(Legado) Configurar conexões particulares

O acesso privado a serviços é uma conexão privada entre a rede de nuvem privada virtual (VPC, na sigla em inglês) e as redes no VMware Engine. Esta página explica como configurar o acesso privado a serviços no Google Cloud VMware Engine e conectar a rede VPC à nuvem privada.

O Acesso privado a serviços permite o seguinte comportamento:

  • Comunicação exclusiva por endereço IP interno para instâncias de máquina virtual (VM) na sua rede VPC e nas VMs do VMware. As instâncias de VM não precisam de acesso à Internet ou de endereços IP externos para alcançar serviços disponíveis pelo acesso privado a serviços.
  • Comunicação entre as VMs do VMware e os serviços com suporte do Google Cloud, que permitem o acesso privado a serviços usando endereços IP internos.
  • O uso de conexões locais atuais para se conectar à nuvem privada do VMware Engine, se você tiver conectividade local usando o Cloud VPN ou o Cloud Interconnect com sua rede VPC.

É possível configurar o acesso privado a serviços independentemente da criação da nuvem privada do VMware Engine. A conexão particular pode ser criada antes ou depois da criação da nuvem privada à que você quer conectar sua rede VPC.

Permissões

  1. Make sure that you have the following role or roles on the project: Compute > Network Admin

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.
    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Acessar o IAM
    2. Selecionar um projeto.
    3. Clique em CONCEDER ACESSO.
    4. No campo Novos principais, insira seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.

    5. Na lista Selecionar um papel, escolha um.
    6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
    7. Clique em Salvar.

    Antes de começar

    1. É preciso ter uma rede VPC.
    2. Ative a API Service Networking no seu projeto.
    3. Configure o acesso a serviços particulares na rede VPC à qual você quer se conectar.

    4. Localize o ID do projeto com peering da rede VPC seguindo estas etapas:

      1. No Console do Google Cloud, acesse peering de rede VPC. Uma conexão de peering de rede VPC com o nome servicenetworking-googleapis-com está listada na tabela de peering.
      2. Copie o ID do projeto com peering para usá-lo ao configurar uma conexão particular no console do Google Cloud.

    Conectividade de várias VPCs

    O VMware Engine permite acessar a mesma nuvem privada a partir de redes VPC diferentes sem a necessidade de alterar qualquer arquitetura de VPC existente implantada no Google Cloud. Por exemplo, a conectividade multiVPC é útil quando você tem redes VPC separadas para teste e desenvolvimento.

    Essa situação requer que as redes VPC se comuniquem com VMs do VMware ou outros endereços de destino em grupos de recursos do vSphere separados na mesma nuvem privada ou em várias nuvens privadas.

    Por padrão, é possível fazer o peering de três redes VPC por região. Isso o limite de peering inclui o peering de VPC usado pelo serviço de rede de acesso à Internet. Para aumentar esse limite, entre em contato com o atendimento ao cliente do Cloud.

    Exclusividade do endereço IP

    Quando você conecta sua rede VPC a uma rede regional do VMware Engine, siga estas diretrizes para garantir a exclusividade do endereço IP:

    • Os intervalos de IP e as sub-redes do VMware Engine na sua rede VPC não podem usar os mesmos intervalos de endereços IP.

    • Os intervalos de IP do VMware Engine não podem se encaixar em um intervalo de endereços IP de sub-rede na rede VPC. As rotas de sub-rede na rede VPC precisam ter os intervalos de endereços IP mais específicos.

    • Analise cuidadosamente a visão geral das rotas de rede VPC para saber como elas funcionam.

    • Se você precisar conectar duas ou mais redes do VMware Engine à mesma rede VPC, use intervalos de IP exclusivos para cada rede do VMware Engine ou ative apenas a conectividade do NSX-T para uma das redes do VMware Engine usando os mesmos intervalos de IP que outra rede do VMware Engine.

    Crie uma conexão privada

    Crie uma conexão particular no console, na CLI do Google Cloud ou na API REST. Na solicitação, defina o tipo de conexão como PRIVATE_SERVICE_ACCESS e o modo de roteamento como GLOBAL.

    Console

    1. No console do Google Cloud, acesse a página Conexões privadas.

      Acessar "Conexões particulares"

    2. Clique em Criar.

    3. Forneça um Nome e uma Descrição para a conexão.

    4. Selecione a rede do VMware Engine à qual se conectar.

    5. No campo ID do projeto com peering, cole o ID do projeto com peering que você copiou nos pré-requisitos.

    6. Em Tipo de conexão particular, selecione Acesso privado a serviços.

    7. Selecione o modo de roteamento para esta conexão de peering de rede VPC. Na maioria dos casos, recomendamos o modo de roteamento global. Se você não quiser que os serviços do Google com peering na rede VPC se comuniquem por regiões, selecione o modo de roteamento Regional. Essa seleção substitui o modo de roteamento atual.

    8. Clique em Enviar.

    Quando a conexão for criada, você poderá selecionar a conexão específica na lista de conexões particulares. A página de detalhes de cada conexão particular exibe o modo de roteamento da conexão particular e as rotas aprendidas pelo peering de VPC.

    A tabela Rotas exportadas mostra nuvens privadas aprendidas na região e exportadas por peering de VPC. Quando várias redes VPC são emparelhadas para a mesma rede regional do VMware Engine, as rotas recebidas de uma rede VPC VPC não são anunciadas para a outra.

    gcloud

    1. Execute o comando gcloud vmware private-connections create para criar uma conexão particular:

      gcloud vmware private-connections create PRIVATE_CONNECTION_ID \
        --location=REGION\
        --description="" \
        --vmware-engine-network=NETWORK_ID \
        --service-project=SERVICE_NETWORKING_TENANT_PROJECT\
        --type=PRIVATE_SERVICE_ACCESS \
        --routing-mode=MODE
      

      Substitua:

      • PRIVATE_CONNECTION_ID: o nome da conexão particular a ser criada
      • REGION: a região onde a conexão particular será criada. Ela precisa corresponder à região da rede do VMware Engine
      • NETWORK_ID: o nome da rede do VMware Engine
      • SERVICE_NETWORKING_TENANT_PROJECT: o nome do projeto para essa VPC de locatário de rede de serviço. Encontre o SNTP na coluna PEER_PROJECT do nome de peering servicenetworking-googleapis-com.
      • MODE: o modo de roteamento, GLOBAL ou REGIONAL
    2. Opcional: se quiser listar suas conexões particulares, execute o comando gcloud vmware private-connections list:

      gcloud vmware private-connections list \
          --location=REGION

      Substitua:

      • REGION: a região da rede a ser listada.

    API

    Para criar uma VPC do Compute Engine e uma conexão de acesso a serviços particulares usando a API VMware Engine:

    1. Crie uma conexão particular fazendo uma solicitação POST:

      POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections?private_connection_id=PRIVATE_CONNECTION_ID"
      
      '{
        "description": "My first private connection",
        "vmware_engine_network":
      "projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/NETWORK_ID
        "type": "PRIVATE_SERVICE_ACCESS",
        "routing_mode": "MODE",
        "service_network":
      "projects/SERVICE_NETWORKING_TENANT_PROJECT/global/networks/SERVICE_NETWORK"
      }'
      

      Substitua:

      • PRIVATE_CONNECTION_ID: o nome da conexão particular para essa solicitação
      • REGION: a região onde essa conexão particular será criada
      • NETWORK_ID: a rede do VMware Engine para essa solicitação
      • SERVICE_NETWORKING_TENANT_PROJECT: o nome do projeto para essa VPC de locatário de rede de serviço. Encontre o SNTP na coluna PEER_PROJECT do nome de peering servicenetworking-googleapis-com
      • SERVICE_NETWORK: a rede no projeto de locatário
    2. Opcional: se quiser listar suas conexões particulares, faça uma solicitação GET:

      GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections"
      

      Substitua:

      • PROJECT_ID: o nome do projeto para essa solicitação
      • REGION: a região onde as conexões privadas serão listadas

    Editar uma conexão particular

    É possível editar uma conexão particular depois de criá-la. Após a criação, é possível alterar o modo de roteamento entre GLOBAL e REGIONAL. Na CLI do Google Cloud ou na API, também é possível atualizar a descrição da conexão particular.

    Console

    1. No console do Google Cloud, acesse a página Conexões privadas.

      Acessar "Conexões particulares"

    2. Clique no nome da conexão particular que você quer editar.

    3. Na página de detalhes, clique em Editar.

    4. Atualize a descrição ou o modo de roteamento da conexão.

    5. Salve as alterações.

    gcloud

    Execute o comando gcloud vmware private-connections update para editar uma conexão particular:

    gcloud vmware private-connections update PRIVATE_CONNECTION_ID \
       --location=REGION \
       --description=DESCRIPTION \
       --routing-mode=MODE
    

    Substitua:

    • PROJECT_ID: o nome do projeto para essa solicitação
    • REGION: a região onde essa conexão particular será atualizada
    • DESCRIPTION: a nova descrição a ser usada.
    • PRIVATE_CONNECTION_ID: o ID da conexão particular para essa solicitação
    • MODE: o modo de roteamento, GLOBAL ou REGIONAL

    API

    Para editar uma conexão particular usando a API VMware Engine, faça uma solicitação PATCH:

    PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID?update_mask=description, routing_mode"
    
    '{
      "description": "Updated description for the private connection",
      "routing_mode": "MODE"
    }'

    Substitua:

    • PROJECT_ID: o nome do projeto para essa solicitação
    • REGION: a região onde essa conexão particular será atualizada
    • PRIVATE_CONNECTION_ID: o nome da conexão particular para essa solicitação
    • MODE: o modo de roteamento, GLOBAL ou REGIONAL

    Descrever uma conexão particular

    Veja a descrição de qualquer conexão particular usando a CLI do Google Cloud ou a API VMware Engine.

    gcloud

    Para conferir a descrição de uma conexão particular, execute o comando gcloud vmware private-connections describe:

    gcloud vmware private-connections describe PRIVATE_CONNECTION_ID \
        --location=REGION
    

    Substitua:

    • PRIVATE_CONNECTION_ID: o nome da conexão particular para essa solicitação
    • REGION: a região da conexão particular.

    API

    Para ver a descrição de uma conexão particular usando a API VMware Engine, faça uma solicitação GET:

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID"
    

    Substitua:

    • PROJECT_ID: o nome do projeto para esta solicitação.
    • PRIVATE_CONNECTION_ID: o nome da conexão particular para essa solicitação
    • REGION: a região da conexão particular.

    Depois que as conexões privadas excluídas não estiverem mais visíveis na lista de conexões privadas, será possível excluir a conexão privada de acesso a serviços no Console do Google Cloud. Executar essa etapa fora de ordem pode resultar em entradas DNS desatualizadas nos dois projetos do Google Cloud.

    Listar rotas de peering para uma conexão particular

    Para listar as rotas de peering trocadas por uma conexão particular, faça isto:

    Console

    1. No console do Google Cloud, acesse a página Conexões particulares.

      Acessar "Conexões particulares"

    2. Clique no nome da conexão particular que você quer exibir.

    A página de detalhes descreve rotas importadas e exportadas.

    gcloud

    Liste rotas de peering trocadas por uma conexão particular executando o Comando gcloud vmware private-connections routes list:

    gcloud vmware private-connections routes list \
        --private-connection=PRIVATE_CONNECTION_ID \
        --location=REGION

    Substitua:

    • PRIVATE_CONNECTION_ID: o nome da conexão particular para essa solicitação
    • REGION: a região da conexão particular.

    API

    Para listar rotas de peering trocadas por uma conexão particular usando a API VMware Engine, faça uma solicitação GET:

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID/peeringRoutes"
    

    Substitua:

    • PROJECT_ID: o nome do projeto para esta solicitação.
    • REGION: a região da conexão particular.
    • PRIVATE_CONNECTION_ID: o nome da conexão particular para essa solicitação

    Limites de roteamento

    O número máximo de rotas que uma nuvem privada pode receber é 200. Por exemplo, essas rotas podem vir de redes locais, de redes VPC com peering e de outras nuvens privadas na mesma rede. Esse limite de rota corresponde ao número máximo do Cloud Router para divulgações de rota personalizadas por limite de sessão do BGP.

    Em uma região, é possível divulgar no máximo 100 rotas exclusivas do VMware Engine à rede VPC usando o acesso privado a serviços. Por exemplo, essas rotas exclusivas incluem intervalos de endereços IP de gerenciamento de nuvem privada, segmentos de rede de carga de trabalho NSX-T e intervalos de endereços IP internos HCX. Esse limite de rota inclui todas as nuvens privadas da região e corresponde ao limite de rota aprendida do Cloud Router.

    Para informações sobre limites de roteamento, consulte Cotas e limites do Cloud Router.

    Solução de problemas

    O vídeo a seguir mostra como verificar e resolver problemas de conexão de peering entre a VPC do Google Cloud e o Google Cloud VMware Engine.

    A seguir