(旧版)设置专用连接
专用服务访问通道是虚拟私有云 (VPC) 网络与 VMware Engine 网络之间的专用连接。本页面介绍了如何设置对 Google Cloud VMware Engine 的专用服务访问通道以及如何将 VPC 网络连接到您的私有云。
专用服务访问通道可实现以下行为:
- 独占通信,通过使用您的 VPC 网络中的虚拟机 (VM) 实例和 VMware 虚拟机中的内部 IP 地址实现。虚拟机实例不需要接入互联网或具备外部 IP 地址,通过专用服务访问通道即可访问可用服务。
- VMware 虚拟机与支持使用内部 IP 地址的专用服务访问通道的 Google Cloud 支持服务之间的通信。
- 如果您具有使用 Cloud VPN 或 Cloud Interconnect 连接到您的 VPC 网络的本地连接,则可以使用该现有“本地连接”连接到您的 VMware Engine 私有云。
您可以设置独立于 VMware Engine 私有云创建的专用服务访问通道。您可以在创建要连接 VPC 网络的私有云之前或之后创建专用连接。
权限
-
Make sure that you have the following role or roles on the project: Compute > Network Admin
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the project.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
进入 IAM - 选择项目。
- 点击 授予访问权限。
-
在新的主账号字段中,输入您的用户标识符。 这通常是 Google 账号的电子邮件地址。
- 在选择角色列表中,选择一个角色。
- 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
- 点击 Save(保存)。
准备工作
- 您必须有一个现有 VPC 网络。
- 在项目中激活 Service Networking API。
在您要连接到的 VPC 网络中配置专用服务访问通道。
通过执行以下操作,找到 VPC 网络的对等互连的项目 ID:
- 在 Google Cloud 控制台中,转到 VPC 网络对等互连。 对等互连表中列出了名称为 servicenetworking-googleapis-com 的 VPC 网络对等互连连接。
- 复制对等项目 ID,以便在 Google Cloud 控制台中设置专用连接时使用它。
多 VPC 连接
借助 VMware Engine,您可以从不同的 VPC 网络访问同一私有云,而无需更改 Google Cloud 中部署的任何现有 VPC 架构。例如,当您拥有分别用于测试和开发的独立 VPC 网络时,多 VPC 连接会非常有用。
这种情况要求 VPC 网络能够在同一私有云中或跨多个私有云在不同的 vSphere 资源组中与 VMware 虚拟机或其他目标地址进行通信。
默认情况下,您可以在每个区域中对等互连 3 个 VPC 网络。此对等互连限制包括互联网访问网络服务使用的 VPC 对等互连。如需提高此限制,请与 Cloud Customer Care 团队联系。
IP 地址唯一性
将 VPC 网络连接到 VMware Engine 区域网络时,请遵循以下准则以确保 IP 地址唯一性:
VPC 网络中的 VMware Engine IP 地址范围和子网不能使用相同的 IP 地址范围。
VMware Engine IP 地址范围不能在 VPC 网络中的子网 IP 地址范围内。VPC 网络中的子网路由必须具有最具体的 IP 地址范围。
请仔细查看 VPC 网络路由概览,详细了解 VPC 网络路由的运作方式。
如果您需要将两个或更多 VMware Engine 网络连接到同一 VPC 网络,则必须为每个 VMware Engine 网络使用唯一的 IP 地址范围,或者必须仅为一个 VMware Engine 网络启用 NSX-T 连接,并使用与另一个 VMware Engine 网络相同的 IP 地址范围。
创建专用连接
在控制台、Google Cloud CLI 或 REST API 中创建专用连接。在请求中,将连接类型设置为
PRIVATE_SERVICE_ACCESS
,并将路由模式设置为GLOBAL
路由模式。控制台
在 Google Cloud 控制台中,前往专用连接页面。
点击创建。
提供连接的名称和说明。
选择要连接到的 VMware Engine 网络。
在对等互连的项目 ID 字段中,粘贴您在前提条件中复制的对等互连的项目 ID。
在专用连接类型中,选择专用服务访问通道。
为此 VPC 网络对等互连连接选择路由模式。在大多数情况下,我们建议使用全局路由模式。如果您不希望与 VPC 网络对等互连的 Google 服务跨区域通信,请改为选择
Regional
路由模式。此选择会替换现有路由模式。点击提交。
创建连接后,您可以从专用连接列表中选择具体连接。每个专用连接的详情页面会显示专用连接的路由模式,以及通过 VPC 对等互连获知的任何路由。
导出的路由表会显示从该区域获知并且通过 VPC 对等互连导出的私有云。如果多个 VPC 网络与同一 VMware Engine 区域网络对等互连,则从一个 VPC 网络接收的路由不会通告到另一个 VPC 网络。
gcloud
通过运行
gcloud vmware private-connections create
命令创建专用连接:gcloud vmware private-connections create PRIVATE_CONNECTION_ID \ --location=REGION\ --description="" \ --vmware-engine-network=NETWORK_ID \ --service-project=SERVICE_NETWORKING_TENANT_PROJECT\ --type=PRIVATE_SERVICE_ACCESS \ --routing-mode=MODE
替换以下内容:
PRIVATE_CONNECTION_ID
:要创建的专用连接的名称REGION
:要在其中创建此专用连接的区域;此值必须与 VMware Engine 网络区域匹配NETWORK_ID
:VMware Engine 网络名称SERVICE_NETWORKING_TENANT_PROJECT
:此服务网络租户 VPC 的项目名称。您可以在对等互连名称servicenetworking-googleapis-com
的 PEER_PROJECT 列中找到 SNTP。MODE
:路由模式,即GLOBAL
或REGIONAL
可选:如果要列出专用连接,请运行
gcloud vmware private-connections list
命令:gcloud vmware private-connections list \ --location=REGION
替换以下内容:
REGION
:要列出的网络的区域。
API
如需使用 VMware Engine API 创建 Compute Engine VPC 和专用服务访问通道连接,请执行以下操作:
通过发出
POST
请求来创建专用连接:POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections?private_connection_id=PRIVATE_CONNECTION_ID" '{ "description": "My first private connection", "vmware_engine_network": "projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/NETWORK_ID "type": "PRIVATE_SERVICE_ACCESS", "routing_mode": "MODE", "service_network": "projects/SERVICE_NETWORKING_TENANT_PROJECT/global/networks/SERVICE_NETWORK" }'
替换以下内容:
PRIVATE_CONNECTION_ID
:此请求的专用连接名称REGION
:要在其中创建此专用连接的区域NETWORK_ID
:此请求的 VMware Engine 网络SERVICE_NETWORKING_TENANT_PROJECT
:此服务网络租户 VPC 的项目名称您可以在对等互连名称servicenetworking-googleapis-com
的 PEER_PROJECT 列中找到 SNTPSERVICE_NETWORK
:租户项目中的网络
可选:如果要列出专用连接,请发出
GET
请求:GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections"
替换以下内容:
PROJECT_ID
:此请求的项目名称。REGION
:要在其中列出专用连接的区域。
修改专用连接
您可以在创建专用连接后对其进行修改。创建后,您可以在
GLOBAL
和REGIONAL
之间更改路由模式。您还可以在 Google Cloud CLI 或 API 中更新专用连接的说明。`控制台
在 Google Cloud 控制台中,前往专用连接页面。
点击要修改的专用连接的名称。
在详细信息页面上,点击修改。
更新连接的说明或路由模式。
保存更改。
gcloud
通过运行
gcloud vmware private-connections update
命令修改专用连接:gcloud vmware private-connections update PRIVATE_CONNECTION_ID \ --location=REGION \ --description=DESCRIPTION \ --routing-mode=MODE
替换以下内容:
PROJECT_ID
:此请求的项目名称REGION
:要在其中更新此专用连接的区域DESCRIPTION
:要使用的新说明PRIVATE_CONNECTION_ID
:此请求的专用连接 IDMODE
:路由模式,即GLOBAL
或REGIONAL
API
如需使用 VMware Engine API 修改专用连接,请发出
PATCH
请求:PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID?update_mask=description, routing_mode" '{ "description": "Updated description for the private connection", "routing_mode": "MODE" }'
替换以下内容:
PROJECT_ID
:此请求的项目名称REGION
:要在其中更新此专用连接的区域PRIVATE_CONNECTION_ID
:此请求的专用连接名称MODE
:路由模式,即GLOBAL
或REGIONAL
描述专用连接
您可以使用 Google Cloud CLI 或 VMware Engine API 获取任何专用连接的说明。
gcloud
通过运行
gcloud vmware private-connections describe
命令获取专用连接的说明:gcloud vmware private-connections describe PRIVATE_CONNECTION_ID \ --location=REGION
替换以下内容:
PRIVATE_CONNECTION_ID
:此请求的专用连接名称REGION
:专用连接所在的区域。
API
如需使用 VMware Engine API 获取专用连接的说明,请发出
GET
请求:GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID"
替换以下内容:
PROJECT_ID
:此请求的项目名称。PRIVATE_CONNECTION_ID
:此请求的专用连接名称。REGION
:专用连接所在的区域。
在删除的专用连接不再显示在专用连接列表中之后,您便可以在 Google Cloud 控制台中删除该专用连接。不按顺序执行此步骤可能会导致两个 Google Cloud 项目中出现过时 DNS。
列出专用连接的对等互连路由
如需列出交换为专用连接的对等互连路由,请执行以下操作:
控制台
在 Google Cloud 控制台中,前往专用连接页面。
点击要查看的专用连接的名称。
详情页面介绍了导入和导出的路线。
gcloud
通过运行
gcloud vmware private-connections routes list
命令列出与专用连接交换的对等互连路由:gcloud vmware private-connections routes list \ --private-connection=PRIVATE_CONNECTION_ID \ --location=REGION
替换以下内容:
PRIVATE_CONNECTION_ID
:此请求的专用连接名称。REGION
:专用连接所在的区域。
API
如需使用 VMware Engine API 列出与专用连接交换的对等互连路由,请创建
GET
请求:GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID/peeringRoutes"
替换以下内容:
PROJECT_ID
:此请求的项目名称。REGION
:专用连接所在的区域。PRIVATE_CONNECTION_ID
:此请求的专用连接名称。
路由限制
私有云可以接收的路由数量上限为 200。 例如,这些路由可以来自本地网络、对等互连 VPC 网络以及同一 VPC 网络中的其他私有云。此路由限制对应于每个 BGP 会话限制的 Cloud Router 自定义路由通告的最大数量。
在给定区域中,您可以使用专用服务访问通道,通告最多 100 条从 VMware Engine 到 VPC 网络的唯一路由。例如,这些唯一路由包括私有云管理 IP 地址范围、NSX-T 工作负载网络分段和 HCX 内部 IP 地址范围。此路由限制包含该区域中的所有私有云,对应于 Cloud Router 的已知路由限制。
如需了解路由限制,请参阅 Cloud Router 配额和限制。
问题排查
以下视频介绍了如何验证和排查 Google Cloud VPC 与 Google Cloud VMware Engine 之间的对等互连连接问题。
后续步骤
-