Configurar o acesso à Internet para VMs de carga de trabalho
Você configura o serviço de rede de acesso à Internet para cargas de trabalho da VMware no Google Cloud VMware Engine por região. Direcione o tráfego vinculado à Internet das cargas de trabalho de VMs usando a borda da Internet do Google Cloud ou uma conexão local.
As VMs de carga de trabalho que podem acessar a Internet também podem acessar os serviços do Google Cloud usando o Acesso privado do Google. O acesso aos serviços do Google Cloud usando o Acesso privado do Google permanece nas redes do Google Cloud e não sai para a Internet.
O serviço de rede de acesso à Internet é compatível com o seguinte:
- Até 100 endereços IP públicos para cada região
- Até 300 regras de firewall por tabela de firewall
- Capacidade de até 2 Gbps em 128 mil conexões simultâneas para cada região
- Protocolos TCP, UDP e ICMP
O serviço de rede de acesso à Internet não é compatível com a funcionalidade de gateway de nível de aplicativo (ALG, na sigla em inglês).
Antes de começar
Para alterar as configurações de acesso à Internet da nuvem privada, é preciso ter acesso de administrador ao VMware Engine.
Para ativar o acesso à Internet, você precisa de um intervalo de endereços CIDR de serviços Edge. Ao ativar os serviços de acesso à Internet ou de rede IP público, os gateways são implantados no contexto do locatário de serviço.
Use o intervalo de endereços CIDR dos serviços de borda para se direcionar aos gateways de IP público e da Internet do VMware Engine. O intervalo de endereços precisa atender aos seguintes requisitos:
- Estar em conformidade com o RFC 1918 como um intervalo particular.
- Não ter sobreposição com outros intervalos de endereços do VMware Engine, como o intervalo de endereço usado para dispositivos de gerenciamento ou segmentos NSX-T.
- Não se sobrepor a intervalos de endereços anunciados no VMware Engine, como aqueles usados para sub-redes de rede de nuvem privada virtual (VPC) ou redes locais;
- Dedique um intervalo de endereços IP com 26 bits de máscara de sub-rede (/26).
Configurar o serviço de acesso à Internet
Para permitir que as VMs de carga de trabalho tenham acesso à Internet, ative o serviço de rede de acesso à Internet. Por padrão, o serviço de rede de acesso à Internet está desativado.
Desativar o serviço de acesso à Internet em uma região
Para ativar o serviço de acesso à Internet em uma região, faça o seguinte:
- Acessar o portal do VMware Engine
- Acesse Rede > Configurações regionais.
- Na linha correspondente à região de interesse, selecione Editar. Se a região não estiver listada na tabela de resumo, adicione-a clicando em Adicionar região.
- Alterne a opção Acesso à Internet para Ativado.
- É possível ativar o acesso à Internet e deixar o serviço IP público desativado. Se você fizer isso, a VPN de ponto a site e a alocação de IP público não estarão disponíveis.
- No campo CIDR dos serviços de borda, insira o intervalo de endereços a ser usado quando se direcionar ao gateway de Internet do VMware Engine (intervalo de endereços /26).
- Clique em Enviar.
O status do serviço muda para Ativado quando a operação é concluída, geralmente após alguns minutos.
Desativar o serviço de acesso à Internet em uma região
Para desativar o serviço de acesso à Internet em uma região, faça o seguinte:
- Acessar o portal do VMware Engine
- Acesse Rede > Configurações regionais.
- Na linha correspondente à região de interesse, selecione Editar.
- Alterne o Acesso à Internet para Desativado.
- É necessário desativar o serviço de IP público antes de desativar o acesso à Internet.
- Exclua todos os endereços IP públicos alocados e gateways da VPN de ponto a site antes de desativar o serviço IP público.
- Clique em Enviar.
O status do serviço muda para Desativado quando a operação é concluída, geralmente após alguns minutos.
Usar uma conexão no local para acesso da carga de trabalho à Internet
Como opção, é possível direcionar o tráfego vinculado à Internet das VMs de carga de trabalho no VMware Engine por meio de uma conexão local. O tráfego é direcionado com base no estado a seguir:
- Divulgação de rota padrão (
0.0.0.0/0
) do local - Serviço de IP público do VMware Engine
- Serviço de acesso à Internet no VMware Engine
- VPC Service Controls na conexão de peering de VPC entre sua rede VPC e o VMware Engine
Ativar o roteamento do tráfego da Internet por uma conexão local
Para acessar a Internet a partir de suas VMs de carga de trabalho por meio de uma conexão
local, divulgue a rota padrão (0.0.0.0/0
) e ative os controles de serviço
da VPC na sua conexão de peering de VPC.
- Divulgar a rota padrão (
0.0.0.0/0
) do local por meio de uma conexão local (Cloud VPN ou Cloud Interconnect). Verifique o gateway do Cloud VPN ou o Cloud Router em que a conexão local com a VPN é encerrada. - Acessar o portal do VMware Engine
- Acesse Rede > Configurações regionais.
- Clique no ícone Editar da região em que você quer ativar o acesso à Internet usando uma conexão local.
Alterne o IP público para Desativado.
Alterne o Acesso à Internet para Desativado.
Clique em Enviar.
Para ativar os VPC Service Controls na conexão de peering de VPC entre sua rede VPC e o VMware Engine, use o comando
gcloud services vpc-peerings enable-vpc-service-controls
:gcloud services vpc-peerings enable-vpc-service-controls \ --network=VPC_NETWORK \ --service=servicenetworking.googleapis.com
Desativar o roteamento do tráfego da Internet por uma conexão local
Para desativar o roteamento do tráfego da Internet das VMs de carga de trabalho por meio de uma
conexão local, pare de divulgar a rota padrão (0.0.0.0/0
) e
desative os controles de serviço da VPC na conexão de peering da VPC.
Para desativar os VPC Service Controls na conexão de peering de VPC entre sua
rede VPC e o VMware Engine, use o
comando gcloud services vpc-peerings disable-vpc-service-controls
:
gcloud services vpc-peerings disable-vpc-service-controls \ --network=VPC_NETWORK \ --service=servicenetworking.googleapis.com
A seguir
- Aprenda a alocar um endereço IP público para uma VM na nuvem privada.
- Saiba como tabelas e regras de firewall filtram o tráfego de rede de entrada e saída em recursos de nuvem privada.