(legacy) Configurare connessioni private
L'accesso privato ai servizi è una connessione privata tra la tua rete Virtual Private Cloud (VPC) e le reti in VMware Engine. Questa pagina spiega come configurare l'accesso privato ai servizi in Google Cloud VMware Engine e connettere la rete VPC al cloud privato.
L'accesso privato ai servizi consente il seguente comportamento:
- Comunicazione esclusiva tramite indirizzo IP interno per le istanze di macchine virtuali (VM) nella rete VPC e nelle VM VMware. Le istanze VM non hanno bisogno dell'accesso a internet o di indirizzi IP esterni per raggiungere i servizi disponibili tramite l'accesso privato ai servizi.
- Comunicazione tra le VM VMware e i servizi supportati da Google Cloud, che supportano l'accesso privato ai servizi tramite indirizzi IP interni.
- Utilizzo di connessioni on-premise esistenti per la connessione al cloud privato VMware Engine, se disponi di connettività on-premise mediante Cloud VPN o Cloud Interconnect alla tua rete VPC.
Puoi configurare l'accesso ai servizi privati indipendentemente dalla creazione del cloud privato di VMware Engine. La connessione privata può essere creata prima o dopo la creazione del cloud privato a cui vuoi connettere la rete VPC.
Autorizzazioni
-
Assicurati di disporre dei seguenti ruoli nel progetto: Compute > Network Admin
Verifica i ruoli
-
Nella console Google Cloud, vai alla pagina IAM.
Vai a IAM - Seleziona il progetto.
-
Nella colonna Entità, individua la riga contenente il tuo indirizzo email.
Se il tuo indirizzo email non è in questa colonna, significa che non disponi di alcun ruolo.
- Nella colonna Ruolo per la riga contenente il tuo indirizzo email, controlla se l'elenco dei ruoli include quelli richiesti.
Concedi i ruoli
-
Nella console Google Cloud, vai alla pagina IAM.
Vai a IAM - Seleziona il progetto.
- Fai clic su Concedi l'accesso.
- Nel campo Nuove entità, inserisci il tuo indirizzo email.
- Nell'elenco Seleziona un ruolo, scegli un ruolo.
- Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ciascun ruolo aggiuntivo.
- Fai clic su Salva.
-
Prima di iniziare
- Devi avere una rete VPC esistente.
- Attiva l'API Service Networking nel progetto.
Configura l'accesso privato ai servizi nella rete VPC a cui vuoi connetterti.
Individua l'ID progetto in peering della tua rete VPC procedendo nel seguente modo:
- Nella console Google Cloud, vai a Peering di rete VPC. Una connessione in peering di rete VPC denominata servicenetworking-googleapis-com è elencata nella tabella di peering.
- Copia l'ID progetto in peering in modo da poterlo utilizzare durante la configurazione di una connessione privata nella console Google Cloud.
Connettività multi-VPC
VMware Engine consente di accedere allo stesso cloud privato da diverse reti VPC senza la necessità di modificare le architetture VPC esistenti di cui è stato eseguito il deployment in Google Cloud. Ad esempio, la connettività multi-VPC è utile quando si dispone di reti VPC separate per i test e lo sviluppo.
Questa situazione richiede che le reti VPC comunichino con le VM VMware o altri indirizzi di destinazione in gruppi di risorse vSphere separati sullo stesso cloud privato o su più cloud privati.
Per impostazione predefinita, puoi eseguire il peering di 3 reti VPC per regione. Questo limite di peering include il peering VPC utilizzato dal servizio di rete di accesso a internet. Per aumentare questo limite, contatta l'assistenza clienti Google Cloud.
Crea una connessione privata
Crea una connessione privata nella console, in Google Cloud CLI o nell'API REST.
Nella richiesta, imposta il tipo di connessione su PRIVATE_SERVICE_ACCESS
e la modalità di routing su GLOBAL
.
Console
- Accedere alla console Google Cloud
- Nella navigazione principale, vai a Connessioni private.
- Fai clic su Crea.
- Fornisci i valori Nome e Descrizione della connessione.
- Seleziona la rete VMware Engine a cui connetterti.
- Nel campo ID progetto in peering, incolla l'ID progetto in peering che hai copiato nei prerequisiti.
- In Tipo di connessione privata, seleziona Accesso privato ai servizi.
- Seleziona la modalità di routing per questa connessione di peering di rete VPC. Nella maggior parte dei casi, consigliamo la modalità di routing globale. Se non vuoi che i servizi Google
in peering con la tua rete VPC comunichino
tra regioni, seleziona invece la modalità di routing
Regional
. Questa selezione sostituisce la modalità di routing esistente. - Fai clic su Invia.
Dopo aver creato la connessione, puoi selezionarla dall'elenco di connessioni private. La pagina dei dettagli di ogni connessione privata mostra la modalità di routing della connessione privata e le eventuali route apprese tramite peering VPC.
La tabella Route esportate mostra i cloud privati appresi dalla regione ed esportati tramite peering VPC. Quando più reti VPC sono connesse in peering alla stessa rete regionale VMware Engine, le route ricevute da una rete VPC non vengono annunciate nell'altra rete VPC.
gcloud
Crea una connessione privata eseguendo il comando
gcloud vmware private-connections create
:gcloud vmware private-connections create PRIVATE_CONNECTION_ID \ --location=REGION\ --description="" \ --vmware-engine-network=NETWORK_ID \ --service-project=SERVICE_NETWORKING_TENANT_PROJECT\ --type=PRIVATE_SERVICE_ACCESS \ --routing-mode=MODE
Sostituisci quanto segue:
PRIVATE_CONNECTION_ID
: il nome della connessione privata da creareREGION
: la regione in cui creare questa connessione privata; deve corrispondere alla regione della rete VMware EngineNETWORK_ID
: il nome della rete VMware EngineSERVICE_NETWORKING_TENANT_PROJECT
: il nome del progetto per questo VPC del tenant della rete di servizi. Puoi trovare il valore SNTP nella colonna PEER_PROJECT del nome del peeringservicenetworking-googleapis-com
.MODE
: modalità di routing,GLOBAL
oREGIONAL
(Facoltativo) Se vuoi elencare le tue connessioni private, esegui il comando
gcloud vmware private-connections list
:gcloud vmware private-connections list \ --location=REGION
Sostituisci quanto segue:
REGION
: la regione della rete da elencare.
API
Per creare un VPC Compute Engine e una connessione di accesso privato ai servizi utilizzando l'API VMware Engine:
Crea una connessione privata effettuando una richiesta
POST
:POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections?private_connection_id=PRIVATE_CONNECTION_ID" '{ "description": "My first private connection", "vmware_engine_network": "projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/NETWORK_ID "type": "PRIVATE_SERVICE_ACCESS", "routing_mode": "MODE", "service_network": "projects/SERVICE_NETWORKING_TENANT_PROJECT/global/networks/SERVICE_NETWORK" }'
Sostituisci quanto segue:
PRIVATE_CONNECTION_ID
: il nome della connessione privata per questa richiestaREGION
: la regione in cui creare questa connessione privataNETWORK_ID
: la rete VMware Engine per questa richiestaSERVICE_NETWORKING_TENANT_PROJECT
: il nome del progetto per questo VPC del tenant della rete di servizi. Puoi trovare il valore SNTP nella colonna PEER_PROJECT del nome del peeringservicenetworking-googleapis-com
SERVICE_NETWORK
: la rete nel progetto tenant
(Facoltativo) Se vuoi elencare le tue connessioni private, effettua una richiesta
GET
:GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections"
Sostituisci quanto segue:
PROJECT_ID
: il nome del progetto per questa richiesta.REGION
: la regione in cui elencare le connessioni private.
Modificare una connessione privata
Puoi modificare una connessione privata dopo averla creata. Dopo averla creata, puoi cambiare la modalità di routing tra GLOBAL
e REGIONAL
. In Google Cloud CLI
o nell'API puoi anche aggiornare la descrizione della connessione privata."
Console
- Accedere alla console Google Cloud
- Nella navigazione principale, vai a Connessioni private.
- Fai clic sul nome della connessione privata che vuoi modificare.
- Nella pagina dei dettagli, fai clic su Modifica.
- Aggiorna la descrizione o la modalità di routing della connessione.
- Salva le modifiche.
gcloud
Per modificare una connessione privata, esegui il comando gcloud vmware private-connections update
:
gcloud vmware private-connections update PRIVATE_CONNECTION_ID \ --location=REGION \ --description=DESCRIPTION \ --routing-mode=MODE
Sostituisci quanto segue:
PROJECT_ID
: il nome del progetto per questa richiestaREGION
: la regione in cui aggiornare questa connessione privataDESCRIPTION
: la nuova descrizione da utilizzarePRIVATE_CONNECTION_ID
: l'ID connessione privata per questa richiestaMODE
: modalità di routing,GLOBAL
oREGIONAL
API
Per modificare una connessione privata utilizzando l'API VMware Engine, effettua una richiesta PATCH
:
PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID?update_mask=description, routing_mode" '{ "description": "Updated description for the private connection", "routing_mode": "MODE" }'
Sostituisci quanto segue:
PROJECT_ID
: il nome del progetto per questa richiestaREGION
: la regione in cui aggiornare questa connessione privataPRIVATE_CONNECTION_ID
: il nome della connessione privata per questa richiestaMODE
: modalità di routing,GLOBAL
oREGIONAL
Descrivi una connessione privata
Puoi ottenere la descrizione di qualsiasi connessione privata utilizzando Google Cloud CLI o l'API VMware Engine.
gcloud
Per ottenere una descrizione di una connessione privata, esegui il comando gcloud vmware
private-connections describe
:
gcloud vmware private-connections describe PRIVATE_CONNECTION_ID \ --location=REGION
Sostituisci quanto segue:
PRIVATE_CONNECTION_ID
: il nome della connessione privata per questa richiestaREGION
: la regione della connessione privata.
API
Per ottenere una descrizione di una connessione privata utilizzando l'API VMware Engine, effettua una richiesta GET
:
GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID"
Sostituisci quanto segue:
PROJECT_ID
: il nome del progetto per questa richiesta.PRIVATE_CONNECTION_ID
: il nome della connessione privata per questa richiesta.REGION
: la regione della connessione privata.
Una volta che le connessioni private che hai eliminato non sono più visibili nell'elenco delle connessioni private, puoi eliminarle nella console Google Cloud. L'esecuzione di questo passaggio fuori dall'ordine può causare voci DNS obsolete in entrambi i progetti Google Cloud.
Elenca route di peering per una connessione privata
Per elencare le route di peering scambiate per una connessione privata:
Console
- Accedere alla console Google Cloud
- Vai a Connessioni private.
- Fai clic sul nome della connessione privata che vuoi visualizzare.
La pagina dei dettagli descrive le route importate ed esportate.
gcloud
Elenca le route di peering scambiate per una connessione privata eseguendo il comando gcloud vmware private-connections routes list
:
gcloud vmware private-connections routes list \ --private-connection=PRIVATE_CONNECTION_ID \ --location=REGION
Sostituisci quanto segue:
PRIVATE_CONNECTION_ID
: il nome della connessione privata per questa richiesta.REGION
: la regione della connessione privata.
API
Per elencare le route di peering scambiate per una connessione privata utilizzando l'API VMware Engine, effettua una richiesta GET
:
GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID/peeringRoutes"
Sostituisci quanto segue:
PROJECT_ID
: il nome del progetto per questa richiesta.REGION
: la regione della connessione privata.PRIVATE_CONNECTION_ID
: il nome della connessione privata per questa richiesta.
Limiti di routing
Il numero massimo di route che un cloud privato può ricevere è 200. Ad esempio, queste route possono provenire da reti on-premise, da reti VPC in peering e da altri cloud privati nella stessa rete VPC. Questo limite di route corrisponde al numero massimo di annunci di route personalizzati del router Cloud per limite di sessioni BGP.
In una determinata regione, puoi pubblicizzare al massimo 100 route univoche da VMware Engine alla tua rete VPC utilizzando l'accesso privato ai servizi. Ad esempio, queste route univoche includono intervalli di indirizzi IP di gestione del cloud privato, segmenti di rete dei carichi di lavoro NSX-T e intervalli di indirizzi IP della rete HCX. Questo limite di route include tutti i cloud privati nella regione e corrisponde al limite di route appresa dal router Cloud.
Per informazioni sui limiti di routing, vedi Quote e limiti del router Cloud.
Risoluzione dei problemi
Il video seguente mostra come verificare e risolvere i problemi di connessione in peering tra il VPC di Google Cloud e Google Cloud VMware Engine.