(Ancien) Configurer des connexions privées

L'accès aux services privés est une connexion privée entre votre réseau de cloud privé virtuel (VPC) et les réseaux dans VMware Engine. Cette page explique comment configurer l'accès aux services privés de Google Cloud VMware Engine et connecter votre réseau VPC à votre cloud privé.

L'accès aux services privés permet d'effectuer les opérations suivantes :

  • Communication exclusive par adresse IP interne pour les instances de machines virtuelles (VM) de votre réseau VPC et des VM VMware. Les instances de VM n'ont pas besoin d'accès Internet ni d'adresses IP externes pour accéder aux services disponibles via l'accès aux services privés.
  • Communication entre les VM VMware et les services compatibles avec Google Cloud, qui acceptent l'accès aux services privés à l'aide d'adresses IP internes.
  • Utilisez des connexions sur site existantes pour vous connecter à votre cloud privé VMware Engine. Si vous disposez d'une connectivité sur site, utilisez Cloud VPN ou Cloud Interconnect à votre réseau VPC.

Vous pouvez configurer l'accès aux services privés indépendamment de la création du cloud privé VMware Engine. La connexion privée peut être créée avant ou après la création du cloud privé auquel vous souhaitez connecter votre réseau VPC.

Autorisations

  1. Assurez-vous que vous disposez du ou des rôles suivants au niveau du projet : Compute > Network Admin

    Vérifier les rôles

    1. Dans la console Google Cloud, accédez à la page IAM.

      Accéder à IAM
    2. Sélectionnez le projet.

    3. Dans la colonne Compte principal, recherchez la ligne qui contient votre adresse e-mail.

      Si votre adresse e-mail ne figure pas dans cette colonne, cela signifie que vous n'avez aucun rôle.

    4. Dans la colonne Rôle de la ligne contenant votre adresse e-mail, vérifiez si la liste des rôles inclut les rôles requis.

    Attribuer les rôles

    1. Dans la console Google Cloud, accédez à la page IAM.

      Accéder à IAM
    2. Sélectionnez le projet.
    3. Cliquez sur Accorder l'accès.
    4. Dans le champ Nouveaux comptes principaux, saisissez votre adresse e-mail.
    5. Dans la liste Sélectinoner un rôle, sélectionnez un rôle.
    6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
    7. Cliquez sur Enregistrer.

Avant de commencer

  1. Vous devez disposer d'un réseau VPC.
  2. Activez l'API Service Networking dans le projet.

  3. Configurez l'accès aux services privés dans le réseau VPC auquel vous souhaitez vous connecter.

  4. Recherchez l'ID du projet appairé de votre réseau VPC en procédant comme suit:

    1. Dans la console Google Cloud, accédez à la page Appairage de réseaux VPC. Une connexion d'appairage de réseaux VPC nommée servicenetworking-googleapis-com est répertoriée dans le tableau d'appairage.
    2. Copiez l'ID du projet appairé afin de pouvoir l'utiliser lors de la configuration d'une connexion privée dans la console Google Cloud.

Connectivité multi-VPC

VMware Engine vous permet d'accéder au même cloud privé depuis différents réseaux VPC sans avoir à modifier les architectures de VPC existantes déployées dans Google Cloud. Par exemple, la connectivité multi-VPC est utile lorsque vous avez des réseaux VPC distincts pour les tests et le développement.

Cette situation nécessite des réseaux VPC pour communiquer avec les VM VMware ou d'autres adresses de destination dans des groupes de ressources vSphere distincts dans le même cloud privé ou dans plusieurs.

Par défaut, vous pouvez appairer trois réseaux VPC par région. Cette limite d'appairage inclut l'appairage de VPC utilisé par le service réseau d'accès à Internet. Pour augmenter cette limite, contactez le service client Cloud.

Créer une connexion privée

Créez une connexion privée dans la console, Google Cloud CLI ou l'API REST. Dans votre requête, définissez le type de connexion sur PRIVATE_SERVICE_ACCESS et le mode de routage sur le mode de routage GLOBAL.

Console

  1. Accéder à la console Google Cloud
  2. Dans le menu de navigation principal, accédez à Connexions privées.
  3. Cliquez sur Créer.
  4. Indiquez un nom et une description pour la connexion.
  5. Sélectionnez le réseau VMware Engine auquel vous connecter.
  6. Dans le champ ID du projet appairé, collez l'ID du projet appairé que vous avez copié dans les conditions préalables.
  7. Dans Type de connexion privée, sélectionnez Accès aux services privés.
  8. Sélectionnez le mode de routage pour cette connexion d'appairage de réseau VPC. Dans la plupart des cas, nous vous recommandons d'utiliser le mode de routage global. Si vous ne souhaitez pas que les services Google appairés à votre réseau VPC communiquent entre les régions, sélectionnez plutôt le mode de routage Regional. Cette sélection remplace le mode de routage existant.
  9. Cliquez sur Submit (Envoyer).

Une fois la connexion créée, vous pouvez sélectionner la connexion spécifique dans la liste des connexions privées. La page d'informations de chaque connexion privée affiche le mode de routage de la connexion privée et toutes les routes apprises via l'appairage de VPC.

Le tableau Routes exportées indique les clouds privés appris de la région et exportés via l'appairage de VPC. Lorsque plusieurs réseaux VPC sont appairés au même réseau régional VMware Engine, les routes reçues d'un réseau VPC ne sont pas annoncées vers l'autre réseau VPC.

gcloud

  1. Créez une connexion privée en exécutant la commande gcloud vmware private-connections create:

    gcloud vmware private-connections create PRIVATE_CONNECTION_ID \
  --location=REGION\
  --description="" \
  --vmware-engine-network=NETWORK_ID \
  --service-project=SERVICE_NETWORKING_TENANT_PROJECT\
  --type=PRIVATE_SERVICE_ACCESS \
  --routing-mode=MODE

    Remplacez les éléments suivants :

    • PRIVATE_CONNECTION_ID: nom de la connexion privée à créer
    • REGION: région dans laquelle créer cette connexion privée. Elle doit correspondre à la région du réseau VMware Engine.
    • NETWORK_ID: nom du réseau VMware Engine
    • SERVICE_NETWORKING_TENANT_PROJECT: nom de projet pour ce VPC locataire de réseau de services. Vous trouverez le SNTP dans la colonne PEER_PROJECT du nom d'appairage servicenetworking-googleapis-com.
    • MODE: mode de routage (GLOBAL ou REGIONAL)

  2. Facultatif: Si vous souhaitez répertorier vos connexions privées, exécutez la commande gcloud vmware private-connections list:

    gcloud vmware private-connections list \
    --location=REGION

    Remplacez les éléments suivants :

    • REGION: région du réseau à répertorier.

API

Pour créer un VPC Compute Engine et une connexion d'accès aux services privés à l'aide de l'API VMware Engine:

  1. Créez une connexion privée en envoyant une requête POST:

    POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections?private_connection_id=PRIVATE_CONNECTION_ID"

'{
  "description": "My first private connection",
  "vmware_engine_network":
"projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/NETWORK_ID
  "type": "PRIVATE_SERVICE_ACCESS",
  "routing_mode": "MODE",
  "service_network":
"projects/SERVICE_NETWORKING_TENANT_PROJECT/global/networks/SERVICE_NETWORK"
}'

    Remplacez les éléments suivants :

    • PRIVATE_CONNECTION_ID: nom de la connexion privée pour cette requête
    • REGION: région dans laquelle créer cette connexion privée
    • NETWORK_ID: réseau VMware Engine pour cette requête
    • SERVICE_NETWORKING_TENANT_PROJECT: nom de projet pour ce VPC locataire de mise en réseau de services. Vous trouverez le SNTP dans la colonne PEER_PROJECT du nom d'appairage servicenetworking-googleapis-com.
    • SERVICE_NETWORK: réseau dans le projet locataire

  2. Facultatif : Si vous souhaitez répertorier vos connexions privées, exécutez une requête GET.

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections"

    Remplacez les éléments suivants :

    • PROJECT_ID: nom du projet pour cette requête.
    • REGION: région dans laquelle répertorier les connexions privées.

Modifier une connexion privée

Vous pouvez modifier une connexion privée après l'avoir créée. Une fois le mode de routage créé, vous pouvez passer de GLOBAL à REGIONAL. Dans Google Cloud CLI ou l'API, vous pouvez également mettre à jour la description de la connexion privée.

Console

  1. Accéder à la console Google Cloud
  2. Dans le menu de navigation principal, accédez à Connexions privées.
  3. Cliquez sur le nom de la connexion privée que vous souhaitez modifier.
  4. Sur la page des détails, cliquez sur Modifier.
  5. Mettez à jour la description ou le mode de routage de la connexion.
  6. Enregistrez les modifications.

gcloud

Modifiez une connexion privée en exécutant la commande gcloud vmware private-connections update:

gcloud vmware private-connections update PRIVATE_CONNECTION_ID \
   --location=REGION \
   --description=DESCRIPTION \
   --routing-mode=MODE

Remplacez les éléments suivants :

  • PROJECT_ID: nom du projet pour cette requête
  • REGION: région dans laquelle mettre à jour cette connexion privée.
  • DESCRIPTION: nouvelle description à utiliser
  • PRIVATE_CONNECTION_ID: ID de connexion privée pour cette requête
  • MODE: mode de routage (GLOBAL ou REGIONAL)

API

Pour modifier une connexion privée à l'aide de l'API VMware Engine, exécutez une requête PATCH:

PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID?update_mask=description, routing_mode"

'{
  "description": "Updated description for the private connection",
  "routing_mode": "MODE"
}'

Remplacez les éléments suivants :

  • PROJECT_ID: nom du projet pour cette requête
  • REGION: région dans laquelle mettre à jour cette connexion privée.
  • PRIVATE_CONNECTION_ID: nom de la connexion privée pour cette requête
  • MODE: mode de routage (GLOBAL ou REGIONAL)

Décrire une connexion privée

Vous pouvez obtenir la description de toute connexion privée à l'aide de Google Cloud CLI ou de l'API VMware Engine.

gcloud

Obtenez une description d'une connexion privée en exécutant la commande gcloud vmware private-connections describe:

gcloud vmware private-connections describe PRIVATE_CONNECTION_ID \
    --location=REGION

Remplacez les éléments suivants :

  • PRIVATE_CONNECTION_ID: nom de la connexion privée pour cette requête
  • REGION: région de la connexion privée.

API

Pour obtenir une description d'une connexion privée à l'aide de l'API VMware Engine, exécutez une requête GET:

GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID"

Remplacez les éléments suivants :

  • PROJECT_ID: nom du projet pour cette requête.
  • PRIVATE_CONNECTION_ID: nom de la connexion privée pour cette requête.
  • REGION: région de la connexion privée.

Une fois que les connexions privées que vous avez supprimées ne sont plus visibles dans la liste des connexions privées, vous pouvez supprimer la connexion privée dans la console Google Cloud. L'exécution de cette étape dans le désordre peut rendre les entrées DNS obsolètes dans les deux projets Google Cloud.

Répertorier les routes d'appairage pour une connexion privée

Pour répertorier les routes d'appairage échangées pour une connexion privée, procédez comme suit:

Console

  1. Accéder à la console Google Cloud
  2. Accédez à Connexions privées.
  3. Cliquez sur le nom de la connexion privée que vous souhaitez afficher.

La page d'informations décrit les routes importées et exportées.

gcloud

Répertoriez les routes d'appairage échangées contre une connexion privée en exécutant la commande gcloud vmware private-connections routes list:

gcloud vmware private-connections routes list \
    --private-connection=PRIVATE_CONNECTION_ID \
    --location=REGION

Remplacez les éléments suivants :

  • PRIVATE_CONNECTION_ID: nom de la connexion privée pour cette requête.
  • REGION: région de la connexion privée.

API

Pour répertorier les routes d'appairage échangées pour une connexion privée à l'aide de l'API VMware Engine, exécutez une requête GET:

GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID/peeringRoutes"

Remplacez les éléments suivants :

  • PROJECT_ID: nom du projet pour cette requête.
  • REGION: région de la connexion privée.
  • PRIVATE_CONNECTION_ID: nom de la connexion privée pour cette requête.

Limites de routage

Le nombre maximal de routes qu'un cloud privé peut recevoir est 200. Par exemple, ces routes peuvent provenir de réseaux sur site, de réseaux VPC appairés et d'autres clouds privés appartenant au même réseau VPC. Cette limite de routage correspond au nombre maximal de routes personnalisées par routeur cloud de session.

Dans une région donnée, vous pouvez annoncer au maximum 100 routes uniques depuis VMware Engine vers votre réseau VPC à l'aide de l'accès aux services privés. Par exemple, ces routes uniques incluent des plages d'adresses IP de gestion de cloud privé, des segments de réseau de charge de travail NSX-T et des plages d'adresses IP du réseau HCX. Cette limite de routage inclut tous les clouds privés de la région et correspond à la limite de routes apprises par Cloud Router.

Pour en savoir plus sur les limites de routage, consultez la page Quotas et limites de Cloud Router.

Dépannage

La vidéo suivante vous montre comment vérifier et résoudre les problèmes de connexion d'appairage entre le VPC Google Cloud et Google Cloud VMware Engine.

Étapes suivantes