Configurar conexiones privadas (heredada)

El acceso privado a servicios es una conexión privada entre tu red de nube privada virtual (VPC) y las redes en VMware Engine. En esta página, se explica cómo configurar el acceso privado a los servicios en Google Cloud VMware Engine y cómo conectar una red de VPC a una nube privada.

El acceso privado a los servicios permite el siguiente comportamiento:

  • Comunicación exclusiva por dirección IP interna para instancias de máquina virtual (VM) en tu red de VPC y las VM de VMware. Las instancias de VM no necesitan acceso a Internet o direcciones IP externas para alcanzar los servicios que están disponibles a través del acceso privado a los servicios.
  • La comunicación entre las VM de VMware y los servicios compatibles de Google Cloud admite el acceso privado a los servicios mediante direcciones IP internas.
  • Uso de conexiones locales existentes para conectarte a tu nube privada de VMware Engine, si tienes conectividad local mediante Cloud VPN o Cloud Interconnect a tu red de VPC.

Puedes configurar el acceso privado a los servicios y crear las nubes privadas de VMware Engine por separado. La conexión privada se puede crear antes o después de la creación de la nube privada a la que deseas conectar tu red de VPC.

Permisos

  1. Asegúrate de tener los siguientes roles en el proyecto: Compute > Network Admin

    Verifica los roles

    1. En la consola de Google Cloud, ve a la página IAM.

      Ir a IAM
    2. Selecciona el proyecto.

    3. En la columna Principal, busca la fila que tiene tu dirección de correo electrónico.

      Si tu dirección de correo electrónico no está en esa columna, no tienes ningún rol.

    4. En la columna Función de la fila con la dirección de correo electrónico, verifica si la lista de roles incluye los roles necesarios.

    Otorga los roles

    1. En la consola de Google Cloud, ve a la página IAM.

      Ir a IAM
    2. Selecciona el proyecto.
    3. Haz clic en Grant access.
    4. En el campo Principales nuevas, ingresa tu dirección de correo electrónico.
    5. En la lista Seleccionar un rol, elige un rol.
    6. Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
    7. Haz clic en Guardar.

Antes de comenzar

  1. Debes tener una red de VPC.
  2. Activa la API de Service Networking en el proyecto.

  3. Configura el acceso privado a servicios en la red de VPC a la que deseas conectarte.

  4. Sigue estos pasos para encontrar el ID del proyecto con intercambio de tráfico de tu red de VPC:

    1. En la consola de Google Cloud, ve a Intercambio de tráfico entre redes de VPC. En la tabla de intercambio de tráfico, se muestra una conexión de intercambio de tráfico entre redes de VPC con el nombre servicenetworking-googleapis-com.
    2. Copia el ID del proyecto de intercambio de tráfico para poder usarlo mientras configuras una conexión privada en Google Cloud Console.

Conectividad de VPC múltiple

VMware Engine te permite acceder a la misma nube privada desde diferentes VPC sin necesidad de cambiar las arquitecturas de VPC existentes implementadas en Google Cloud. Por ejemplo, la conectividad de varias VPC es útil cuando tienes redes de VPC independientes para probar y desarrollar.

Esta situación requiere que las VPC se comuniquen con las VM de VMware y otras direcciones de destino en grupos de recursos de vSphere independientes en la misma nube privada o en varias nubes privadas.

De forma predeterminada, puedes intercambiar 3 redes de VPC por región. Este límite de intercambio de tráfico incluye el intercambio de tráfico de VPC que usa el servicio de red de acceso a Internet. Para aumentar este límite, comunícate con el equipo de Atención al cliente de Cloud.

Crea una conexión privada

Crea una conexión privada en la consola, Google Cloud CLI o la API de REST. En tu solicitud, establece el tipo de conexión en PRIVATE_SERVICE_ACCESS y el modo de enrutamiento en GLOBAL.

Consola

  1. Accede a la consola de Google Cloud
  2. En el menú de navegación principal, ve a Conexiones privadas.
  3. Haz clic en Crear.
  4. Proporciona un Nombre y una Descripción para la conexión.
  5. Selecciona la red de VMware Engine a la que conectarte.
  6. En el campo ID del proyecto de intercambio de tráfico, pega el ID del proyecto de intercambio de tráfico que copiaste en los requisitos previos.
  7. En Tipo de conexión privada, selecciona Acceso privado a servicios.
  8. Selecciona el modo de enrutamiento para esta conexión de intercambio de tráfico entre redes de VPC. En la mayoría de los casos, recomendamos el modo de enrutamiento global. Si no quieres que los servicios de Google intercambien tráfico con tu red de VPC entre regiones, selecciona el modo de enrutamiento Regional. Esta selección anula el modo de enrutamiento existente.
  9. Haz clic en Enviar.

Cuando se crea la conexión, puedes seleccionar la conexión específica de la lista de conexiones privadas. En la página de detalles de cada conexión privada, se muestra el modo de enrutamiento de la conexión privada y las rutas aprendidas mediante el intercambio de tráfico de VPC.

En la tabla Rutas exportadas, se muestran las nubes privadas aprendidas en la región y que se exportaron a través del intercambio de tráfico de VPC. Cuando varias redes de VPC intercambian tráfico a la misma red regional de VMware Engine, las rutas recibidas de una red de VPC no se anuncian a la otra red de VPC.

gcloud

  1. Ejecuta el comando gcloud vmware private-connections create para crear una conexión privada:

    gcloud vmware private-connections create PRIVATE_CONNECTION_ID \
  --location=REGION\
  --description="" \
  --vmware-engine-network=NETWORK_ID \
  --service-project=SERVICE_NETWORKING_TENANT_PROJECT\
  --type=PRIVATE_SERVICE_ACCESS \
  --routing-mode=MODE

    Reemplaza lo siguiente:

    • PRIVATE_CONNECTION_ID: Es el nombre de la conexión privada que se creará.
    • REGION: Es la región en la que se creará esta conexión privada; debe coincidir con la región de red de VMware Engine.
    • NETWORK_ID: Es el nombre de la red de VMware Engine.
    • SERVICE_NETWORKING_TENANT_PROJECT: Es el nombre del proyecto de esta VPC de usuario de las herramientas de redes de servicios. Puedes encontrar el SNTP en la columna PEER_PROJECT del nombre de intercambio de tráfico servicenetworking-googleapis-com.
    • MODE: Es el modo de enrutamiento, ya sea GLOBAL o REGIONAL.

  2. Opcional: Si deseas enumerar tus conexiones privadas, ejecuta el comando gcloud vmware private-connections list:

    gcloud vmware private-connections list \
    --location=REGION

    Reemplaza lo siguiente:

    • REGION: Es la región de la red que se enumerará.

API

Para crear una VPC de Compute Engine y una conexión de acceso privado a servicios mediante la API de VMware Engine, haz lo siguiente:

  1. Crea una conexión privada mediante una solicitud POST:

    POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections?private_connection_id=PRIVATE_CONNECTION_ID"

'{
  "description": "My first private connection",
  "vmware_engine_network":
"projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/NETWORK_ID
  "type": "PRIVATE_SERVICE_ACCESS",
  "routing_mode": "MODE",
  "service_network":
"projects/SERVICE_NETWORKING_TENANT_PROJECT/global/networks/SERVICE_NETWORK"
}'

    Reemplaza lo siguiente:

    • PRIVATE_CONNECTION_ID: Es el nombre de la conexión privada para esta solicitud.
    • REGION: Es la región en la que se creará esta conexión privada.
    • NETWORK_ID: Es la red de VMware Engine para esta solicitud.
    • SERVICE_NETWORKING_TENANT_PROJECT: Es el nombre del proyecto de esta VPC de usuario de las herramientas de redes de servicios. Puedes encontrar el SNTP en la columna PEER_PROJECT del nombre de intercambio de tráfico servicenetworking-googleapis-com.
    • SERVICE_NETWORK: Es la red en el proyecto de usuario.

  2. Si deseas enumerar tus conexiones privadas, haz una solicitud GET (opcional):

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections"

    Reemplaza lo siguiente:

    • PROJECT_ID: Es el nombre del proyecto para esta solicitud.
    • REGION: Es la región en la que se enumerarán las conexiones privadas.

Edita una conexión privada

Puedes editar una conexión privada después de crearla. Una vez creado, puedes cambiar el modo de enrutamiento entre GLOBAL y REGIONAL. En Google Cloud CLI o la API, también puedes actualizar la descripción de la conexión privada.

Consola

  1. Accede a la consola de Google Cloud
  2. En el menú de navegación principal, ve a Conexiones privadas.
  3. Haz clic en el nombre de la conexión privada que deseas editar.
  4. En la página de detalles, haz clic en Editar.
  5. Actualiza la descripción o el modo de enrutamiento de la conexión.
  6. Guarda los cambios.

gcloud

Ejecuta el comando gcloud vmware private-connections update para editar una conexión privada:

gcloud vmware private-connections update PRIVATE_CONNECTION_ID \
   --location=REGION \
   --description=DESCRIPTION \
   --routing-mode=MODE

Reemplaza lo siguiente:

  • PROJECT_ID: Es el nombre del proyecto para esta solicitud.
  • REGION: Es la región en la que se actualizará esta conexión privada.
  • DESCRIPTION: Es la descripción nueva que se usará.
  • PRIVATE_CONNECTION_ID: Es el ID de conexión privada para esta solicitud.
  • MODE: Es el modo de enrutamiento, ya sea GLOBAL o REGIONAL.

API

Para editar una conexión privada con la API de VMware Engine, realiza una solicitud PATCH:

PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID?update_mask=description, routing_mode"

'{
  "description": "Updated description for the private connection",
  "routing_mode": "MODE"
}'

Reemplaza lo siguiente:

  • PROJECT_ID: Es el nombre del proyecto para esta solicitud.
  • REGION: Es la región en la que se actualizará esta conexión privada.
  • PRIVATE_CONNECTION_ID: Es el nombre de la conexión privada para esta solicitud.
  • MODE: Es el modo de enrutamiento, ya sea GLOBAL o REGIONAL.

Describe una conexión privada

Puedes obtener la descripción de cualquier conexión privada mediante Google Cloud CLI o la API de VMware Engine.

gcloud

Ejecuta el comando gcloud vmware private-connections describe para obtener una descripción de una conexión privada:

gcloud vmware private-connections describe PRIVATE_CONNECTION_ID \
    --location=REGION

Reemplaza lo siguiente:

  • PRIVATE_CONNECTION_ID: Es el nombre de la conexión privada para esta solicitud.
  • REGION: Es la región de la conexión privada.

API

Para obtener una descripción de una conexión privada mediante la API de VMware Engine, realiza una solicitud GET:

GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID"

Reemplaza lo siguiente:

  • PROJECT_ID: Es el nombre del proyecto para esta solicitud.
  • PRIVATE_CONNECTION_ID: Es el nombre de la conexión privada para esta solicitud.
  • REGION: Es la región de la conexión privada.

Una vez que las conexiones privadas que borraste ya no estén visibles en la lista de conexiones privadas, puedes borrar la conexión de acceso privado en la consola de Google Cloud. Realizar este paso de forma desordenada puede generar entradas de DNS inactivas en ambos proyectos de Google Cloud.

Enumerar rutas de intercambio de tráfico para una conexión privada

Para enumerar las rutas de intercambio de tráfico intercambiadas por una conexión privada, haz lo siguiente:

Consola

  1. Accede a la consola de Google Cloud
  2. Ve a Conexiones privadas.
  3. Haz clic en el nombre de la conexión privada que deseas ver.

En la página de detalles, se describen las rutas importadas y exportadas.

gcloud

Para ver una lista de las rutas de intercambio de tráfico intercambiadas por una conexión privada, ejecuta el comando gcloud vmware private-connections routes list:

gcloud vmware private-connections routes list \
    --private-connection=PRIVATE_CONNECTION_ID \
    --location=REGION

Reemplaza lo siguiente:

  • PRIVATE_CONNECTION_ID: Es el nombre de la conexión privada para esta solicitud.
  • REGION: Es la región de la conexión privada.

API

Para enumerar las rutas de intercambio de tráfico intercambiadas por una conexión privada mediante la API de VMware Engine, realiza una solicitud GET:

GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID/peeringRoutes"

Reemplaza lo siguiente:

  • PROJECT_ID: Es el nombre del proyecto para esta solicitud.
  • REGION: Es la región de la conexión privada.
  • PRIVATE_CONNECTION_ID: Es el nombre de la conexión privada para esta solicitud.

Límites de enrutamiento

La cantidad máxima de rutas que puede recibir una nube privada es 200. Por ejemplo, esas rutas pueden provenir de redes locales, redes de VPC con intercambio de tráfico y otras nubes privadas en la misma red de VPC. Este límite de ruta corresponde a la cantidad máxima de anuncios de ruta personalizados de Cloud Router por límite de sesión de BGP.

En una región determinada, puedes anunciar hasta 100 rutas únicas de VMware Engine a tu red de VPC mediante el acceso privado a los servicios. Por ejemplo, esas rutas únicas incluyen rangos de direcciones IP de administración de la nube privada, segmentos de red de carga de trabajo NSX-T y rangos de direcciones IP de la red HCX. Este límite de ruta incluye todas las nubes privadas en la región y corresponde al límite de ruta aprendidas de Cloud Router.

Para obtener información sobre los límites de enrutamiento, consulta Cuotas y límites de Cloud Router.

Soluciona problemas

En el siguiente video, se muestra cómo verificar y solucionar los problemas de conexión de intercambio de tráfico entre la VPC de Google Cloud y Google Cloud VMware Engine.

¿Qué sigue?