Configura el acceso privado a servicios

El acceso privado a servicios es una conexión privada entre tu red de nube privada virtual (VPC) y las redes en VMware Engine. En esta página, se explica cómo configurar el acceso privado a los servicios en Google Cloud VMware Engine y cómo conectar una red de VPC a una nube privada.

El acceso privado a los servicios permite el siguiente comportamiento:

  • Comunicación exclusiva por dirección IP interna para instancias de máquina virtual (VM) en tu red de VPC y las VM de VMware. Las instancias de VM no necesitan acceso a Internet o direcciones IP externas para alcanzar los servicios que están disponibles a través del acceso privado a los servicios.
  • La comunicación entre las VM de VMware y los servicios compatibles de Google Cloud admite el acceso privado a los servicios mediante direcciones IP internas.
  • Uso de conexiones locales existentes para conectarte a tu nube privada de VMware Engine, si tienes conectividad local mediante Cloud VPN o Cloud Interconnect a tu red de VPC.

Puedes configurar el acceso privado a los servicios y crear las nubes privadas de VMware Engine por separado. La conexión privada se puede crear antes o después de la creación de la nube privada a la que deseas conectar tu red de VPC.

  1. Make sure that you have the following role or roles on the project: Compute > Network Admin

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Ir a IAM
    2. Selecciona el proyecto.
    3. Haz clic en Grant access.

    4. En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.

    5. En la lista Seleccionar un rol, elige un rol.
    6. Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
    7. Haz clic en Guardar.

    Antes de comenzar

    1. Para encontrar el ID del proyecto con intercambio de tráfico de tu red de VPC, sigue estos pasos:
      1. En la consola de Google Cloud, ve a Intercambio de tráfico entre redes de VPC. R Conexión de intercambio de tráfico entre redes de VPC con nombre servicenetworking-googleapis-com aparece en la tabla de intercambio de tráfico.
      2. Copia el ID del proyecto de intercambio de tráfico para poder usarlo mientras configuras una privada en el portal de VMware Engine.
    2. Selecciona una red de VPC para conectarte a tu acceso privado al servicio entre las opciones disponibles.
      • Si usas Cloud VPN para la conectividad local: selecciona la red de VPC que está conectada a tu Sesión de Cloud VPN.
      • Si usas Cloud Interconnect para conectividad local: Selecciona la red de VPC. donde finaliza tu adjunto de VLAN de Cloud Interconnect.
    3. Activa la API de Service Networking]Introducción a las redes de servicios en tu proyecto.
    4. Propietarios del proyecto y principales de IAM con el Función de administrador de red de Compute (roles/compute.networkAdmin) puede crear rangos de IP asignados y administrar conexiones privadas.
    5. Ingresa rangos de direcciones para la conexión de servicios privada, la administración de la nube privada y los segmentos de red de la carga de trabajo. Esto garantiza que no haya conflictos de direcciones IP entre tus subredes de red de VPC y las direcciones IP que usas en VMware Engine.

    Conectividad de VPC múltiple

    VMware Engine te permite acceder a la misma nube privada desde diferentes VPC sin necesidad de cambiar las arquitecturas de VPC existentes implementadas en Google Cloud. Por ejemplo, la conectividad de varias VPC es útil cuando tienes redes de VPC independientes para probar y desarrollar.

    Esta situación requiere que las VPC se comuniquen con las VM de VMware y otras direcciones de destino en grupos de recursos de vSphere independientes en la misma nube privada o en varias nubes privadas.

    De forma predeterminada, puedes intercambiar 3 redes de VPC por región. Esta incluye el intercambio de tráfico entre VPC que usa la Internet acceder al servicio de red. Para aumentar este límite, comunícate con Atención al cliente de Cloud.

    VPC compartida

    Si usas VPC compartida, crea el rango de IP asignado y la conexión privada en el proyecto host. Por lo general, un administrador de red en el proyecto host debe realizar estas tareas. Las instancias de VM en proyectos de servicio pueden usar la conexión privada después de que se configure el proyecto host.

    Crea una conexión privada

    Para crear una conexión privada, primero debes crear una VPC de Compute Engine y una conexión de acceso privado a servicios. Puedes hacer esto con el Google Cloud CLI:

    Crea una VPC de Compute Engine y una conexión de acceso privado a servicios con Google Cloud CLI.

    Para crear una VPC de Compute Engine y una conexión de acceso privado a servicios usando en Google Cloud CLI, haz lo siguiente:

    1. Ejecuta el comando gcloud compute networks create para crear una VPC:

      gcloud compute networks create NETWORK_ID-vpc \
    --subnet-mode=custom

      Reemplaza lo siguiente:

      • NETWORK_ID: Es el ID de red de esta solicitud.

    2. Para crear un rango reservado, ejecuta el comando gcloud compute addresses create:

      gcloud compute instances create VM_NAME \
  [--image=IMAGE | --image-family=IMAGE_FAMILY] \
  --image-project=IMAGE_PROJECT \
  --machine-type=MACHINE_TYPE
       
      gcloud compute addresses create RESERVED_RANGE_ID-range \
    --global \
    --purpose=VPC_PEERING \
    --prefix-length=24 \
    --description="DESCRIPTION" \
    --network=RESERVED_RANGE_ID-vpc

      Reemplaza lo siguiente:

      • RESERVED_RANGE_ID: el ID del rango reservado para esta solicitud.
      • DESCRIPTION: una descripción para esta reserva del rango de destino de la ruta.

    3. Opcional: Si quieres extraer un proyecto de usuario de redes de servicio (SNTP) y VPC para la conexión privada, ejecuta el comando gcloud compute networks peerings list:

      gcloud compute networks peerings list \
   --network=NETWORK_ID

      Busca el SNTP en la columna PEER_PROJECT y el SNVPC en PEER_NETWORK

    Crea una conexión privada con el tipo PRIVATE_SERVICE_ACCESS y el modo de enrutamiento GLOBAL mediante Google Cloud CLI o la API de VMware Engine:

    gcloud

    1. Para crear una conexión privada, ejecuta el comando gcloud vmware private-connections create:

      gcloud vmware private-connections create PRIVATE_CONNECTION_ID \
  --location=REGION\
  --description="" \
  --vmware-engine-network=REGION-default \
  --service-project=SERVICE_NETWORKING_TENANT_PROJECT\
  --type=PRIVATE_SERVICE_ACCESS \
  --routing-mode=GLOBAL

      Reemplaza lo siguiente:

      • PRIVATE_CONNECTION_ID: el privado el ID de conexión de esta solicitud.
      • REGION: Es la región en la que se creará esta red. en el que te etiquetaron.
      • SERVICE_NETWORKING_TENANT_PROJECT: Es el nombre del proyecto para el VPC del usuario de la red de servicios. Puedes encontrar el SNTP en la columna PEER_PROJECT del nombre del intercambio de tráfico servicenetworking-googleapis-com

    2. Opcional: Si deseas obtener una lista de tus conexiones privadas, ejecuta el comando gcloud vmware private-connections create:

        gcloud vmware private-connections list \
    --location=REGION

      Reemplaza lo siguiente:

      • REGION: Es la región de la red que se mostrará en la lista.

    API

    Para crear una VPC de Compute Engine y una conexión de acceso privado a servicios con la API de VMware Engine, haz lo siguiente:

    1. Crea una conexión privada mediante una solicitud POST: 

      POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections?private_connection_id=PRIVATE_CONNECTION_ID"
-d '{
  "description": "My first private connection",
  "vmware_engine_network":
"projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/REGION
-default",
  "type": "PRIVATE_SERVICE_ACCESS",
  "routing_mode": "GLOBAL",
  "service_network":
"projects/SERVICE_NETWORKING_TENANT_PROJECT/global/networks/servicenetworking"
}'

      Reemplaza lo siguiente:

      • PRIVATE_CONNECTION_ID: Es el ID de conexión privada de esta solicitud.
      • REGION: Es la región en la que se creará esta conexión privada.
      • SERVICE_NETWORKING_TENANT_PROJECT: el nombre del proyecto para esta VPC de usuario de Herramientas de redes de servicios. Puedes encontrar el SNTP en la columna PEER_PROJECT del nombre del intercambio de tráfico servicenetworking-googleapis-com

    2. Opcional: Si quieres enumerar tus conexiones privadas, crea una GET solicitud:

        GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections"

    Reemplaza lo siguiente:

    • PROJECT_ID: Es el nombre del proyecto para esto. para cada solicitud.
    • REGION: Es la región en la que se mostrará la lista privada. conexiones.

    Edita una conexión privada

    Puedes editar una conexión privada con Google Cloud CLI o API de VMware Engine. En el siguiente ejemplo, se cambia la descripción y se actualiza el modo de enrutamiento a REGIONAL:

    gcloud

    Ejecuta el comando gcloud vmware private-connections update para editar una conexión privada:

      gcloud vmware private-connections update PRIVATE_CONNECTION_ID \
    --location=REGION \
    --description="Updated description for the private connection" \
    --routing-mode=REGIONAL

    Reemplaza lo siguiente:

    • PROJECT_ID: Es el nombre del proyecto para esta solicitud.
    • REGION: Es la región en la que se actualizará esta conexión privada.
    • PRIVATE_CONNECTION_ID: Es la conexión privada. Es el ID de esta solicitud.

    API

    Para editar una conexión privada con la API de VMware Engine, crea una PATCH solicitud:

    PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID?update_mask=description, routing_mode" -d '{
  "description": "Updated description for the private connection",
  "routing_mode": "REGIONAL"
}'

    Reemplaza lo siguiente:

    • PROJECT_ID: Es el nombre del proyecto para esta solicitud.
    • REGION: Es la región en la que se actualizará esta conexión privada.
    • PRIVATE_CONNECTION_ID: Es la conexión privada. Es el ID de esta solicitud.

    Describe una conexión privada

    Para obtener una descripción de cualquier conexión privada con Google Cloud CLI, En la API de VMware Engine, haz lo siguiente:

    gcloud

    Ejecuta el comando gcloud vmware private-connections describe para obtener una descripción de una conexión privada:

      gcloud vmware private-connections describe PRIVATE_CONNECTION_ID \
    --location=REGION

    Reemplaza lo siguiente:

    • PRIVATE_CONNECTION_ID: Es la conexión privada. Es el ID de esta solicitud.
    • REGION: Es la región de la conexión privada.

    API

    Para obtener la descripción de una conexión privada usando el En la API de VMware Engine, haz una solicitud GET:

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID"

    Reemplaza lo siguiente:

    • PROJECT_ID: Es el nombre del proyecto de esta solicitud.
    • PRIVATE_CONNECTION_ID: Es la conexión privada. Es el ID de esta solicitud.
    • REGION: Es la región de la conexión privada.

    Enumera las rutas de intercambio de tráfico para una conexión privada

    Para enumerar las rutas de intercambio de tráfico intercambiadas por una conexión privada con el Google Cloud CLI o la API de VMware Engine, haz lo siguiente:

    gcloud

    Enumerar las rutas de intercambio de tráfico intercambiadas por una conexión privada ejecutando Comando gcloud vmware private-connections routes list:

      gcloud vmware private-connections routes list \
    --private-connection=PRIVATE_CONNECTION_ID \
    --location=REGION

    Reemplaza lo siguiente:

    • PRIVATE_CONNECTION_ID: Es la conexión privada. Es el ID de esta solicitud.
    • REGION: Es la región de la conexión privada.

    API

    Para enumerar las rutas de intercambio de tráfico intercambiadas por una conexión privada con el En la API de VMware Engine, crea una solicitud GET:

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID/peeringRoutes"

    Reemplaza lo siguiente:

    • PROJECT_ID: Es el nombre del proyecto para esta solicitud.
    • REGION: Es la región de la conexión privada.
    • PRIVATE_CONNECTION_ID: Es la conexión privada. Es el ID de esta solicitud.

    Límites de enrutamiento

    La cantidad máxima de rutas que una nube privada puede recibir es de 200. Para ejemplo, esas rutas pueden provenir de redes locales, redes de VPC y otras nubes privadas en la misma red de VPC. Este límite de ruta corresponde a la cantidad máxima de instancias de anuncios de ruta por límite de sesión de BGP.

    En una región determinada, puedes anunciar hasta 100 rutas únicas de VMware Engine a tu red de VPC mediante el acceso privado a los servicios. Por ejemplo, esas rutas únicas incluyen rangos de direcciones IP de administración de la nube privada, segmentos de red de carga de trabajo NSX-T y rangos de direcciones IP de la red HCX. Este límite de ruta incluye todas las nubes privadas en la región y corresponde al límite de ruta aprendidas de Cloud Router.

    Para obtener más información sobre los límites de enrutamiento, consulta Cuotas y límites.

    Soluciona problemas

    En el siguiente video, se muestra cómo verificar y solucionar problemas de intercambio de tráfico de conexión entre la VPC de Google Cloud y Google Cloud VMware Engine.

    ¿Qué sigue?