(Legacy) Configura le connessioni private

L'accesso privato ai servizi è una connessione privata tra la tua rete Virtual Private Cloud (VPC) e le reti in VMware Engine. Questa pagina spiega come configurare l'accesso privato ai servizi a Google Cloud VMware Engine e connettere la tua rete VPC al tuo cloud privato.

L'accesso privato ai servizi consente il seguente comportamento:

  • Comunicazione esclusiva tramite indirizzo IP interno per le istanze di macchine virtuali (VM) nella rete VPC e le VM VMware. Le istanze VM non hanno bisogno di accesso a internet o di indirizzi IP esterni per raggiungere i servizi disponibili tramite l'accesso privato ai servizi.
  • Comunicazione tra le VM VMware e i servizi supportati da Google Cloud, che supportano l'accesso privato ai servizi utilizzando indirizzi IP interni.
  • Utilizzo delle connessioni on-premise esistenti per connettersi al tuo cloud privato VMware Engine, se disponi della connettività on-premise utilizzando Cloud VPN o Cloud Interconnect alla tua rete VPC.

Puoi configurare l'accesso privato ai servizi indipendentemente dalla creazione del cloud privato VMware Engine. La connessione privata può essere creata prima o dopo la creazione del cloud privato a cui vuoi connettere la tua rete VPC.

Autorizzazioni

  1. Make sure that you have the following role or roles on the project: Compute > Network Admin

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Vai a IAM
    2. Seleziona il progetto.
    3. Fai clic su Concedi l'accesso.

    4. Nel campo Nuove entità, inserisci il tuo identificatore utente. In genere si tratta dell'indirizzo email di un Account Google.

    5. Nell'elenco Seleziona un ruolo, seleziona un ruolo.
    6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
    7. Fai clic su Salva.

    Prima di iniziare

    1. Devi disporre di una rete VPC esistente.
    2. Attiva l'API Service Networking nel tuo progetto.

    3. Configura l'accesso privato ai servizi nella rete VPC a cui vuoi connetterti.

    4. Individua l'ID progetto in peering della tua rete VPC procedendo nel seguente modo:

      1. In Google Cloud console, vai a Peering di rete VPC. Nella tabella di peering è elencata una connessione di peering di rete VPC con il nome servicenetworking-googleapis-com.
      2. Copia l'ID progetto sottoposto a peering in modo da poterlo utilizzare durante la configurazione di una connessione privata nella console Google Cloud .

    Connettività multi-VPC

    VMware Engine ti consente di accedere allo stesso cloud privato da diverse reti VPC senza la necessità di modificare le architetture VPC esistenti di cui è stato eseguito il deployment in Google Cloud. Ad esempio, la connettività multi-VPC è utile quando hai reti VPC separate per test e sviluppo.

    Questa situazione richiede che le reti VPC comunichino con le VM VMware o con altri indirizzi di destinazione in gruppi di risorse vSphere separati nello stesso cloud privato o in più cloud privati.

    Per impostazione predefinita, puoi eseguire il peering di tre reti VPC per regione. Questo limite di peering include il peering VPC utilizzato dal servizio di rete di accesso a internet. Per aumentare questo limite, contatta l'assistenza clienti Google Cloud.

    Unicità dell'indirizzo IP

    Quando connetti la tua rete VPC a una rete regionale VMware Engine, segui queste linee guida per garantire l'unicità degli indirizzi IP:

    • Gli intervalli IP e le subnet di VMware Engine nella tua rete VPC non possono utilizzare gli stessi intervalli di indirizzi IP.

    • Gli intervalli IP di VMware Engine non possono rientrare in un intervallo di indirizzi IP della subnet nella rete VPC. Le route di subnet nella tua rete VPC devono avere gli intervalli di indirizzi IP più specifici.

    • Esamina attentamente la panoramica delle route di rete VPC per informazioni dettagliate sul funzionamento delle route di rete VPC.

    • Se devi connettere due o più reti VMware Engine alla stessa rete VPC, devi utilizzare intervalli IP univoci per ogni rete VMware Engine oppure devi abilitare la connettività NSX solo per una delle reti VMware Engine utilizzando gli stessi intervalli IP di un'altra rete VMware Engine.

    Crea una connessione privata

    Crea una connessione privata nella console, in Google Cloud CLI o nell'API REST. Nella richiesta, imposta il tipo di connessione su PRIVATE_SERVICE_ACCESS e la modalità di routing su GLOBAL.

    Console

    1. Nella console Google Cloud , vai alla pagina Connessioni private.

      Vai a Connessioni private

    2. Fai clic su Crea.

    3. Fornisci un nome e una descrizione per la connessione.

    4. Seleziona la rete VMware Engine a cui connetterti.

    5. Nel campo ID progetto sottoposto a peering, incolla l'ID progetto sottoposto a peering che hai copiato nei prerequisiti.

    6. In Tipo di connessione privata, seleziona Accesso ai servizi privati.

    7. Seleziona la modalità di routing per questa connessione di peering di rete VPC. Nella maggior parte dei casi, consigliamo la modalità di routing globale. Se non vuoi che i servizi Google con peering con la tua rete VPC comunichino tra le regioni, seleziona la modalità di routing Regional. Questa selezione sostituisce la modalità di routing esistente.

    8. Fai clic su Invia.

    Una volta creata la connessione, puoi selezionarla dall'elenco delle connessioni private. La pagina dei dettagli di ogni connessione privata mostra la modalità di routing della connessione privata e le route apprese tramite il peering VPC.

    La tabella Route esportate mostra i cloud privati appresi dalla regione ed esportati tramite il peering VPC. Quando più reti VPC sono in peering con la stessa rete regionale VMware Engine, le route ricevute da una rete VPC non vengono pubblicizzate all'altra rete VPC.

    gcloud

    1. Crea una connessione privata eseguendo il comando gcloud vmware private-connections create:

      gcloud vmware private-connections create PRIVATE_CONNECTION_ID \
  --location=REGION\
  --description="" \
  --vmware-engine-network=NETWORK_ID \
  --service-project=SERVICE_NETWORKING_TENANT_PROJECT\
  --type=PRIVATE_SERVICE_ACCESS \
  --routing-mode=MODE

      Sostituisci quanto segue:

      • PRIVATE_CONNECTION_ID: il nome della connessione privata da creare
      • REGION: la regione in cui creare questa connessione privata; deve corrispondere alla regione della rete VMware Engine
      • NETWORK_ID: il nome della rete VMware Engine
      • SERVICE_NETWORKING_TENANT_PROJECT: il nome del progetto per questo VPC tenant Service Networking. Puoi trovare l'SNTP nella colonna PEER_PROJECT del nome del peering servicenetworking-googleapis-com.
      • MODE: la modalità di routing, GLOBAL o REGIONAL

    2. (Facoltativo) Se vuoi elencare le tue connessioni private, esegui il comando gcloud vmware private-connections list:

      gcloud vmware private-connections list \
    --location=REGION

      Sostituisci quanto segue:

      • REGION: la regione della rete da elencare.

    API

    Per creare un VPC Compute Engine e una connessione di accesso privato ai servizi utilizzando l'API VMware Engine:

    1. Crea una connessione privata inviando una richiesta POST:

      POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections?private_connection_id=PRIVATE_CONNECTION_ID"

'{
  "description": "My first private connection",
  "vmware_engine_network":
"projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/NETWORK_ID
  "type": "PRIVATE_SERVICE_ACCESS",
  "routing_mode": "MODE",
  "service_network":
"projects/SERVICE_NETWORKING_TENANT_PROJECT/global/networks/SERVICE_NETWORK"
}'

      Sostituisci quanto segue:

      • PRIVATE_CONNECTION_ID: il nome della connessione privata per questa richiesta
      • REGION: la regione in cui creare questa connessione privata
      • NETWORK_ID: la rete VMware Engine per questa richiesta
      • SERVICE_NETWORKING_TENANT_PROJECT: il nome del progetto per questo VPC tenant Service Networking. Puoi trovare l'SNTP nella colonna PEER_PROJECT del nome del peering servicenetworking-googleapis-com
      • SERVICE_NETWORK: la rete nel progetto tenant

    2. (Facoltativo) Se vuoi elencare le tue connessioni private, invia una richiesta GET:

      GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections"

      Sostituisci quanto segue:

      • PROJECT_ID: il nome del progetto per questa richiesta.
      • REGION: la regione in cui elencare le connessioni private.

    Modificare una connessione privata

    Puoi modificare una connessione privata dopo averla creata. Una volta creato, puoi cambiare la modalità di routing tra GLOBAL e REGIONAL. In Google Cloud CLI o nell'API, puoi anche aggiornare la descrizione della connessione privata.`

    Console

    1. Nella console Google Cloud , vai alla pagina Connessioni private.

      Vai a Connessioni private

    2. Fai clic sul nome della connessione privata da modificare.

    3. Nella pagina dei dettagli, fai clic su Modifica.

    4. Aggiorna la descrizione o la modalità di routing della connessione.

    5. Salva le modifiche.

    gcloud

    Modifica una connessione privata eseguendo il comando gcloud vmware private-connections update:

    gcloud vmware private-connections update PRIVATE_CONNECTION_ID \
   --location=REGION \
   --description=DESCRIPTION \
   --routing-mode=MODE

    Sostituisci quanto segue:

    • PROJECT_ID: il nome del progetto per questa richiesta
    • REGION: la regione in cui aggiornare questa connessione privata
    • DESCRIPTION: la nuova descrizione da utilizzare
    • PRIVATE_CONNECTION_ID: l'ID della connessione privata per questa richiesta
    • MODE: la modalità di routing, GLOBAL o REGIONAL

    API

    Per modificare una connessione privata utilizzando l'API VMware Engine, invia una richiesta PATCH:

    PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID?update_mask=description, routing_mode"

'{
  "description": "Updated description for the private connection",
  "routing_mode": "MODE"
}'

    Sostituisci quanto segue:

    • PROJECT_ID: il nome del progetto per questa richiesta
    • REGION: la regione in cui aggiornare questa connessione privata
    • PRIVATE_CONNECTION_ID: il nome della connessione privata per questa richiesta
    • MODE: la modalità di routing, GLOBAL o REGIONAL

    Descrivere una connessione privata

    Puoi ottenere la descrizione di qualsiasi connessione privata utilizzando Google Cloud CLI o l'API VMware Engine.

    gcloud

    Per ottenere una descrizione di una connessione privata, esegui il comando gcloud vmware private-connections describe:

    gcloud vmware private-connections describe PRIVATE_CONNECTION_ID \
    --location=REGION

    Sostituisci quanto segue:

    • PRIVATE_CONNECTION_ID: il nome della connessione privata per questa richiesta
    • REGION: la regione della connessione privata.

    API

    Per ottenere una descrizione di una connessione privata utilizzando l'API VMware Engine, invia una richiesta GET:

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID"

    Sostituisci quanto segue:

    • PROJECT_ID: il nome del progetto per questa richiesta.
    • PRIVATE_CONNECTION_ID: il nome della connessione privata per questa richiesta.
    • REGION: la regione della connessione privata.

    Dopo che le connessioni private eliminate non sono più visibili nell'elenco delle connessioni private, puoi eliminarle nella consoleGoogle Cloud . L'esecuzione di questo passaggio in modo errato può comportare voci DNS obsolete in entrambi i progetti Google Cloud .

    Elenca le route di peering per una connessione privata

    Per elencare le route di peering scambiate per una connessione privata:

    Console

    1. Nella console Google Cloud , vai alla pagina Connessioni private.

      Vai a Connessioni private

    2. Fai clic sul nome della connessione privata che vuoi visualizzare.

    La pagina dei dettagli descrive le route importate ed esportate.

    gcloud

    Elenca le route di peering scambiate per una connessione privata eseguendo il comando gcloud vmware private-connections routes list:

    gcloud vmware private-connections routes list \
    --private-connection=PRIVATE_CONNECTION_ID \
    --location=REGION

    Sostituisci quanto segue:

    • PRIVATE_CONNECTION_ID: il nome della connessione privata per questa richiesta.
    • REGION: la regione della connessione privata.

    API

    Per elencare le route di peering scambiate per una connessione privata utilizzando l'API VMware Engine, invia una richiesta GET:

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID/peeringRoutes"

    Sostituisci quanto segue:

    • PROJECT_ID: il nome del progetto per questa richiesta.
    • REGION: la regione della connessione privata.
    • PRIVATE_CONNECTION_ID: il nome della connessione privata per questa richiesta.

    Limiti di routing

    Il numero massimo di route che un cloud privato può ricevere è 200. Ad esempio, queste route possono provenire da reti on-premise, reti VPC in peering e altri cloud privati nella stessa rete VPC. Questo limite di route corrisponde al numero massimo di annunci di route personalizzati per sessione BGP del router Cloud.

    In una determinata regione, puoi annunciare al massimo 100 route univoche da VMware Engine alla tua rete VPC utilizzando l'accesso privato ai servizi. Ad esempio, queste route uniche includono intervalli di indirizzi IP di gestione del cloud privato, segmenti di rete dei carichi di lavoro NSX e intervalli di indirizzi IP interni di HCX. Questo limite di route include tutti i cloud privati nella regione e corrisponde al limiteroute appresae del router Cloud.

    Per informazioni sui limiti di routing, consulta Quote e limiti dei router Cloud.

    Risoluzione dei problemi

    Il seguente video mostra come verificare e risolvere i problemi di connessione in peering tra Google Cloud VPC e Google Cloud VMware Engine.

    Passaggi successivi