Zugriff auf private Dienste einrichten

Der Zugriff auf private Dienste ist eine private Verbindung zwischen Ihrem VPC-Netzwerk und den Netzwerken in VMware Engine. Auf dieser Seite wird erläutert, wie Sie den Zugriff auf private Dienste auf Google Cloud VMware Engine einrichten und Ihre VPC mit Ihrer privaten Cloud verbinden.

Der private Dienstzugriff ermöglicht Folgendes:

  • Exklusive Kommunikation über interne IP-Adressen zwischen VM-Instanzen in Ihrem VPC-Netzwerk und den VMware-VMs. VM-Instanzen benötigen weder Internetzugriff noch externe IP-Adressen, um Dienste zu erreichen, die über den privaten Dienstzugriff verfügbar sind.
  • Kommunikation zwischen VMs von VMware und von Google Cloud unterstützten Diensten, die den Zugriff auf private Dienste über interne IP-Adressen unterstützen.
  • Verwendung einer vorhandenen lokalen Verbindung, um eine Verbindung zu Ihrer privaten VMware Engine-Cloud herzustellen, wenn eine lokale Verbindung über Cloud VPN oder Cloud Interconnect zu Ihrem VPC-Netzwerk existiert.

Sie können den privaten Dienstzugriff unabhängig von der Erstellung der privaten Cloud in VMware Engine einrichten. Die private Verbindung kann vor oder nach der Erstellung der privaten Cloud erstellt werden, mit der Sie Ihre VPC verbinden möchten.

In einer bestimmten Region können Sie maximal 100 eindeutige Routen von VMware Engine zu Ihrem VPC-Netzwerk einrichten. Verwenden Sie dazu den privaten Dienstzugriff. Dazu gehören z. B. private Cloud-Management-Addressen, NSX-T-Arbeitslastsegmente und HCX-Netzwerkadressen.

Hinweis

  1. Sie benötigen ein vorhandenes VPC-Netzwerk für die Verbindung mit VMware Engine.
  2. Wenn Sie eine lokale Verbindung auf der Grundlage von Cloud VPN haben, wählen Sie das VPC-Netzwerk aus, das mit Ihrer Cloud VPN-Sitzung verbunden ist. Wenn Sie eine lokale Verbindung basierend auf Cloud Interconnect haben, wählen Sie das VPC-Netzwerk aus, in dem Ihr Cloud Interconnect-VLAN-Anhang endet.
  3. Aktivieren Sie die Service Networking API in Ihrem Projekt.
  4. Projektinhaber und IAM-Mitglieder mit der Rolle Netzwerkadministrator können zugewiesene IP-Adressbereiche erstellen und private Verbindungen verwalten. Weitere Informationen finden Sie unter IAM-Rollen und -Berechtigungen.
  5. Sie müssen Adressbereiche für die private Dienstverbindung, für die private Cloudverwaltung und für Arbeitslastnetzwerk-Segmente zuweisen. Dadurch wird sichergestellt, dass keine IP-Adresskonflikte zwischen Ihren VPC- und Netzwerk-Subnetzen und den in VMware Engine verwendeten IP-Adressen bestehen.

Multi-VPC-Konnektivität

Mit VMware Engine können Sie über verschiedene VPCs auf dieselbe private Cloud zugreifen, ohne vorhandene VPC-Architekturen ändern zu müssen, die in Google Cloud bereitgestellt werden. Eine Multi-VPC-Konnektivität ist beispielsweise nützlich, wenn Sie separate VPCs für Tests, Entwicklung und verschiedene Abteilungsgruppen wie z. B. für Finanzen und menschliche Ressourcen haben. In dieser Situation müssen VPCs mit VMware-VMs oder anderen Zieladressen in separaten vSphere-Ressourcengruppen in derselben privaten Cloud oder in mehreren privaten Clouds kommunizieren.

Standardmäßig können Sie drei VPCs pro Region über Peering miteinander verbinden. Dieses Peering-Limit beinhaltet das VPC-Peering, das vom Internetzugriff und dem öffentlichen IP-Dienst verwendet wird. Wenden Sie sich an den Cloud-Kundendienst, um dieses Limit zu erhöhen.

Shared VPC

Wenn Sie eine freigegebene VPC verwenden, erstellen Sie den zugewiesenen IP-Bereich und die private Verbindung im Hostprojekt. Normalerweise muss ein Netzwerkadministrator im Hostprojekt diese Aufgaben ausführen. VM-Instanzen in Dienstprojekten können die private Verbindung verwenden, nachdem das Hostprojekt eingerichtet wurde.

Private Verbindung erstellen

  1. Weisen Sie Adressbereiche für VPC-Netzwerke zu, die von Google Cloud-Diensten für den Zugriff auf private Dienste gemeinsam genutzt werden, wie unter Zugriff auf private Dienste konfigurieren beschrieben.
  2. Folgen Sie der Anleitung unter Private Verbindung erstellen.
  3. Wenn Sie eine private Verbindung erfolgreich erstellt haben, wird eine Verbindung mit dem Namen servicenetworking-googleapis-com in der Tabelle der privaten Dienstverbindungen Ihrer VPC aufgeführt.
  4. Aktivieren Sie Import/Export benutzerdefinierter Routen für die private Verbindung servicenetworking-googleapis-com. Weitere Informationen finden Sie unter Peering-Verbindung aktualisieren.

Vollständig private Verbindung im VMware Engine-Portal erstellen

  1. Wechseln Sie zur Ansicht VPC-Netzwerk-Peering. Eine VPC-Netzwerk-Peering-Verbindung mit dem Namen servicenetworking-googleapis-com wird in der Peering-Tabelle aufgeführt.
  2. Kopieren Sie die Peering-Projekt-ID, damit Sie sie beim Einrichten einer privaten Verbindung im VMware Engine-Portal verwenden können.
  3. Zugriff auf das VMware Engine Portal
  4. Klicken Sie auf Netzwerk > Private Verbindung.
  5. Klicken Sie auf Private Verbindung hinzufügen.
  6. Geben Sie in den Feldern Peer-Projekt-ID und Peer-Projektnummer die Projekt-ID und die Nummer des Google Cloud-Projekts ein, das die VPC, die Sie verbinden möchten, enthält. Weitere Informationen zum Abrufen dieser Werte finden Sie unter Projekte identifizieren.
  7. Geben Sie im Feld Peer-VPC-ID den Namen der VPC ein, zu der Sie eine Peering-Verbindung herstellen möchten. Unter Netzwerke ansehen finden Sie weitere Informationen zum Abrufen der ID Ihrer VPC.
  8. Fügen Sie im Feld Projekt-ID des Mandanten die Peering-Projekt-ID ein, die Sie in Schritt 2 kopiert haben.
  9. Wählen Sie die VMware Engine-Region aus, zu der Sie eine Verbindung herstellen möchten.
  10. Wählen Sie den Routingmodus für diese VPC-Netzwerk-Peering-Verbindung aus. In den meisten Fällen empfehlen wir den globalen Routingmodus. Wenn Sie nicht möchten, dass Google-Dienste, die mit Ihrer VPC über Peering verbunden sind, mit anderen Regionen kommunizieren, wählen Sie stattdessen den regionalen Routingmodus aus. Bei dieser Auswahl wird der vorhandene Routingmodus überschrieben.
  11. Klicken Sie auf Senden.

Wenn der Regionsstatus Verbunden lautet, können Sie die private Verbindung für die entsprechende Region auswählen. Auf der Seite Private Verbindungsdetails werden der Routingmodus der privaten Verbindung und alle über VPC-Peering erlernten Routen angezeigt.

Exportierte Routen zeigt private Clouds, die aus der Region gelernt und über VPC-Peering exportiert wurden. Wenn mehrere VPCs mit demselben VPC-Netzwerk in Compute Engine verbunden sind, werden von einer VPC empfangene Routen nicht für die andere VPC beworben.