(Lama) Menyiapkan koneksi pribadi

Akses layanan pribadi adalah koneksi pribadi antara jaringan Virtual Private Cloud (VPC) Anda dan jaringan di VMware Engine. Halaman ini menjelaskan cara menyiapkan akses layanan pribadi ke Google Cloud VMware Engine dan menghubungkan jaringan VPC ke cloud pribadi Anda.

Akses layanan pribadi memungkinkan perilaku berikut:

  • Komunikasi eksklusif berdasarkan alamat IP internal untuk instance virtual machine (VM) di jaringan VPC dan VM VMware Anda. Instance VM tidak memerlukan akses internet atau alamat IP eksternal untuk menjangkau layanan yang tersedia melalui akses layanan pribadi.
  • Komunikasi antara VM VMware dan layanan yang didukung Google Cloud, yang mendukung akses layanan pribadi menggunakan alamat IP internal.
  • Penggunaan koneksi lokal yang ada untuk terhubung ke cloud pribadi VMware Engine, jika Anda memiliki konektivitas lokal menggunakan Cloud VPN atau Cloud Interconnect ke jaringan VPC.

Anda dapat menyiapkan akses layanan pribadi secara terpisah dari pembuatan cloud pribadi VMware Engine. Koneksi pribadi dapat dibuat sebelum atau setelah pembuatan cloud pribadi yang ingin Anda hubungkan ke jaringan VPC.

Izin

  1. Make sure that you have the following role or roles on the project: Compute > Network Admin

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Buka IAM
    2. Pilih project.
    3. Klik Berikan akses.

    4. Di kolom New principals, masukkan ID pengguna Anda. Ini biasanya adalah alamat email untuk Akun Google.

    5. Di daftar Pilih peran, pilih peran.
    6. Untuk memberikan peran tambahan, klik Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
    7. Klik Simpan.

    Sebelum memulai

    1. Anda harus memiliki jaringan VPC yang sudah ada.
    2. Aktifkan Service Networking API di project Anda.

    3. Konfigurasi akses layanan pribadi di jaringan VPC yang ingin Anda hubungkan.

    4. Temukan ID project yang di-peering dari jaringan VPC Anda dengan melakukan tindakan berikut:

      1. Di konsol Google Cloud, buka VPC network peering. Koneksi peering jaringan VPC dengan nama servicenetworking-googleapis-com tercantum dalam tabel peering.
      2. Salin Project ID yang dihubungkan agar Anda dapat menggunakannya saat menyiapkan koneksi pribadi di konsol Google Cloud.

    Konektivitas multi-VPC

    VMware Engine memungkinkan Anda mengakses cloud pribadi yang sama dari jaringan VPC yang berbeda tanpa perlu mengubah arsitektur VPC yang ada yang di-deploy di Google Cloud. Misalnya, konektivitas multi-VPC berguna jika Anda memiliki jaringan VPC terpisah untuk pengujian dan pengembangan.

    Situasi ini mengharuskan jaringan VPC berkomunikasi dengan VM VMware atau alamat tujuan lainnya dalam grup resource vSphere terpisah di cloud pribadi yang sama atau di beberapa cloud pribadi.

    Secara default, Anda dapat melakukan peering 3 jaringan VPC per region. Batas peering ini mencakup peering VPC yang digunakan oleh layanan jaringan akses internet. Untuk meningkatkan batas ini, hubungi Cloud Customer Care.

    Keunikan alamat IP

    Saat Anda menghubungkan jaringan VPC ke jaringan regional VMware Engine, ikuti panduan ini untuk memastikan keunikan alamat IP:

    • Rentang IP dan subnet VMware Engine di jaringan VPC Anda tidak dapat menggunakan rentang alamat IP yang sama.

    • Rentang IP VMware Engine tidak dapat sesuai dengan rentang alamat IP subnet di jaringan VPC Anda. Rute subnet di jaringan VPC Anda harus memiliki rentang alamat IP yang paling spesifik.

    • Tinjau ringkasan rute jaringan VPC dengan cermat untuk mengetahui detail tentang cara kerja rute jaringan VPC.

    • Jika perlu menghubungkan dua jaringan VMware Engine atau lebih ke jaringan VPC yang sama, Anda harus menggunakan rentang IP unik untuk setiap jaringan VMware Engine, atau Anda hanya boleh mengaktifkan konektivitas NSX-T untuk salah satu jaringan VMware Engine menggunakan rentang IP yang sama dengan jaringan VMware Engine lainnya.

    Membuat koneksi pribadi

    Buat koneksi pribadi di konsol, Google Cloud CLI, atau REST API. Dalam permintaan Anda, tetapkan jenis koneksi ke PRIVATE_SERVICE_ACCESS dan mode pemilihan rute ke mode pemilihan rute GLOBAL.

    Konsol

    1. Di konsol Google Cloud, buka halaman Koneksi pribadi.

      Buka Koneksi pribadi

    2. Klik Create.

    3. Berikan Nama dan Deskripsi untuk koneksi.

    4. Pilih jaringan VMware Engine yang akan dihubungkan.

    5. Di kolom Peered project ID, tempel Peered project ID yang Anda salin di prasyarat.

    6. Di Private connection type, pilih Private services access.

    7. Pilih mode pemilihan rute untuk koneksi peering jaringan VPC ini. Dalam sebagian besar kasus, sebaiknya gunakan mode pemilihan rute global. Jika Anda tidak ingin layanan Google yang di-peering dengan jaringan VPC Anda untuk berkomunikasi di seluruh region, pilih mode pemilihan rute Regional. Pilihan ini menggantikan mode perutean yang ada.

    8. Klik Kirim.

    Saat koneksi dibuat, Anda dapat memilih koneksi tertentu dari daftar koneksi pribadi. Halaman detail untuk setiap koneksi pribadi menampilkan mode perutean koneksi pribadi dan rute apa pun yang dipelajari melalui peering VPC.

    Tabel Rute yang diekspor menampilkan cloud pribadi yang dipelajari dari region dan diekspor melalui peering VPC. Jika beberapa jaringan VPC di-peering ke jaringan regional VMware Engine yang sama, rute yang diterima dari satu jaringan VPC tidak akan diiklankan ke jaringan VPC lainnya.

    gcloud

    1. Buat koneksi pribadi dengan menjalankan perintah gcloud vmware private-connections create:

      gcloud vmware private-connections create PRIVATE_CONNECTION_ID \
  --location=REGION\
  --description="" \
  --vmware-engine-network=NETWORK_ID \
  --service-project=SERVICE_NETWORKING_TENANT_PROJECT\
  --type=PRIVATE_SERVICE_ACCESS \
  --routing-mode=MODE

      Ganti kode berikut:

      • PRIVATE_CONNECTION_ID: nama koneksi pribadi yang akan dibuat
      • REGION: region tempat membuat koneksi pribadi ini; ini harus cocok dengan region jaringan VMware Engine
      • NETWORK_ID: nama jaringan VMware Engine
      • SERVICE_NETWORKING_TENANT_PROJECT: nama project untuk VPC tenant jaringan layanan ini. Anda dapat menemukan SNTP di kolom PEER_PROJECT dari nama peering servicenetworking-googleapis-com.
      • MODE: mode pemilihan rute, GLOBAL atau REGIONAL

    2. Opsional: Jika Anda ingin mencantumkan koneksi pribadi, jalankan perintah gcloud vmware private-connections list:

      gcloud vmware private-connections list \
    --location=REGION

      Ganti kode berikut:

      • REGION: region jaringan yang akan dicantumkan.

    API

    Untuk membuat VPC Compute Engine dan koneksi akses layanan pribadi menggunakan VMware Engine API:

    1. Buat koneksi pribadi dengan membuat permintaan POST:

      POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections?private_connection_id=PRIVATE_CONNECTION_ID"

'{
  "description": "My first private connection",
  "vmware_engine_network":
"projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/NETWORK_ID
  "type": "PRIVATE_SERVICE_ACCESS",
  "routing_mode": "MODE",
  "service_network":
"projects/SERVICE_NETWORKING_TENANT_PROJECT/global/networks/SERVICE_NETWORK"
}'

      Ganti kode berikut:

      • PRIVATE_CONNECTION_ID: nama koneksi pribadi untuk permintaan ini
      • REGION: region tempat membuat koneksi pribadi ini
      • NETWORK_ID: jaringan VMware Engine untuk permintaan ini
      • SERVICE_NETWORKING_TENANT_PROJECT: nama project untuk VPC tenant jaringan layanan ini. Anda dapat menemukan SNTP di kolom PEER_PROJECT dari nama peering servicenetworking-googleapis-com
      • SERVICE_NETWORK: jaringan di project tenant

    2. Opsional: Jika Anda ingin mencantumkan koneksi pribadi, buat permintaan GET:

      GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections"

      Ganti kode berikut:

      • PROJECT_ID: nama project untuk permintaan ini.
      • REGION: region tempat mencantumkan koneksi pribadi.

    Mengedit koneksi pribadi

    Anda dapat mengedit koneksi pribadi setelah membuatnya. Setelah dibuat, Anda dapat mengubah mode pemilihan rute antara GLOBAL dan REGIONAL. Di Google Cloud CLI atau API, Anda juga dapat memperbarui deskripsi koneksi pribadi.`

    Konsol

    1. Di konsol Google Cloud, buka halaman Koneksi pribadi.

      Buka Koneksi pribadi

    2. Klik nama koneksi pribadi yang ingin Anda edit.

    3. Di halaman detail, klik Edit.

    4. Perbarui deskripsi atau mode pemilihan rute koneksi.

    5. Simpan perubahan Anda.

    gcloud

    Edit koneksi pribadi dengan menjalankan perintah gcloud vmware private-connections update:

    gcloud vmware private-connections update PRIVATE_CONNECTION_ID \
   --location=REGION \
   --description=DESCRIPTION \
   --routing-mode=MODE

    Ganti kode berikut:

    • PROJECT_ID: nama project untuk permintaan ini
    • REGION: region tempat koneksi pribadi ini akan diupdate
    • DESCRIPTION: deskripsi baru yang akan digunakan
    • PRIVATE_CONNECTION_ID: ID koneksi pribadi untuk permintaan ini
    • MODE: mode pemilihan rute, GLOBAL atau REGIONAL

    API

    Untuk mengedit koneksi pribadi menggunakan VMware Engine API, buat permintaan PATCH:

    PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID?update_mask=description, routing_mode"

'{
  "description": "Updated description for the private connection",
  "routing_mode": "MODE"
}'

    Ganti kode berikut:

    • PROJECT_ID: nama project untuk permintaan ini
    • REGION: region tempat koneksi pribadi ini akan diupdate
    • PRIVATE_CONNECTION_ID: nama koneksi pribadi untuk permintaan ini
    • MODE: mode pemilihan rute, GLOBAL atau REGIONAL

    Menjelaskan koneksi pribadi

    Anda bisa mendapatkan deskripsi koneksi pribadi menggunakan Google Cloud CLI atau VMware Engine API.

    gcloud

    Dapatkan deskripsi koneksi pribadi dengan menjalankan perintah gcloud vmware private-connections describe:

    gcloud vmware private-connections describe PRIVATE_CONNECTION_ID \
    --location=REGION

    Ganti kode berikut:

    • PRIVATE_CONNECTION_ID: nama koneksi pribadi untuk permintaan ini
    • REGION: region koneksi pribadi.

    API

    Untuk mendapatkan deskripsi koneksi pribadi menggunakan VMware Engine API, buat permintaan GET:

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID"

    Ganti kode berikut:

    • PROJECT_ID: nama project untuk permintaan ini.
    • PRIVATE_CONNECTION_ID: nama koneksi pribadi untuk permintaan ini.
    • REGION: region koneksi pribadi.

    Setelah koneksi pribadi yang Anda hapus tidak lagi terlihat dalam daftar koneksi pribadi, Anda dapat menghapus koneksi pribadi di konsol Google Cloud. Melakukan langkah ini secara tidak berurutan dapat menyebabkan entri DNS yang tidak berlaku lagi di kedua project Google Cloud.

    Mencantumkan rute peering untuk koneksi pribadi

    Untuk mencantumkan rute peering yang dipertukarkan untuk koneksi pribadi, lakukan tindakan berikut:

    Konsol

    1. Di konsol Google Cloud, buka halaman Koneksi pribadi.

      Buka Koneksi pribadi

    2. Klik nama koneksi pribadi yang ingin Anda lihat.

    Halaman detail menjelaskan rute yang diimpor dan diekspor.

    gcloud

    Cantumkan rute peering yang ditukar untuk koneksi pribadi dengan menjalankan perintah gcloud vmware private-connections routes list:

    gcloud vmware private-connections routes list \
    --private-connection=PRIVATE_CONNECTION_ID \
    --location=REGION

    Ganti kode berikut:

    • PRIVATE_CONNECTION_ID: nama koneksi pribadi untuk permintaan ini.
    • REGION: region koneksi pribadi.

    API

    Untuk mencantumkan rute peering yang ditukar untuk koneksi pribadi menggunakan VMware Engine API, buat permintaan GET:

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID/peeringRoutes"

    Ganti kode berikut:

    • PROJECT_ID: nama project untuk permintaan ini.
    • REGION: region koneksi pribadi.
    • PRIVATE_CONNECTION_ID: nama koneksi pribadi untuk permintaan ini.

    Batas perutean

    Jumlah maksimum rute yang dapat diterima oleh cloud pribadi adalah 200. Misalnya, rute tersebut dapat berasal dari jaringan lokal, jaringan VPC yang melakukan peering, dan cloud pribadi lainnya di jaringan VPC yang sama. Batas rute ini sesuai dengan jumlah maksimum Cloud Router untuk pemberitahuan rute kustom per sesi BGP.

    Di region tertentu, Anda dapat mengumumkan maksimal 100 rute unik dari VMware Engine ke jaringan VPC menggunakan akses layanan pribadi. Misalnya, rute unik tersebut mencakup rentang alamat IP manajemen cloud pribadi, segmen jaringan beban kerja NSX-T, dan rentang alamat IP internal HCX. Batas rute ini mencakup semua cloud pribadi di region dan sesuai dengan batas rute yang dipelajari Cloud Router.

    Untuk mengetahui informasi tentang batas pemilihan rute, lihat Kuota dan batas Cloud Router.

    Pemecahan masalah

    Video berikut akan menunjukkan cara memverifikasi dan memecahkan masalah koneksi peering antara Google Cloud VPC dan Google Cloud VMware Engine.

    Langkah selanjutnya