(Legacy) Configurare connessioni private

L'accesso privato ai servizi è una connessione privata Rete e reti Virtual Private Cloud (VPC) in VMware Engine. Questa pagina spiega come configurare l'accesso privato ai servizi a Google Cloud VMware Engine e connettere la rete VPC al cloud privato.

L'accesso privato ai servizi attiva il seguente comportamento:

  • Comunicazione esclusiva tramite indirizzo IP interno per macchina virtuale (VM) nella tua rete VPC e nelle VM VMware. Istanze VM non necessitano di accesso a internet o indirizzi IP esterni per raggiungere i servizi sono disponibili tramite l'accesso privato ai servizi.
  • Comunicazione tra VM VMware e servizi supportati da Google Cloud, che supportare l'accesso privato ai servizi tramite indirizzi IP interni.
  • Utilizzo di connessioni on-premise esistenti per la connessione Cloud privato VMware Engine, se disponi di connettività on-premise utilizzando Cloud VPN o Cloud Interconnect al tuo VPC in ogni rete.

Puoi configurare l'accesso privato ai servizi in modo indipendente da VMware Engine la creazione di un cloud privato. La connessione privata può essere creata prima o dopo e la creazione del cloud privato a cui vuoi connettere rete VPC.

Autorizzazioni

  1. Assicurati di disporre dei seguenti ruoli nel progetto: Compute > Network Admin

    Verifica i ruoli

    1. Nella console Google Cloud, vai alla pagina IAM.

      Vai a IAM
    2. Seleziona il progetto.

    3. Nella colonna Entità, individua la riga contenente il tuo indirizzo email.

      Se il tuo indirizzo email non è in questa colonna, significa che non disponi di alcun ruolo.

    4. Nella colonna Ruolo per la riga contenente il tuo indirizzo email, controlla se l'elenco dei ruoli include quelli richiesti.

    Concedi i ruoli

    1. Nella console Google Cloud, vai alla pagina IAM.

      Vai a IAM
    2. Seleziona il progetto.
    3. Fai clic su Concedi l'accesso.
    4. Nel campo Nuove entità, inserisci il tuo indirizzo email.
    5. Nell'elenco Seleziona un ruolo, scegli un ruolo.
    6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ciascun ruolo aggiuntivo.
    7. Fai clic su Salva.

Prima di iniziare

  1. Devi disporre di una rete VPC esistente.
  2. Attivare l'API Service Networking nel tuo progetto.

  3. Configura l'accesso privato ai servizi nel alla rete VPC a cui vuoi connetterti.

  4. Individua l'ID progetto in peering della tua rete VPC seguendo questi passaggi:

    1. Nella console Google Cloud, vai a Peering di rete VPC. R Connessione in peering di rete VPC con nome servicenetworking-googleapis-com è elencato nella tabella di peering.
    2. Copia l'ID progetto in peering per poterlo utilizzare durante la configurazione di un connessione privata nella console Google Cloud.

Connettività multi-VPC

VMware Engine ti consente di accedere allo stesso cloud privato da Reti VPC senza la necessità di modificare le reti VPC esistenti con deployment in Google Cloud. Ad esempio, la connettività multi-VPC è utile quando hai reti VPC separate per eseguire test sviluppo del prodotto.

Questa situazione richiede che le reti VPC comunichino con VMware VM o altri indirizzi di destinazione in gruppi di risorse vSphere separati nella nello stesso cloud privato o tra più cloud privati.

Per impostazione predefinita, puoi eseguire il peering di 3 reti VPC per regione. Questo Il limite di peering include il peering VPC utilizzato da internet per accedere ai servizi di rete. Per aumentare questo limite, contatta l'assistenza clienti Google Cloud.

Unicità degli indirizzi IP

Quando connetti la tua rete VPC a una rete regionale VMware Engine, segui queste linee guida per garantire l'univocità degli indirizzi IP:

  • Gli intervalli IP e le subnet di VMware Engine nella tua rete VPC non possono utilizzare gli stessi intervalli di indirizzi IP.

  • Gli intervalli IP di VMware Engine non possono rientrare in un intervallo di indirizzi IP della subnet in della tua rete VPC. Le route subnet nella tua rete VPC devono avere di indirizzi IP specifici.

  • Esamina attentamente la panoramica delle route di rete VPC per i dettagli su come VPC le route di rete funzionano.

  • Se devi connettere due o più reti VMware Engine alla stessa rete VPC, devi utilizzare intervalli IP univoci per ogni sulla rete VMware Engine, oppure devi abilitare la connettività NSX-T solo per una delle reti VMware Engine che utilizza gli stessi intervalli IP di un'altra sulla rete VMware Engine.

Crea una connessione privata

Crea una connessione privata nella console, in Google Cloud CLI o nell'API REST. Nella richiesta, imposta il tipo di connessione su PRIVATE_SERVICE_ACCESS e dalla modalità di routing alla modalità di routing GLOBAL.

Console

  1. Accedi alla console Google Cloud
  2. Nella navigazione principale, vai a Connessioni private.
  3. Fai clic su Crea.
  4. Fornisci un nome e una descrizione per la connessione.
  5. Seleziona la rete VMware Engine a cui connetterti.
  6. Nel campo ID progetto in peering, incolla l'ID progetto in peering che che hai copiato nei prerequisiti.
  7. In Tipo di connessione privata, seleziona Accesso privato ai servizi.
  8. Seleziona la modalità di routing per questo peering di rete VPC connessione. Nella maggior parte dei casi, consigliamo modalità di routing globale. Se non vuoi che Google e servizi connessi in peering con la tua rete VPC tra regioni diverse, seleziona invece la modalità di routing Regional. Questo La selezione sostituisce la modalità di routing esistente.
  9. Fai clic su Invia.

Quando viene creata la connessione, puoi selezionare quella specifica da l'elenco delle connessioni private. Pagina dei dettagli di ogni connessione privata mostra la modalità di routing della connessione privata e le eventuali route apprese rispetto al peering VPC.

La tabella Route esportate mostra i cloud privati appresi dalla regione ed esportate tramite peering VPC. Quando più reti VPC sono connesse in peering alla stessa rete regionale VMware Engine, ricevute da una rete VPC non vengono annunciate in un'altra rete VPC.

gcloud

  1. Crea una connessione privata eseguendo Comando gcloud vmware private-connections create:

    gcloud vmware private-connections create PRIVATE_CONNECTION_ID \
  --location=REGION\
  --description="" \
  --vmware-engine-network=NETWORK_ID \
  --service-project=SERVICE_NETWORKING_TENANT_PROJECT\
  --type=PRIVATE_SERVICE_ACCESS \
  --routing-mode=MODE

    Sostituisci quanto segue:

    • PRIVATE_CONNECTION_ID: il privato nome connessione da creare
    • REGION: la regione in cui creare questo elemento privato connessione in; deve corrispondere alla regione della rete VMware Engine
    • NETWORK_ID: il nome della rete VMware Engine
    • SERVICE_NETWORKING_TENANT_PROJECT: il valore nome del progetto per questo VPC del tenant di rete di servizi. Puoi visualizzare SNTP nella colonna PEER_PROJECT del nome del peering servicenetworking-googleapis-com.
    • MODE: modalità di routing, GLOBAL o REGIONAL

  2. (Facoltativo) Se vuoi elencare le tue connessioni private, esegui il comando gcloud vmware private-connections list:

    gcloud vmware private-connections list \
    --location=REGION

    Sostituisci quanto segue:

    • REGION: la regione della rete da elencare.

API

Per creare un VPC di Compute Engine e una connessione di accesso privato ai servizi, procedi nel seguente modo: utilizzando l'API VMware Engine:

  1. Crea una connessione privata effettuando una richiesta POST:

    POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections?private_connection_id=PRIVATE_CONNECTION_ID"

'{
  "description": "My first private connection",
  "vmware_engine_network":
"projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/NETWORK_ID
  "type": "PRIVATE_SERVICE_ACCESS",
  "routing_mode": "MODE",
  "service_network":
"projects/SERVICE_NETWORKING_TENANT_PROJECT/global/networks/SERVICE_NETWORK"
}'

    Sostituisci quanto segue:

    • PRIVATE_CONNECTION_ID: il privato nome connessione per questa richiesta
    • REGION: la regione in cui creare questo elemento privato connessione in
    • NETWORK_ID: la rete VMware Engine per questa opzione richiesta
    • SERVICE_NETWORKING_TENANT_PROJECT: il valore nome del progetto per questo VPC del tenant di rete di servizi. Puoi visualizzare SNTP nella colonna PEER_PROJECT del nome del peering servicenetworking-googleapis-com
    • SERVICE_NETWORK: la rete nel progetto tenant

  2. (Facoltativo) Se vuoi elencare le tue connessioni private, crea una GET richiesta:

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections"

    Sostituisci quanto segue:

    • PROJECT_ID: il nome del progetto richiesta.
    • REGION: la regione in cui elencare i privati e connessioni a Internet.

Modificare una connessione privata

Puoi modificare una connessione privata dopo averla creata. Una volta creato, cambia la modalità di routing tra GLOBAL e REGIONAL. In Google Cloud CLI o l'API, puoi anche aggiornare la descrizione della connessione privata.`

Console

  1. Accedi alla console Google Cloud
  2. Nella navigazione principale, vai a Connessioni private.
  3. Fai clic sul nome della connessione privata che vuoi modificare.
  4. Nella pagina dei dettagli, fai clic su Modifica.
  5. Aggiorna la descrizione o la modalità di routing della connessione.
  6. Salva le modifiche.

gcloud

Modifica una connessione privata eseguendo Comando gcloud vmware private-connections update:

gcloud vmware private-connections update PRIVATE_CONNECTION_ID \
   --location=REGION \
   --description=DESCRIPTION \
   --routing-mode=MODE

Sostituisci quanto segue:

  • PROJECT_ID: il nome del progetto per questa richiesta
  • REGION: la regione in cui aggiornare questa proprietà privata connessione in
  • DESCRIPTION: la nuova descrizione da utilizzare
  • PRIVATE_CONNECTION_ID: la connessione privata ID per questa richiesta
  • MODE: modalità di routing, GLOBAL o REGIONAL

API

Per modificare una connessione privata utilizzando l'API VMware Engine, crea una PATCH richiesta:

PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID?update_mask=description, routing_mode"

'{
  "description": "Updated description for the private connection",
  "routing_mode": "MODE"
}'

Sostituisci quanto segue:

  • PROJECT_ID: il nome del progetto per questa richiesta
  • REGION: la regione in cui aggiornare questa proprietà privata connessione in
  • PRIVATE_CONNECTION_ID: la connessione privata nome per questa richiesta
  • MODE: modalità di routing, GLOBAL o REGIONAL

Descrivi una connessione privata

Puoi ottenere la descrizione di qualsiasi connessione privata utilizzando Google Cloud CLI oppure l'API VMware Engine.

gcloud

Ottieni una descrizione di una connessione privata eseguendo il comando gcloud vmware private-connections describe:

gcloud vmware private-connections describe PRIVATE_CONNECTION_ID \
    --location=REGION

Sostituisci quanto segue:

  • PRIVATE_CONNECTION_ID: la connessione privata nome per questa richiesta
  • REGION: la regione della connessione privata.

API

Per ottenere una descrizione di una connessione privata utilizzando il API VMware Engine, effettua una richiesta GET:

GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID"

Sostituisci quanto segue:

  • PROJECT_ID: il nome del progetto per questa richiesta.
  • PRIVATE_CONNECTION_ID: la connessione privata nome personalizzato per questa richiesta.
  • REGION: la regione della connessione privata.

Dopo che le connessioni private che hai eliminato non saranno più visibili nell'elenco di connessioni private, puoi eliminare la connessione privata nella console Google Cloud. L'esecuzione errata di questo passaggio può causare un DNS inattivo in entrambi i progetti Google Cloud.

Elenca le route di peering per una connessione privata

Per elencare le route di peering scambiate con una connessione privata:

Console

  1. Accedi alla console Google Cloud
  2. Vai a Connessioni private.
  3. Fai clic sul nome della connessione privata che vuoi visualizzare.

La pagina dei dettagli descrive le route importate ed esportate.

gcloud

Elenca le route di peering scambiate per una connessione privata eseguendo il comando Comando gcloud vmware private-connections routes list:

gcloud vmware private-connections routes list \
    --private-connection=PRIVATE_CONNECTION_ID \
    --location=REGION

Sostituisci quanto segue:

  • PRIVATE_CONNECTION_ID: la connessione privata nome personalizzato per questa richiesta.
  • REGION: la regione della connessione privata.

API

Per elencare le route di peering scambiate con una connessione privata utilizzando API VMware Engine, effettua una richiesta GET:

GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID/peeringRoutes"

Sostituisci quanto segue:

  • PROJECT_ID: il nome del progetto per questa richiesta.
  • REGION: la regione della connessione privata.
  • PRIVATE_CONNECTION_ID: la connessione privata nome personalizzato per questa richiesta.

Limiti di routing

Il numero massimo di route che un cloud privato può ricevere è 200. Per Ad esempio, queste route possono provenire da reti on-premise, reti VPC e altri cloud privati nella stessa rete VPC. Questo limite di route corrisponde al numero massimo di router Cloud annunci di route per limite di sessioni BGP.

In una determinata regione, puoi pubblicizzare al massimo 100 route uniche da di VMware Engine per la rete VPC utilizzando l'accesso ai servizi. Ad esempio, queste route univoche includono il cloud privato di indirizzi IP di gestione, segmenti di rete dei carichi di lavoro NSX-T e rete HCX di indirizzi IP esterni. Questo limite di route include tutti i cloud privati nella regione e corrisponde al limite di route appresa dal router Cloud.

Per informazioni sui limiti di routing, consulta Quote e quote del router Cloud limiti.

Risoluzione dei problemi

Il seguente video mostra come verificare e risolvere i problemi relativi al peering di connessione tra VPC Google Cloud e Google Cloud VMware Engine.

Passaggi successivi