专用服务访问是您的 VPC 网络与 VMware Engine 中的网络之间的一种专用连接。本页面介绍了如何设置对 Google Cloud VMware Engine 的专用服务访问以及如何将 VPC 连接到您的私有云。
专用服务访问可实现以下行为:
- 独占通信,通过使用您的 VPC 网络中的虚拟机 (VM) 实例和 VMware 虚拟机中的内部 IP 地址实现。虚拟机实例不需要接入互联网或具有外部 IP 地址即可访问通过专用服务访问提供的服务。
- VMware 虚拟机与支持使用内部 IP 地址的专用服务访问的 Google Cloud 支持服务之间的通信。
- 如果您具有使用 Cloud VPN 或 Cloud Interconnect 连接到您的 VPC 网络的本地连接,则可以使用该现有本地连接连接到您的 VMware Engine 私有云。
您可以设置独立于 VMware Engine 私有云创建的专用服务访问。您可以在创建要连接 VPC 的私有云之前或之后创建专用连接。
在给定地区中,您可以使用专用服务访问权限,设置最多 100 条从 VMware Engine 到 VPC 网络的唯一路由。例如,这包括私有用云管理地址、NSX-T 工作负载细分和 HCX 网络地址。
准备工作
- 您必须有 VPC 网络可用于连接到 VMware Engine。
- 如果您具有基于 Cloud VPN 的本地连接,请选择连接到 Cloud VPN 会话的 VPC 网络。如果您具有基于 Cloud Interconnect 的本地连接,请选择 Cloud Interconnect VLAN 连接终止的 VPC 网络。
- 在项目中激活 Service Networking API。
- 拥有 Network Admin 角色的项目所有者和 IAM 成员可以创建分配的 IP 范围并管理专用连接。如需了解详情,请参阅 IAM 角色和权限。
- 您必须为专有服务连接、私有云管理和工作负载网络分段分配地址范围。这可确保您的 VPC 和网络子网与您在 VMware Engine 中使用的 IP 地址之间不存在 IP 地址冲突。
共享 VPC
如果您使用共享 VPC,请在宿主项目中创建分配的 IP 范围和专用连接。这些任务通常必须由宿主项目中的网络管理员执行。设置宿主项目后,服务项目中的虚拟机实例即可使用专用连接。
创建专用连接
- 如配置专用服务访问通道中所述,在 Google Cloud 专用服务访问服务之间共享的 VPC 网络分配地址范围。
- 按照创建专用连接中所述的步骤操作。
- 成功创建专用连接后,VPC 的 service connections 表中会列出名称为 servicenetworking-googleapis-com 的连接。
- 在 servicenetworking-googleapis-com 专用连接上启用导入/导出自定义路由。如需了解详情,请参阅 更新对等互连连接。
在 VMware Engine 字段中完成创建专用连接
- 导航到 VPC 网络对等互连屏幕。对等互连表中列出了名称为 servicenetworking-googleapis-com 的 VPC 网络对等互连连接。
- 复制 对等项目 ID,以便在 VMware Engine 门户中设置专用连接时使用它。
- 访问 VMware Engine 门户。
- 导航到网络 > 专用连接。
- 点击 添加网络连接。
- 在 租户项目 ID 字段中,粘贴您之前复制的 对等互连项目 ID。
- 选择要连接到的 VMware Engine 区域。
- 点击提交。
当区域状态是已连接时,您可以按相应区域的租户项目 ID 选择专用连接。专用连接详情 页面会显示通过 VPC 对等互连获知的路由。导出的路由 显示从该区域获知并且通过 VPC 对等互连导出的私有云。