创建和管理网络政策
本文档介绍了如何使用网络政策来控制您的 VMware 工作负载能否访问互联网以及能够通过互联网访问 VMware 工作负载。
每项网络政策都与一个 VMware Engine 网络相关联,而 VMware Engine 网络可以是区域性的,也可以是全球性的。标准 VMware Engine 网络是全球性资源,而旧版 VMware Engine 网络是区域性资源。
网络政策适用于与 VMware Engine 网络关联的所有私有云。对于旧版网络,如果您在多个区域中部署了私有云,并且您希望启用互联网访问权限或外部 IP 地址服务,则您必须在每个区域中创建网络政策。
创建网络政策
使用控制台、gcloud
或 API 创建网络政策。
控制台
如需使用 Google Cloud 控制台创建新的网络政策,请执行以下操作:
在 Google Cloud 控制台中,前往网络政策页面。
点击创建。
提供新网络政策的相关信息:
- 网络政策名称:用于标识网络政策的名称
- 网络政策说明:网络政策的说明
- VMware Engine 网络:要与政策关联的 VMware Engine 网络
- 区域:您希望应用网络政策的区域
在政策详情部分中,启用或停用网络服务:
- 互联网访问服务:启用后,VMware Engine 允许从内部 IP 地址到互联网的出站流量。
外部 IP 地址服务:启用后,VMware Engine 允许您为关联私有云中的内部 IP 地址预留外部 IP 地址。外部 IP 地址提供从互联网访问内部 IP 地址的入站流量。
此服务只有在同时启用互联网访问服务时才会启用。
在边缘服务地址范围字段中,输入在访问 VMware Engine 公共 IP 网关时使用的 IP 地址范围(/26 地址范围)。
点击创建。VMware Engine 开始创建新的网络政策。
gcloud
在 gcloud
中,运行 network-policies create
命令:
gcloud vmware network-policies create NETWORK_POLICY_ID \ --location LOCATION --vmware-engine-network NETWORK_ID \ --edge-services-cidr=EDGE_SERVICES_CIDR [--external-ip-access] \ [--internet-access]
替换以下内容:
NETWORK_POLICY_ID
:此网络政策的名称LOCATION
:此网络政策的位置;此值必须与 VMware Engine 网络匹配NETWORK_ID
:VMware Engine 网络名称EDGE_SERVICES_CIDR
:在访问 VMware Engine 公共 IP 网关时使用的 IP 地址范围(/26 地址范围)--external-ip-access
:是否允许将外部 IP 地址分配给 VMware 工作负载。此外,还必须启用--internet-access
。--internet-access
:VMWare 工作负载能否访问互联网
API
在 API 中,发出 POST
请求:
POST https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/networkPolicies?networkPolicyId=NETWORK_POLICY_ID '{ "internetAccess": INTERNET_ACCESS, "externalIp": EXTERNAL_IP, "vmwareEngineNetwork": "projects/PROJECT_ID/locations/LOCATION/vmwareEngineNetworks/NETWORK_ID" "edgeServicesCidr": "EDGE_SERVICES_CIDR" }'
替换以下内容:
PROJECT_ID
:此请求的项目LOCATION
:此网络政策的位置;此值必须与 VMware Engine 网络匹配NETWORK_POLICY_ID
:此网络政策的名称INTERNET_ACCESS
:VMWare 工作负载是否可以访问互联网;将其设置为true
或false
EXTERNAL_IP
:是否允许将外部 IP 地址分配给 VMware 工作负载。还必须启用internetAccess
;将其设置为true
或false
。NETWORK_ID
:VMware Engine 网络名称EDGE_SERVICES_CIDR
:在访问 VMware Engine 公共 IP 网关时使用的 IP 地址范围(/26 地址范围)
修改网络政策
控制台
如需使用 Google Cloud 控制台修改现有网络政策,请执行以下操作:
在 Google Cloud 控制台中,前往网络政策页面。
在网络政策列表中,找到要修改的网络政策。
点击行末的更多
图标,然后选择修改。在随即显示的页面上,根据需要调整网络政策。
点击保存。
gcloud
如需更新网络政策,请使用 network-policies update
命令:
gcloud vmware network-policies update NETWORK_POLICY_ID \ --location LOCATION \ --edge-services-cidr=EDGE_SERVICES_CIDR [--external-ip-access] \ [--internet-access]
替换以下内容:
NETWORK_POLICY_ID
:网络政策的名称LOCATION
:此网络政策的位置EDGE_SERVICES_CIDR
:在访问 VMware Engine 公共 IP 网关时使用的 IP 地址范围(/26 地址范围)--external-ip-access
:是否允许将外部 IP 地址分配给 VMware 工作负载。此外,还必须启用--internet-access
。--internet-access
:VMWare 工作负载能否访问互联网
API
在 API 中,发出 PATCH
请求:
POST https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/networkPolicies?networkPolicyId=NETWORK_POLICY_ID '{ "internetAccess": INTERNET_ACCESS, "externalIp": EXTERNAL_IP, "edgeServicesCidr": "EDGE_SERVICES_CIDR" }'
替换以下内容:
PROJECT_ID
:此请求的项目LOCATION
:此网络政策的位置NETWORK_POLICY_ID
:此网络政策的名称INTERNET_ACCESS
:VMWare 工作负载是否可以访问互联网;将其设置为true
或false
EXTERNAL_IP
:是否允许将外部 IP 地址分配给 VMware 工作负载。还必须启用internetAccess
;将其设置为true
或false
。EDGE_SERVICES_CIDR
:在访问 VMware Engine 公共 IP 网关时使用的 IP 地址范围(/26 地址范围)
删除网络政策
如需删除现有网络政策,请按以下步骤操作。
控制台
在 Google Cloud 控制台中,前往网络政策页面。
在网络政策列表中,找到要删除的网络政策。
点击行末的更多
图标,然后选择删除。
gcloud
在 gcloud
中,使用 network-policies delete
命令:
gcloud vmware network-policies delete NETWORK_POLICY_ID
将 NETWORK_POLICY_ID
替换为要删除的网络政策的名称。
API
向网络政策资源发出 DELETE
请求:
DELETE https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/networkPolicies/NETWORK_POLICY_ID
替换以下内容:
PROJECT_ID
:此请求的项目LOCATION
:此网络政策的位置NETWORK_POLICY_ID
:此网络政策的名称