(Legado) Configurar conexões particulares

O acesso privado a serviços é uma conexão privada entre a rede de nuvem privada virtual (VPC, na sigla em inglês) e as redes no VMware Engine. Esta página explica como configurar o acesso privado a serviços no Google Cloud VMware Engine e conectar a rede VPC à nuvem privada.

O Acesso privado a serviços permite o seguinte comportamento:

  • Comunicação exclusiva por endereço IP interno para instâncias de máquina virtual (VM) na sua rede VPC e nas VMs do VMware. As instâncias de VM não precisam de acesso à Internet ou de endereços IP externos para alcançar serviços disponíveis pelo acesso privado a serviços.
  • Comunicação entre as VMs do VMware e os serviços com suporte do Google Cloud, que permitem o acesso privado a serviços usando endereços IP internos.
  • O uso de conexões locais atuais para se conectar à nuvem privada do VMware Engine, se você tiver conectividade local usando o Cloud VPN ou o Cloud Interconnect com sua rede VPC.

É possível configurar o acesso privado a serviços independentemente da criação da nuvem privada do VMware Engine. A conexão particular pode ser criada antes ou depois da criação da nuvem privada à que você quer conectar sua rede VPC.

Permissões

  1. Verifique se você tem os seguintes papéis no projeto: Compute > Network Admin

    Verificar os papéis

    1. No console do Google Cloud, abra a página IAM.

      Acessar IAM
    2. Selecionar um projeto.

    3. Na coluna Principal, encontre a linha que contém seu endereço de e-mail.

      Caso seu endereço de e-mail não esteja nessa coluna, isso significa que você não tem papéis.

    4. Na coluna Papel da linha com seu endereço de e-mail, verifique se a lista de papéis inclui os papéis necessários.

    Conceder os papéis

    1. No console do Google Cloud, abra a página IAM.

      Acesse o IAM
    2. Selecionar um projeto.
    3. Clique em CONCEDER ACESSO.
    4. No campo Novos participantes, digite seu endereço de e-mail.
    5. Na lista Selecionar um papel, escolha um.
    6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
    7. Clique em Save.

Antes de começar

  1. É preciso ter uma rede VPC.
  2. Ative a API Service Networking no seu projeto.

  3. Configure o acesso a serviços particulares na rede VPC à qual você quer se conectar.

  4. Localize o ID do projeto com peering da rede VPC seguindo estas etapas:

    1. No Console do Google Cloud, acesse peering de rede VPC. Uma conexão de peering de rede VPC com o nome servicenetworking-googleapis-com está listada na tabela de peering.
    2. Copie o ID do projeto com peering para usá-lo ao configurar uma conexão particular no console do Google Cloud.

Conectividade de várias VPCs

O VMware Engine permite acessar a mesma nuvem privada a partir de redes VPC diferentes sem a necessidade de alterar qualquer arquitetura de VPC existente implantada no Google Cloud. Por exemplo, a conectividade multiVPC é útil quando você tem redes VPC separadas para teste e desenvolvimento.

Essa situação requer que as redes VPC se comuniquem com VMs do VMware ou outros endereços de destino em grupos de recursos do vSphere separados na mesma nuvem privada ou em várias nuvens privadas.

Por padrão, é possível fazer o peering de três redes VPC por região. Esse limite inclui o peering de VPC usado pelo serviço de rede de acesso à Internet. Para aumentar esse limite, entre em contato com o atendimento ao cliente do Cloud.

Crie uma conexão privada

Crie uma conexão particular no console, na CLI do Google Cloud ou na API REST. Na solicitação, defina o tipo de conexão como PRIVATE_SERVICE_ACCESS e o modo de roteamento como GLOBAL.

Console

  1. Vá para o Console do Google Cloud
  2. Na navegação principal, acesse Conexões particulares.
  3. Clique em Criar.
  4. Forneça um Nome e uma Descrição para a conexão.
  5. Selecione a rede do VMware Engine à qual se conectar.
  6. No campo ID do projeto com peering, cole o ID do projeto com peering que você copiou nos pré-requisitos.
  7. Em Tipo de conexão particular, selecione Acesso privado a serviços.
  8. Selecione o modo de roteamento para esta conexão de peering de rede VPC. Na maioria dos casos, recomendamos o modo de roteamento global. Se você não quiser que os serviços do Google com peering na rede VPC se comuniquem por regiões, selecione o modo de roteamento Regional. Essa seleção substitui o modo de roteamento atual.
  9. Clique em Enviar.

Quando a conexão for criada, você poderá selecionar a conexão específica na lista de conexões particulares. A página de detalhes de cada conexão particular exibe o modo de roteamento da conexão particular e todas as rotas aprendidas pelo peering de VPC.

A tabela Rotas exportadas mostra nuvens privadas aprendidas na região e exportadas por peering de VPC. Quando várias redes VPC são emparelhadas para a mesma rede regional do VMware Engine, as rotas recebidas de uma rede VPC VPC não são anunciadas para a outra.

gcloud

  1. Execute o comando gcloud vmware private-connections create para criar uma conexão particular:

    gcloud vmware private-connections create PRIVATE_CONNECTION_ID \
  --location=REGION\
  --description="" \
  --vmware-engine-network=NETWORK_ID \
  --service-project=SERVICE_NETWORKING_TENANT_PROJECT\
  --type=PRIVATE_SERVICE_ACCESS \
  --routing-mode=MODE

    Substitua:

    • PRIVATE_CONNECTION_ID: o nome da conexão particular a ser criada
    • REGION: a região onde a conexão particular será criada. Ela precisa corresponder à região da rede do VMware Engine
    • NETWORK_ID: o nome da rede do VMware Engine
    • SERVICE_NETWORKING_TENANT_PROJECT: o nome do projeto para essa VPC de locatário de rede de serviço. Encontre o SNTP na coluna PEER_PROJECT do nome de peering servicenetworking-googleapis-com.
    • MODE: o modo de roteamento, GLOBAL ou REGIONAL

  2. Opcional: se quiser listar suas conexões particulares, execute o comando gcloud vmware private-connections list:

    gcloud vmware private-connections list \
    --location=REGION

    Substitua:

    • REGION: a região da rede a ser listada.

API

Para criar uma VPC do Compute Engine e uma conexão de acesso a serviços particulares usando a API VMware Engine:

  1. Crie uma conexão particular fazendo uma solicitação POST:

    POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections?private_connection_id=PRIVATE_CONNECTION_ID"

'{
  "description": "My first private connection",
  "vmware_engine_network":
"projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/NETWORK_ID
  "type": "PRIVATE_SERVICE_ACCESS",
  "routing_mode": "MODE",
  "service_network":
"projects/SERVICE_NETWORKING_TENANT_PROJECT/global/networks/SERVICE_NETWORK"
}'

    Substitua:

    • PRIVATE_CONNECTION_ID: o nome da conexão particular para essa solicitação
    • REGION: a região onde essa conexão particular será criada
    • NETWORK_ID: a rede do VMware Engine para essa solicitação
    • SERVICE_NETWORKING_TENANT_PROJECT: o nome do projeto para essa VPC de locatário de rede de serviço. Encontre o SNTP na coluna PEER_PROJECT do nome de peering servicenetworking-googleapis-com
    • SERVICE_NETWORK: a rede no projeto de locatário

  2. Opcional: se quiser listar suas conexões particulares, faça uma solicitação GET:

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections"

    Substitua:

    • PROJECT_ID: o nome do projeto para essa solicitação
    • REGION: a região onde as conexões privadas serão listadas

Editar uma conexão particular

É possível editar uma conexão particular depois de criá-la. Após a criação, é possível alterar o modo de roteamento entre GLOBAL e REGIONAL. Na CLI do Google Cloud ou na API, também é possível atualizar a descrição da conexão particular.

Console

  1. Acessar o console do Google Cloud
  2. Na navegação principal, acesse Conexões particulares.
  3. Clique no nome da conexão particular que você quer editar.
  4. Na página de detalhes, clique em Editar.
  5. Atualize a descrição ou o modo de roteamento da conexão.
  6. Salve as alterações.

gcloud

Execute o comando gcloud vmware private-connections update para editar uma conexão particular:

gcloud vmware private-connections update PRIVATE_CONNECTION_ID \
   --location=REGION \
   --description=DESCRIPTION \
   --routing-mode=MODE

Substitua:

  • PROJECT_ID: o nome do projeto para essa solicitação
  • REGION: a região onde essa conexão particular será atualizada
  • DESCRIPTION: a nova descrição a ser usada.
  • PRIVATE_CONNECTION_ID: o ID da conexão particular para essa solicitação
  • MODE: o modo de roteamento, GLOBAL ou REGIONAL

API

Para editar uma conexão particular usando a API VMware Engine, faça uma solicitação PATCH:

PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID?update_mask=description, routing_mode"

'{
  "description": "Updated description for the private connection",
  "routing_mode": "MODE"
}'

Substitua:

  • PROJECT_ID: o nome do projeto para essa solicitação
  • REGION: a região onde essa conexão particular será atualizada
  • PRIVATE_CONNECTION_ID: o nome da conexão particular para essa solicitação
  • MODE: o modo de roteamento, GLOBAL ou REGIONAL

Descrever uma conexão particular

Veja a descrição de qualquer conexão particular usando a CLI do Google Cloud ou a API VMware Engine.

gcloud

Para ver a descrição de uma conexão particular, execute o comando gcloud vmware private-connections describe:

gcloud vmware private-connections describe PRIVATE_CONNECTION_ID \
    --location=REGION

Substitua:

  • PRIVATE_CONNECTION_ID: o nome da conexão particular para essa solicitação
  • REGION: a região da conexão particular.

API

Para ver a descrição de uma conexão particular usando a API VMware Engine, faça uma solicitação GET:

GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID"

Substitua:

  • PROJECT_ID: o nome do projeto para esta solicitação.
  • PRIVATE_CONNECTION_ID: o nome da conexão particular para essa solicitação
  • REGION: a região da conexão particular.

Depois que as conexões privadas excluídas não estiverem mais visíveis na lista de conexões privadas, será possível excluir a conexão privada de acesso a serviços no Console do Google Cloud. Executar essa etapa fora de ordem pode resultar em entradas DNS desatualizadas nos dois projetos do Google Cloud.

Listar rotas de peering para uma conexão particular

Para listar as rotas de peering trocadas por uma conexão particular, faça isto:

Console

  1. Acessar o console do Google Cloud
  2. Acesse Conexões particulares.
  3. Clique no nome da conexão particular que você quer exibir.

A página de detalhes descreve rotas importadas e exportadas.

gcloud

Liste rotas de peering trocadas por uma conexão particular executando o comando gcloud vmware private-connections routes list:

gcloud vmware private-connections routes list \
    --private-connection=PRIVATE_CONNECTION_ID \
    --location=REGION

Substitua:

  • PRIVATE_CONNECTION_ID: o nome da conexão particular para essa solicitação
  • REGION: a região da conexão particular.

API

Para listar rotas de peering trocadas por uma conexão particular usando a API VMware Engine, faça uma solicitação GET:

GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID/peeringRoutes"

Substitua:

  • PROJECT_ID: o nome do projeto para esta solicitação.
  • REGION: a região da conexão particular.
  • PRIVATE_CONNECTION_ID: o nome da conexão particular para essa solicitação

Limites de roteamento

O número máximo de rotas que uma nuvem privada pode receber é 200. Por exemplo, essas rotas podem vir de redes locais, de redes VPC com peering e de outras nuvens privadas na mesma rede. Esse limite de rota corresponde ao número máximo do Cloud Router para divulgações de rota personalizadas por limite de sessão do BGP.

Em uma região, é possível divulgar no máximo 100 rotas exclusivas do VMware Engine à rede VPC usando o acesso privado a serviços. Por exemplo, essas rotas exclusivas incluem intervalos de endereços IP de gerenciamento de nuvem privada, segmentos de rede de carga de trabalho NSX-T e intervalos de endereços IP de rede HCX. Esse limite de rota inclui todas as nuvens privadas da região e corresponde ao limite de rota aprendida do Cloud Router.

Para informações sobre limites de roteamento, consulte Cotas e limites do Cloud Router.

Solução de problemas

O vídeo a seguir mostra como verificar e resolver problemas de conexão de peering entre a VPC do Google Cloud e o Google Cloud VMware Engine.

A seguir