Zugriff auf private Dienste einrichten

Auf dieser Seite wird erläutert, wie Sie den Zugriff auf private Dienste auf Google Cloud VMware Engine einrichten und Ihre VPC mit Ihrer privaten Cloud verbinden. Der Zugriff auf private Dienste ist eine private Verbindung zwischen Ihrem VPC-Netzwerk und den Netzwerken in VMware Engine. Die private Verbindung ermöglicht das folgende Verhalten:

  • VM-Instanzen in Ihrem VPC-Netzwerk und die VMware-VMs kommunizieren ausschließlich über interne IP-Adressen. VM-Instanzen erfordern keinen Internetzugang oder externe IP-Adressen, um verfügbare Dienste über den Zugriff auf private Dienste zu erreichen.
  • Kommunikation zwischen VMs von VMware und von Google Cloud unterstützten Diensten, die den Zugriff auf private Dienste über interne IP-Adressen unterstützt.
  • Wenn Sie eine lokale Verbindung über Cloud VPN oder Cloud Interconnect zu Ihrem VPC-Netzwerk haben, können Sie vorhandene lokale Verbindungen verwenden, um eine Verbindung zu Ihrer privaten VMware Engine-Cloud herzustellen.

Sie können den Zugriff auf private Dienste unabhängig von der Erstellung der privaten VMware Engine-Cloud einrichten. Die private Verbindung kann vor oder nach der Erstellung der privaten Cloud erstellt werden, mit der Sie Ihre VPC verbinden möchten.

In einer bestimmten Region können Sie maximal 100 eindeutige Routen von VMware Engine zu Ihrem VPC-Netzwerk einrichten. Verwenden Sie dazu den privaten Dienstzugriff. Dazu gehören beispielsweise CIDRs für die private Cloudverwaltung, CIDRs der NSX-T-Arbeitslastsegmente und HCX-Netzwerk-CIDRs.

Vorbereitung

  1. Sie müssen ein vorhandenes VPC-Netzwerk haben, mit dem Sie eine Verbindung zu VMware Engine herstellen.
  2. Wenn Sie eine lokale Verbindung auf der Grundlage von Cloud VPN haben, wählen Sie das VPC-Netzwerk aus, das mit Ihrer Cloud VPN-Sitzung verbunden ist. Wenn Sie eine lokale Verbindung basierend auf Cloud Interconnect haben, wählen Sie das VPC-Netzwerk aus, in dem Ihr Cloud Interconnect-VLAN-Anhang endet.
  3. Aktivieren Sie die Service Networking API in Ihrem Projekt.
  4. Projektinhaber und IAM-Mitglieder mit der Rolle Netzwerkadministrator können zugewiesene IP-Adressbereiche erstellen und private Verbindungen verwalten. Weitere Informationen finden Sie unter IAM-Rollen und -Berechtigungen.
  5. Sie müssen Adressbereiche für die private Dienstverbindung und für Adressbereiche angeben, die für die Verwaltung der privaten Cloud und die Arbeitslast-Netzwerksegmente verwendet werden sollen. Dadurch wird sichergestellt, dass kein Konflikt zwischen Ihren VPC- und Netzwerk-Subnetzen und den IP-Adressen besteht, die Sie im VMware Engine-Dienst verwenden.

Shared VPC

Wenn Sie eine freigegebene VPC verwenden, erstellen Sie den zugewiesenen IP-Bereich und die private Verbindung im Hostprojekt. Normalerweise muss ein Netzwerkadministrator im Hostprojekt diese Aufgaben ausführen. Nachdem das Hostprojekt eingerichtet wurde, können VM-Instanzen in Dienstprojekten die private Verbindung nutzen.

Erstellen Sie eine private Verbindung

  1. Weisen Sie Adressbereiche für VPC-Netzwerke zu, die von Google Cloud-Diensten für den Zugriff auf private Dienste gemeinsam genutzt werden, wie unter Zugriff auf private Dienste konfigurieren beschrieben.

  2. Folgen Sie der Anleitung unter Private Verbindung erstellen.

  3. Wenn Sie eine private Verbindung erfolgreich erstellt haben, wird eine Verbindung mit dem Namen servicenetworking-googleapis-com in der Tabelle der privaten Dienstverbindungen Ihrer VPC aufgeführt.

  4. Aktivieren Sie Import/Export benutzerdefinierter Routen für die private Verbindung servicenetworking-googleapis-com. Weitere Informationen finden Sie unter Peering-Verbindungen aktualisieren.

Vollständig private Verbindung im VMware Engine-Portal erstellen

  1. Wechseln Sie zur Ansicht VPC-Netzwerk-Peering. Eine VPC-Netzwerk-Peering-Verbindung mit dem Namen servicenetworking-googleapis-com wird in der Peering-Tabelle aufgeführt.
  2. Kopieren Sie die Peering-Projekt-ID, damit Sie sie beim Einrichten einer privaten Verbindung im VMware Engine-Portal verwenden können.
  3. Rufen Sie das VMware Engine-Portal auf.
  4. Klicken Sie im Navigationsmenü auf Netzwerk und wählen Sie den Tab Private Verbindung aus.
  5. Klicken Sie auf Netzwerkverbindung hinzufügen.
  6. Fügen Sie im Feld Teilnehmer-Projekt-ID die zuvor kopierte Peering-Projekt-ID ein.
  7. Wählen Sie die VMware Engine-Region aus, zu der Sie eine Verbindung herstellen möchten.
  8. Klicken Sie auf Senden.

Wenn der Regionsstatus verbunden ist, können Sie die private Verbindung anhand ihrer Mandanten-Projekt-ID für die entsprechende Region auswählen. Auf der Seite Details zur privaten Verbindung werden die über VPC-Peering erlernten Routen angezeigt. Exportierte Routen zeigt private Clouds, die aus der Region gelernt und über VPC-Peering exportiert wurden.