Internetzugang für Arbeitslast-VMs konfigurieren

Sie konfigurieren den Internetzugriffsnetzwerkdienst für VMware-Arbeitslasten in Google Cloud VMware Engine pro Region. Sie können Internettraffic von Ihren Arbeitslasten-VMware mithilfe der Internet-Edge von Google Cloud oder einer lokalen Verbindung leiten.

Arbeitslast-VMs, die auf das Internet zugreifen können, können auch über den privaten Google-Zugriff auf Google Cloud-Dienste zugreifen. Der Zugriff auf Google Cloud-Dienste mit privatem Google-Zugriff verbleibt in Google Cloud-Netzwerken und geht nicht ins Internet.

Der Netzwerkdienst für den Internetzugang unterstützt Folgendes:

  • Bis zu 100 öffentliche IP-Adressen für jede Region
  • Bis zu 300 Firewallregeln pro Firewalltabelle
  • Durchsatz von bis zu 2 Gbit/s über 128.000 gleichzeitige Verbindungen für jede Region
  • TCP-, UDP- und ICMP-Protokolle

Der Netzwerkdienst für den Internetzugang unterstützt keine ALG-Funktionen (Application Level Gateway).

Vorbereitung

Um Änderungen an den Einstellungen für den Internetzugriff Ihrer privaten Cloud vorzunehmen, benötigen Sie Administratorzugriff auf VMware Engine.

Um den Internetzugriff zu aktivieren, benötigen Sie einen CIDR-Adressbereich für Edge-Dienste. Wenn Sie den Internetzugang oder öffentliche IP-Netzwerkdienste aktivieren, werden Gateways im Kontext des Dienstmandanten bereitgestellt.

Verwenden Sie den CIDR-Adressbereich für Edge-Dienste für die Adressierung von Internet- und öffentlichen IP-Gateways von VMware Engine. Der Adressbereich muss die folgenden Anforderungen erfüllen:

  • Halten Sie RFC 1918 als privaten Bereich ein.
  • Sie dürfen sich nicht mit anderen VMware Engine-Adressbereichen überschneiden, wie z. B. dem Adressbereich für Verwaltungsgeräte oder NSX-T-Segmente.
  • Sie dürfen sich nicht mit Adressbereichen überschneiden, die in VMware Engine beworben werden, beispielsweise aus VPC-Netzwerk-Subnetzen oder aus lokalen Netzwerken.
  • Geben Sie einen IP-Adressbereich mit 26 Subnetzmasken-Bits (/26) an.

Internetzugriffsdienst konfigurieren

Sie können Ihren Arbeitslast-VMs Zugriff auf das Internet gewähren, indem Sie den Internetzugriffs-Netzwerkdienst aktivieren. Standardmäßig ist der Netzwerkdienst zum Internetzugriff deaktiviert.

Internetzugriffsdienst in einer Region aktivieren

So aktivieren Sie den Internetzugriffsdienst in einer Region:

  1. Zugriff auf das VMware Engine Portal
  2. Gehen Sie zu Netzwerk > Regionale Einstellungen.
  3. Wählen Sie in der Zeile, die dem gewünschten Bereich entspricht, Bearbeiten aus. Wenn die Region nicht in der Übersichtstabelle aufgeführt ist, fügen Sie die Region hinzu. Klicken Sie dazu auf Region hinzufügen.
  4. Stellen Sie den Internetzugriff auf Aktiviert ein.
    • Sie können den Internetzugriff aktivieren und den öffentlichen IP-Dienst deaktiviert lassen. In diesem Fall sind Point-to-Site-VPN und die öffentliche IP-Zuweisung nicht verfügbar.
  5. Geben Sie im Feld Edge Services CIDR den Adressbereich ein, der bei der Adressierung des VMware Engine-Internetgateways (Adressbereich /26) verwendet werden soll.
  6. Klicken Sie auf Senden.

Wenn der Vorgang abgeschlossen ist, ändert sich der Status des Dienstes in Aktiviert (in der Regel nach einigen Minuten).

Internetzugriffsdienst in einer Region deaktivieren

So deaktivieren Sie den Internetzugriffsdienst in einer Region:

  1. Zugriff auf das VMware Engine Portal
  2. Gehen Sie zu Netzwerk > Regionale Einstellungen.
  3. Wählen Sie in der Zeile, die dem gewünschten Bereich entspricht, Bearbeiten aus.
  4. Ändern Sie die Einstellung für Internetzugriff auf Deaktiviert.
    • Sie müssen den öffentlichen IP-Dienst deaktivieren, bevor Sie den Internetzugriff deaktivieren können.
    • Sie müssen alle zugewiesenen öffentlichen IP-Adressen und Point-to-Site-VPN-Gateways löschen, bevor Sie den öffentlichen IP-Dienst deaktivieren können.
  5. Klicken Sie auf Senden.

Wenn der Vorgang abgeschlossen ist, ändert sich der Status des Dienstes in Deaktiviert (in der Regel nach einigen Minuten).

Lokale Verbindung für den Arbeitslast-Internetzugriff verwenden

Optional können Sie Internet-Traffic von Ihren Arbeitslast-VMs in VMware Engine über eine lokale Verbindung weiterleiten. Der Traffic wird anhand des Status der folgenden Elemente weitergeleitet:

  • Standardmäßiges Route Advertisement (0.0.0.0/0) aus lokaler Umgebung
  • Öffentlicher IP-Dienst von VMware Engine
  • Internetzugriffsdienst von VMware Engine
  • VPC-Dienstkontrollen für die VPC-Peering-Verbindung zwischen Ihrem VPC-Netzwerk und VMware Engine

Routing von Internettraffic über eine lokale Verbindung aktivieren

Wenn Sie von Ihren Arbeitslast-VMs über eine lokale Verbindung auf das Internet zugreifen möchten, bieten Sie die Standardroute (0.0.0.0/0) an und aktivieren Sie VPC-Dienstkontrollen für Ihre VPC-Peering-Verbindung.

  1. Bieten Sie die Standardroute (0.0.0.0/0) lokal von einer lokalen Verbindung (Cloud VPN oder Cloud Interconnect) an. Prüfen Sie das Cloud VPN-Gateway oder den Cloud Router, in dem die lokale Verbindung zu Ihrem VPN endet.
  2. Zugriff auf das VMware Engine Portal
  3. Gehen Sie zu Netzwerk > Regionale Einstellungen.
  4. Klicken Sie auf das Symbol Bearbeiten für die Region, in der Sie den Internetzugriff über eine lokale Verbindung aktivieren möchten.
  5. Ändern Sie die Option Öffentliche IP-Adresse auf Deaktiviert.

  6. Ändern Sie die Einstellung für Internetzugriff auf Deaktiviert.

  7. Klicken Sie auf Senden.

  8. Aktivieren Sie mit dem Befehl gcloud services vpc-peerings enable-vpc-service-controls VPC Service Controls für die VPC-Peering-Verbindung zwischen Ihrem VPC-Netzwerk und VMware Engine:

    gcloud services vpc-peerings enable-vpc-service-controls \
       --network=VPC_NETWORK \
       --service=servicenetworking.googleapis.com

Routing von Internet-Traffic über eine lokale Verbindung deaktivieren

Wenn Sie das Routing von Internettraffic von Ihren Arbeitslast-VMs über eine lokale Verbindung deaktivieren möchten, beenden Sie das Advertising der Standardroute (0.0.0.0/0) und deaktivieren Sie VPC-Dienstkontrollen für die VPC-Peering-Verbindung.

Nutzen Sie folgenden gcloud services vpc-peerings disable-vpc-service-controls-Befehl, um die VPC Service Controls für die VPC-Peering-Verbindung zwischen Ihrer VPC-Netzwerk und VMware Engine zu deaktivieren:

gcloud services vpc-peerings disable-vpc-service-controls \
    --network=VPC_NETWORK \
    --service=servicenetworking.googleapis.com

Nächste Schritte