(レガシー)プライベート接続を設定する
プライベート サービス アクセスは、Virtual Private Cloud(VPC)ネットワークと VMware Engine のネットワーク間のプライベート接続です。このページでは、Google Cloud VMware Engine へのプライベート サービス アクセスを設定し、VPC ネットワークをプライベート クラウドに接続する方法について説明します。
プライベート サービス アクセスにより、次のことが可能になります。
- VPC ネットワーク内の仮想マシン(VM)インスタンスと VMware VM の内部 IP アドレスによる排他的通信。VM インスタンスは、インターネット アクセスまたは外部 IP アドレスがなくても、プライベート サービス アクセスを介してサービスにアクセスできます。
- VMware VM と、内部 IP アドレスを使用したプライベート サービス アクセスをサポートする Google Cloud のサポート サービスの間の通信。
- Cloud VPN または Cloud Interconnect を使用して VPC ネットワークに接続しているオンプレミス接続がある場合、既存のオンプレミス接続を使用して VMware Engine プライベート クラウドに接続します。
プライベート サービス アクセスは、VMware Engine のプライベート クラウドの作成とは別に設定できます。プライベート接続は、VPC ネットワークを接続するプライベート クラウドの作成前か作成後に作れます。
権限
-
プロジェクトに次のロールがあることを確認します。 Compute > Network Admin
ロールを確認する
-
Google Cloud コンソールの [IAM] ページに移動します。
[IAM] に移動 - プロジェクトを選択します。
-
[プリンシパル] 列で、自分のメールアドレスを含む行を見つけます。
自分のメールアドレスがその列にない場合、ロールは割り当てられていません。
- 自分のメールアドレスを含む行の [ロール] 列で、ロールのリストに必要なロールが含まれているかどうかを確認します。
ロールを付与する
-
Google Cloud コンソールの [IAM] ページに移動します。
[IAM] に移動 - プロジェクトを選択します。
- [ アクセスを許可] をクリックします。
- [新しいプリンシパル] フィールドに、自分のメールアドレスを入力します。
- [ロールを選択] リストでロールを選択します。
- 追加のロールを付与するには、 [別のロールを追加] をクリックして各ロールを追加します。
- [保存] をクリックします。
-
準備
- 既存の VPC ネットワークが必要です。
- プロジェクトで Service Networking API を有効にします。
接続先の VPC ネットワークでプライベート サービス アクセスを構成する。
次の手順を実施して、VPC ネットワークのピアリングされたプロジェクト ID を特定します。
- Google Cloud コンソールで、[VPC ネットワーク ピアリング] に移動します。servicenetworking-googleapis-com という名前の VPC ネットワーク ピアリング接続がピアリング テーブルに表示されます。
- Google Cloud コンソールでプライベート接続を設定するときに使用できるように、ピアリングされたプロジェクト ID をコピーします。
マルチ VPC 接続
VMware Engine では、Google Cloud にデプロイされている既存の VPC アーキテクチャを変更しなくても、複数の異なる VPC ネットワークから同じプライベート クラウドにアクセスできます。この方法(マルチ VPC 接続)は、テストと開発用に別々の VPC ネットワークがある場合などに便利です。
この状況では、VPC ネットワークは、同じプライベート クラウドまたは複数のプライベート クラウドに存在する別々の vSphere リソース グループにある VMware VM や他の宛先アドレスと通信する必要があります。
デフォルトでは、リージョンごとに 3 つの VPC ネットワークをピアリングできます。このピアリング上限には、インターネット アクセス ネットワーク サービスで使用される VPC ピアリングが含まれます。この上限を引き上げる場合は、Cloud カスタマーケアまでお問い合わせください。
プライベート接続の作成
コンソール、Google Cloud CLI、または REST API でプライベート接続を作成します。リクエストでは、接続タイプを PRIVATE_SERVICE_ACCESS に設定し、ルーティング モードを GLOBAL ルーティング モードに設定します。
コンソール
- Google Cloud コンソールにアクセスする
- メイン ナビゲーションから [プライベート接続] に移動します。
- [作成] をクリックします。
- 接続用の [名前] と [説明] を指定します。
- 接続先の VMware Engine ネットワークを選択します。
- [ピアリングしたプロジェクト ID] フィールドに、事前準備でコピーした [ピアリングしたプロジェクト ID] を貼り付けます。
- [プライベート接続タイプ] で [プライベート サービス アクセス] を選択します。
- この VPC ネットワーク ピアリング接続のルーティング モードを選択します。ほとんどの場合、グローバル ルーティング モードを選択することをおすすめします。VPC ネットワークとピアリングしている Google サービスがリージョン間で通信しないようにする場合は、
Regionalルーティング モードを選択します。この選択により、既存のルーティング モードがオーバーライドされます。 - [送信] をクリックします。
接続が作成されると、プライベート接続のリストから特定の接続を選択できます。各プライベート接続の詳細ページには、プライベート接続のルーティング モードと、VPC ピアリングで学習されたルートが表示されます。
[エクスポートされたルート] テーブルには、リージョンから学習し、VPC ピアリング経由でエクスポートされるプライベート クラウドが表示されます。複数の VPC ネットワークが同じ VMware Engine リージョン ネットワークにピアリングされている場合、一方の VPC ネットワークから受信したルートが他の VPC ネットワークにアドバタイズされません。
gcloud
gcloud vmware private-connections createコマンドを実行して、プライベート接続を作成します。gcloud vmware private-connections create PRIVATE_CONNECTION_ID \ --location=REGION\ --description="" \ --vmware-engine-network=NETWORK_ID \ --service-project=SERVICE_NETWORKING_TENANT_PROJECT\ --type=PRIVATE_SERVICE_ACCESS \ --routing-mode=MODE
次のように置き換えます。
PRIVATE_CONNECTION_ID: 作成するプライベート接続名REGION: このプライベート接続を作成するリージョン。これが VMware Engine ネットワークのリージョンと一致する必要がありますNETWORK_ID: VMware Engine ネットワーク名。SERVICE_NETWORKING_TENANT_PROJECT: このサービス ネットワーキングのテナント VPC のプロジェクト名。この SNTP は、ピアリング名servicenetworking-googleapis-comの PEER_PROJECT 列で確認できます。MODE: ルーティング モード(GLOBALまたはREGIONAL)
省略可: プライベート接続を一覧表示するには、
gcloud vmware private-connections listコマンドを実行します。gcloud vmware private-connections list \ --location=REGION次のように置き換えます。
REGION: 一覧表示するネットワークのリージョン。
API
VMware Engine API を使用して Compute Engine VPC とプライベート サービス アクセス接続を作成するには:
POSTリクエストを行ってプライベート接続を作成します。POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections?private_connection_id=PRIVATE_CONNECTION_ID" '{ "description": "My first private connection", "vmware_engine_network": "projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/NETWORK_ID "type": "PRIVATE_SERVICE_ACCESS", "routing_mode": "MODE", "service_network": "projects/SERVICE_NETWORKING_TENANT_PROJECT/global/networks/SERVICE_NETWORK" }'次のように置き換えます。
PRIVATE_CONNECTION_ID: このリクエストのプライベート接続名REGION: このプライベート接続を作成するリージョンNETWORK_ID: このリクエストの VMware Engine ネットワークSERVICE_NETWORKING_TENANT_PROJECT: このサービス ネットワーキングのテナント VPC のプロジェクト名。この SNTP は、ピアリング名servicenetworking-googleapis-comの PEER_PROJECT 列で確認できます。SERVICE_NETWORK: テナント プロジェクトのネットワーク
省略可: プライベート接続を一覧表示するには、
GETリクエストを行います。GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections"
次のように置き換えます。
PROJECT_ID: このリクエストのプロジェクト名。REGION: プライベート接続を一覧表示するリージョン。
プライベート接続を編集する
プライベート接続は、作成後に編集できます。作成したルーティング モードは、GLOBAL と REGIONAL の間で変更できます。Google Cloud CLI または API では、プライベート接続の説明を更新することもできます。
コンソール
- Google Cloud コンソールにアクセスする
- メイン ナビゲーションから [プライベート接続] に移動します。
- 編集するプライベート接続の名前をクリックします。
- 詳細ページで [編集] をクリックします。
- 接続の説明またはルーティング モードを更新します。
- 変更を保存します。
gcloud
gcloud vmware private-connections update コマンドを実行して、プライベート接続を編集します。
gcloud vmware private-connections update PRIVATE_CONNECTION_ID \ --location=REGION \ --description=DESCRIPTION \ --routing-mode=MODE
次のように置き換えます。
PROJECT_ID: このリクエストのプロジェクト名。REGION: このプライベート接続を更新するリージョン。DESCRIPTION: 使用する新しい説明PRIVATE_CONNECTION_ID: このリクエストのプライベート接続 IDMODE: ルーティング モード(GLOBALまたはREGIONAL)
API
VMware Engine API を使用してプライベート接続を編集するには、PATCH リクエストを行います。
PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID?update_mask=description, routing_mode"
'{
"description": "Updated description for the private connection",
"routing_mode": "MODE"
}'
次のように置き換えます。
PROJECT_ID: このリクエストのプロジェクト名。REGION: このプライベート接続を更新するリージョン。PRIVATE_CONNECTION_ID: このリクエストのプライベート接続名MODE: ルーティング モード(GLOBALまたはREGIONAL)
プライベート接続の説明を取得する
プライベート接続の説明は、Google Cloud CLI または VMware Engine API を使用して取得できます。
gcloud
gcloud vmware
private-connections describe コマンドを実行して、プライベート接続の説明を取得します。
gcloud vmware private-connections describe PRIVATE_CONNECTION_ID \
--location=REGION
次のように置き換えます。
PRIVATE_CONNECTION_ID: このリクエストのプライベート接続名REGION: プライベート接続のリージョン。
API
VMware Engine API を使用してプライベート接続の説明を取得するには、GET リクエストを行います。
GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID"
次のように置き換えます。
PROJECT_ID: このリクエストのプロジェクト名。PRIVATE_CONNECTION_ID: このリクエストのプライベート接続名。REGION: プライベート接続のリージョン。
削除したプライベート接続がプライベート接続のリストに表示されなくなったら、Google Cloud コンソールでプライベート接続を削除できます。この手順を順不同で行うと、両方の Google Cloud プロジェクトで DNS エントリが古くなることがあります。
プライベート接続のピアリング ルートを一覧表示する
プライベート接続用に交換されたピアリング ルートを一覧表示するには、次のようにします。
コンソール
- Google Cloud コンソールにアクセスする
- [プライベート接続] に移動します。
- 表示するプライベート接続の名前をクリックします。
詳細ページでは、インポートされたルートとエクスポートされたルートについて説明します。
gcloud
gcloud vmware private-connections routes list コマンドを実行して、プライベート接続用に交換されたピアリング ルートを一覧表示します。
gcloud vmware private-connections routes list \
--private-connection=PRIVATE_CONNECTION_ID \
--location=REGION
次のように置き換えます。
PRIVATE_CONNECTION_ID: このリクエストのプライベート接続名。REGION: プライベート接続のリージョン。
API
VMware Engine API を使用してプライベート接続用に交換されたピアリング ルートを一覧表示するには、GET リクエストを行います。
GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID/peeringRoutes"
次のように置き換えます。
PROJECT_ID: このリクエストのプロジェクト名。REGION: プライベート接続のリージョン。PRIVATE_CONNECTION_ID: このリクエストのプライベート接続名。
ルーティングの上限
プライベート クラウドが受信できるルートの最大数は 200 です。受信できるルートには、オンプレミス ネットワーク、ピアリングした VPC ネットワーク、同じ VPC ネットワーク内の他のプライベート クラウドからのルートなどがあります。このルートの上限は、BGP セッション制限ごとの Cloud Router カスタムルート アドバタイズの最大数に対応します。
特定のリージョンでは、プライベート サービス アクセスを使用して、VMware Engine から VPC ネットワークへの一意のルートを最大で 100 までアドバタイズできます。たとえば、これらの一意のルートには、プライベート クラウド管理 IP アドレス範囲、NSX-T ワークロード ネットワーク セグメント、HCX ネットワーク IP アドレス範囲が含まれます。このルートの上限は、リージョン内のすべてのプライベート クラウドを含み、Cloud Router の学習したルートの上限に対応します。
ルーティングの上限については、Cloud Router の割り当てと上限をご覧ください。
トラブルシューティング
次の動画では、Google Cloud VPC と Google Cloud VMware Engine の間のピアリング接続の問題を検証してトラブルシューティングする方法について説明します。