Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Configurar o acesso à Internet para VMs de carga de trabalho

Você configura o serviço de rede de acesso à Internet para cargas de trabalho da VMware no Google Cloud VMware Engine por região. Direcione o tráfego vinculado à Internet das cargas de trabalho de VMs usando a borda da Internet do Google Cloud ou uma conexão local.

As VMs de carga de trabalho que podem acessar a Internet também podem acessar os serviços do Google Cloud usando o Acesso privado do Google. O acesso aos serviços do Google Cloud usando o Acesso privado do Google permanece nas redes do Google Cloud e não sai para a Internet.

O serviço de rede de acesso à Internet é compatível com o seguinte:

  • Até 100 endereços IP públicos para cada região
  • Até 300 regras de firewall por tabela de firewall
  • Capacidade de até 2 Gbps em 128 mil conexões simultâneas para cada região
  • Protocolos TCP, UDP e ICMP

O serviço de rede de acesso à Internet não é compatível com a funcionalidade de gateway de nível de aplicativo (ALG, na sigla em inglês).

Antes de começar

Para alterar as configurações de acesso à Internet da nuvem privada, é preciso ter acesso de administrador ao VMware Engine.

Para ativar o acesso à Internet, você precisa de um intervalo de endereços CIDR de serviços Edge. Ao ativar os serviços de acesso à Internet ou de rede IP público, os gateways são implantados no contexto do locatário de serviço.

Use o intervalo de endereços CIDR dos serviços de borda para se direcionar aos gateways de IP público e da Internet do VMware Engine. O intervalo de endereços precisa atender aos seguintes requisitos:

  • Estar em conformidade com o RFC 1918 como um intervalo particular.
  • Não ter sobreposição com outros intervalos de endereços do VMware Engine, como o intervalo de endereço usado para dispositivos de gerenciamento ou segmentos NSX-T.
  • Não se sobrepor a intervalos de endereços anunciados no VMware Engine, como aqueles usados para sub-redes de rede de nuvem privada virtual (VPC) ou redes locais;
  • Dedique um intervalo de endereços IP com 26 bits de máscara de sub-rede (/26).

gcloud e requisitos de API

Para usar a ferramenta de linha de comando gcloud ou a API para gerenciar os recursos do VMware Engine, recomendamos configurar as ferramentas conforme descrito abaixo.

gcloud

  1. Defina o ID do projeto padrão:

    gcloud config set project PROJECT_ID
    
  2. Defina uma região e uma zona padrão:

    gcloud config set compute/region REGION
    gcloud config set compute/zone ZONE

Para mais informações sobre a ferramenta gcloud vmware, consulte os documentos de referência do SDK do Cloud.

API

Os exemplos de API neste conjunto de documentação usam a ferramenta de linha de comando cURL para consultar a API. Um token de acesso válido é necessário como parte da solicitação cURL. Há muitas maneiras de conseguir um token de acesso válido. As etapas a seguir usam a ferramenta gcloud para gerar um token de acesso:

  1. Fazer login no Google Cloud

    gcloud auth login
    
  2. Gerar token de acesso e exportar para TOKEN

    export TOKEN=`gcloud auth print-access-token`
    
  3. Verificar se o TOKEN está definido corretamente

    echo $TOKEN
    
    Output:
    TOKEN
    

Use agora o token de autorização nas solicitações para a API. Exemplo:

curl -X GET -H "Authorization: Bearer \"$TOKEN\""  -H "Content-Type: application/json; charset=utf-8" https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations

Configurar o serviço de acesso à Internet

Para permitir que as VMs de carga de trabalho tenham acesso à Internet, ative o serviço de rede de acesso à Internet. Por padrão, o serviço de rede de acesso à Internet está desativado.

Desativar o serviço de acesso à Internet em uma região

Console

Para ativar o serviço de acesso à Internet em uma região, faça o seguinte:

  1. Acessar o portal do VMware Engine
  2. Acesse Rede > Configurações regionais.
  3. Na linha correspondente à região de interesse, selecione Editar. Se a região não estiver listada na tabela de resumo, adicione-a clicando em Adicionar região.
  4. Alterne a opção Acesso à Internet para Ativado.
    • É possível ativar o acesso à Internet e deixar o serviço IP público desativado. Se você fizer isso, a VPN de ponto a site e a alocação de IP público não estarão disponíveis.
  5. No campo CIDR dos serviços de borda, insira o intervalo de endereços a ser usado quando se direcionar ao gateway de Internet do VMware Engine (intervalo de endereços /26).
  6. Selecione Enviar.

O status do serviço muda para Ativado quando a operação é concluída, geralmente após alguns minutos.

gcloud

Usando a ferramenta gcloud, execute o seguinte comando para criar uma política de rede:

gcloud vmware network-policies create NETWORK_POLICY_NAME \
    --vmware-engine-network projects/PROJECT_ID/locations/LOCATIONS/vmwareEngineNetworks/NETWORK_NAME \
    --edge-services-cidr IP_RANGE \
    --location REGION --internet-access

Substitua:

  • NETWORK_POLICY_NAME: o nome da política de rede. Ele precisa estar no formato REGION-default.
  • NETWORK_NAME: a rede em que essa política de rede é aplicável.
  • IP_RANGE: o intervalo CIDR a ser usado para gateways de acesso à Internet e gateways de acesso IP externo, em notação CIDR. É necessário um bloco CIDR RFC 1918 com um prefixo "/26".
  • REGION: a região da rede

API

curl -X POST -H "Authorization: Bearer TOKEN"  -H "Content-Type: application/json; charset=utf-8" https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies?networkPolicyId=NETWORK_POLICY_NAME -d "{
  "vmwareEngineNetwork":"projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/NETWORK_NAME",
  "edgeServiceCidr":IP_RANGE,
  "internetAccess: {
    "enabled": true
   },
   "externalIp": {
     "enabled": true
   }
}"

Substitua:

  • NETWORK_POLICY_NAME: o nome da política de rede. Ele precisa estar no formato REGION-default.
  • PROJECT_ID: o ID do projeto desta solicitação
  • REGION: a região da rede
  • IP_RANGE: o intervalo CIDR a ser usado para gateways de acesso à Internet e gateways de acesso IP externo, em notação CIDR. É necessário um bloco CIDR RFC 1918 com um prefixo "/26".
  • NETWORK_NAME: a rede a que essa política de rede se aplica, precisa estar no formato >REGION-default.

Desativar o serviço de acesso à Internet em uma região

Para desativar o serviço de acesso à Internet em uma região, faça o seguinte:

Console

  1. Acessar o portal do VMware Engine
  2. Acesse Rede > Configurações regionais.
  3. Na linha correspondente à região de interesse, selecione Editar.
  4. Alterne o Acesso à Internet para Desativado.
    • É necessário desativar o serviço de IP público antes de desativar o acesso à Internet.
    • Exclua todos os endereços IP públicos alocados e gateways da VPN de ponto a site antes de desativar o serviço IP público.
  5. Clique em Enviar.

O status do serviço muda para Desativado quando a operação é concluída, geralmente após alguns minutos.

gcloud

Usando a ferramenta gcloud, execute o seguinte comando para atualizar uma política de rede:

gcloud vmware network-policies update NETWORK_POLICY_NAME \
  --no-internet-access --location REGION

Substitua:

  • NETWORK_POLICY_NAME: o nome da política de rede.
  • REGION: a região da rede

API

curl -X PATCH -H "Authorization: Bearer TOKEN"  -H "Content-Type: application/json; charset=utf-8" https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME?updateMask=internetAccess.enabled,externalIp.enabled -d "{
  "internetAccess: {
    "enabled": false
 },
  "externalIp": {
    "enabled": false
   }
}"

Substitua:

  • PROJECT_ID: o ID do projeto desta solicitação
  • REGION: a região da rede
  • NETWORK_POLICY_NAME: o nome da política de rede

Usar uma conexão no local para acesso da carga de trabalho à Internet

Como opção, é possível direcionar o tráfego vinculado à Internet das VMs de carga de trabalho no VMware Engine por meio de uma conexão local. O tráfego é direcionado com base no estado a seguir:

  • Divulgação de rota padrão (0.0.0.0/0) do local
  • Serviço de IP público do VMware Engine
  • Serviço de acesso à Internet no VMware Engine
  • VPC Service Controls na conexão de peering de VPC entre sua rede VPC e o VMware Engine

Ativar o roteamento do tráfego da Internet por uma conexão local

Para acessar a Internet a partir das VMs da carga de trabalho por meio de uma conexão local, siga estas duas etapas:

  1. Divulgar a rota padrão (0.0.0.0/0) do local por meio de uma conexão local (Cloud VPN ou Cloud Interconnect). Verifique o gateway do Cloud VPN ou o Cloud Router em que a conexão local com a VPN é encerrada.
  2. Desative o acesso à Internet e o serviço de IP público para a rede do VMware Engine.

Console

  1. Acessar o portal do VMware Engine
  2. Acesse Rede > Configurações regionais.
  3. Clique no ícone Editar da região em que você quer ativar o acesso à Internet usando uma conexão local.
  4. Alterne o IP público para Desativado.

  5. Alterne o Acesso à Internet para Desativado.

  6. Clique em Enviar.

  7. Para ativar os VPC Service Controls na conexão de peering de VPC entre sua rede VPC e o VMware Engine, use o comando gcloud services vpc-peerings enable-vpc-service-controls:

    gcloud services vpc-peerings enable-vpc-service-controls \
       --network=VPC_NETWORK \
       --service=servicenetworking.googleapis.com

gcloud

Usando a ferramenta gcloud, execute o seguinte comando para atualizar uma política de rede:

gcloud vmware network-policies update NETWORK_POLICY_NAME \
  --no-internet-access --no-external-ip-address --location REGION

Substitua:

  • NETWORK_POLICY_NAME: o nome da política de rede.
  • REGION: a região da rede

Para ativar os VPC Service Controls na conexão de peering de VPC entre sua rede VPC e o VMware Engine, use o comando gcloud services vpc-peerings enable-vpc-service-controls:

gcloud services vpc-peerings enable-vpc-service-controls \
   --network=VPC_NETWORK \
   --service=servicenetworking.googleapis.com

API

curl -X PATCH -H "Authorization: Bearer TOKEN"  -H "Content-Type: application/json; charset=utf-8" https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/networkPolicies/NETWORK_POLICY_NAME?updateMask=internetAccess.enabled,externalIp.enabled -d "{
  "internetAccess: {
    "enabled": false
   },
  "externalIp: {
    "enabled": false
   }
}"

Para ativar os VPC Service Controls na conexão de peering de VPC entre sua rede VPC e o VMware Engine, use o comando gcloud services vpc-peerings enable-vpc-service-controls:

gcloud services vpc-peerings enable-vpc-service-controls \
   --network=VPC_NETWORK \
   --service=servicenetworking.googleapis.com

Desativar o roteamento do tráfego da Internet por uma conexão local

Para desativar o roteamento do tráfego da Internet das VMs de carga de trabalho por meio de uma conexão local, pare de divulgar a rota padrão (0.0.0.0/0) e desative os controles de serviço da VPC na conexão de peering da VPC.

Para desativar os VPC Service Controls na conexão de peering de VPC entre sua rede VPC e o VMware Engine, use o comando gcloud services vpc-peerings disable-vpc-service-controls:

gcloud services vpc-peerings disable-vpc-service-controls \
    --network=VPC_NETWORK \
    --service=servicenetworking.googleapis.com

A seguir