设置专用服务访问通道

专用服务访问通道是虚拟私有云 (VPC) 网络与 VMware Engine 网络之间的专用连接。本页面介绍了如何设置对 Google Cloud VMware Engine 的专用服务访问通道以及如何将 VPC 网络连接到您的私有云。

专用服务访问通道可实现以下行为:

  • 独占通信,通过使用您的 VPC 网络中的虚拟机 (VM) 实例和 VMware 虚拟机中的内部 IP 地址实现。虚拟机实例不需要接入互联网或具备外部 IP 地址,通过专用服务访问通道即可访问可用服务。
  • VMware 虚拟机与支持使用内部 IP 地址的专用服务访问通道的 Google Cloud 支持服务之间的通信。
  • 如果您具有使用 Cloud VPN 或 Cloud Interconnect 连接到您的 VPC 网络的本地连接,则可以使用该现有“本地连接”连接到您的 VMware Engine 私有云。

您可以设置独立于 VMware Engine 私有云创建的专用服务访问通道。您可以在创建要连接 VPC 网络的私有云之前或之后创建专用连接。

准备工作

  1. 您必须有 VPC 网络可用于连接到 VMware Engine。
  2. 如果您具有基于 Cloud VPN 的本地连接,请选择连接到 Cloud VPN 会话的 VPC 网络。如果您具有基于 Cloud Interconnect 的本地连接,请选择 Cloud Interconnect VLAN 连接终结的 VPC 网络。
  3. 在项目中激活 Service Networking API
  4. 拥有 Compute Network Admin 角色 (roles/compute.networkAdmin) 的项目所有者和 IAM 主账号可以创建分配的 IP 范围并管理专用连接。
  5. 您必须为专有服务连接、私有云管理和工作负载网络分段分配地址范围。这可确保您的 VPC 网络子网与您在 VMware Engine 中使用的 IP 地址之间不存在 IP 地址冲突。

多 VPC 连接

借助 VMware Engine,您可以从不同的 VPC 网络访问同一私有云,而无需更改 Google Cloud 中部署的任何现有 VPC 架构。例如,当您拥有分别用于测试和开发的独立 VPC 网络时,多 VPC 连接会非常有用。这种情况要求 VPC 网络能够在同一私有云中或跨多个私有云在不同的 vSphere 资源组中与 VMware 虚拟机或其他目标地址进行通信。

默认情况下,您可以在每个区域中对等互连 3 个 VPC 网络。此对等互连限制包括互联网访问网络服务使用的 VPC 对等互连。如需提高此限制,请与 Cloud Customer Care 团队联系

共享 VPC

如果您使用共享 VPC,请在宿主项目中创建分配的 IP 范围和专用连接。这些任务通常必须由宿主项目中的网络管理员执行。设置宿主项目后,服务项目中的虚拟机实例即可使用专用连接。

创建专用连接

  1. 配置专用服务访问通道中所述,为在各 Google Cloud 服务提供方之间共享的 VPC 网络分配地址范围。
  2. 按照创建专用连接中所述的步骤操作。
  3. 成功创建专用连接后,VPC 网络的专用服务连接表中会列出名称为 servicenetworking-googleapis-com 的连接。
  4. servicenetworking-googleapis-com 专用连接上启用导入/导出自定义路由。如需了解详情,请参阅更新对等互连连接

在 VMware Engine 字段中完成创建专用连接

  1. Google Cloud Console 中,转到 VPC 网络 > VPC 网络对等互连。对等互连表中列出了名称为 servicenetworking-googleapis-com 的 VPC 网络对等互连连接。
  2. 复制 对等项目 ID,以便在 VMware Engine 门户中设置专用连接时使用它。
  3. 访问 VMware Engine 门户
  4. 转到网络 > 专用连接
  5. 点击添加专用连接
  6. 对等项目 ID对等项目编号字段中,输入包含您要对等互连的 VPC 网络的 Google Cloud 项目的 ID 和编号。如需详细了解如何获取这些值,请参阅识别项目
  7. 对等 VPC ID 字段中,输入要与之建立对等互连的 VPC 网络的名称。如需详细了解如何获取 VPC 网络的 ID,请参阅查看网络
  8. Tenant 项目 ID 字段中,粘贴您在第 2 步中复制的对等互连项目 ID
  9. 选择要连接到的 VMware Engine 区域。
  10. 为此 VPC 网络对等互连连接选择路由模式。在大多数情况下,我们建议使用全局路由模式。如果您不希望与 VPC 网络对等互连的 Google 服务跨区域通信,请改为选择区域路由模式。此选择会替换现有路由模式。
  11. 点击提交

区域状态已连接时,您可以为相应的区域选择专用连接。专用连接详情页面显示了专用连接的路由模式以及通过 VPC 对等互连获知的任何路由。

导出的路由 显示从该区域获知并且通过 VPC 对等互连导出的私有云。如果多个 VPC 网络与同一 VMware Engine 区域网络对等互连,则从一个 VPC 网络接收的路由不会通告到另一个 VPC 网络。

移除专用服务访问通道

如需删除专用连接,请先删除 VMware Engine 门户中的专用连接:

  1. Google Cloud Console 中,转到 VPC 网络 > VPC 网络对等互连。对等互连表中列出了名称为 servicenetworking-googleapis-com 的 VPC 网络对等互连连接。
  2. 记下对等互连项目 ID
  3. 在 VMware Engine 门户中,转到网络>专用连接
  4. 查找并删除与第 2 步中记下的对等互连项目 ID 匹配的租户项目的专用连接。

在删除的专用连接不再显示在专用连接列表中之后,您便可以在 Google Cloud Console 中删除该专用连接。不按顺序执行此步骤可能会导致两个 Cloud 项目中出现过时 DNS。

路由限制

私有云可以接收的路由数量上限为 200。 例如,这些路由可以来自本地网络、对等互连 VPC 网络以及同一 VPC 网络中的其他私有云。此路由限制对应于每个 BGP 会话限制的 Cloud Router 自定义路由通告的最大数量。

在给定区域中,您可以使用专用服务访问通道,通告最多 100 条从 VMware Engine 到 VPC 网络的唯一路由。例如,这些唯一路由包括私有云管理 IP 地址范围、NSX-T 工作负载网络分段和 HCX 网络 IP 地址范围。此路由限制包含该区域中的所有私有云,对应于 Cloud Router 的已知路由限制。

如需了解路由限制,请参阅 Cloud Router 配额和限制