Zugriff auf private Dienste einrichten

Der Zugriff auf private Dienste ist eine private Verbindung zwischen Ihrem Virtual Private Cloud-Netzwerk (VPC) und Netzwerken in VMware Engine. Auf dieser Seite wird erläutert, wie Sie den Zugriff auf private Dienste auf Google Cloud VMware Engine einrichten und Ihrem VPC-Netzwerk mit Ihrer privaten Cloud verbinden.

Der private Dienstzugriff ermöglicht Folgendes:

  • Exklusive Kommunikation über interne IP-Adressen zwischen VM-Instanzen in Ihrem VPC-Netzwerk und den VMware-VMs. VM-Instanzen erfordern keinen Internetzugang oder externe IP-Adressen, um verfügbare Dienste über den Zugriff auf private Dienste zu erreichen.
  • Kommunikation zwischen VMs von VMware und von Google Cloud unterstützten Diensten, die den Zugriff auf private Dienste über interne IP-Adressen unterstützen.
  • Verwendung einer vorhandenen lokalen Verbindung, um eine Verbindung zu Ihrer privaten VMware Engine-Cloud herzustellen, wenn eine lokale Verbindung über Cloud VPN oder Cloud Interconnect zu Ihrem VPC-Netzwerk existiert.

Sie können private Dienstzugriffe unabhängig von der Erstellung der privaten Cloud in VMware Engine einrichten. Die private Verbindung kann vor oder nach der Erstellung der privaten Cloud erstellt werden, mit der Sie Ihr VPC-Netzwerk verbinden möchten.

In einer bestimmten Region können Sie maximal 100 eindeutige Routen von VMware Engine zu Ihrem VPC-Netzwerk einrichten. Verwenden Sie dazu den privaten Dienstzugriff. Dazu gehören z. B. private Cloud-Management-Addressen, NSX-T-Arbeitslastsegmente und HCX-Netzwerkadressen.

Hinweis

  1. Sie benötigen ein vorhandenes VPC-Netzwerk für die Verbindung mit VMware Engine.
  2. Wenn Sie eine lokale Verbindung auf der Grundlage von Cloud VPN haben, wählen Sie das VPC-Netzwerk aus, das mit Ihrer Cloud VPN-Sitzung verbunden ist. Wenn Sie eine lokale Verbindung basierend auf Cloud Interconnect haben, wählen Sie das VPC-Netzwerk aus, in dem Ihr Cloud Interconnect-VLAN-Anhang endet.
  3. Aktivieren Sie die Service Networking API in Ihrem Projekt.
  4. Projektinhaber und IAM-Mitglieder mit der Rolle Compute-Netzwerkadministrator (roles/compute.networkAdmin) können zugewiesene IP-Bereiche erstellen und private Verbindungen verwalten.
  5. Sie müssen Adressbereiche für die private Dienstverbindung, für die private Cloudverwaltung und für Arbeitslastnetzwerk-Segmente zuweisen. Dadurch wird sichergestellt, dass keine IP-Adresskonflikte zwischen Ihren VPC- und Netzwerk-Subnetzen und den in VMware Engine verwendeten IP-Adressen bestehen.

Multi-VPC-Konnektivität

Mit VMware Engine können Sie über verschiedene VPC-Netzwerke auf dieselbe private Cloud zugreifen, ohne vorhandene VPC-Architekturen ändern zu müssen, die in Google Cloud bereitgestellt werden. Multi-VPC-Verbindungen sind beispielsweise nützlich, wenn Sie separate VPC-Netzwerke für Tests und Entwicklung haben. In dieser Situation müssen VPC-Netzwerke mit VMware-VMs oder anderen Zieladressen in separaten vSphere-Ressourcengruppen in derselben privaten Cloud oder in mehreren privaten Clouds kommunizieren.

Standardmäßig können Sie drei VPC-Netzwerke pro Region über Peering verbinden. Dieses Peering-Limit beinhaltet das VPC-Peering, das vom Internetzugriff und dem öffentlichen IP-Dienst verwendet wird. Wenden Sie sich an den Cloud-Kundendienst, um dieses Limit zu erhöhen.

Freigegebene VPC

Wenn Sie eine freigegebene VPC verwenden, erstellen Sie den zugewiesenen IP-Bereich und die private Verbindung im Hostprojekt. Normalerweise muss ein Netzwerkadministrator im Hostprojekt diese Aufgaben ausführen. VM-Instanzen in Dienstprojekten können die private Verbindung verwenden, nachdem das Hostprojekt eingerichtet wurde.

Private Verbindung erstellen

  1. Weisen Sie Adressbereiche für VPC-Netzwerke zu, die von Google Cloud-Diensterstellern gemeinsam genutzt werden, wie unter Zugriff auf private Dienste konfigurieren beschrieben.
  2. Folgen Sie der Anleitung unter Private Verbindung erstellen.
  3. Wenn Sie eine private Verbindung erfolgreich erstellt haben, wird eine Verbindung mit dem Namen servicenetworking-googleapis-com in der Tabelle der privaten Dienstverbindungen Ihres VPC-Netzwerks aufgeführt.
  4. Aktivieren Sie Import/Export benutzerdefinierter Routen für die private Verbindung servicenetworking-googleapis-com. Weitere Informationen finden Sie unter Peering-Verbindungen aktualisieren.

Vollständig private Verbindung im VMware Engine-Portal erstellen

  1. Gehen Sie in der Google Cloud Console zu VPC-Netzwerk > VPC-Netzwerk-Peering. Eine VPC-Netzwerk-Peering-Verbindung mit dem Namen servicenetworking-googleapis-com wird in der Peering-Tabelle aufgeführt.
  2. Kopieren Sie die Peering-Projekt-ID, damit Sie sie beim Einrichten einer privaten Verbindung im VMware Engine-Portal verwenden können.
  3. Zugriff auf das VMware Engine Portal
  4. Klicken Sie auf Netzwerk > Private Verbindung.
  5. Klicken Sie auf Private Verbindung hinzufügen.
  6. Geben Sie in den Feldern Peer-Projekt-ID und Peer-Projektnummer die Projekt-ID und die Nummer des Google Cloud-Projekts ein, das das VPC-Netzwerk, das Sie verbinden möchten, enthält. Weitere Informationen zum Abrufen dieser Werte finden Sie unter Projekte identifizieren.
  7. Geben Sie im Feld Peer-VPC-ID den Namen des VPC-Netzwerks ein, zu dem, Sie eine Peering-Verbindung herstellen möchten. Unter Netzwerke ansehen finden Sie weitere Informationen zum Abrufen der ID Ihres VPC-Netzwerks.
  8. Fügen Sie im Feld Projekt-ID des Mandanten die Peering-Projekt-ID ein, die Sie in Schritt 2 kopiert haben.
  9. Wählen Sie die VMware Engine-Region aus, zu der Sie eine Verbindung herstellen möchten.
  10. Wählen Sie den Routingmodus für diese VPC-Netzwerk-Peering-Verbindung aus. In den meisten Fällen empfehlen wir den globalen Routingmodus. Wenn Sie nicht möchten, dass Google-Dienste, die mit Ihrem VPC-Netzwerk über Peering verbunden sind, mit anderen Regionen kommunizieren, wählen Sie stattdessen den regionalen Routingmodus aus. Bei dieser Auswahl wird der vorhandene Routingmodus überschrieben.
  11. Klicken Sie auf Senden.

Wenn der Regionsstatus Verbunden lautet, können Sie die private Verbindung für die entsprechende Region auswählen. Auf der Seite Private Verbindungsdetails werden der Routingmodus der privaten Verbindung und alle über VPC-Peering erlernten Routen angezeigt.

Exportierte Routen zeigt private Clouds, die aus der Region gelernt und über VPC-Peering exportiert wurden. Wenn mehrere VPC-Netzwerke mit demselben regionalen VMware Engine-Netzwerk verbunden sind, werden die von einem VPC-Netzwerk empfangenen Routen dem anderen VPC-Netzwerk nicht angeboten.

Zugriff auf private Dienste entfernen

Wenn Sie Ihre private Verbindung löschen möchten, löschen Sie zuerst die privaten Verbindungen im VMware Engine-Portal:

  1. Gehen Sie in der Google Cloud Console zu VPC-Netzwerk > VPC-Netzwerk-Peering. Eine VPC-Netzwerk-Peering-Verbindung mit dem Namen servicenetworking-googleapis-com wird in der Peering-Tabelle aufgeführt.
  2. Notieren Sie sich die Peering-Projekt-ID.
  3. Gehen Sie im VMware Engine-Portal zu Netzwerk > Private Verbindung.
  4. Suchen und löschen Sie die privaten Verbindungen mit einem Mandantenprojekt, das mit der in Schritt 2 notierten Peering-Projekt-ID übereinstimmt.

Wenn die gelöschten privaten Verbindungen nicht mehr in der Liste der privaten Verbindungen sichtbar sind, können Sie die Verbindung in der Google Cloud Console löschen. Wenn Sie diesen Schritt in der richtigen Reihenfolge ausführen, kann dies zu veralteten DNS-Einträgen in beiden Cloud-Projekten führen.