创建和管理网络政策

本文档介绍如何使用网络政策来控制您的 VMware 工作负载是否可以从互联网访问或从互联网进行访问。

每项网络政策都与一个 VMware Engine 网络相关联,VMware Engine 网络可以是区域网络,也可以是全球网络。标准 VMware Engine 网络是全球性资源,而旧版 VMware Engine 网络则是区域级资源。

网络政策适用于与 VMware Engine 网络关联的所有私有云。对于旧版网络,如果您在多个区域中部署了私有云,并且您希望启用互联网访问权限或外部 IP 地址服务,则必须在每个区域中创建网络政策。

创建网络政策

使用控制台、gcloud 或 API 创建网络政策。

控制台

如需使用 Google Cloud 控制台创建新的网络政策,请执行以下操作:

  1. 访问 Google Cloud 控制台
  2. 在主导航栏中,点击网络政策
  3. 点击创建

  4. 提供新网络政策的相关信息:

    • 网络政策名称:用于标识网络政策的名称
    • 网络政策说明:网络政策的说明
    • VMware Engine 网络:要与政策关联的 VMware Engine 网络
    • 区域:您希望应用网络政策的区域

  5. 政策详情部分中,启用或停用网络服务:

    • 互联网访问服务:启用后,VMware Engine 允许从内部 IP 地址到互联网的出站流量。

    • 外部 IP 地址服务:启用后,VMware Engine 允许您为关联私有云中的内部 IP 地址预留外部 IP 地址。外部 IP 地址提供从互联网访问内部 IP 地址的入站流量。

      此服务只有在同时启用互联网访问服务时才会启用。

  6. 边缘服务地址范围字段中,输入在访问 VMware Engine 公共 IP 网关时使用的 IP 地址范围(/26/26 地址范围)。

  7. 点击创建。VMware Engine 开始创建新的网络政策。

gcloud

gcloud 中,运行 network-policies create 命令:

gcloud vmware network-policies create NETWORK_POLICY_ID \
  --location LOCATION --vmware-engine-network NETWORK_ID \
  --edge-services-cidr=EDGE_SERVICES_CIDR [--external-ip-access] \
  [--internet-access]

替换以下内容:

  • NETWORK_POLICY_ID:此网络政策的名称
  • LOCATION:此网络政策的位置;该位置必须与 VMware Engine 网络一致
  • NETWORK_ID:VMware Engine 网络名称
  • EDGE_SERVICES_CIDR:对 VMware Engine 公共 IP 网关进行寻址(/26 地址范围)时使用的 IP 地址范围
  • --external-ip-access:是否启用将外部 IP 地址分配给 VMware 工作负载。还必须启用 --internet-access
  • --internet-access:VMWare 工作负载是否可以访问互联网

API

在 API 中,发出 POST 请求:

POST https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/networkPolicies?networkPolicyId=NETWORK_POLICY_ID

'{
  "internetAccess": INTERNET_ACCESS,
  "externalIp": EXTERNAL_IP,
  "vmwareEngineNetwork": "projects/PROJECT_ID/locations/LOCATION/vmwareEngineNetworks/NETWORK_ID"
  "edgeServicesCidr": "EDGE_SERVICES_CIDR"
}'

替换以下内容:

  • PROJECT_ID:此请求的项目
  • LOCATION:此网络政策的位置;该位置必须与 VMware Engine 网络一致
  • NETWORK_POLICY_ID:此网络政策的名称
  • INTERNET_ACCESS:VMWare 工作负载是否可以访问互联网;设置为 truefalse
  • EXTERNAL_IP:是否启用将外部 IP 地址分配给 VMware 工作负载。还必须启用 internetAccess;将其设置为 truefalse
  • NETWORK_ID:VMware Engine 网络名称
  • EDGE_SERVICES_CIDR:对 VMware Engine 公共 IP 网关进行寻址(/26 地址范围)时使用的 IP 地址范围

修改网络政策

控制台

如需使用 Google Cloud 控制台修改现有网络政策,请执行以下操作:

  1. 访问 Google Cloud 控制台
  2. 在主导航栏中,点击网络政策
  3. 在网络政策列表中,找到要修改的网络政策。
  4. 点击行末的更多 图标,然后选择修改
  5. 在显示的页面上,根据需要调整网络政策。
  6. 点击保存

gcloud

如需更新网络政策,请使用 network-policies update 命令。

gcloud vmware network-policies update NETWORK_POLICY_ID \
  --location LOCATION \
  --edge-services-cidr=EDGE_SERVICES_CIDR [--external-ip-access] \
  [--internet-access]

替换以下内容:

  • NETWORK_POLICY_ID:网络政策的名称
  • LOCATION:此网络政策的位置
  • EDGE_SERVICES_CIDR:对 VMware Engine 公共 IP 网关进行寻址(/26 地址范围)时使用的 IP 地址范围
  • --external-ip-access:是否启用将外部 IP 地址分配给 VMware 工作负载。还必须启用 --internet-access
  • --internet-access:VMWare 工作负载是否可以访问互联网

API

在 API 中,发出 PATCH 请求:

POST https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/networkPolicies?networkPolicyId=NETWORK_POLICY_ID

'{
  "internetAccess": INTERNET_ACCESS,
  "externalIp": EXTERNAL_IP,
  "edgeServicesCidr": "EDGE_SERVICES_CIDR"
}'

替换以下内容:

  • PROJECT_ID:此请求的项目
  • LOCATION:此网络政策的位置
  • NETWORK_POLICY_ID:此网络政策的名称
  • INTERNET_ACCESS:VMWare 工作负载是否可以访问互联网;设置为 truefalse
  • EXTERNAL_IP:是否启用将外部 IP 地址分配给 VMware 工作负载。还必须启用 internetAccess;将其设置为 truefalse
  • EDGE_SERVICES_CIDR:对 VMware Engine 公共 IP 网关进行寻址(/26 地址范围)时使用的 IP 地址范围

删除网络政策

如需删除现有网络政策,请按以下步骤操作。

控制台

  1. 访问 Google Cloud 控制台
  2. 在主导航栏中,点击网络政策
  3. 在网络政策列表中,找到要删除的网络政策。
  4. 点击行末的更多 图标,然后选择删除

gcloud

gcloud 中,使用 network-policies delete 命令。

gcloud vmware network-policies delete NETWORK_POLICY_ID

NETWORK_POLICY_ID 替换为要删除的网络政策的名称。

API

向网络政策资源发出 DELETE 请求:

DELETE https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/networkPolicies/NETWORK_POLICY_ID

替换以下内容:

  • PROJECT_ID:此请求的项目
  • LOCATION:此网络政策的位置
  • NETWORK_POLICY_ID:此网络政策的名称

后续步骤