Configurar conexiones privadas (versión antigua)
El acceso a servicios privados es una conexión privada entre tu red de nube privada virtual (VPC) y las redes de VMware Engine. En esta página se explica cómo configurar el acceso a servicios privados en Google Cloud VMware Engine y cómo conectar tu red de VPC a tu nube privada.
El acceso privado a servicios permite lo siguiente:
- Comunicación exclusiva mediante la dirección IP interna de las instancias de máquina virtual (VM) de tu red VPC y las VMs de VMware. Las instancias de VM no necesitan acceso a Internet ni direcciones IP externas para acceder a los servicios que están disponibles a través del acceso a servicios privados.
- Comunicación entre máquinas virtuales de VMware y Google Cloudservicios compatibles, que admiten el acceso a servicios privados mediante direcciones IP internas.
- Uso de conexiones on-premise para conectarse a tu nube privada de VMware Engine, si tienes conectividad on-premise mediante Cloud VPN o Cloud Interconnect a tu red de VPC.
Puede configurar el acceso a servicios privados independientemente de la creación de la nube privada de VMware Engine. La conexión privada se puede crear antes o después de crear la nube privada a la que quieras conectar tu red de VPC.
Permisos
-
Make sure that you have the following role or roles on the project: Compute > Network Admin
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the project.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
Ir a IAM - Selecciona el proyecto.
- Haz clic en Conceder acceso.
-
En el campo Nuevos principales, introduce tu identificador de usuario. Normalmente, se trata de la dirección de correo de una cuenta de Google.
- En la lista Selecciona un rol, elige un rol.
- Para conceder más roles, haz clic en Añadir otro rol y añade cada rol adicional.
- Haz clic en Guardar.
Antes de empezar
- Debe tener una red de VPC.
- Activa la API Service Networking en tu proyecto.
Configura el acceso privado a servicios en la red de VPC a la que quieras conectarte.
Para encontrar el ID del proyecto emparejado de tu red de VPC, haz lo siguiente:
- En la Google Cloud console, ve a Emparejamiento entre redes de VPC. En la tabla de emparejamiento, se muestra una conexión de emparejamiento de redes de VPC con el nombre servicenetworking-googleapis-com.
- Copia el ID del proyecto emparejado para poder usarlo al configurar una conexión privada en la consola de Google Cloud .
Conectividad entre varias VPCs
VMware Engine te permite acceder a la misma nube privada desde diferentes redes de VPC sin necesidad de cambiar ninguna arquitectura de VPC desplegada en Google Cloud. Por ejemplo, la conectividad entre varias VPCs es útil cuando tienes redes de VPC independientes para las pruebas y el desarrollo.
En esta situación, las redes de VPC deben comunicarse con las máquinas virtuales de VMware u otras direcciones de destino en grupos de recursos de vSphere independientes en la misma nube privada o en varias nubes privadas.
De forma predeterminada, puedes emparejar 3 redes de VPC por región. Este límite de emparejamiento incluye el emparejamiento de VPC que usa el servicio de red de acceso a Internet. Para aumentar este límite, ponte en contacto con Cloud Customer Care.
Unicidad de la dirección IP
Cuando conectes tu red de VPC a una red regional de VMware Engine, sigue estas directrices para asegurarte de que las direcciones IP sean únicas:
Los intervalos de IP y las subredes de VMware Engine de tu red de VPC no pueden usar los mismos intervalos de direcciones IP.
Los intervalos de IPs de VMware Engine no caben en un intervalo de direcciones IP de subred de tu red de VPC. Las rutas de subred de tu red de VPC deben tener los intervalos de direcciones IP más específicos.
Consulta detenidamente la descripción general de las rutas de red de VPC para obtener información sobre cómo funcionan.
Si necesitas conectar dos o más redes de VMware Engine a la misma red de VPC, debes usar intervalos de IP únicos para cada red de VMware Engine o habilitar la conectividad NSX solo en una de las redes de VMware Engine que use los mismos intervalos de IP que otra red de VMware Engine.
Crear conexión privada
Crea una conexión privada en la consola, en la CLI de Google Cloud o en la API REST. En tu solicitud, define el tipo de conexión como
PRIVATE_SERVICE_ACCESSy el modo de enrutamiento comoGLOBAL.Consola
En la Google Cloud consola, ve a la página Conexiones privadas.
Haz clic en Crear.
Proporcione un nombre y una descripción para la conexión.
Selecciona la red de VMware Engine a la que quieras conectarte.
En el campo ID del proyecto emparejado, pega el ID del proyecto emparejado que has copiado en los requisitos previos.
En Tipo de conexión privada, selecciona Acceso a servicios privados.
Selecciona el modo de enrutamiento de esta conexión de emparejamiento de redes de VPC. En la mayoría de los casos, recomendamos el modo de enrutamiento global. Si no quieres que los servicios de Google emparejados con tu red de VPC se comuniquen entre regiones, selecciona el modo de enrutamiento
Regional. Esta selección anula el modo de enrutamiento actual.Haz clic en Enviar.
Cuando se cree la conexión, podrás seleccionarla en la lista de conexiones privadas. En la página de detalles de cada conexión privada se muestra el modo de enrutamiento de la conexión privada y las rutas aprendidas a través del emparejamiento de VPCs.
En la tabla Rutas exportadas se muestran las nubes privadas aprendidas de la región y exportadas a través del emparejamiento de VPC. Cuando se emparejan varias redes de VPC con la misma red regional de VMware Engine, las rutas recibidas de una red de VPC no se anuncian en la otra red de VPC.
gcloud
Para crear una conexión privada, ejecuta el comando
gcloud vmware private-connections create:gcloud vmware private-connections create PRIVATE_CONNECTION_ID \ --location=REGION\ --description="" \ --vmware-engine-network=NETWORK_ID \ --service-project=SERVICE_NETWORKING_TENANT_PROJECT\ --type=PRIVATE_SERVICE_ACCESS \ --routing-mode=MODE
Haz los cambios siguientes:
PRIVATE_CONNECTION_ID: el nombre de la conexión privada que se va a crearREGION: la región en la que se creará esta conexión privada. Debe coincidir con la región de la red de VMware Engine.NETWORK_ID: el nombre de la red de VMware EngineSERVICE_NETWORKING_TENANT_PROJECT: el nombre del proyecto de esta VPC de inquilino de redes de servicios. Puedes encontrar el SNTP en la columna PEER_PROJECT del nombre del peeringservicenetworking-googleapis-com.MODE: el modo de enrutamiento,GLOBALoREGIONAL
Opcional: Si quieres enumerar tus conexiones privadas, ejecuta el comando
gcloud vmware private-connections list:gcloud vmware private-connections list \ --location=REGIONHaz los cambios siguientes:
REGION: la región de la red que se va a mostrar.
API
Para crear una VPC de Compute Engine y una conexión de acceso a servicios privados con la API de VMware Engine, sigue estos pasos:
Para crear una conexión privada, haz una solicitud
POST:POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections?private_connection_id=PRIVATE_CONNECTION_ID" '{ "description": "My first private connection", "vmware_engine_network": "projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/NETWORK_ID "type": "PRIVATE_SERVICE_ACCESS", "routing_mode": "MODE", "service_network": "projects/SERVICE_NETWORKING_TENANT_PROJECT/global/networks/SERVICE_NETWORK" }'Haz los cambios siguientes:
PRIVATE_CONNECTION_ID: nombre de la conexión privada de esta solicitud.REGION: la región en la que se creará esta conexión privadaNETWORK_ID: la red de VMware Engine de esta solicitudSERVICE_NETWORKING_TENANT_PROJECT: el nombre del proyecto de esta VPC de inquilino de Service Networking. Puedes encontrar el SNTP en la columna PEER_PROJECT del nombre del peeringservicenetworking-googleapis-comSERVICE_NETWORK: la red del proyecto de cliente
Opcional: Si quieres enumerar tus conexiones privadas, haz una
GETsolicitud:GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections"
Haz los cambios siguientes:
PROJECT_ID: el nombre del proyecto de esta solicitud.REGION: la región en la que se deben mostrar las conexiones privadas.
Editar una conexión privada
Puedes editar una conexión privada después de crearla. Una vez creado, puedes cambiar el modo de ruta entre
GLOBALyREGIONAL. En la CLI de Google Cloud o en la API, también puedes actualizar la descripción de la conexión privada.`Consola
En la Google Cloud consola, ve a la página Conexiones privadas.
Haz clic en el nombre de la conexión privada que quieras editar.
En la página de detalles, haz clic en Editar.
Actualiza la descripción o el modo de enrutamiento de la conexión.
Guarda los cambios.
gcloud
Para editar una conexión privada, ejecuta el comando
gcloud vmware private-connections update:gcloud vmware private-connections update PRIVATE_CONNECTION_ID \ --location=REGION \ --description=DESCRIPTION \ --routing-mode=MODE
Haz los cambios siguientes:
PROJECT_ID: el nombre del proyecto de esta solicitudREGION: la región en la que se va a actualizar esta conexión privadaDESCRIPTION: la nueva descripción que se va a usarPRIVATE_CONNECTION_ID: el ID de conexión privada de esta solicitudMODE: el modo de enrutamiento,GLOBALoREGIONAL
API
Para editar una conexión privada con la API de VMware Engine, haz una solicitud
PATCH:PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID?update_mask=description, routing_mode" '{ "description": "Updated description for the private connection", "routing_mode": "MODE" }'Haz los cambios siguientes:
PROJECT_ID: el nombre del proyecto de esta solicitudREGION: la región en la que se va a actualizar esta conexión privadaPRIVATE_CONNECTION_ID: nombre de la conexión privada de esta solicitudMODE: el modo de enrutamiento,GLOBALoREGIONAL
Describe una conexión privada
Puedes obtener la descripción de cualquier conexión privada mediante la CLI de Google Cloud o la API de VMware Engine.
gcloud
Para obtener una descripción de una conexión privada, ejecuta el comando
gcloud vmware private-connections describe:gcloud vmware private-connections describe PRIVATE_CONNECTION_ID \ --location=REGIONHaz los cambios siguientes:
PRIVATE_CONNECTION_ID: nombre de la conexión privada de esta solicitudREGION: la región de la conexión privada.
API
Para obtener una descripción de una conexión privada mediante la API VMware Engine, haz una solicitud
GET:GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID"
Haz los cambios siguientes:
PROJECT_ID: el nombre del proyecto de esta solicitud.PRIVATE_CONNECTION_ID: el nombre de la conexión privada de esta solicitud.REGION: la región de la conexión privada.
Cuando las conexiones privadas que has eliminado ya no aparezcan en la lista de conexiones privadas, puedes eliminarlas en laGoogle Cloud consola. Si se realiza este paso en otro orden, se pueden producir entradas DNS obsoletas en ambos proyectos. Google Cloud
Lista las rutas de emparejamiento de una conexión privada
Para enumerar las rutas de peering intercambiadas de una conexión privada, haz lo siguiente:
Consola
En la Google Cloud consola, ve a la página Conexiones privadas.
Haga clic en el nombre de la conexión privada que quiera ver.
En la página de detalles se describen las rutas importadas y exportadas.
gcloud
Para ver las rutas de emparejamiento intercambiadas de una conexión privada, ejecuta el
gcloud vmware private-connections routes listcomando:gcloud vmware private-connections routes list \ --private-connection=PRIVATE_CONNECTION_ID \ --location=REGIONHaz los cambios siguientes:
PRIVATE_CONNECTION_ID: el nombre de la conexión privada de esta solicitud.REGION: la región de la conexión privada.
API
Para enumerar las rutas de peering intercambiadas de una conexión privada mediante la API VMware Engine, haz una solicitud
GET:GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID/peeringRoutes"
Haz los cambios siguientes:
PROJECT_ID: el nombre del proyecto de esta solicitud.REGION: la región de la conexión privada.PRIVATE_CONNECTION_ID: el nombre de la conexión privada de esta solicitud.
Límites de enrutamiento
El número máximo de rutas que puede recibir una instancia de Private Cloud es 200. Por ejemplo, estas rutas pueden proceder de redes on-premise, redes de VPC emparejadas y otras nubes privadas de la misma red de VPC. Este límite de rutas corresponde al límite de anuncios de rutas personalizadas por sesión BGP de Cloud Router.
En una región determinada, puedes anunciar un máximo de 100 rutas únicas desde VMware Engine a tu red de VPC mediante el acceso a servicios privados. Por ejemplo, estas rutas únicas incluyen intervalos de direcciones IP de gestión de nubes privadas, segmentos de red de cargas de trabajo de NSX e intervalos de direcciones IP internas de HCX. Este límite de rutas incluye todas las nubes privadas de la región y corresponde al límite de rutas aprendidas de Cloud Router.
Para obtener información sobre los límites de enrutamiento, consulta Cuotas y límites de Cloud Router.
Solución de problemas
En el siguiente vídeo se muestra cómo verificar y solucionar problemas de conexión de peering entre Google Cloud VPC y Google Cloud VMware Engine.
Siguientes pasos
-