(Ancien) Configurer des connexions privées

L'accès aux services privés est une connexion privée entre votre réseau de cloud privé virtuel (VPC) et les réseaux dans VMware Engine. Cette page explique comment configurer l'accès aux services privés de Google Cloud VMware Engine et connecter votre réseau VPC à votre cloud privé.

L'accès aux services privés permet d'effectuer les opérations suivantes :

  • Communication exclusive par adresse IP interne pour les instances de machines virtuelles (VM) de votre réseau VPC et des VM VMware. Les instances de VM n'ont pas besoin d'accès Internet ni d'adresses IP externes pour accéder aux services disponibles via l'accès aux services privés.
  • Communication entre les VM VMware et les services compatibles avec Google Cloud, qui acceptent l'accès aux services privés à l'aide d'adresses IP internes.
  • Utilisez des connexions sur site existantes pour vous connecter à votre cloud privé VMware Engine. Si vous disposez d'une connectivité sur site, utilisez Cloud VPN ou Cloud Interconnect à votre réseau VPC.

Vous pouvez configurer l'accès aux services privés indépendamment de la création du cloud privé VMware Engine. La connexion privée peut être créée avant ou après la création du cloud privé auquel vous souhaitez connecter votre réseau VPC.

Autorisations

  1. Make sure that you have the following role or roles on the project: Compute > Network Admin

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.
    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Accéder à IAM
    2. Sélectionnez le projet.
    3. Cliquez sur Accorder l'accès.
    4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

    5. Dans la liste Sélectionner un rôle, sélectionnez un rôle.
    6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
    7. Cliquez sur Enregistrer.

    Avant de commencer

    1. Vous devez disposer d'un réseau VPC existant.
    2. Activez l'API Service Networking dans le projet.
    3. Configurez l'accès aux services privés dans le réseau VPC auquel vous souhaitez vous connecter.

    4. Recherchez l'ID de projet appairé de votre réseau VPC en procédant comme suit:

      1. Dans la console Google Cloud, accédez à Appairage de réseaux VPC. Une connexion d'appairage de réseaux VPC nommée servicenetworking-googleapis-com est répertoriée dans la table d'appairage.
      2. Copiez l'ID du projet appairé afin de pouvoir l'utiliser lors de la configuration d'une connexion privée dans la console Google Cloud.

    Connectivité multi-VPC

    VMware Engine vous permet d'accéder au même cloud privé depuis différents réseaux VPC sans avoir à modifier les architectures de VPC existantes déployées dans Google Cloud. Par exemple, la connectivité multi-VPC est utile lorsque vous avez des réseaux VPC distincts pour les tests et le développement.

    Cette situation nécessite des réseaux VPC pour communiquer avec les VM VMware ou d'autres adresses de destination dans des groupes de ressources vSphere distincts dans le même cloud privé ou dans plusieurs.

    Par défaut, vous pouvez appairer trois réseaux VPC par région. Cette limite d'appairage inclut l'appairage VPC utilisé par le service réseau d'accès à Internet. Pour augmenter cette limite, contactez Cloud Customer Care.

    Uniqueté des adresses IP

    Lorsque vous connectez votre réseau VPC à un réseau régional VMware Engine, suivez ces consignes pour vous assurer que les adresses IP sont uniques:

    • Les plages d'adresses IP et les sous-réseaux VMware Engine de votre réseau VPC ne peuvent pas utiliser les mêmes plages d'adresses IP.

    • Les plages d'adresses IP VMware Engine ne peuvent pas se trouver dans une plage d'adresses IP de sous-réseau de votre réseau VPC. Les routes de sous-réseau de votre réseau VPC doivent posséder les plages d'adresses IP les plus spécifiques.

    • Consultez attentivement la présentation des routes de réseau VPC pour en savoir plus sur leur fonctionnement.

    • Si vous devez connecter deux réseaux VMware Engine ou plus au même réseau VPC, vous devez utiliser des plages d'adresses IP uniques pour chaque réseau VMware Engine ou n'activer la connectivité NSX-T que pour l'un des réseaux VMware Engine utilisant les mêmes plages d'adresses IP qu'un autre réseau VMware Engine.

    Créer une connexion privée

    Créez une connexion privée dans la console, Google Cloud CLI ou l'API REST. Dans votre requête, définissez le type de connexion sur PRIVATE_SERVICE_ACCESS et le mode de routage sur le mode de routage GLOBAL.

    Console

    1. Dans la console Google Cloud, accédez à la page Connexions privées.

      Accéder à "Connexions privées"

    2. Cliquez sur Créer.

    3. Indiquez un nom et une description pour la connexion.

    4. Sélectionnez le réseau VMware Engine auquel vous souhaitez vous connecter.

    5. Dans le champ ID du projet appairé, collez l'ID du projet appairé que vous avez copié dans les conditions préalables.

    6. Dans Type de connexion privée, sélectionnez Accès aux services privés.

    7. Sélectionnez le mode de routage pour cette connexion d'appairage de réseau VPC. Dans la plupart des cas, nous recommandons le mode de routage global. Si vous ne souhaitez pas que les services Google appairés avec votre réseau VPC communiquent entre régions, sélectionnez plutôt le mode de routage Regional. Cette sélection remplace le mode de routage existant.

    8. Cliquez sur Envoyer.

    Une fois la connexion créée, vous pouvez sélectionner la connexion spécifique dans la liste des connexions privées. La page d'informations de chaque connexion privée affiche le mode de routage de la connexion privée ainsi que toutes les routes apprises via l'appairage de VPC.

    Le tableau Routes exportées affiche les clouds privés acquis via la région et exportés lors de l'appairage de VPC. Lorsque plusieurs réseaux VPC sont appairés au même réseau régional VMware Engine, les routes reçues d'un réseau VPC ne sont pas annoncées sur l'autre réseau VPC.

    gcloud

    1. Créez une connexion privée en exécutant la commande gcloud vmware private-connections create:

      gcloud vmware private-connections create PRIVATE_CONNECTION_ID \
        --location=REGION\
        --description="" \
        --vmware-engine-network=NETWORK_ID \
        --service-project=SERVICE_NETWORKING_TENANT_PROJECT\
        --type=PRIVATE_SERVICE_ACCESS \
        --routing-mode=MODE
      

      Remplacez les éléments suivants :

      • PRIVATE_CONNECTION_ID: nom de la connexion privée à créer
      • REGION: région dans laquelle créer cette connexion privée. Elle doit correspondre à la région du réseau VMware Engine.
      • NETWORK_ID: nom du réseau VMware Engine
      • SERVICE_NETWORKING_TENANT_PROJECT: nom du projet pour ce VPC de réseau de services du locataire. Vous pouvez trouver le SNTP dans la colonne PEER_PROJECT du nom d'appairage servicenetworking-googleapis-com.
      • MODE: mode de routage, GLOBAL ou REGIONAL
    2. Facultatif: Si vous souhaitez lister vos connexions privées, exécutez la commande gcloud vmware private-connections list:

      gcloud vmware private-connections list \
          --location=REGION

      Remplacez les éléments suivants :

      • REGION: région du réseau à lister.

    API

    Pour créer un VPC Compute Engine et une connexion d'accès aux services privés à l'aide de l'API VMware Engine:

    1. Créez une connexion privée en envoyant une requête POST:

      POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections?private_connection_id=PRIVATE_CONNECTION_ID"
      
      '{
        "description": "My first private connection",
        "vmware_engine_network":
      "projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/NETWORK_ID
        "type": "PRIVATE_SERVICE_ACCESS",
        "routing_mode": "MODE",
        "service_network":
      "projects/SERVICE_NETWORKING_TENANT_PROJECT/global/networks/SERVICE_NETWORK"
      }'
      

      Remplacez les éléments suivants :

      • PRIVATE_CONNECTION_ID: nom de la connexion privée pour cette requête
      • REGION: région dans laquelle créer cette connexion privée
      • NETWORK_ID: réseau VMware Engine pour cette requête
      • SERVICE_NETWORKING_TENANT_PROJECT: nom du projet pour ce VPC de locataire de réseau de services. Vous trouverez le SNTP dans la colonne PEER_PROJECT du nom de l'appairage servicenetworking-googleapis-com.
      • SERVICE_NETWORK: réseau du projet locataire
    2. Facultatif: Si vous souhaitez lister vos connexions privées, effectuez une requête GET:

      GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections"
      

      Remplacez les éléments suivants :

      • PROJECT_ID: nom du projet pour cette requête.
      • REGION: région dans laquelle répertorier les connexions privées.

    Modifier une connexion privée

    Vous pouvez modifier une connexion privée après l'avoir créée. Une fois créé, vous pouvez modifier le mode de routage entre GLOBAL et REGIONAL. Dans Google Cloud CLI ou l'API, vous pouvez également modifier la description de la connexion privée.

    Console

    1. Dans la console Google Cloud, accédez à la page Connexions privées.

      Accéder à "Connexions privées"

    2. Cliquez sur le nom de la connexion privée que vous souhaitez modifier.

    3. Sur la page des détails, cliquez sur Modifier.

    4. Mettez à jour la description ou le mode de routage de la connexion.

    5. Enregistrez les modifications.

    gcloud

    Pour modifier une connexion privée, exécutez la commande gcloud vmware private-connections update:

    gcloud vmware private-connections update PRIVATE_CONNECTION_ID \
       --location=REGION \
       --description=DESCRIPTION \
       --routing-mode=MODE
    

    Remplacez les éléments suivants :

    • PROJECT_ID: nom du projet pour cette requête
    • REGION: région dans laquelle mettre à jour cette connexion privée
    • DESCRIPTION: nouvelle description à utiliser
    • PRIVATE_CONNECTION_ID: ID de la connexion privée pour cette requête
    • MODE: mode de routage, GLOBAL ou REGIONAL

    API

    Pour modifier une connexion privée à l'aide de l'API VMware Engine, envoyez une requête PATCH:

    PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID?update_mask=description, routing_mode"
    
    '{
      "description": "Updated description for the private connection",
      "routing_mode": "MODE"
    }'

    Remplacez les éléments suivants :

    • PROJECT_ID: nom du projet pour cette requête
    • REGION: région dans laquelle mettre à jour cette connexion privée
    • PRIVATE_CONNECTION_ID: nom de la connexion privée pour cette requête
    • MODE: mode de routage, GLOBAL ou REGIONAL

    Décrire une connexion privée

    Vous pouvez obtenir la description de n'importe quelle connexion privée à l'aide de la Google Cloud CLI ou de l'API VMware Engine.

    gcloud

    Obtenez une description d'une connexion privée en exécutant la commande gcloud vmware private-connections describe:

    gcloud vmware private-connections describe PRIVATE_CONNECTION_ID \
        --location=REGION
    

    Remplacez les éléments suivants :

    • PRIVATE_CONNECTION_ID: nom de la connexion privée pour cette requête
    • REGION: région de la connexion privée.

    API

    Pour obtenir une description d'une connexion privée à l'aide de l'API VMware Engine, envoyez une requête GET:

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID"
    

    Remplacez les éléments suivants :

    • PROJECT_ID: nom du projet pour cette requête.
    • PRIVATE_CONNECTION_ID: nom de la connexion privée pour cette requête.
    • REGION: région de la connexion privée.

    Une fois que les connexions privées supprimées ne s'affichent plus dans la liste des connexions privées, vous pouvez supprimer la connexion d'accès aux services privés dans Google Cloud Console. Si vous exécutez cette étape dans le désordre, les entrées DNS risquent de ne pas être actualisées dans les deux projets Google Cloud.

    Lister les routes d'appairage pour une connexion privée

    Pour lister les routes d'appairage échangées pour une connexion privée, procédez comme suit:

    Console

    1. Dans la console Google Cloud, accédez à la page Connexions privées.

      Accéder à "Connexions privées"

    2. Cliquez sur le nom de la connexion privée que vous souhaitez afficher.

    La page d'informations décrit les routes importées et exportées.

    gcloud

    Répertoriez les routes d'appairage échangées pour une connexion privée en exécutant la commande gcloud vmware private-connections routes list:

    gcloud vmware private-connections routes list \
        --private-connection=PRIVATE_CONNECTION_ID \
        --location=REGION

    Remplacez les éléments suivants :

    • PRIVATE_CONNECTION_ID: nom de la connexion privée pour cette requête.
    • REGION: région de la connexion privée.

    API

    Pour lister les routes d'appariement échangées pour une connexion privée à l'aide de l'API VMware Engine, envoyez une requête GET:

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID/peeringRoutes"
    

    Remplacez les éléments suivants :

    • PROJECT_ID: nom du projet pour cette requête.
    • REGION: région de la connexion privée.
    • PRIVATE_CONNECTION_ID: nom de la connexion privée pour cette requête.

    Limites de routage

    Le nombre maximal de routes qu'un cloud privé peut recevoir est 200. Par exemple, ces routes peuvent provenir de réseaux sur site, de réseaux VPC appairés et d'autres clouds privés du même réseau VPC. Cette limite de routage correspond au nombre maximal de routes personnalisées par routeur cloud de session.

    Dans une région donnée, vous pouvez annoncer au maximum 100 routes uniques depuis VMware Engine vers votre réseau VPC à l'aide de l'accès aux services privés. Par exemple, ces routes uniques incluent des plages d'adresses IP de gestion de cloud privé, des segments de réseau de charge de travail NSX-T et des plages d'adresses IP internes HCX. Cette limite de routage inclut tous les clouds privés de la région et correspond à la limite de routes apprises par Cloud Router.

    Pour en savoir plus sur les limites de routage, consultez la section Quotas et limites de Cloud Router.

    Dépannage

    La vidéo suivante vous explique comment vérifier et résoudre les problèmes de connexion d'appairage entre le VPC Google Cloud et Google Cloud VMware Engine.

    Étape suivante