(Legacy) Private Verbindungen einrichten
Der Zugriff auf private Dienste ist eine private Verbindung zwischen Ihrem Virtual Private Cloud-Netzwerk (VPC) und Netzwerken in VMware Engine. Auf dieser Seite wird erläutert, wie Sie den Zugriff auf private Dienste auf Google Cloud VMware Engine einrichten und Ihrem VPC-Netzwerk mit Ihrer privaten Cloud verbinden.
Der private Dienstzugriff ermöglicht Folgendes:
- Exklusive Kommunikation über interne IP-Adressen zwischen VM-Instanzen in Ihrem VPC-Netzwerk und den VMware-VMs. VM-Instanzen erfordern keinen Internetzugang oder externe IP-Adressen, um verfügbare Dienste über den Zugriff auf private Dienste zu erreichen.
- Kommunikation zwischen VMs von VMware und von Google Cloud unterstützten Diensten, die den Zugriff auf private Dienste über interne IP-Adressen unterstützen.
- Verwendung einer vorhandenen lokalen Verbindung, um eine Verbindung zu Ihrer privaten VMware Engine-Cloud herzustellen, wenn eine lokale Verbindung über Cloud VPN oder Cloud Interconnect zu Ihrem VPC-Netzwerk existiert.
Sie können private Dienstzugriffe unabhängig von der Erstellung der privaten Cloud in VMware Engine einrichten. Die private Verbindung kann vor oder nach der Erstellung der privaten Cloud erstellt werden, mit der Sie Ihr VPC-Netzwerk verbinden möchten.
Berechtigungen
-
Prüfen Sie, ob Sie die folgenden Rollen für das Projekt haben: Compute > Network Admin
Auf Rollen prüfen
-
Öffnen Sie in der Google Cloud Console die Seite IAM.
IAM aufrufen - Wählen Sie das Projekt aus.
-
Suchen Sie in der Spalte Hauptkonto die Zeile mit Ihrer E-Mail-Adresse.
Ist Ihre E-Mail-Adresse nicht in dieser Spalte enthalten, haben Sie keine Rollen.
- Prüfen Sie in der Spalte Rolle der Zeile mit Ihrer E-Mail-Adresse, ob die Liste der Rollen die erforderlichen Rollen enthält.
Rollen zuweisen
-
Öffnen Sie in der Google Cloud Console die Seite IAM.
IAM aufrufen - Wählen Sie das Projekt aus.
- Klicken Sie auf Zugriff erlauben.
- Geben Sie in das Feld Neue Hauptkonten Ihre E-Mail-Adresse ein.
- Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
- Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
- Klicken Sie auf Speichern.
-
Hinweise
- Sie müssen ein vorhandenes VPC-Netzwerk haben.
- Aktivieren Sie die Service Networking API in Ihrem Projekt.
Konfigurieren Sie den Zugriff auf private Dienste in dem VPC-Netzwerk, zu dem Sie eine Verbindung herstellen möchten.
Ermitteln Sie die Peering-Projekt-ID Ihres VPC-Netzwerk. Gehen Sie dazu so vor:
- Gehen Sie in der Google Cloud Console zu VPC-Netzwerk-Peering. Eine VPC-Netzwerk-Peering-Verbindung namens servicenetworking-googleapis-com wird in der Peering-Tabelle aufgeführt.
- Kopieren Sie die Peering-Projekt-ID, damit Sie sie beim Einrichten einer privaten Verbindung in der Google Cloud Console verwenden können.
Multi-VPC-Konnektivität
Mit VMware Engine können Sie über verschiedene VPC-Netzwerke auf dieselbe private Cloud zugreifen, ohne vorhandene VPC-Architekturen ändern zu müssen, die in Google Cloud bereitgestellt werden. Multi-VPC-Verbindungen sind beispielsweise nützlich, wenn Sie separate VPC-Netzwerke für Tests und Entwicklung haben.
In dieser Situation müssen VPC-Netzwerke mit VMware-VMs oder anderen Zieladressen in separaten vSphere-Ressourcengruppen in derselben privaten Cloud oder in mehreren privaten Clouds kommunizieren.
Standardmäßig können Sie drei VPC-Netzwerke pro Region über Peering verbinden. Dieses Peering-Limit umfasst das vom Netzwerkdienst für den Internetzugriff verwendete VPC-Peering. Wenn Sie dieses Limit erhöhen möchten, wenden Sie sich an Cloud Customer Care.
Private Verbindung erstellen
Erstellen Sie eine private Verbindung in der Console, der Google Cloud CLI oder der REST API.
Legen Sie in der Anfrage den Verbindungstyp auf PRIVATE_SERVICE_ACCESS
und den Routingmodus auf den Routingmodus GLOBAL
fest.
Console
- Auf die Google Cloud Console zugreifen
- Gehen Sie in der Hauptnavigation zu Private Verbindungen.
- Klicken Sie auf Erstellen.
- Geben Sie einen Namen und eine Beschreibung für die Verbindung ein.
- Wählen Sie das VMware Engine-Netzwerk aus, zu dem Sie eine Verbindung herstellen möchten.
- Fügen Sie im Feld ID des Peering-Projekts die ID des Peering-Projekts ein, die Sie zuvor kopiert haben.
- Wählen Sie unter Typ der privaten Verbindung die Option Privater Zugriff auf Dienste aus.
- Wählen Sie den Routingmodus für diese VPC-Netzwerk-Peering-Verbindung aus. In den meisten Fällen empfehlen wir den globalen Routingmodus. Wenn Sie nicht möchten, dass Google-Dienste, die über Peering mit Ihrem VPC-Netzwerk verbunden sind, über Regionen hinweg kommunizieren, wählen Sie stattdessen den Routingmodus
Regional
aus. Diese Auswahl überschreibt den vorhandenen Routingmodus. - Klicken Sie auf Senden.
Wenn die Verbindung erstellt ist, können Sie die spezifische Verbindung aus der Liste der privaten Verbindungen auswählen. Auf der Detailseite jeder privaten Verbindung werden der Routingmodus der privaten Verbindung und alle über VPC-Peering erlernten Routen angezeigt.
Die Tabelle Exportierte Routen enthält private Clouds, die aus der Region erfasst und über VPC-Peering exportiert wurden. Wenn mehrere VPC-Netzwerke über Peering mit demselben regionalen VMware Engine-Netzwerk verbunden sind, werden von einem VPC-Netzwerk empfangene Routen nicht für das andere VPC-Netzwerk beworben.
gcloud
Erstellen Sie mit dem Befehl
gcloud vmware private-connections create
eine private Verbindung:gcloud vmware private-connections create PRIVATE_CONNECTION_ID \ --location=REGION\ --description="" \ --vmware-engine-network=NETWORK_ID \ --service-project=SERVICE_NETWORKING_TENANT_PROJECT\ --type=PRIVATE_SERVICE_ACCESS \ --routing-mode=MODE
Ersetzen Sie Folgendes:
PRIVATE_CONNECTION_ID
: der Name der privaten Verbindung, die erstellt werden sollREGION
: die Region, in der diese private Verbindung erstellt werden soll; muss der VMware Engine-Netzwerkregion entsprechenNETWORK_ID
: der Name des VMware Engine-NetzwerksSERVICE_NETWORKING_TENANT_PROJECT
: der Projektname für diese VPC des Dienstnetzwerkmandanten. Sie finden das SNTP in der Spalte PEER_PROJECT des Peering-Namensservicenetworking-googleapis-com
.MODE
: Routingmodus, entwederGLOBAL
oderREGIONAL
Optional: Wenn Sie Ihre privaten Verbindungen auflisten möchten, führen Sie den Befehl
gcloud vmware private-connections list
aus:gcloud vmware private-connections list \ --location=REGION
Ersetzen Sie Folgendes:
REGION
: Region des Netzwerks, das aufgelistet werden soll.
API
So erstellen Sie eine Compute Engine-VPC und eine Verbindung für privaten Dienstzugriff mithilfe der VMware Engine API:
Erstellen Sie mit einer
POST
-Anfrage eine private Verbindung:POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections?private_connection_id=PRIVATE_CONNECTION_ID" '{ "description": "My first private connection", "vmware_engine_network": "projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/NETWORK_ID "type": "PRIVATE_SERVICE_ACCESS", "routing_mode": "MODE", "service_network": "projects/SERVICE_NETWORKING_TENANT_PROJECT/global/networks/SERVICE_NETWORK" }'
Ersetzen Sie Folgendes:
PRIVATE_CONNECTION_ID
: der Name der privaten Verbindung für diese AnfrageREGION
: die Region, in der diese private Verbindung erstellt werden sollNETWORK_ID
: das VMware Engine-Netzwerk für diese AnfrageSERVICE_NETWORKING_TENANT_PROJECT
: der Projektname für diese VPC des Dienstnetzwerkmandanten. Sie finden das SNTP in der Spalte PEER_PROJECT des Peering-Namensservicenetworking-googleapis-com
SERVICE_NETWORK
: Netzwerk im Mandantenprojekt
Optional: Wenn Sie Ihre privaten Verbindungen auflisten möchten, senden Sie eine
GET
-Anfrage:GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections"
Ersetzen Sie Folgendes:
PROJECT_ID
ist der Projektname für diese Anfrage.REGION
: Die Region, in der die privaten Verbindungen aufgelistet werden sollen.
Private Verbindung bearbeiten
Sie können eine private Verbindung nach dem Erstellen bearbeiten. Nach der Erstellung können Sie den Routingmodus zwischen GLOBAL
und REGIONAL
ändern. In der Google Cloud CLI oder API können Sie auch die Beschreibung der privaten Verbindung aktualisieren.
Console
- Auf die Google Cloud Console zugreifen
- Gehen Sie in der Hauptnavigation zu Private Verbindungen.
- Klicken Sie auf den Namen der privaten Verbindung, die Sie bearbeiten möchten.
- Klicken Sie auf der Detailseite auf Bearbeiten.
- Aktualisieren Sie die Beschreibung oder den Routingmodus der Verbindung.
- Speichern Sie die Änderungen.
gcloud
Mit dem Befehl gcloud vmware private-connections update
können Sie eine private Verbindung bearbeiten:
gcloud vmware private-connections update PRIVATE_CONNECTION_ID \ --location=REGION \ --description=DESCRIPTION \ --routing-mode=MODE
Ersetzen Sie Folgendes:
PROJECT_ID
: der Projektname für diese AnfrageREGION
: Region, in der diese private Verbindung aktualisiert werden sollDESCRIPTION
: die neue Beschreibung, die verwendet werden sollPRIVATE_CONNECTION_ID
: die ID der privaten Verbindung für diese AnfrageMODE
: Routingmodus, entwederGLOBAL
oderREGIONAL
API
Zum Bearbeiten einer privaten Verbindung mit der VMware Engine API senden Sie eine PATCH
-Anfrage:
PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID?update_mask=description, routing_mode" '{ "description": "Updated description for the private connection", "routing_mode": "MODE" }'
Ersetzen Sie Folgendes:
PROJECT_ID
: der Projektname für diese AnfrageREGION
: Region, in der diese private Verbindung aktualisiert werden sollPRIVATE_CONNECTION_ID
: der Name der privaten Verbindung für diese AnfrageMODE
: Routingmodus, entwederGLOBAL
oderREGIONAL
Private Verbindung beschreiben
Sie können die Beschreibung jeder privaten Verbindung mit der Google Cloud CLI oder der VMware Engine API abrufen.
gcloud
Rufen Sie mit dem Befehl gcloud vmware
private-connections describe
eine Beschreibung einer privaten Verbindung ab:
gcloud vmware private-connections describe PRIVATE_CONNECTION_ID \ --location=REGION
Ersetzen Sie Folgendes:
PRIVATE_CONNECTION_ID
: der Name der privaten Verbindung für diese AnfrageREGION
: die Region der privaten Verbindung.
API
Um mit der VMware Engine API eine Beschreibung einer privaten Verbindung abzurufen, senden Sie eine GET
-Anfrage:
GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID"
Ersetzen Sie Folgendes:
PROJECT_ID
: der Projektname für diese Anfrage.PRIVATE_CONNECTION_ID
ist der Name der privaten Verbindung für diese Anfrage.REGION
: die Region der privaten Verbindung.
Wenn die gelöschten privaten Verbindungen nicht mehr in der Liste der privaten Verbindungen sichtbar sind, können Sie die Verbindung in der Google Cloud Console löschen. Wenn Sie diesen Schritt in einer falschen Reihenfolge ausführen, kann dies zu veralteten DNS-Einträgen in beiden Google Cloud-Projekten führen.
Peering-Routen für eine private Verbindung auflisten
So listen Sie Peering-Routen auf, die gegen eine private Verbindung ausgetauscht wurden:
Console
- Auf die Google Cloud Console zugreifen
- Gehen Sie zu Private Verbindungen.
- Klicken Sie auf den Namen der privaten Verbindung, die Sie sich ansehen möchten.
Auf der Detailseite werden importierte und exportierte Routen beschrieben.
gcloud
Listen Sie Peering-Routen auf, die gegen eine private Verbindung ausgetauscht wurden. Führen Sie dazu den Befehl gcloud vmware private-connections routes list
aus:
gcloud vmware private-connections routes list \ --private-connection=PRIVATE_CONNECTION_ID \ --location=REGION
Ersetzen Sie Folgendes:
PRIVATE_CONNECTION_ID
ist der Name der privaten Verbindung für diese Anfrage.REGION
: die Region der privaten Verbindung.
API
Wenn Sie Peering-Routen auflisten möchten, die mithilfe der VMware Engine API gegen eine private Verbindung ausgetauscht wurden, senden Sie eine GET
-Anfrage:
GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID/peeringRoutes"
Ersetzen Sie Folgendes:
PROJECT_ID
: der Projektname für diese Anfrage.REGION
: die Region der privaten Verbindung.PRIVATE_CONNECTION_ID
ist der Name der privaten Verbindung für diese Anfrage.
Routing-Limits
Die maximale Anzahl von Routen, die eine private Cloud empfangen kann, ist 200. Diese Routen können beispielsweise aus lokalen Netzwerken, Peering-VPC-Netzwerken und anderen privaten Clouds im selben VPC-Netzwerk stammen. Dieses Routenlimit entspricht der maximalen Anzahl von benutzerdefinierten Route Advertisements pro BGP-Sitzung auf dem Cloud Router.
In einer bestimmten Region können Sie maximal 100 eindeutige Routen von VMware Engine zu Ihrem VPC-Netzwerk weitergeben. Verwenden Sie dazu den privaten Dienstzugriff. Zu diesen eindeutigen Routen gehören beispielsweise IP-Adressbereiche für die private Cloudverwaltung, Netzwerksegmente für NSX-T-Arbeitslasten und IP-Adressbereiche des HCX-Netzwerks. Dieses Routenlimit umfasst alle privaten Clouds in der Region und entspricht dem Limit für erkannte Routen des Cloud Router.
Informationen zu Routinglimits finden Sie unter Kontingente und Limits für Cloud Router.
Fehlerbehebung
Im folgenden Video erfahren Sie, wie Sie Peering-Verbindungsprobleme zwischen Google Cloud VPC und Google Cloud VMware Engine prüfen und beheben können.