(Legacy) Private Verbindungen einrichten

Der Zugriff auf private Dienste ist eine private Verbindung zwischen Ihrem Virtual Private Cloud-Netzwerk (VPC) und Netzwerken in VMware Engine. Auf dieser Seite wird erläutert, wie Sie den Zugriff auf private Dienste auf Google Cloud VMware Engine einrichten und Ihrem VPC-Netzwerk mit Ihrer privaten Cloud verbinden.

Der private Dienstzugriff ermöglicht Folgendes:

  • Exklusive Kommunikation über interne IP-Adressen zwischen VM-Instanzen in Ihrem VPC-Netzwerk und den VMware-VMs. VM-Instanzen erfordern keinen Internetzugang oder externe IP-Adressen, um verfügbare Dienste über den Zugriff auf private Dienste zu erreichen.
  • Kommunikation zwischen VMs von VMware und von Google Cloud unterstützten Diensten, die den Zugriff auf private Dienste über interne IP-Adressen unterstützen.
  • Verwendung einer vorhandenen lokalen Verbindung, um eine Verbindung zu Ihrer privaten VMware Engine-Cloud herzustellen, wenn eine lokale Verbindung über Cloud VPN oder Cloud Interconnect zu Ihrem VPC-Netzwerk existiert.

Sie können private Dienstzugriffe unabhängig von der Erstellung der privaten Cloud in VMware Engine einrichten. Die private Verbindung kann vor oder nach der Erstellung der privaten Cloud erstellt werden, mit der Sie Ihr VPC-Netzwerk verbinden möchten.

Berechtigungen

  1. Prüfen Sie, ob Sie die folgenden Rollen für das Projekt haben: Compute > Network Admin

    Auf Rollen prüfen

    1. Öffnen Sie in der Google Cloud Console die Seite IAM.

      IAM aufrufen
    2. Wählen Sie das Projekt aus.

    3. Suchen Sie in der Spalte Hauptkonto die Zeile mit Ihrer E-Mail-Adresse.

      Ist Ihre E-Mail-Adresse nicht in dieser Spalte enthalten, haben Sie keine Rollen.

    4. Prüfen Sie in der Spalte Rolle der Zeile mit Ihrer E-Mail-Adresse, ob die Liste der Rollen die erforderlichen Rollen enthält.

    Rollen zuweisen

    1. Öffnen Sie in der Google Cloud Console die Seite IAM.

      IAM aufrufen
    2. Wählen Sie das Projekt aus.
    3. Klicken Sie auf Zugriff erlauben.
    4. Geben Sie in das Feld Neue Hauptkonten Ihre E-Mail-Adresse ein.
    5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
    6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
    7. Klicken Sie auf Speichern.

Hinweise

  1. Sie müssen ein vorhandenes VPC-Netzwerk haben.
  2. Aktivieren Sie die Service Networking API in Ihrem Projekt.

  3. Konfigurieren Sie den Zugriff auf private Dienste in dem VPC-Netzwerk, zu dem Sie eine Verbindung herstellen möchten.

  4. Ermitteln Sie die Peering-Projekt-ID Ihres VPC-Netzwerk. Gehen Sie dazu so vor:

    1. Gehen Sie in der Google Cloud Console zu VPC-Netzwerk-Peering. Eine VPC-Netzwerk-Peering-Verbindung namens servicenetworking-googleapis-com wird in der Peering-Tabelle aufgeführt.
    2. Kopieren Sie die Peering-Projekt-ID, damit Sie sie beim Einrichten einer privaten Verbindung in der Google Cloud Console verwenden können.

Multi-VPC-Konnektivität

Mit VMware Engine können Sie über verschiedene VPC-Netzwerke auf dieselbe private Cloud zugreifen, ohne vorhandene VPC-Architekturen ändern zu müssen, die in Google Cloud bereitgestellt werden. Multi-VPC-Verbindungen sind beispielsweise nützlich, wenn Sie separate VPC-Netzwerke für Tests und Entwicklung haben.

In dieser Situation müssen VPC-Netzwerke mit VMware-VMs oder anderen Zieladressen in separaten vSphere-Ressourcengruppen in derselben privaten Cloud oder in mehreren privaten Clouds kommunizieren.

Standardmäßig können Sie drei VPC-Netzwerke pro Region über Peering verbinden. Dieses Peering-Limit umfasst das vom Netzwerkdienst für den Internetzugriff verwendete VPC-Peering. Wenn Sie dieses Limit erhöhen möchten, wenden Sie sich an Cloud Customer Care.

Private Verbindung erstellen

Erstellen Sie eine private Verbindung in der Console, der Google Cloud CLI oder der REST API. Legen Sie in der Anfrage den Verbindungstyp auf PRIVATE_SERVICE_ACCESS und den Routingmodus auf den Routingmodus GLOBAL fest.

Console

  1. Auf die Google Cloud Console zugreifen
  2. Gehen Sie in der Hauptnavigation zu Private Verbindungen.
  3. Klicken Sie auf Erstellen.
  4. Geben Sie einen Namen und eine Beschreibung für die Verbindung ein.
  5. Wählen Sie das VMware Engine-Netzwerk aus, zu dem Sie eine Verbindung herstellen möchten.
  6. Fügen Sie im Feld ID des Peering-Projekts die ID des Peering-Projekts ein, die Sie zuvor kopiert haben.
  7. Wählen Sie unter Typ der privaten Verbindung die Option Privater Zugriff auf Dienste aus.
  8. Wählen Sie den Routingmodus für diese VPC-Netzwerk-Peering-Verbindung aus. In den meisten Fällen empfehlen wir den globalen Routingmodus. Wenn Sie nicht möchten, dass Google-Dienste, die über Peering mit Ihrem VPC-Netzwerk verbunden sind, über Regionen hinweg kommunizieren, wählen Sie stattdessen den Routingmodus Regional aus. Diese Auswahl überschreibt den vorhandenen Routingmodus.
  9. Klicken Sie auf Senden.

Wenn die Verbindung erstellt ist, können Sie die spezifische Verbindung aus der Liste der privaten Verbindungen auswählen. Auf der Detailseite jeder privaten Verbindung werden der Routingmodus der privaten Verbindung und alle über VPC-Peering erlernten Routen angezeigt.

Die Tabelle Exportierte Routen enthält private Clouds, die aus der Region erfasst und über VPC-Peering exportiert wurden. Wenn mehrere VPC-Netzwerke über Peering mit demselben regionalen VMware Engine-Netzwerk verbunden sind, werden von einem VPC-Netzwerk empfangene Routen nicht für das andere VPC-Netzwerk beworben.

gcloud

  1. Erstellen Sie mit dem Befehl gcloud vmware private-connections create eine private Verbindung:

    gcloud vmware private-connections create PRIVATE_CONNECTION_ID \
  --location=REGION\
  --description="" \
  --vmware-engine-network=NETWORK_ID \
  --service-project=SERVICE_NETWORKING_TENANT_PROJECT\
  --type=PRIVATE_SERVICE_ACCESS \
  --routing-mode=MODE

    Ersetzen Sie Folgendes:

    • PRIVATE_CONNECTION_ID: der Name der privaten Verbindung, die erstellt werden soll
    • REGION: die Region, in der diese private Verbindung erstellt werden soll; muss der VMware Engine-Netzwerkregion entsprechen
    • NETWORK_ID: der Name des VMware Engine-Netzwerks
    • SERVICE_NETWORKING_TENANT_PROJECT: der Projektname für diese VPC des Dienstnetzwerkmandanten. Sie finden das SNTP in der Spalte PEER_PROJECT des Peering-Namens servicenetworking-googleapis-com.
    • MODE: Routingmodus, entweder GLOBAL oder REGIONAL

  2. Optional: Wenn Sie Ihre privaten Verbindungen auflisten möchten, führen Sie den Befehl gcloud vmware private-connections list aus:

    gcloud vmware private-connections list \
    --location=REGION

    Ersetzen Sie Folgendes:

    • REGION: Region des Netzwerks, das aufgelistet werden soll.

API

So erstellen Sie eine Compute Engine-VPC und eine Verbindung für privaten Dienstzugriff mithilfe der VMware Engine API:

  1. Erstellen Sie mit einer POST-Anfrage eine private Verbindung:

    POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections?private_connection_id=PRIVATE_CONNECTION_ID"

'{
  "description": "My first private connection",
  "vmware_engine_network":
"projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/NETWORK_ID
  "type": "PRIVATE_SERVICE_ACCESS",
  "routing_mode": "MODE",
  "service_network":
"projects/SERVICE_NETWORKING_TENANT_PROJECT/global/networks/SERVICE_NETWORK"
}'

    Ersetzen Sie Folgendes:

    • PRIVATE_CONNECTION_ID: der Name der privaten Verbindung für diese Anfrage
    • REGION: die Region, in der diese private Verbindung erstellt werden soll
    • NETWORK_ID: das VMware Engine-Netzwerk für diese Anfrage
    • SERVICE_NETWORKING_TENANT_PROJECT: der Projektname für diese VPC des Dienstnetzwerkmandanten. Sie finden das SNTP in der Spalte PEER_PROJECT des Peering-Namens servicenetworking-googleapis-com
    • SERVICE_NETWORK: Netzwerk im Mandantenprojekt

  2. Optional: Wenn Sie Ihre privaten Verbindungen auflisten möchten, senden Sie eine GET-Anfrage:

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections"

    Ersetzen Sie Folgendes:

    • PROJECT_ID ist der Projektname für diese Anfrage.
    • REGION: Die Region, in der die privaten Verbindungen aufgelistet werden sollen.

Private Verbindung bearbeiten

Sie können eine private Verbindung nach dem Erstellen bearbeiten. Nach der Erstellung können Sie den Routingmodus zwischen GLOBAL und REGIONAL ändern. In der Google Cloud CLI oder API können Sie auch die Beschreibung der privaten Verbindung aktualisieren.

Console

  1. Auf die Google Cloud Console zugreifen
  2. Gehen Sie in der Hauptnavigation zu Private Verbindungen.
  3. Klicken Sie auf den Namen der privaten Verbindung, die Sie bearbeiten möchten.
  4. Klicken Sie auf der Detailseite auf Bearbeiten.
  5. Aktualisieren Sie die Beschreibung oder den Routingmodus der Verbindung.
  6. Speichern Sie die Änderungen.

gcloud

Mit dem Befehl gcloud vmware private-connections update können Sie eine private Verbindung bearbeiten:

gcloud vmware private-connections update PRIVATE_CONNECTION_ID \
   --location=REGION \
   --description=DESCRIPTION \
   --routing-mode=MODE

Ersetzen Sie Folgendes:

  • PROJECT_ID: der Projektname für diese Anfrage
  • REGION: Region, in der diese private Verbindung aktualisiert werden soll
  • DESCRIPTION: die neue Beschreibung, die verwendet werden soll
  • PRIVATE_CONNECTION_ID: die ID der privaten Verbindung für diese Anfrage
  • MODE: Routingmodus, entweder GLOBAL oder REGIONAL

API

Zum Bearbeiten einer privaten Verbindung mit der VMware Engine API senden Sie eine PATCH-Anfrage:

PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID?update_mask=description, routing_mode"

'{
  "description": "Updated description for the private connection",
  "routing_mode": "MODE"
}'

Ersetzen Sie Folgendes:

  • PROJECT_ID: der Projektname für diese Anfrage
  • REGION: Region, in der diese private Verbindung aktualisiert werden soll
  • PRIVATE_CONNECTION_ID: der Name der privaten Verbindung für diese Anfrage
  • MODE: Routingmodus, entweder GLOBAL oder REGIONAL

Private Verbindung beschreiben

Sie können die Beschreibung jeder privaten Verbindung mit der Google Cloud CLI oder der VMware Engine API abrufen.

gcloud

Rufen Sie mit dem Befehl gcloud vmware private-connections describe eine Beschreibung einer privaten Verbindung ab:

gcloud vmware private-connections describe PRIVATE_CONNECTION_ID \
    --location=REGION

Ersetzen Sie Folgendes:

  • PRIVATE_CONNECTION_ID: der Name der privaten Verbindung für diese Anfrage
  • REGION: die Region der privaten Verbindung.

API

Um mit der VMware Engine API eine Beschreibung einer privaten Verbindung abzurufen, senden Sie eine GET-Anfrage:

GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID"

Ersetzen Sie Folgendes:

  • PROJECT_ID: der Projektname für diese Anfrage.
  • PRIVATE_CONNECTION_ID ist der Name der privaten Verbindung für diese Anfrage.
  • REGION: die Region der privaten Verbindung.

Wenn die gelöschten privaten Verbindungen nicht mehr in der Liste der privaten Verbindungen sichtbar sind, können Sie die Verbindung in der Google Cloud Console löschen. Wenn Sie diesen Schritt in einer falschen Reihenfolge ausführen, kann dies zu veralteten DNS-Einträgen in beiden Google Cloud-Projekten führen.

Peering-Routen für eine private Verbindung auflisten

So listen Sie Peering-Routen auf, die gegen eine private Verbindung ausgetauscht wurden:

Console

  1. Auf die Google Cloud Console zugreifen
  2. Gehen Sie zu Private Verbindungen.
  3. Klicken Sie auf den Namen der privaten Verbindung, die Sie sich ansehen möchten.

Auf der Detailseite werden importierte und exportierte Routen beschrieben.

gcloud

Listen Sie Peering-Routen auf, die gegen eine private Verbindung ausgetauscht wurden. Führen Sie dazu den Befehl gcloud vmware private-connections routes list aus:

gcloud vmware private-connections routes list \
    --private-connection=PRIVATE_CONNECTION_ID \
    --location=REGION

Ersetzen Sie Folgendes:

  • PRIVATE_CONNECTION_ID ist der Name der privaten Verbindung für diese Anfrage.
  • REGION: die Region der privaten Verbindung.

API

Wenn Sie Peering-Routen auflisten möchten, die mithilfe der VMware Engine API gegen eine private Verbindung ausgetauscht wurden, senden Sie eine GET-Anfrage:

GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID/peeringRoutes"

Ersetzen Sie Folgendes:

  • PROJECT_ID: der Projektname für diese Anfrage.
  • REGION: die Region der privaten Verbindung.
  • PRIVATE_CONNECTION_ID ist der Name der privaten Verbindung für diese Anfrage.

Routing-Limits

Die maximale Anzahl von Routen, die eine private Cloud empfangen kann, ist 200. Diese Routen können beispielsweise aus lokalen Netzwerken, Peering-VPC-Netzwerken und anderen privaten Clouds im selben VPC-Netzwerk stammen. Dieses Routenlimit entspricht der maximalen Anzahl von benutzerdefinierten Route Advertisements pro BGP-Sitzung auf dem Cloud Router.

In einer bestimmten Region können Sie maximal 100 eindeutige Routen von VMware Engine zu Ihrem VPC-Netzwerk weitergeben. Verwenden Sie dazu den privaten Dienstzugriff. Zu diesen eindeutigen Routen gehören beispielsweise IP-Adressbereiche für die private Cloudverwaltung, Netzwerksegmente für NSX-T-Arbeitslasten und IP-Adressbereiche des HCX-Netzwerks. Dieses Routenlimit umfasst alle privaten Clouds in der Region und entspricht dem Limit für erkannte Routen des Cloud Router.

Informationen zu Routinglimits finden Sie unter Kontingente und Limits für Cloud Router.

Fehlerbehebung

Im folgenden Video erfahren Sie, wie Sie Peering-Verbindungsprobleme zwischen Google Cloud VPC und Google Cloud VMware Engine prüfen und beheben können.

Nächste Schritte