(Legacy) Private Verbindungen einrichten

Der Zugriff auf private Dienste ist eine private Verbindung zwischen Ihrem Virtual Private Cloud-Netzwerk (VPC) und Netzwerken in VMware Engine. Auf dieser Seite wird erläutert, wie Sie den Zugriff auf private Dienste auf Google Cloud VMware Engine einrichten und Ihrem VPC-Netzwerk mit Ihrer privaten Cloud verbinden.

Der private Dienstzugriff ermöglicht Folgendes:

  • Exklusive Kommunikation über interne IP-Adressen zwischen VM-Instanzen in Ihrem VPC-Netzwerk und den VMware-VMs. VM-Instanzen erfordern keinen Internetzugang oder externe IP-Adressen, um verfügbare Dienste über den Zugriff auf private Dienste zu erreichen.
  • Kommunikation zwischen VMs von VMware und von Google Cloud unterstützten Diensten, die den Zugriff auf private Dienste über interne IP-Adressen unterstützen.
  • Verwendung einer vorhandenen lokalen Verbindung, um eine Verbindung zu Ihrer privaten VMware Engine-Cloud herzustellen, wenn eine lokale Verbindung über Cloud VPN oder Cloud Interconnect zu Ihrem VPC-Netzwerk existiert.

Sie können private Dienstzugriffe unabhängig von der Erstellung der privaten Cloud in VMware Engine einrichten. Die private Verbindung kann vor oder nach der Erstellung der privaten Cloud erstellt werden, mit der Sie Ihr VPC-Netzwerk verbinden möchten.

Berechtigungen

  1. Prüfen Sie, ob Sie die folgenden Rollen für das Projekt haben: Compute > Network Admin

    Auf Rollen prüfen

    1. Öffnen Sie in der Google Cloud Console die Seite IAM.

      IAM aufrufen
    2. Wählen Sie das Projekt aus.

    3. Suchen Sie in der Spalte Hauptkonto die Zeile mit Ihrer E-Mail-Adresse.

      Ist Ihre E-Mail-Adresse nicht in dieser Spalte enthalten, haben Sie keine Rollen.

    4. Prüfen Sie in der Spalte Rolle der Zeile mit Ihrer E-Mail-Adresse, ob die Liste der Rollen die erforderlichen Rollen enthält.

    Rollen zuweisen

    1. Öffnen Sie in der Google Cloud Console die Seite IAM.

      IAM aufrufen
    2. Wählen Sie das Projekt aus.
    3. Klicken Sie auf Zugriff erlauben.
    4. Geben Sie in das Feld Neue Hauptkonten Ihre E-Mail-Adresse ein.
    5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
    6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
    7. Klicken Sie auf Speichern.

Hinweise

  1. Sie müssen ein vorhandenes VPC-Netzwerk haben.
  2. Aktivieren Sie die Service Networking API in Ihrem Projekt.

  3. Konfigurieren Sie den Zugriff auf private Dienste in dem VPC-Netzwerk, zu dem Sie eine Verbindung herstellen möchten.

  4. Suchen Sie die Peering-Projekt-ID Ihres VPC-Netzwerk. Gehen Sie dazu so vor:

    1. Gehen Sie in der Google Cloud Console zu VPC-Netzwerk-Peering. In der Peering-Tabelle wird eine VPC-Netzwerk-Peering-Verbindung mit dem Namen servicenetworking-googleapis-com aufgeführt.
    2. Kopieren Sie die Peering-Projekt-ID, damit Sie sie beim Einrichten einer privaten Verbindung in der Google Cloud Console verwenden können.

Multi-VPC-Konnektivität

Mit VMware Engine können Sie über verschiedene VPC-Netzwerke auf dieselbe private Cloud zugreifen, ohne vorhandene VPC-Architekturen ändern zu müssen, die in Google Cloud bereitgestellt werden. Multi-VPC-Verbindungen sind beispielsweise nützlich, wenn Sie separate VPC-Netzwerke für Tests und Entwicklung haben.

In dieser Situation müssen VPC-Netzwerke mit VMware-VMs oder anderen Zieladressen in separaten vSphere-Ressourcengruppen in derselben privaten Cloud oder in mehreren privaten Clouds kommunizieren.

Standardmäßig können Sie drei VPC-Netzwerke pro Region über Peering verbinden. Dieses Peering-Limit umfasst das vom Netzwerkdienst für den Internetzugriff verwendete VPC-Peering. Wenn Sie dieses Limit erhöhen möchten, wenden Sie sich an Cloud Customer Care.

Private Verbindung erstellen

Erstellen Sie eine private Verbindung in der Console, der Google Cloud CLI oder der REST API. Legen Sie in der Anfrage den Verbindungstyp auf PRIVATE_SERVICE_ACCESS und den Routingmodus auf den Routingmodus GLOBAL fest.

Console

  1. Auf die Google Cloud Console zugreifen
  2. Gehen Sie in der Hauptnavigation zu Private Verbindungen.
  3. Klicken Sie auf Erstellen.
  4. Geben Sie einen Namen und eine Beschreibung für die Verbindung ein.
  5. Wählen Sie das VMware Engine-Netzwerk aus, zu dem eine Verbindung hergestellt werden soll.
  6. Fügen Sie im Feld Peering-Projekt-ID die Peering-Projekt-ID ein, die Sie in den Voraussetzungen kopiert haben.
  7. Wählen Sie unter Typ der privaten Verbindung die Option Privater Zugriff auf Dienste aus.
  8. Wählen Sie den Routingmodus für diese VPC-Netzwerk-Peering-Verbindung aus. In den meisten Fällen empfehlen wir den globalen Routingmodus. Wenn Sie nicht möchten, dass Google-Dienste, die mit Ihrem VPC-Netzwerk verbunden sind, regionsübergreifend kommunizieren, wählen Sie stattdessen den Routingmodus Regional aus. Diese Auswahl überschreibt den vorhandenen Routingmodus.
  9. Klicken Sie auf Senden.

Wenn die Verbindung erstellt wurde, können Sie die spezifische Verbindung aus der Liste der privaten Verbindungen auswählen. Auf der Detailseite jeder privaten Verbindung werden der Routingmodus der privaten Verbindung und alle über VPC-Peering erlernten Routen angezeigt.

In der Tabelle Exportierte Routen werden private Clouds angezeigt, die aus der Region erkannt und über VPC-Peering exportiert wurden. Wenn mehrere VPC-Netzwerke über Peering mit demselben regionalen VMware Engine-Netzwerk verbunden sind, werden Routen, die von einem VPC-Netzwerk empfangen werden, nicht an das andere VPC-Netzwerk beworben.

gcloud

  1. Erstellen Sie mit dem Befehl gcloud vmware private-connections create eine private Verbindung:

    gcloud vmware private-connections create PRIVATE_CONNECTION_ID \
  --location=REGION\
  --description="" \
  --vmware-engine-network=NETWORK_ID \
  --service-project=SERVICE_NETWORKING_TENANT_PROJECT\
  --type=PRIVATE_SERVICE_ACCESS \
  --routing-mode=MODE

    Ersetzen Sie Folgendes:

    • PRIVATE_CONNECTION_ID: der Name der privaten Verbindung, die erstellt werden soll
    • REGION: Region, in der diese private Verbindung erstellt werden soll. Diese muss mit der VMware Engine-Netzwerkregion übereinstimmen.
    • NETWORK_ID: der Name des VMware Engine-Netzwerks
    • SERVICE_NETWORKING_TENANT_PROJECT: der Projektname für diese Dienstnetzwerk-Mandanten-VPC. Sie finden das SNTP in der Spalte PEER_PROJECT des Peering-Namens servicenetworking-googleapis-com.
    • MODE: der Routingmodus, entweder GLOBAL oder REGIONAL

  2. Optional: Wenn Sie Ihre privaten Verbindungen auflisten möchten, führen Sie den Befehl gcloud vmware private-connections list aus:

    gcloud vmware private-connections list \
    --location=REGION

    Ersetzen Sie Folgendes:

    • REGION: Region des Netzwerks, das aufgelistet werden soll.

API

So erstellen Sie mit der VMware Engine API eine Compute Engine-VPC und eine Verbindung für privaten Dienstzugriff:

  1. Erstellen Sie mit einer POST-Anfrage eine private Verbindung:

    POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections?private_connection_id=PRIVATE_CONNECTION_ID"

'{
  "description": "My first private connection",
  "vmware_engine_network":
"projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/NETWORK_ID
  "type": "PRIVATE_SERVICE_ACCESS",
  "routing_mode": "MODE",
  "service_network":
"projects/SERVICE_NETWORKING_TENANT_PROJECT/global/networks/SERVICE_NETWORK"
}'

    Ersetzen Sie Folgendes:

    • PRIVATE_CONNECTION_ID: Name der privaten Verbindung für diese Anfrage
    • REGION: Region, in der diese private Verbindung erstellt werden soll
    • NETWORK_ID: das VMware Engine-Netzwerk für diese Anfrage
    • SERVICE_NETWORKING_TENANT_PROJECT: der Projektname für diese Dienstnetzwerk-Mandanten-VPC. Sie finden das SNTP in der Spalte PEER_PROJECT des Peering-Namens servicenetworking-googleapis-com
    • SERVICE_NETWORK: das Netzwerk im Mandantenprojekt

  2. Optional: Wenn Sie Ihre privaten Verbindungen auflisten möchten, stellen Sie eine GET-Anfrage:

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections"

    Ersetzen Sie Folgendes:

    • PROJECT_ID ist der Projektname für diese Anfrage.
    • REGION: Region, in der die privaten Verbindungen aufgelistet werden sollen.

Private Verbindung bearbeiten

Sie können eine private Verbindung nach dem Erstellen bearbeiten. Nach dem Erstellen können Sie den Routingmodus zwischen GLOBAL und REGIONAL ändern. In der Google Cloud CLI oder API können Sie auch die Beschreibung der privaten Verbindung aktualisieren.

Console

  1. Auf die Google Cloud Console zugreifen
  2. Gehen Sie in der Hauptnavigation zu Private Verbindungen.
  3. Klicken Sie auf den Namen der privaten Verbindung, die Sie bearbeiten möchten.
  4. Klicken Sie auf der Detailseite auf Bearbeiten.
  5. Aktualisieren Sie die Beschreibung oder den Routingmodus der Verbindung.
  6. Speichern Sie die Änderungen.

gcloud

Bearbeiten Sie eine private Verbindung mit dem Befehl gcloud vmware private-connections update:

gcloud vmware private-connections update PRIVATE_CONNECTION_ID \
   --location=REGION \
   --description=DESCRIPTION \
   --routing-mode=MODE

Ersetzen Sie Folgendes:

  • PROJECT_ID: der Projektname für diese Anfrage
  • REGION: Region, in der diese private Verbindung aktualisiert werden soll
  • DESCRIPTION: die neue zu verwendende Beschreibung
  • PRIVATE_CONNECTION_ID: ID der privaten Verbindung für diese Anfrage
  • MODE: der Routingmodus, entweder GLOBAL oder REGIONAL

API

Zum Bearbeiten einer privaten Verbindung mit der VMware Engine API senden Sie eine PATCH-Anfrage:

PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID?update_mask=description, routing_mode"

'{
  "description": "Updated description for the private connection",
  "routing_mode": "MODE"
}'

Ersetzen Sie Folgendes:

  • PROJECT_ID: der Projektname für diese Anfrage
  • REGION: Region, in der diese private Verbindung aktualisiert werden soll
  • PRIVATE_CONNECTION_ID: Name der privaten Verbindung für diese Anfrage
  • MODE: der Routingmodus, entweder GLOBAL oder REGIONAL

Private Verbindung beschreiben

Sie können die Beschreibung jeder privaten Verbindung über die Google Cloud CLI oder die VMware Engine API abrufen.

gcloud

Rufen Sie mit dem Befehl gcloud vmware private-connections describe eine Beschreibung einer privaten Verbindung ab:

gcloud vmware private-connections describe PRIVATE_CONNECTION_ID \
    --location=REGION

Ersetzen Sie Folgendes:

  • PRIVATE_CONNECTION_ID: Name der privaten Verbindung für diese Anfrage
  • REGION: Region der privaten Verbindung.

API

Um eine Beschreibung einer privaten Verbindung mit der VMware Engine API abzurufen, stellen Sie eine GET-Anfrage:

GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID"

Ersetzen Sie Folgendes:

  • PROJECT_ID ist der Projektname für diese Anfrage.
  • PRIVATE_CONNECTION_ID ist der Name der privaten Verbindung für diese Anfrage.
  • REGION: Region der privaten Verbindung.

Wenn die gelöschten privaten Verbindungen nicht mehr in der Liste der privaten Verbindungen sichtbar sind, können Sie die Verbindung in der Google Cloud Console löschen. Wenn Sie diesen Schritt in einer falschen Reihenfolge ausführen, kann dies zu veralteten DNS-Einträgen in beiden Google Cloud-Projekten führen.

Peering-Routen für eine private Verbindung auflisten

So listen Sie Peering-Routen auf, die gegen eine private Verbindung ausgetauscht wurden:

Console

  1. Auf die Google Cloud Console zugreifen
  2. Gehen Sie zu Private Verbindungen.
  3. Klicken Sie auf den Namen der privaten Verbindung, die Sie sich ansehen möchten.

Auf der Detailseite werden importierte und exportierte Routen beschrieben.

gcloud

Mit dem Befehl gcloud vmware private-connections routes list können Sie Peering-Routen auflisten, die gegen eine private Verbindung ausgetauscht wurden:

gcloud vmware private-connections routes list \
    --private-connection=PRIVATE_CONNECTION_ID \
    --location=REGION

Ersetzen Sie Folgendes:

  • PRIVATE_CONNECTION_ID ist der Name der privaten Verbindung für diese Anfrage.
  • REGION: Region der privaten Verbindung.

API

Stellen Sie eine GET-Anfrage, um Peering-Routen aufzulisten, die mit der VMware Engine API gegen eine private Verbindung ausgetauscht wurden:

GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID/peeringRoutes"

Ersetzen Sie Folgendes:

  • PROJECT_ID ist der Projektname für diese Anfrage.
  • REGION: Region der privaten Verbindung.
  • PRIVATE_CONNECTION_ID ist der Name der privaten Verbindung für diese Anfrage.

Routing-Limits

Die maximale Anzahl von Routen, die eine private Cloud empfangen kann, ist 200. Diese Routen können beispielsweise aus lokalen Netzwerken, Peering-VPC-Netzwerken und anderen privaten Clouds im selben VPC-Netzwerk stammen. Dieses Routenlimit entspricht der maximalen Anzahl von benutzerdefinierten Route Advertisements pro BGP-Sitzung auf dem Cloud Router.

In einer bestimmten Region können Sie maximal 100 eindeutige Routen von VMware Engine zu Ihrem VPC-Netzwerk weitergeben. Verwenden Sie dazu den privaten Dienstzugriff. Zu diesen eindeutigen Routen gehören beispielsweise IP-Adressbereiche für die private Cloudverwaltung, Netzwerksegmente für NSX-T-Arbeitslasten und IP-Adressbereiche des HCX-Netzwerks. Dieses Routenlimit umfasst alle privaten Clouds in der Region und entspricht dem Limit für erkannte Routen des Cloud Router.

Informationen zu Routinglimits finden Sie unter Kontingente und Limits für Cloud Router.

Fehlerbehebung

Im folgenden Video erfahren Sie, wie Sie Peering-Verbindungsprobleme zwischen der Google Cloud VPC und der Google Cloud VMware Engine prüfen und beheben.

Nächste Schritte