(Legacy) Private Verbindungen einrichten
Der Zugriff auf private Dienste ist eine private Verbindung zwischen Ihrem Virtual Private Cloud-Netzwerk (VPC) und Netzwerken in VMware Engine. Auf dieser Seite wird erläutert, wie Sie den Zugriff auf private Dienste auf Google Cloud VMware Engine einrichten und Ihrem VPC-Netzwerk mit Ihrer privaten Cloud verbinden.
Der private Dienstzugriff ermöglicht Folgendes:
- Exklusive Kommunikation über interne IP-Adressen zwischen VM-Instanzen in Ihrem VPC-Netzwerk und den VMware-VMs. VM-Instanzen erfordern keinen Internetzugang oder externe IP-Adressen, um verfügbare Dienste über den Zugriff auf private Dienste zu erreichen.
- Kommunikation zwischen VMs von VMware und von Google Cloud unterstützten Diensten, die den Zugriff auf private Dienste über interne IP-Adressen unterstützen.
- Verwendung einer vorhandenen lokalen Verbindung, um eine Verbindung zu Ihrer privaten VMware Engine-Cloud herzustellen, wenn eine lokale Verbindung über Cloud VPN oder Cloud Interconnect zu Ihrem VPC-Netzwerk existiert.
Sie können private Dienstzugriffe unabhängig von der Erstellung der privaten Cloud in VMware Engine einrichten. Die private Verbindung kann vor oder nach der Erstellung der privaten Cloud erstellt werden, mit der Sie Ihr VPC-Netzwerk verbinden möchten.
Berechtigungen
-
Make sure that you have the following role or roles on the project: Compute > Network Admin
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the project.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
IAM aufrufen - Wählen Sie das Projekt aus.
- Klicken Sie auf Zugriff erlauben.
-
Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Dies ist in der Regel die E-Mail-Adresse eines Google-Kontos.
- Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
- Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
- Klicken Sie auf Speichern.
Hinweis
- Sie müssen bereits ein VPC-Netzwerk haben.
- Aktivieren Sie die Service Networking API in Ihrem Projekt.
Konfigurieren Sie den Zugriff auf private Dienste im VPC-Netzwerk, mit dem Sie eine Verbindung herstellen möchten.
So finden Sie die Peering-Projekt-ID Ihres VPC-Netzwerks:
- Gehen Sie in der Google Cloud Console zu VPC-Netzwerk-Peering. Eine VPC-Netzwerk-Peering-Verbindung mit dem Namen servicenetworking-googleapis-com wird in der Peering-Tabelle aufgeführt.
- Kopieren Sie die Peering-Projekt-ID, damit Sie sie beim Einrichten einer privaten Verbindung in der Google Cloud Console verwenden können.
Multi-VPC-Konnektivität
Mit VMware Engine können Sie über verschiedene VPC-Netzwerke auf dieselbe private Cloud zugreifen, ohne vorhandene VPC-Architekturen ändern zu müssen, die in Google Cloud bereitgestellt werden. Multi-VPC-Verbindungen sind beispielsweise nützlich, wenn Sie separate VPC-Netzwerke für Tests und Entwicklung haben.
In dieser Situation müssen VPC-Netzwerke mit VMware-VMs oder anderen Zieladressen in separaten vSphere-Ressourcengruppen in derselben privaten Cloud oder in mehreren privaten Clouds kommunizieren.
Standardmäßig können Sie drei VPC-Netzwerke pro Region über Peering verbinden. Dieses Das Peering-Limit umfasst das VPC-Peering, das vom Netzwerkdienst für den Internetzugriff verwendet wird. Wenden Sie sich an den Cloud-Kundendienst, um dieses Limit zu erhöhen.
Eindeutigkeit der IP-Adresse
Wenn Sie Ihr VPC-Netzwerk mit einem regionalen VMware Engine-Netzwerk verbinden, beachten Sie die folgenden Richtlinien, um für eindeutige IP-Adressen zu sorgen:
VMware Engine-IP-Bereiche und Subnetze in Ihrem VPC-Netzwerk können den Parameter in denselben IP-Adressbereichen.
VMware Engine-IP-Bereiche können nicht in einen Subnetz-IP-Adressbereich in Ihrem VPC-Netzwerk. Subnetzrouten in Ihrem VPC-Netzwerk müssen die spezifischsten IP-Adressbereiche haben.
In der Übersicht zu VPC-Netzwerkrouten finden Sie weitere Informationen zur Funktionsweise von VPC-Netzwerkrouten.
Wenn Sie zwei oder mehr VMware Engine-Netzwerke mit demselben VPC-Netzwerk, müssen Sie entweder für jedes VMware Engine-Netzwerk oder Sie müssen die NSX-T-Konnektivität nur für einem der VMware Engine-Netzwerke, die denselben IP-Bereich wie ein anderes verwenden VMware Engine-Netzwerk
Private Verbindung erstellen
Erstellen Sie eine private Verbindung in der Console, der Google Cloud CLI oder der REST API. Legen Sie in Ihrer Anfrage den Verbindungstyp auf
PRIVATE_SERVICE_ACCESS
und den Routingmodus aufGLOBAL
fest.Console
Rufen Sie in der Google Cloud Console die Seite Private Verbindungen auf.
Klicken Sie auf Erstellen.
Geben Sie einen Namen und eine Beschreibung für die Verbindung an.
Wählen Sie das VMware Engine-Netzwerk aus, mit dem Sie eine Verbindung herstellen möchten.
Fügen Sie in das Feld ID des Peering-Projekts die ID des Peering-Projekts ein, die Sie aus den Voraussetzungen kopiert haben.
Wählen Sie unter Typ der privaten Verbindung die Option Zugriff auf private Dienste aus.
Wählen Sie den Routingmodus für diese VPC-Netzwerk-Peering-Verbindung aus. In den meisten Fällen empfehlen wir den globalen Routingmodus. Wenn Sie nicht möchten, dass Google die über Peering mit Ihrem VPC-Netzwerk verbunden sind, für alle Regionen verwenden, wählen Sie stattdessen den Routingmodus
Regional
aus. Bei dieser Auswahl wird der vorhandene Routingmodus überschrieben.Klicken Sie auf Senden.
Wenn die Verbindung erstellt wurde, können Sie die spezifische Verbindung aus die Liste der privaten Verbindungen. Auf der Detailseite für jede private Verbindung werden der Routingmodus der privaten Verbindung und alle über VPC-Peering erlernten Routen angezeigt.
Die Tabelle Exportierte Routen zeigt private Clouds, die aus der Region erkannt wurden und über VPC-Peering exportiert. Wenn mehrere VPC-Netzwerke mit demselben regionalen VMware Engine-Netzwerk verbunden sind. die von einem VPC-Netzwerk empfangen werden, nicht an den anderen VPC-Netzwerk.
gcloud
Erstellen Sie eine private Verbindung, indem Sie den
gcloud vmware private-connections create
-Befehl:gcloud vmware private-connections create PRIVATE_CONNECTION_ID \ --location=REGION\ --description="" \ --vmware-engine-network=NETWORK_ID \ --service-project=SERVICE_NETWORKING_TENANT_PROJECT\ --type=PRIVATE_SERVICE_ACCESS \ --routing-mode=MODE
Ersetzen Sie Folgendes:
PRIVATE_CONNECTION_ID
: das private Verbindungsname zum ErstellenREGION
: Die Region, in der dieses private Element erstellt werden soll Verbindung in; muss mit der VMware Engine-Netzwerkregion übereinstimmenNETWORK_ID
: Name des VMware Engine-NetzwerksSERVICE_NETWORKING_TENANT_PROJECT
: die Projektname für diese Dienstnetzwerk-Mandanten-VPC. Sie finden den SNTP in der Spalte PEER_PROJECT des Peeringnamensservicenetworking-googleapis-com
.MODE
: Routingmodus, entwederGLOBAL
oderREGIONAL
Optional: Wenn Sie Ihre privaten Verbindungen auflisten möchten, führen Sie den Befehl
gcloud vmware private-connections list
aus:gcloud vmware private-connections list \ --location=REGION
Ersetzen Sie Folgendes:
REGION
: Region des Netzwerks, das aufgelistet werden soll.
API
So erstellen Sie mit der VMware Engine API eine Compute Engine-VPC und eine Verbindung für den privaten Dienstzugriff:
Erstellen Sie eine private Verbindung, indem Sie eine
POST
-Anfrage senden:POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections?private_connection_id=PRIVATE_CONNECTION_ID" '{ "description": "My first private connection", "vmware_engine_network": "projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/NETWORK_ID "type": "PRIVATE_SERVICE_ACCESS", "routing_mode": "MODE", "service_network": "projects/SERVICE_NETWORKING_TENANT_PROJECT/global/networks/SERVICE_NETWORK" }'
Ersetzen Sie Folgendes:
PRIVATE_CONNECTION_ID
: der Name der privaten Verbindung für diese AnfrageREGION
: die Region, in der diese private Verbindung erstellt werden sollNETWORK_ID
: das VMware Engine-Netzwerk für dieses AnfrageSERVICE_NETWORKING_TENANT_PROJECT
: der Projektname für das VPC des Dienstnetzwerkmieters. Sie finden SNTP in der Spalte PEER_PROJECT des Peering-Namensservicenetworking-googleapis-com
SERVICE_NETWORK
: das Netzwerk im Mandantenprojekt
Optional: Wenn Sie Ihre privaten Verbindungen auflisten möchten, erstellen Sie einen
GET
Anfrage:GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections"
Ersetzen Sie Folgendes:
PROJECT_ID
: der Projektname hierfürREGION
: Region, in der die privaten Daten aufgelistet werden sollen Verbindungen herstellen.
Private Verbindung bearbeiten
Sie können eine private Verbindung nach dem Erstellen bearbeiten. Nach der Erstellung können Sie den Routingmodus zwischen
GLOBAL
undREGIONAL
ändern. In der Google Cloud CLI oder in der API können Sie auch die Beschreibung der privaten Verbindung aktualisieren.`Console
Rufen Sie in der Google Cloud Console die Seite Private Verbindungen auf.
Klicken Sie auf den Namen der privaten Verbindung, die Sie bearbeiten möchten.
Klicken Sie auf der Detailseite auf Bearbeiten.
Aktualisieren Sie die Beschreibung oder den Routing-Modus der Verbindung.
Speichern Sie die Änderungen.
gcloud
Bearbeiten Sie eine private Verbindung mit dem
gcloud vmware private-connections update
-Befehl:gcloud vmware private-connections update PRIVATE_CONNECTION_ID \ --location=REGION \ --description=DESCRIPTION \ --routing-mode=MODE
Ersetzen Sie Folgendes:
PROJECT_ID
: der Projektname für diese AnfrageREGION
: Die Region, in der dieses private Objekt aktualisiert werden soll Verbindung inDESCRIPTION
: die neue zu verwendende BeschreibungPRIVATE_CONNECTION_ID
: die ID der privaten Verbindung für diese AnfrageMODE
: Routingmodus, entwederGLOBAL
oderREGIONAL
API
Zum Bearbeiten einer privaten Verbindung mit der VMware Engine API erstellen Sie einen
PATCH
Anfrage:PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID?update_mask=description, routing_mode" '{ "description": "Updated description for the private connection", "routing_mode": "MODE" }'
Ersetzen Sie Folgendes:
PROJECT_ID
: der Projektname für diese AnfrageREGION
: Die Region, in der dieses private Objekt aktualisiert werden soll Verbindung inPRIVATE_CONNECTION_ID
: der Name der privaten Verbindung für diese AnfrageMODE
: Routingmodus, entwederGLOBAL
oderREGIONAL
Private Verbindung beschreiben
Sie können die Beschreibung einer privaten Verbindung mit der Google Cloud CLI oder der VMware Engine API abrufen.
gcloud
Führen Sie den Befehl
gcloud vmware private-connections describe
aus, um eine Beschreibung einer privaten Verbindung abzurufen:gcloud vmware private-connections describe PRIVATE_CONNECTION_ID \ --location=REGION
Ersetzen Sie Folgendes:
PRIVATE_CONNECTION_ID
: der Name der privaten Verbindung für diese AnfrageREGION
: Region der privaten Verbindung.
API
Um eine Beschreibung einer privaten Verbindung zu erhalten, verwenden Sie die VMware Engine API: Stellen Sie eine
GET
-Anfrage:GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID"
Ersetzen Sie Folgendes:
PROJECT_ID
: der Projektname für diese Anfrage.PRIVATE_CONNECTION_ID
: der Name der privaten Verbindung für diese Anfrage.REGION
: die Region der privaten Verbindung.
Wenn die gelöschten privaten Verbindungen nicht mehr in der Liste der privaten Verbindungen sichtbar sind, können Sie die Verbindung in der Google Cloud Console löschen. Wenn dieser Schritt in der falschen Reihenfolge ausgeführt wird, kann dies zu einem veralteten DNS führen. in beiden Google Cloud-Projekten.
Peering-Routen für eine private Verbindung auflisten
So listen Sie Peering-Routen auf, die für eine private Verbindung ausgetauscht wurden:
Console
Rufen Sie in der Google Cloud Console die Seite Private Verbindungen auf.
Klicken Sie auf den Namen der privaten Verbindung, die Sie aufrufen möchten.
Auf der Detailseite werden importierte und exportierte Routen beschrieben.
gcloud
Führen Sie den Befehl
gcloud vmware private-connections routes list
aus, um Peering-Routen aufzulisten, die für eine private Verbindung ausgetauscht wurden:gcloud vmware private-connections routes list \ --private-connection=PRIVATE_CONNECTION_ID \ --location=REGION
Ersetzen Sie Folgendes:
PRIVATE_CONNECTION_ID
: die private Verbindung Name für diese Anfrage.REGION
: Region der privaten Verbindung.
API
Zum Auflisten der für eine private Verbindung ausgetauschten Peering-Routen mithilfe der VMware Engine API: Stellen Sie eine
GET
-Anfrage:GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID/peeringRoutes"
Ersetzen Sie Folgendes:
PROJECT_ID
: der Projektname für diese Anfrage.REGION
: die Region der privaten Verbindung.PRIVATE_CONNECTION_ID
: der Name der privaten Verbindung für diese Anfrage.
Routing-Limits
Die maximale Anzahl von Routen, die eine private Cloud empfangen kann, ist 200. Für Diese Routen können z. B. aus lokalen Netzwerken, VPC-Netzwerke und andere private Clouds im selben VPC-Netzwerk. Dieses Routenlimit entspricht der maximalen Anzahl von benutzerdefinierten Route Advertisements pro BGP-Sitzung auf dem Cloud Router.
In einer bestimmten Region können Sie maximal 100 eindeutige Routen von VMware Engine zu Ihrem VPC-Netzwerk weitergeben. Verwenden Sie dazu den privaten Dienstzugriff. Zu diesen eindeutigen Routen gehören beispielsweise IP-Adressbereiche für die private Cloudverwaltung, Netzwerksegmente für NSX-T-Arbeitslasten und interne IP-Adressbereiche von HCX. Dieses Routenlimit umfasst alle privaten Clouds in der Region und entspricht dem Limit für erkannte Routen des Cloud Router.
Informationen zu Routingbeschränkungen finden Sie unter Cloud Router-Kontingente und .
Fehlerbehebung
Im folgenden Video erfahren Sie, wie Sie Probleme mit Peering-Verbindungen zwischen der Google Cloud VPC und der Google Cloud VMware Engine prüfen und beheben.
Nächste Schritte
-