创建和管理网络政策

本文档介绍了如何使用网络政策来控制您的 VMware 工作负载能否访问互联网以及能够通过互联网访问 VMware 工作负载。

每项网络政策都与一个 VMware Engine 网络相关联,而 VMware Engine 网络可以是区域性的,也可以是全球性的。标准 VMware Engine 网络是全球性资源,而旧版 VMware Engine 网络是区域性资源。

网络政策适用于与 VMware Engine 网络关联的所有私有云。对于旧版网络,如果您在多个区域中部署了私有云,并且您希望启用互联网访问权限或外部 IP 地址服务,则您必须在每个区域中创建网络政策。

创建网络政策

使用控制台、gcloud 或 API 创建网络政策。

控制台

如需使用 Google Cloud 控制台创建新的网络政策,请执行以下操作:

  1. 在 Google Cloud 控制台中,前往网络政策页面。

    前往“网络政策”页面

  2. 点击创建

  3. 提供新网络政策的相关信息:

    • 网络政策名称:用于标识网络政策的名称
    • 网络政策说明:网络政策的说明
    • VMware Engine 网络:要与政策关联的 VMware Engine 网络
    • 区域:您希望应用网络政策的区域
  4. 政策详情部分中,启用或停用网络服务:

    • 互联网访问服务:启用后,VMware Engine 允许从内部 IP 地址到互联网的出站流量。
    • 外部 IP 地址服务:启用后,VMware Engine 允许您为关联私有云中的内部 IP 地址预留外部 IP 地址。外部 IP 地址提供从互联网访问内部 IP 地址的入站流量。

      此服务只有在同时启用互联网访问服务时才会启用。

  5. 边缘服务地址范围字段中,输入在访问 VMware Engine 公共 IP 网关时使用的 IP 地址范围(/26 地址范围)。

  6. 点击创建。VMware Engine 开始创建新的网络政策。

gcloud

gcloud 中,运行 network-policies create 命令:

gcloud vmware network-policies create NETWORK_POLICY_ID \
  --location LOCATION --vmware-engine-network NETWORK_ID \
  --edge-services-cidr=EDGE_SERVICES_CIDR [--external-ip-access] \
  [--internet-access]

替换以下内容:

  • NETWORK_POLICY_ID:此网络政策的名称
  • LOCATION:此网络政策的位置;此值必须与 VMware Engine 网络匹配
  • NETWORK_ID:VMware Engine 网络名称
  • EDGE_SERVICES_CIDR:在访问 VMware Engine 公共 IP 网关时使用的 IP 地址范围(/26 地址范围)
  • --external-ip-access:是否允许将外部 IP 地址分配给 VMware 工作负载。此外,还必须启用 --internet-access
  • --internet-access:VMWare 工作负载能否访问互联网

API

在 API 中,发出 POST 请求:

POST https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/networkPolicies?networkPolicyId=NETWORK_POLICY_ID

'{
  "internetAccess": INTERNET_ACCESS,
  "externalIp": EXTERNAL_IP,
  "vmwareEngineNetwork": "projects/PROJECT_ID/locations/LOCATION/vmwareEngineNetworks/NETWORK_ID"
  "edgeServicesCidr": "EDGE_SERVICES_CIDR"
}'

替换以下内容:

  • PROJECT_ID:此请求的项目
  • LOCATION:此网络政策的位置;此值必须与 VMware Engine 网络匹配
  • NETWORK_POLICY_ID:此网络政策的名称
  • INTERNET_ACCESS:VMWare 工作负载是否可以访问互联网;将其设置为 truefalse
  • EXTERNAL_IP:是否允许将外部 IP 地址分配给 VMware 工作负载。还必须启用 internetAccess;将其设置为 truefalse
  • NETWORK_ID:VMware Engine 网络名称
  • EDGE_SERVICES_CIDR:在访问 VMware Engine 公共 IP 网关时使用的 IP 地址范围(/26 地址范围)

修改网络政策

控制台

如需使用 Google Cloud 控制台修改现有网络政策,请执行以下操作:

  1. 在 Google Cloud 控制台中,前往网络政策页面。

    前往“网络政策”页面

  2. 在网络政策列表中,找到要修改的网络政策。

  3. 点击行末的更多 图标,然后选择修改

  4. 在随即显示的页面上,根据需要调整网络政策。

  5. 点击保存

gcloud

如需更新网络政策,请使用 network-policies update 命令

gcloud vmware network-policies update NETWORK_POLICY_ID \
  --location LOCATION \
  --edge-services-cidr=EDGE_SERVICES_CIDR [--external-ip-access] \
  [--internet-access]

替换以下内容:

  • NETWORK_POLICY_ID:网络政策的名称
  • LOCATION:此网络政策的位置
  • EDGE_SERVICES_CIDR:在访问 VMware Engine 公共 IP 网关时使用的 IP 地址范围(/26 地址范围)
  • --external-ip-access:是否允许将外部 IP 地址分配给 VMware 工作负载。此外,还必须启用 --internet-access
  • --internet-access:VMWare 工作负载能否访问互联网

API

在 API 中,发出 PATCH 请求:

POST https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/networkPolicies?networkPolicyId=NETWORK_POLICY_ID

'{
  "internetAccess": INTERNET_ACCESS,
  "externalIp": EXTERNAL_IP,
  "edgeServicesCidr": "EDGE_SERVICES_CIDR"
}'

替换以下内容:

  • PROJECT_ID:此请求的项目
  • LOCATION:此网络政策的位置
  • NETWORK_POLICY_ID:此网络政策的名称
  • INTERNET_ACCESS:VMWare 工作负载是否可以访问互联网;将其设置为 truefalse
  • EXTERNAL_IP:是否允许将外部 IP 地址分配给 VMware 工作负载。还必须启用 internetAccess;将其设置为 truefalse
  • EDGE_SERVICES_CIDR:在访问 VMware Engine 公共 IP 网关时使用的 IP 地址范围(/26 地址范围)

删除网络政策

如需删除现有网络政策,请按以下步骤操作。

控制台

  1. 在 Google Cloud 控制台中,前往网络政策页面。

    前往“网络政策”页面

  2. 在网络政策列表中,找到要删除的网络政策。

  3. 点击行末的更多 图标,然后选择删除

gcloud

gcloud 中,使用 network-policies delete 命令

gcloud vmware network-policies delete NETWORK_POLICY_ID

NETWORK_POLICY_ID 替换为要删除的网络政策的名称。

API

向网络政策资源发出 DELETE 请求:

DELETE https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/networkPolicies/NETWORK_POLICY_ID

替换以下内容:

  • PROJECT_ID:此请求的项目
  • LOCATION:此网络政策的位置
  • NETWORK_POLICY_ID:此网络政策的名称

后续步骤