID: das VMware Engine-Netzwerk für dieses Anfrage
      • SERVICE_NETWORKING_TENANT_PROJECT: der Projektname für das VPC des Dienstnetzwerkmieters. Sie finden SNTP in der Spalte PEER_PROJECT des Peering-Namens servicenetworking-googleapis-com
      • SERVICE_NETWORK: das Netzwerk im Mandantenprojekt
    2. Optional: Wenn Sie Ihre privaten Verbindungen auflisten möchten, erstellen Sie einen GET Anfrage:

      GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections"
      

      Ersetzen Sie Folgendes:

      • PROJECT_ID: der Projektname hierfür
      • REGION: Region, in der die privaten Daten aufgelistet werden sollen Verbindungen herstellen.

    Private Verbindung bearbeiten

    Sie können eine private Verbindung nach dem Erstellen bearbeiten. Nach der Erstellung können Sie den Routingmodus zwischen GLOBAL und REGIONAL ändern. In der Google Cloud CLI oder in der API können Sie auch die Beschreibung der privaten Verbindung aktualisieren.`

    Console

    1. Rufen Sie in der Google Cloud Console die Seite Private Verbindungen auf.

      Zu „Private Verbindungen“

    2. Klicken Sie auf den Namen der privaten Verbindung, die Sie bearbeiten möchten.

    3. Klicken Sie auf der Detailseite auf Bearbeiten.

    4. Aktualisieren Sie die Beschreibung oder den Routing-Modus der Verbindung.

    5. Speichern Sie die Änderungen.

    gcloud

    Bearbeiten Sie eine private Verbindung mit dem gcloud vmware private-connections update-Befehl:

    gcloud vmware private-connections update PRIVATE_CONNECTION_ID \
       --location=REGION \
       --description=DESCRIPTION \
       --routing-mode=MODE
    

    Ersetzen Sie Folgendes:

    • PROJECT_ID: der Projektname für diese Anfrage
    • REGION: Die Region, in der dieses private Objekt aktualisiert werden soll Verbindung in
    • DESCRIPTION: die neue zu verwendende Beschreibung
    • PRIVATE_CONNECTION_ID: die ID der privaten Verbindung für diese Anfrage
    • MODE: Routingmodus, entweder GLOBAL oder REGIONAL

    API

    Zum Bearbeiten einer privaten Verbindung mit der VMware Engine API erstellen Sie einen PATCH Anfrage:

    PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID?update_mask=description, routing_mode"
    
    '{
      "description": "Updated description for the private connection",
      "routing_mode": "MODE"
    }'

    Ersetzen Sie Folgendes:

    • PROJECT_ID: der Projektname für diese Anfrage
    • REGION: Die Region, in der dieses private Objekt aktualisiert werden soll Verbindung in
    • PRIVATE_CONNECTION_ID: der Name der privaten Verbindung für diese Anfrage
    • MODE: Routingmodus, entweder GLOBAL oder REGIONAL

    Private Verbindung beschreiben

    Sie können die Beschreibung einer privaten Verbindung mit der Google Cloud CLI oder der VMware Engine API abrufen.

    gcloud

    Führen Sie den Befehl gcloud vmware private-connections describe aus, um eine Beschreibung einer privaten Verbindung abzurufen:

    gcloud vmware private-connections describe PRIVATE_CONNECTION_ID \
        --location=REGION
    

    Ersetzen Sie Folgendes:

    • PRIVATE_CONNECTION_ID: der Name der privaten Verbindung für diese Anfrage
    • REGION: Region der privaten Verbindung.

    API

    Um eine Beschreibung einer privaten Verbindung zu erhalten, verwenden Sie die VMware Engine API: Stellen Sie eine GET-Anfrage:

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID"
    

    Ersetzen Sie Folgendes:

    • PROJECT_ID: der Projektname für diese Anfrage.
    • PRIVATE_CONNECTION_ID: der Name der privaten Verbindung für diese Anfrage.
    • REGION: die Region der privaten Verbindung.

    Wenn die gelöschten privaten Verbindungen nicht mehr in der Liste der privaten Verbindungen sichtbar sind, können Sie die Verbindung in der Google Cloud Console löschen. Wenn dieser Schritt in der falschen Reihenfolge ausgeführt wird, kann dies zu einem veralteten DNS führen. in beiden Google Cloud-Projekten.

    Peering-Routen für eine private Verbindung auflisten

    So listen Sie Peering-Routen auf, die für eine private Verbindung ausgetauscht wurden:

    Console

    1. Rufen Sie in der Google Cloud Console die Seite Private Verbindungen auf.

      Zu „Private Verbindungen“

    2. Klicken Sie auf den Namen der privaten Verbindung, die Sie aufrufen möchten.

    Auf der Detailseite werden importierte und exportierte Routen beschrieben.

    gcloud

    Führen Sie den Befehl gcloud vmware private-connections routes list aus, um Peering-Routen aufzulisten, die für eine private Verbindung ausgetauscht wurden:

    gcloud vmware private-connections routes list \
        --private-connection=PRIVATE_CONNECTION_ID \
        --location=REGION

    Ersetzen Sie Folgendes:

    • PRIVATE_CONNECTION_ID: die private Verbindung Name für diese Anfrage.
    • REGION: Region der privaten Verbindung.

    API

    Zum Auflisten der für eine private Verbindung ausgetauschten Peering-Routen mithilfe der VMware Engine API: Stellen Sie eine GET-Anfrage:

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID/peeringRoutes"
    

    Ersetzen Sie Folgendes:

    • PROJECT_ID: der Projektname für diese Anfrage.
    • REGION: die Region der privaten Verbindung.
    • PRIVATE_CONNECTION_ID: der Name der privaten Verbindung für diese Anfrage.

    Routing-Limits

    Die maximale Anzahl von Routen, die eine private Cloud empfangen kann, ist 200. Für Diese Routen können z. B. aus lokalen Netzwerken, VPC-Netzwerke und andere private Clouds im selben VPC-Netzwerk. Dieses Routenlimit entspricht der maximalen Anzahl von benutzerdefinierten Route Advertisements pro BGP-Sitzung auf dem Cloud Router.

    In einer bestimmten Region können Sie maximal 100 eindeutige Routen von VMware Engine zu Ihrem VPC-Netzwerk weitergeben. Verwenden Sie dazu den privaten Dienstzugriff. Zu diesen eindeutigen Routen gehören beispielsweise IP-Adressbereiche für die private Cloudverwaltung, Netzwerksegmente für NSX-T-Arbeitslasten und interne IP-Adressbereiche von HCX. Dieses Routenlimit umfasst alle privaten Clouds in der Region und entspricht dem Limit für erkannte Routen des Cloud Router.

    Informationen zu Routingbeschränkungen finden Sie unter Cloud Router-Kontingente und .

    Fehlerbehebung

    Im folgenden Video erfahren Sie, wie Sie Probleme mit Peering-Verbindungen zwischen der Google Cloud VPC und der Google Cloud VMware Engine prüfen und beheben.

    Nächste Schritte