Configura el acceso a los servicios privados

El acceso privado a servicios es una conexión privada entre tu red de nube privada virtual (VPC) y las redes en VMware Engine. En esta página, se explica cómo configurar el acceso privado a los servicios en Google Cloud VMware Engine y cómo conectar una red de VPC a una nube privada.

El acceso privado a los servicios permite el siguiente comportamiento:

  • Comunicación exclusiva por dirección IP interna para instancias de máquina virtual (VM) en tu red de VPC y las VM de VMware. Las instancias de VM no necesitan acceso a Internet o direcciones IP externas para alcanzar los servicios que están disponibles a través del acceso privado a los servicios.
  • La comunicación entre las VM de VMware y los servicios compatibles de Google Cloud admite el acceso privado a los servicios mediante direcciones IP internas.
  • Uso de conexiones locales existentes para conectarte a tu nube privada de VMware Engine, si tienes conectividad local mediante Cloud VPN o Cloud Interconnect a tu red de VPC.

Puedes configurar el acceso privado a los servicios y crear las nubes privadas de VMware Engine por separado. La conexión privada se puede crear antes o después de la creación de la nube privada a la que deseas conectar tu red de VPC.

En una región determinada, puedes configurar hasta 100 rutas únicas de VMware Engine a tu red de VPC mediante el acceso privado a los servicios. Esto incluye, por ejemplo, las direcciones de administración de nube privada, los segmentos de carga de trabajo NSX-T y direcciones de red de HCX.

Antes de comenzar

  1. Debes tener una red de VPC existente para usar cuando te conectas a VMware Engine.
  2. Si tienes conectividad local basada en Cloud VPN, selecciona la red de VPC que está conectada a la sesión de Cloud VPN. Si tienes conectividad local basada en Cloud Interconnect, selecciona la red de VPC en la que finaliza el adjunto de VLAN de Cloud Interconnect.
  3. Activa la API de Service Networking en el proyecto.
  4. Los propietarios del proyecto y los miembros de IAM que tengan la función de administrador de red de Compute (roles/compute.networkAdmin) pueden crear rangos de IP asignados y administrar conexiones privadas.
  5. Debes asignar rangos de direcciones para la conexión de servicios privada, la administración de la nube privada y los segmentos de red de la carga de trabajo. Esto garantiza que no haya conflictos de direcciones IP entre tus subredes de VPC y de red y las direcciones IP que usas en VMware Engine.

Conectividad de VPC múltiple

VMware Engine te permite acceder a la misma nube privada desde diferentes redes de VPC sin necesidad de cambiar las arquitecturas de VPC existentes implementadas en Google Cloud. Por ejemplo, la conectividad de varias VPC es útil cuando tienes redes de VPC independientes para probar y desarrollar. Esta situación requiere que las redes VPC se comuniquen con las VM de VMware y otras direcciones de destino en grupos de recursos de vSphere independientes en la misma nube privada o en varias nubes privadas.

De forma predeterminada, puedes intercambiar 3 redes de VPC por región. Este límite incluye el intercambio de tráfico de VPC que utiliza el acceso a Internet y el servicio de IP pública. Para aumentar este límite, comunícate con el equipo de atención al cliente de Cloud.

VPC compartida

Si usas VPC compartida, crea el rango de IP asignado y la conexión privada en el proyecto host. Por lo general, un administrador de red en el proyecto host debe realizar estas tareas. Las instancias de VM en proyectos de servicio pueden usar la conexión privada después de que se configure el proyecto host.

Crea una conexión privada

  1. Asigna rangos de direcciones para redes de VPC compartidas entre los productores de servicios de Google Cloud, como se describe en Configura el acceso privado a los servicios.
  2. Sigue los pasos que se describen en Crea una conexión privada.
  3. Cuando creas una conexión privada de manera correcta, se muestra una conexión con el nombre servicenetworking-googleapis-com en la tabla de conexiones de servicios privadas de tu red de VPC.
  4. Habilita las rutas de importación o exportación personalizadas en la conexión privada servicenetworking-googleapis-com. Para obtener más información, consulta Actualiza conexiones de intercambio de tráfico.

Creación completa de la conexión privada en el portal de VMware Engine

  1. En Google Cloud Console, ve a Red de VPC > Intercambio de tráfico entre redes de VPC. En la tabla de intercambio de tráfico, se muestra una conexión de intercambio de tráfico entre redes de VPC con el nombre servicenetworking-googleapis-com.
  2. Copia el ID de proyecto de intercambio de tráfico para poder usarlo mientras configuras una conexión privada en el portal de VMware Engine.
  3. Accede al portal de VMware Engine
  4. Ve a Red > Conexión privada.
  5. Haz clic en Agregar conexión privada.
  6. En los campos ID de proyecto de intercambio de tráfico y Número de proyecto de intercambio de tráfico, ingresa el ID y el número del proyecto de Google Cloud que contiene la red de VPC con la que deseas intercambiar tráfico. Si quieres obtener información para obtener estos valores, consulta Identifica proyectos.
  7. En el campo ID de VPC de intercambio de tráfico, ingresa el nombre de la red de VPC con la que deseas intercambiar tráfico. Consulta Visualiza redes para obtener detalles sobre cómo obtener el ID de tu red de VPC.
  8. En el campo ID del proyecto del usuario, pega el ID del proyecto de intercambio de tráfico que copiaste en el paso 2.
  9. Selecciona la región de VMware Engine a la que deseas conectarte.
  10. Selecciona el modo de enrutamiento para esta conexión de intercambio de tráfico entre redes de VPC. En la mayoría de los casos, recomendamos el modo de enrutamiento global. Si no quieres que los servicios de Google que intercambian tráfico con tu red de VPC se comuniquen entre regiones, selecciona el modo de enrutamiento regional. Esta selección anula el modo de enrutamiento existente.
  11. Haga clic en Enviar.

Cuando el estado de la región es Conectado, puedes seleccionar la conexión privada para la región correspondiente. En la página Private connection details, se muestra el modo de enrutamiento de la conexión privada y las rutas aprendidas durante el intercambio de tráfico entre VPC.

En Exported routes, se muestran las nubes privadas aprendidas en la región y que se exportaron a través del intercambio de tráfico entre VPC. Cuando varias redes de VPC intercambian tráfico a la misma red regional de VMware Engine, las rutas recibidas de una red de VPC no se anuncian en la otra red de VPC.

Quita el acceso privado a los servicios

Para borrar tu conexión privada, primero borra las conexiones privadas en el portal de VMware Engine:

  1. En Google Cloud Console, ve a Red de VPC > Intercambio de tráfico entre redes de VPC. En la tabla de intercambio de tráfico, se muestra una conexión de intercambio de tráfico entre redes de VPC con el nombre servicenetworking-googleapis-com.
  2. Toma nota del ID de proyecto de intercambio de tráfico.
  3. En el portal de VMware Engine, ve a Red > Conexión privada.
  4. Busca y borra las conexiones privadas con un proyecto de usuario que coincida con el ID del proyecto de intercambio de tráfico que anotaste en el paso 2.

Una vez que las conexiones privadas que borraste ya no estén visibles en la lista de conexiones privadas, puedes borrar la conexión de acceso privado en Google Cloud Console. Si no sigues estos pasos en el orden descrito, pueden generarse entradas de DNS inactivas en ambos proyectos de Cloud.