Configura el acceso privado a servicios

El acceso privado a los servicios es una conexión privada entre tu red de VPC y las redes en VMware Engine. En esta página, se explica cómo configurar el acceso privado a los servicios en Google Cloud VMware Engine y cómo conectar una VPC a una nube privada.

El acceso privado al servicio permite el siguiente comportamiento:

  • Comunicación exclusiva por dirección IP interna para instancias de máquina virtual (VM) en tu red de VPC y las VM de VMware. Las instancias de VM no necesitan acceso a Internet ni direcciones IP externas para alcanzar los servicios que están disponibles a través del acceso privado a los servicios.
  • La comunicación entre las VM de VMware y los servicios compatibles de Google Cloud admite el acceso privado a los servicios mediante direcciones IP internas.
  • Uso de conexiones locales existentes para conectarte a tu nube privada de VMware Engine, si tienes conectividad local mediante Cloud VPN o Cloud Interconnect a tu red de VPC.

Puedes configurar el acceso privado a los servicios y crear las nubes privadas de VMware Engine por separado. La conexión privada se puede crear antes o después de la creación de la nube privada a la que deseas conectar tu VPC.

En una región determinada, puedes configurar hasta 100 rutas únicas de VMware Engine a tu red de VPC mediante el acceso privado a los servicios. Esto incluye, por ejemplo, las direcciones de administración de nube privada, los segmentos de carga de trabajo NSX-T y direcciones de red de HCX.

Antes de comenzar

  1. Debes tener una red de VPC existente para usar cuando te conectas a VMware Engine.
  2. Si tienes conectividad local basada en Cloud VPN, selecciona la red de VPC que está conectada a la sesión de Cloud VPN. Si tienes conectividad local basada en Cloud Interconnect, selecciona la red de VPC en la que finaliza el adjunto de VLAN de Cloud Interconnect.
  3. Activa la API de Service Networking en el proyecto.
  4. Los propietarios del proyecto y los miembros de IAM con la función de Administrador de red pueden crear rangos de IP asignados y administrar conexiones privadas. Para obtener más información, consulta Funciones y permisos de IAM.
  5. Debes asignar rangos de direcciones para la conexión de servicios privada, la administración de la nube privada y los segmentos de red de la carga de trabajo. Esto garantiza que no haya conflictos de direcciones IP entre tus subredes de VPC y de red y las direcciones IP que usas en VMware Engine.

Conectividad de VPC múltiple

VMware Engine te permite acceder a la misma nube privada desde diferentes VPC sin necesidad de cambiar las arquitecturas de VPC existentes implementadas en Google Cloud. Por ejemplo, la conectividad de VPC múltiple es útil cuando tienes VPC separadas para pruebas, desarrollo y diferentes grupos de departamentos, como finanzas y recursos humanos. Esta situación requiere que las VPC se comuniquen con las VM de VMware y otras direcciones de destino en grupos de recursos de vSphere independientes en la misma nube privada o en varias nubes privadas.

De forma predeterminada, puedes intercambiar tráfico en 3 VPC por región. Este límite incluye el intercambio de tráfico de VPC que utiliza el acceso a Internet y el servicio de IP pública. Para aumentar este límite, comunícate con el equipo de atención al cliente de Cloud.

VPC compartida

Si usas VPC compartida, crea el rango de IP asignado y la conexión privada en el proyecto host. Por lo general, un administrador de red en el proyecto host debe realizar estas tareas. Las instancias de VM en proyectos de servicio pueden usar la conexión privada después de que se configure el proyecto host.

Crea una conexión privada

  1. Asigna rangos de direcciones para redes de VPC compartidas entre servicios de acceso privado a los servicios de Google Cloud, como se describe en Configura el acceso privado a los servicios.
  2. Sigue los pasos que se describen en Crea una conexión privada.
  3. Cuando creas una conexión privada de manera correcta, se muestra una conexión con el nombre servicenetworking-googleapis-com en la tabla de conexiones de servicios privadas de tu VPC.
  4. Habilita las rutas de importación o exportación personalizadas en la conexión privada servicenetworking-googleapis-com. Para obtener más información, consulta Actualiza conexiones de intercambio de tráfico.

Creación completa de la conexión privada en el portal de VMware Engine

  1. Navega a la pantalla Intercambio de tráfico entre redes de VPC. En la tabla de intercambio de tráfico, se muestra una conexión de intercambio de tráfico entre redes de VPC con el nombre servicenetworking-googleapis-com.
  2. Copia el ID de proyecto de intercambio de tráfico para poder usarlo mientras configuras una conexión privada en el portal de VMware Engine.
  3. Accede al portal de VMware Engine
  4. Ve a Red > Conexión privada.
  5. Haz clic en Agregar conexión privada.
  6. En los campos ID de proyecto de intercambio de tráfico y Número de proyecto de intercambio de tráfico, ingresa el ID y el número del proyecto de Google Cloud que contiene la VPC con la que deseas intercambiar tráfico. Consulta Identifica proyectos para conocer los detalles sobre cómo obtener estos valores.
  7. En el campo ID de VPC de intercambio de tráfico, ingresa el nombre de la VPC con la que deseas intercambiar tráfico. Consulta Visualiza redes para obtener detalles sobre cómo obtener el ID de tu VPC.
  8. En el campo ID del proyecto del usuario, pega el ID del proyecto de intercambio de tráfico que copiaste en el paso 2.
  9. Selecciona la región de VMware Engine a la que deseas conectarte.
  10. Selecciona el modo de enrutamiento para esta conexión de intercambio de tráfico entre redes de VPC. En la mayoría de los casos, recomendamos el modo de enrutamiento global. Si no quieres que los servicios de Google que intercambian tráfico con tu VPC se comuniquen entre regiones, selecciona el modo de enrutamiento regional. Esta selección anula el modo de enrutamiento existente.
  11. Haga clic en Enviar.

Cuando el estado de la región es Conectado, puedes seleccionar la conexión privada para la región correspondiente. En la página Private connection details, se muestra el modo de enrutamiento de la conexión privada y las rutas aprendidas durante el intercambio de tráfico entre VPC.

En Exported routes, se muestran las nubes privadas aprendidas en la región y que se exportaron a través del intercambio de tráfico entre VPC. Cuando varias VPC intercambian tráfico en la misma red regional de VMware Engine, las rutas recibidas de una VPC no se anuncian a las otras VPC.