(旧版)设置专用连接
专用服务访问通道是虚拟私有云 (VPC) 网络与 VMware Engine 网络之间的专用连接。本页面介绍了如何设置对 Google Cloud VMware Engine 的专用服务访问通道以及如何将 VPC 网络连接到您的私有云。
专用服务访问通道可实现以下行为:
- 独占通信,通过使用您的 VPC 网络中的虚拟机 (VM) 实例和 VMware 虚拟机中的内部 IP 地址实现。虚拟机实例不需要接入互联网或具备外部 IP 地址,通过专用服务访问通道即可访问可用服务。
- VMware 虚拟机与支持使用内部 IP 地址的专用服务访问通道的 Google Cloud 支持服务之间的通信。
- 如果您具有使用 Cloud VPN 或 Cloud Interconnect 连接到您的 VPC 网络的本地连接,则可以使用该现有“本地连接”连接到您的 VMware Engine 私有云。
您可以设置独立于 VMware Engine 私有云创建的专用服务访问通道。您可以在创建要连接 VPC 网络的私有云之前或之后创建专用连接。
权限
-
确保您拥有项目的以下一个或多个角色: Compute > Network Admin
检查角色
-
在 Google Cloud 控制台中,前往 IAM 页面。
转到 IAM - 选择项目。
-
在主账号列中,找到您的电子邮件地址所在的行。
如果您的电子邮件地址不在此列,则表示您没有任何角色。
- 在您的电子邮件地址所在的行对应的角色列中,检查角色列表是否包含所需的角色。
授予角色
-
在 Google Cloud 控制台中,前往 IAM 页面。
转到 IAM - 选择项目。
- 点击 授予访问权限。
- 在新的主账号字段中,输入您的电子邮件地址。
- 在选择角色列表中,选择一个角色。
- 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
- 点击 Save(保存)。
-
准备工作
- 您必须已有 VPC 网络。
- 在项目中激活 Service Networking API。
在要连接的 VPC 网络中配置专用服务访问通道。
通过执行以下操作,找到 VPC 网络的对等互连的项目 ID:
- 在 Google Cloud 控制台中,转到 VPC 网络对等互连。 对等互连表中列出了名称为 servicenetworking-googleapis-com 的 VPC 网络对等互连连接。
- 复制对等互连的项目 ID,以便在 Google Cloud 控制台中设置专用连接时使用。
多 VPC 连接
借助 VMware Engine,您可以从不同的 VPC 网络访问同一私有云,而无需更改 Google Cloud 中部署的任何现有 VPC 架构。例如,当您拥有分别用于测试和开发的独立 VPC 网络时,多 VPC 连接会非常有用。
这种情况要求 VPC 网络能够在同一私有云中或跨多个私有云在不同的 vSphere 资源组中与 VMware 虚拟机或其他目标地址进行通信。
默认情况下,您可以在每个区域中对等互连 3 个 VPC 网络。此对等互连限制包括互联网访问网络服务使用的 VPC 对等互连。如需提高此限制,请与 Cloud Customer Care 团队联系。
创建专用连接
在控制台、Google Cloud CLI 或 REST API 中创建专用连接。
在您的请求中,将连接类型设置为 PRIVATE_SERVICE_ACCESS,将路由模式设置为 GLOBAL 路由模式。
控制台
- 访问 Google Cloud 控制台
- 在主导航栏中,转到专用连接。
- 点击创建。
- 提供连接的名称和说明。
- 选择要连接到的 VMware Engine 网络。
- 在对等连接的项目 ID 字段中,粘贴您在前提条件中复制的对等互连的项目 ID。
- 在专用连接类型中,选择专用服务访问通道。
- 为此 VPC 网络对等互连连接选择路由模式。在大多数情况下,我们建议使用全局路由模式。如果您不希望与 VPC 网络对等互连的 Google 服务跨区域通信,请改为选择
Regional路由模式。此选择会替换现有路由模式。 - 点击提交。
连接创建完毕后,您可以从专用连接列表中选择特定连接。每个专用连接的详情页面会显示专用连接的路由模式,以及通过 VPC 对等互连获知的任何路由。
导出的路由表显示了从该区域获知并通过 VPC 对等互连导出的私有云。如果多个 VPC 网络与同一 VMware Engine 区域网络对等互连,则从一个 VPC 网络接收的路由不会通告到另一个 VPC 网络。
gcloud
通过运行
gcloud vmware private-connections create命令来创建专用连接:gcloud vmware private-connections create PRIVATE_CONNECTION_ID \ --location=REGION\ --description="" \ --vmware-engine-network=NETWORK_ID \ --service-project=SERVICE_NETWORKING_TENANT_PROJECT\ --type=PRIVATE_SERVICE_ACCESS \ --routing-mode=MODE
替换以下内容:
PRIVATE_CONNECTION_ID:要创建的专用连接的名称REGION:要在其中创建此专用连接的区域;此值必须与 VMware Engine 网络区域匹配NETWORK_ID:VMware Engine 网络名称SERVICE_NETWORKING_TENANT_PROJECT:此服务网络租户 VPC 的项目名称。您可以在对等互连名称servicenetworking-googleapis-com的 PEER_PROJECT 列中找到 SNTP。MODE:路由模式,即GLOBAL或REGIONAL
可选:如果要列出专用连接,请运行
gcloud vmware private-connections list命令:gcloud vmware private-connections list \ --location=REGION替换以下内容:
REGION:要列出的网络的区域。
API
如需使用 VMware Engine API 创建 Compute Engine VPC 和专用服务访问通道连接,请执行以下操作:
通过发出
POST请求来创建专用连接:POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections?private_connection_id=PRIVATE_CONNECTION_ID" '{ "description": "My first private connection", "vmware_engine_network": "projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/NETWORK_ID "type": "PRIVATE_SERVICE_ACCESS", "routing_mode": "MODE", "service_network": "projects/SERVICE_NETWORKING_TENANT_PROJECT/global/networks/SERVICE_NETWORK" }'替换以下内容:
PRIVATE_CONNECTION_ID:此请求的专用连接名称REGION:要在其中创建此专用连接的区域NETWORK_ID:此请求的 VMware Engine 网络SERVICE_NETWORKING_TENANT_PROJECT:此服务网络租户 VPC 的项目名称您可以在对等互连名称servicenetworking-googleapis-com的 PEER_PROJECT 列中找到 SNTPSERVICE_NETWORK:租户项目中的网络
可选:如果要列出专用连接,请发出
GET请求:GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections"
替换以下内容:
PROJECT_ID:此请求的项目名称。REGION:要在其中列出专用连接的区域。
修改专用连接
您可以在创建专用连接后对其进行修改。创建路由模式后,您可以在 GLOBAL 和 REGIONAL 之间更改路由模式。在 Google Cloud CLI 或 API 中,您还可以更新专用连接的说明。
控制台
- 访问 Google Cloud 控制台
- 在主导航栏中,转到专用连接。
- 点击要修改的专用连接的名称。
- 在详细信息页面上,点击修改。
- 更新连接的说明或路由模式。
- 保存更改。
gcloud
通过运行 gcloud vmware private-connections update 命令来修改专用连接:
gcloud vmware private-connections update PRIVATE_CONNECTION_ID \ --location=REGION \ --description=DESCRIPTION \ --routing-mode=MODE
替换以下内容:
PROJECT_ID:此请求的项目名称REGION:要在其中更新此专用连接的区域DESCRIPTION:要使用的新说明PRIVATE_CONNECTION_ID:此请求的专用连接 IDMODE:路由模式,即GLOBAL或REGIONAL
API
如需使用 VMware Engine API 修改专用连接,请发出 PATCH 请求:
PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID?update_mask=description, routing_mode"
'{
"description": "Updated description for the private connection",
"routing_mode": "MODE"
}'
替换以下内容:
PROJECT_ID:此请求的项目名称REGION:要在其中更新此专用连接的区域PRIVATE_CONNECTION_ID:此请求的专用连接名称MODE:路由模式,即GLOBAL或REGIONAL
描述专用连接
您可以使用 Google Cloud CLI 或 VMware Engine API 获取任何专用连接的说明。
gcloud
通过运行 gcloud vmware
private-connections describe 命令获取专用连接的说明:
gcloud vmware private-connections describe PRIVATE_CONNECTION_ID \
--location=REGION
替换以下内容:
PRIVATE_CONNECTION_ID:此请求的专用连接名称REGION:专用连接所在的区域。
API
如需使用 VMware Engine API 获取专用连接的说明,请发出 GET 请求:
GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID"
替换以下内容:
PROJECT_ID:此请求的项目名称。PRIVATE_CONNECTION_ID:此请求的专用连接名称。REGION:专用连接所在的区域。
在删除的专用连接不再显示在专用连接列表中之后,您便可以在 Google Cloud 控制台中删除该专用连接。不按顺序执行此步骤可能会导致两个 Google Cloud 项目中出现过时 DNS。
列出专用连接的对等互连路由
如需列出交换为专用连接的对等互连路由,请执行以下操作:
控制台
- 访问 Google Cloud 控制台
- 前往专用连接。
- 点击要查看的专用连接的名称。
详情页面介绍导入和导出的路由。
gcloud
通过运行 gcloud vmware private-connections routes list 命令列出与专用连接交换的对等互连路由:
gcloud vmware private-connections routes list \
--private-connection=PRIVATE_CONNECTION_ID \
--location=REGION
替换以下内容:
PRIVATE_CONNECTION_ID:此请求的专用连接名称。REGION:专用连接所在的区域。
API
如需使用 VMware Engine API 列出与专用连接交换的对等互连路由,请创建 GET 请求:
GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID/peeringRoutes"
替换以下内容:
PROJECT_ID:此请求的项目名称。REGION:专用连接所在的区域。PRIVATE_CONNECTION_ID:此请求的专用连接名称。
路由限制
私有云可以接收的路由数量上限为 200。 例如,这些路由可以来自本地网络、对等互连 VPC 网络以及同一 VPC 网络中的其他私有云。此路由限制对应于每个 BGP 会话限制的 Cloud Router 自定义路由通告的最大数量。
在给定区域中,您可以使用专用服务访问通道,通告最多 100 条从 VMware Engine 到 VPC 网络的唯一路由。例如,这些唯一路由包括私有云管理 IP 地址范围、NSX-T 工作负载网络分段和 HCX 网络 IP 地址范围。此路由限制包含该区域中的所有私有云,对应于 Cloud Router 的已知路由限制。
如需了解路由限制,请参阅 Cloud Router 配额和限制。
问题排查
以下视频介绍了如何验证和排查 Google Cloud VPC 与 Google Cloud VMware Engine 之间的对等互连连接问题。