Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Configurazione dell'accesso privato ai servizi

L'accesso privato ai servizi è una connessione privata tra la tua rete Virtual Private Cloud (VPC) e le reti in VMware Engine. Questa pagina spiega come configurare l'accesso privato ai servizi Google Cloud VMware Engine e connettere la tua rete VPC al tuo cloud privato.

L'accesso privato ai servizi abilita il seguente comportamento:

  • Comunicazione esclusiva tramite indirizzo IP interno per istanze di macchine virtuali (VM) nella tua rete VPC e nelle VM VMware. Le istanze VM non hanno bisogno di accesso a Internet o di indirizzi IP esterni per raggiungere i servizi disponibili tramite l'accesso privato ai servizi.
  • Comunicazione tra le VM VMware e i servizi supportati da Google Cloud, che supportano l'accesso privato ai servizi tramite indirizzi IP interni.
  • Utilizzo di connessioni on-premise esistenti per connettersi al cloud privato VMware Engine, se disponi di connettività on-premise utilizzando Cloud VPN o Cloud Interconnect alla rete VPC.

Puoi configurare l'accesso privato ai servizi indipendentemente dalla creazione del cloud privato VMware Engine. La connessione privata può essere creata prima o dopo la creazione del cloud privato a cui vuoi connettere la tua rete VPC.

Prima di iniziare

  1. Devi avere una rete VPC esistente da utilizzare per la connessione a VMware Engine.
  2. Se hai una connettività on-premise basata su Cloud VPN, seleziona la rete VPC connessa alla sessione Cloud VPN. Se disponi di connettività on-premise basata su Cloud Interconnect, seleziona la rete VPC da cui termina il collegamento VLAN di Cloud Interconnect.
  3. Attiva l'API Service Networking nel tuo progetto.
  4. I proprietari del progetto e le entità IAM con il ruolo di amministratore di rete Compute (roles/compute.networkAdmin) possono creare intervalli IP assegnati e gestire le connessioni private.
  5. Devi allocare intervalli di indirizzi per la connessione privata ai servizi, per la gestione privata del cloud e per i segmenti di rete del carico di lavoro. Ciò garantisce che non vi siano conflitti di indirizzi IP tra le subnet di rete VPC e gli indirizzi IP utilizzati in VMware Engine.

Connettività multi-VPC

VMware Engine consente di accedere allo stesso cloud privato da diverse reti VPC senza dover modificare le architetture VPC esistenti di cui è stato eseguito il deployment in Google Cloud. Ad esempio, la connettività multi-VPC è utile quando hai reti VPC separate per i test e lo sviluppo. Questa situazione richiede che le reti VPC comunichino con VM VMware o altri indirizzi di destinazione in gruppi di risorse vSphere separati nello stesso cloud privato o in più cloud privati.

Per impostazione predefinita, puoi eseguire il peering di 3 reti VPC per area geografica. Questo limite di peering include il peering VPC utilizzato dal servizio di rete di accesso a Internet. Per aumentare questo limite, contatta l'assistenza clienti Google Cloud.

VPC condiviso

Se utilizzi VPC condiviso, crea l'intervallo IP allocato e la connessione privata nel progetto host. Di solito, un amministratore di rete nel progetto host deve eseguire queste attività. Le istanze VM nei progetti di servizio possono utilizzare la connessione privata dopo la configurazione del progetto host.

Crea una connessione privata

  1. Alloca intervalli di indirizzi per le reti VPC condivise tra i produttori di servizi Google Cloud, come descritto in Configurare l'accesso privato ai servizi.
  2. Segui i passaggi descritti in Creare una connessione privata.
  3. Quando crei una connessione privata, una connessione con il nome servicenetworking-googleapis-com è elencata nella tabella delle connessioni private dei servizi della rete VPC.
  4. Abilita le route personalizzate di importazione/esportazione sulla connessione privata servicenetworking-googleapis-com. Per ulteriori informazioni, consulta la sezione Aggiornare una connessione in peering.

Completa la creazione della connessione privata nel portale VMware Engine

  1. Nella console Google Cloud, vai a Rete VPC > Peering di rete VPC. Nella tabella di peering è elencata una connessione di peering di rete VPC denominata servicenetworking-googleapis-com.
  2. Copia l'ID progetto in peering per poterlo utilizzare durante la configurazione di una connessione privata nel portale VMware Engine.
  3. Accedi al portale VMware Engine
  4. Vai a Rete > Connessione privata.
  5. Fai clic su Aggiungi connessione privata.
  6. Nei campi ID progetto peer e Numero progetto peer, inserisci l'ID progetto e il numero del progetto Google Cloud contenente la rete VPC a cui vuoi eseguire il peering. Per informazioni dettagliate su come ottenere questi valori, consulta la sezione Identificazione dei progetti.
  7. Nel campo ID VPC peer inserisci il nome della rete VPC alla quale vuoi eseguire il peering. Consulta la pagina relativa alla visualizzazione delle reti per maggiori dettagli su come ottenere l'ID della tua rete VPC.
  8. Nel campo Tenant project ID (ID progetto tenant), incolla l'ID progetto in peering che hai copiato nel passaggio 2.
  9. Seleziona la regione VMware Engine a cui connetterti.
  10. Seleziona la modalità di routing per questa connessione in peering di rete VPC. Nella maggior parte dei casi, consigliamo la modalità di routing globale. Se non vuoi che i servizi Google in peering con la rete VPC comunichino tra regioni, seleziona la modalità di routing a livello di regione. Questa selezione sostituisce la modalità di routing esistente.
  11. Fai clic su Invia.

Quando lo stato della regione è Connesso, puoi selezionare la connessione privata per la regione corrispondente. La pagina Dettagli connessione privata mostra la modalità di routing della connessione privata e le route apprese tramite il peering VPC.

Route esportate mostra i cloud privati appresi dalla regione ed esportati tramite peering VPC. Quando più reti VPC sono connesse in peering alla stessa rete regionale VMware Engine, le route ricevute da una rete VPC non vengono pubblicizzate nell'altra rete VPC.

Rimozione dell'accesso privato ai servizi

Per eliminare la connessione privata, elimina prima le connessioni private nel portale VMware Engine:

  1. Nella console Google Cloud, vai a Rete VPC > Peering di rete VPC. Nella tabella di peering è elencata una connessione di rete in peering VPC con nome servicenetworking-googleapis-com.
  2. Prendi nota dell'ID progetto in peering.
  3. Nel portale VMware Engine, vai a Rete > Connessione privata.
  4. Trova ed elimina le connessioni private con un progetto Tenant corrispondente all'ID progetto in peering indicato nel passaggio 2.

Dopo che le connessioni private eliminate non saranno più visibili nell'elenco delle connessioni private, puoi eliminarle nella console Google Cloud. L'esecuzione di questo passaggio in ordine può causare voci DNS inattive in entrambi i progetti Cloud.

Limiti di routing

Il numero massimo di route che un cloud privato può ricevere è 200. Ad esempio, queste route possono provenire da reti on-premise, da reti VPC in peering e da altri cloud privati nella stessa rete VPC. Questo limite di route corrisponde al numero massimo di annunci di route personalizzati per router Cloud per limite di sessioni BGP.

In una determinata area geografica, puoi pubblicizzare al massimo 100 route univoche da VMware Engine alla tua rete VPC utilizzando l'accesso privato ai servizi. Ad esempio, queste route univoche includono intervalli di indirizzi IP privati nella gestione del cloud, segmenti di rete dei carichi di lavoro NSX-T e intervalli di indirizzi IP di rete HCX. Questo limite di percorso include tutti i cloud privati nella regione e corrisponde al limite di route apprese del router Cloud.

Per informazioni sui limiti di routing, consulta Quote e limiti del router Cloud.