(Legacy) Private Verbindungen einrichten

Der Zugriff auf private Dienste ist eine private Verbindung zwischen Ihrem Virtual Private Cloud-Netzwerk (VPC) und Netzwerken in VMware Engine. Auf dieser Seite wird erläutert, wie Sie den Zugriff auf private Dienste auf Google Cloud VMware Engine einrichten und Ihrem VPC-Netzwerk mit Ihrer privaten Cloud verbinden.

Der private Dienstzugriff ermöglicht Folgendes:

  • Exklusive Kommunikation über interne IP-Adressen zwischen VM-Instanzen in Ihrem VPC-Netzwerk und den VMware-VMs. VM-Instanzen erfordern keinen Internetzugang oder externe IP-Adressen, um verfügbare Dienste über den Zugriff auf private Dienste zu erreichen.
  • Kommunikation zwischen VMware-VMs und von Google Cloudunterstützten Diensten, die den Zugriff auf private Dienste über interne IP-Adressen unterstützen.
  • Verwendung einer vorhandenen lokalen Verbindung, um eine Verbindung zu Ihrer privaten VMware Engine-Cloud herzustellen, wenn eine lokale Verbindung über Cloud VPN oder Cloud Interconnect zu Ihrem VPC-Netzwerk existiert.

Sie können private Dienstzugriffe unabhängig von der Erstellung der privaten Cloud in VMware Engine einrichten. Die private Verbindung kann vor oder nach der Erstellung der privaten Cloud erstellt werden, mit der Sie Ihr VPC-Netzwerk verbinden möchten.

Berechtigungen

  1. Make sure that you have the following role or roles on the project: Compute > Network Admin

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Zu IAM
    2. Wählen Sie das Projekt aus.
    3. Klicken Sie auf Zugriffsrechte erteilen.

    4. Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Das ist in der Regel die E-Mail-Adresse eines Google-Kontos.

    5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
    6. Klicken Sie auf Weitere Rolle hinzufügen, wenn Sie weitere Rollen zuweisen möchten.
    7. Klicken Sie auf Speichern.

    Hinweise

    1. Sie benötigen ein vorhandenes VPC-Netzwerk.
    2. Aktivieren Sie die Service Networking API in Ihrem Projekt.

    3. Zugriff auf private Dienste im VPC-Netzwerk konfigurieren, mit dem Sie eine Verbindung herstellen möchten.

    4. Suchen Sie die Peering-Projekt-ID Ihres VPC-Netzwerk, indem Sie Folgendes tun:

      1. Rufen Sie in der Google Cloud consoledas VPC-Netzwerk-Peering auf. Eine VPC-Netzwerk-Peering-Verbindung mit dem Namen servicenetworking-googleapis-com wird in der Peering-Tabelle aufgeführt.
      2. Kopieren Sie die Peering-Projekt-ID, damit Sie sie beim Einrichten einer privaten Verbindung in der Google Cloud -Konsole verwenden können.

    Multi-VPC-Konnektivität

    Mit VMware Engine können Sie über verschiedene VPC-Netzwerke auf dieselbe private Cloud zugreifen, ohne vorhandene VPC-Architekturen ändern zu müssen, die in Google Cloudbereitgestellt werden. Multi-VPC-Verbindungen sind beispielsweise nützlich, wenn Sie separate VPC-Netzwerke für Tests und Entwicklung haben.

    In dieser Situation müssen VPC-Netzwerke mit VMware-VMs oder anderen Zieladressen in separaten vSphere-Ressourcengruppen in derselben privaten Cloud oder in mehreren privaten Clouds kommunizieren.

    Standardmäßig können Sie drei VPC-Netzwerke pro Region über Peering verbinden. Dieses Peering-Limit umfasst das VPC-Peering, das vom Netzwerkdienst für den Internetzugriff verwendet wird. Wenden Sie sich an den Cloud-Kundendienst, um dieses Limit zu erhöhen.

    Eindeutigkeit von IP-Adressen

    Wenn Sie Ihr VPC-Netzwerk mit einem regionalen VMware Engine-Netzwerk verbinden, sollten Sie die folgenden Richtlinien beachten, um die Eindeutigkeit von IP-Adressen zu gewährleisten:

    • VMware Engine-IP-Bereiche und ‑Subnetze in Ihrem VPC-Netzwerk dürfen nicht dieselben IP-Adressbereiche verwenden.

    • VMware Engine-IP-Bereiche dürfen nicht in einen Subnetz-IP-Adressbereich in Ihrem VPC-Netzwerk passen. Subnetzrouten in Ihrem VPC-Netzwerk müssen die spezifischsten IP-Adressbereiche haben.

    • Lesen Sie die Übersicht über VPC-Netzwerkrouten sorgfältig durch, um mehr über die Funktionsweise von VPC-Netzwerkrouten zu erfahren.

    • Wenn Sie zwei oder mehr VMware Engine-Netzwerke mit demselben VPC-Netzwerk verbinden müssen, müssen Sie entweder eindeutige IP-Bereiche für jedes VMware Engine-Netzwerk verwenden oder die NSX-Verbindung nur für eines der VMware Engine-Netzwerke aktivieren, das dieselben IP-Bereiche wie ein anderes VMware Engine-Netzwerk verwendet.

    Private Verbindung erstellen

    Erstellen Sie eine private Verbindung in der Console, der Google Cloud CLI oder der REST API. Legen Sie in Ihrer Anfrage den Verbindungstyp auf PRIVATE_SERVICE_ACCESS und den Routingmodus auf GLOBAL-Routingmodus fest.

    Console

    1. Rufen Sie in der Google Cloud Console die Seite Private Verbindungen auf.

      Zu „Private Verbindungen“

    2. Klicken Sie auf Erstellen.

    3. Geben Sie einen Namen und eine Beschreibung für die Verbindung ein.

    4. Wählen Sie das VMware Engine-Netzwerk aus, mit dem Sie eine Verbindung herstellen möchten.

    5. Fügen Sie im Feld Peering-Projekt-ID die Peering-Projekt-ID ein, die Sie in den Voraussetzungen kopiert haben.

    6. Wählen Sie unter Typ der privaten Verbindung die Option Zugriff auf private Dienste aus.

    7. Wählen Sie den Routingmodus für diese VPC-Netzwerk-Peering-Verbindung aus. In den meisten Fällen empfehlen wir den globalen Routingmodus. Wenn Sie nicht möchten, dass Google-Dienste, die mit Ihrem VPC-Netzwerk über Peering verbunden sind, mit anderen Regionen kommunizieren, wählen Sie stattdessen den Routingmodus Regional aus. Bei dieser Auswahl wird der vorhandene Routingmodus überschrieben.

    8. Klicken Sie auf Senden.

    Wenn die Verbindung erstellt wurde, können Sie sie aus der Liste der privaten Verbindungen auswählen. Auf der Detailseite für jede private Verbindung werden der Routingmodus der privaten Verbindung und alle über VPC-Peering erlernten Routen angezeigt.

    In der Tabelle Exportierte Routen werden private Clouds angezeigt, die aus der Region abgerufen und über VPC-Peering exportiert wurden. Wenn mehrere VPC-Netzwerke mit demselben regionalen VMware Engine-Netzwerk verbunden sind, werden die von einem VPC-Netzwerk empfangenen Routen dem anderen VPC-Netzwerk nicht angeboten.

    gcloud

    1. Erstellen Sie mit dem Befehl gcloud vmware private-connections create eine private Verbindung:

      gcloud vmware private-connections create PRIVATE_CONNECTION_ID \
  --location=REGION\
  --description="" \
  --vmware-engine-network=NETWORK_ID \
  --service-project=SERVICE_NETWORKING_TENANT_PROJECT\
  --type=PRIVATE_SERVICE_ACCESS \
  --routing-mode=MODE

      Ersetzen Sie Folgendes:

      • PRIVATE_CONNECTION_ID: Der Name der privaten Verbindung, die erstellt werden soll.
      • REGION: die Region, in der diese private Verbindung erstellt werden soll. Sie muss mit der Region des VMware Engine-Netzwerks übereinstimmen.
      • NETWORK_ID: der Name des VMware Engine-Netzwerks
      • SERVICE_NETWORKING_TENANT_PROJECT: der Projektname für diese VPC des Dienstnetzwerk-Tenants. Sie finden die SNTP in der Spalte PEER_PROJECT des Peering-Namens servicenetworking-googleapis-com.
      • MODE: Der Routing-Modus, entweder GLOBAL oder REGIONAL

    2. Optional: Wenn Sie Ihre privaten Verbindungen auflisten möchten, führen Sie den gcloud vmware private-connections list-Befehl aus:

      gcloud vmware private-connections list \
    --location=REGION

      Ersetzen Sie Folgendes:

      • REGION: die Region des Netzwerks, das aufgelistet werden soll.

    API

    So erstellen Sie eine Compute Engine-VPC und eine Verbindung für den privaten Dienstzugriff mit der VMware Engine API:

    1. Erstellen Sie eine private Verbindung, indem Sie eine POST-Anfrage senden:

      POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections?private_connection_id=PRIVATE_CONNECTION_ID"

'{
  "description": "My first private connection",
  "vmware_engine_network":
"projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/NETWORK_ID
  "type": "PRIVATE_SERVICE_ACCESS",
  "routing_mode": "MODE",
  "service_network":
"projects/SERVICE_NETWORKING_TENANT_PROJECT/global/networks/SERVICE_NETWORK"
}'

      Ersetzen Sie Folgendes:

      • PRIVATE_CONNECTION_ID: der Name der privaten Verbindung für diese Anfrage
      • REGION: die Region, in der diese private Verbindung erstellt werden soll
      • NETWORK_ID: das VMware Engine-Netzwerk für diese Anfrage
      • SERVICE_NETWORKING_TENANT_PROJECT: der Projektname für diese VPC des Dienstnetzwerk-Tenants. Sie finden den SNTP in der Spalte PEER_PROJECT des Peering-Namens servicenetworking-googleapis-com.
      • SERVICE_NETWORK: das Netzwerk im Mandantenprojekt

    2. Optional: Wenn Sie Ihre privaten Verbindungen auflisten möchten, stellen Sie eine GET-Anfrage:

      GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections"

      Ersetzen Sie Folgendes:

      • PROJECT_ID: der Projektname für diese Anfrage.
      • REGION: die Region, in der die privaten Verbindungen aufgelistet werden sollen.

    Private Verbindung bearbeiten

    Sie können eine private Verbindung nach dem Erstellen bearbeiten. Nachdem Sie die NEG erstellt haben, können Sie den Routingmodus zwischen GLOBAL und REGIONAL ändern. In der Google Cloud CLI oder der API können Sie auch die Beschreibung der privaten Verbindung aktualisieren.`

    Console

    1. Rufen Sie in der Google Cloud Console die Seite Private Verbindungen auf.

      Zu „Private Verbindungen“

    2. Klicken Sie auf den Namen der privaten Verbindung, die Sie bearbeiten möchten.

    3. Klicken Sie auf der Detailseite auf Bearbeiten.

    4. Aktualisieren Sie die Beschreibung oder den Routing-Modus der Verbindung.

    5. Speichern Sie die Änderungen.

    gcloud

    Bearbeiten Sie eine private Verbindung mit dem Befehl gcloud vmware private-connections update:

    gcloud vmware private-connections update PRIVATE_CONNECTION_ID \
   --location=REGION \
   --description=DESCRIPTION \
   --routing-mode=MODE

    Ersetzen Sie Folgendes:

    • PROJECT_ID ist der Projektname für diese Anfrage.
    • REGION: die Region, in der diese private Verbindung aktualisiert werden soll
    • DESCRIPTION: die neue Beschreibung
    • PRIVATE_CONNECTION_ID: die ID der privaten Verbindung für diese Anfrage.
    • MODE: Der Routing-Modus, entweder GLOBAL oder REGIONAL

    API

    Wenn Sie eine private Verbindung mit der VMware Engine API bearbeiten möchten, stellen Sie eine PATCH-Anfrage:

    PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID?update_mask=description, routing_mode"

'{
  "description": "Updated description for the private connection",
  "routing_mode": "MODE"
}'

    Ersetzen Sie Folgendes:

    • PROJECT_ID ist der Projektname für diese Anfrage.
    • REGION: die Region, in der diese private Verbindung aktualisiert werden soll
    • PRIVATE_CONNECTION_ID ist der Name der privaten Verbindung für diese Anfrage.
    • MODE: Der Routing-Modus, entweder GLOBAL oder REGIONAL

    Private Verbindung beschreiben

    Sie können die Beschreibung einer beliebigen privaten Verbindung mit der Google Cloud CLI oder der VMware Engine API abrufen.

    gcloud

    Rufen Sie eine Beschreibung einer privaten Verbindung mit dem Befehl gcloud vmware private-connections describe ab:

    gcloud vmware private-connections describe PRIVATE_CONNECTION_ID \
    --location=REGION

    Ersetzen Sie Folgendes:

    • PRIVATE_CONNECTION_ID ist der Name der privaten Verbindung für diese Anfrage.
    • REGION: die Region der privaten Verbindung.

    API

    Wenn Sie eine Beschreibung einer privaten Verbindung mit der VMware Engine API abrufen möchten, stellen Sie eine GET-Anfrage:

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID"

    Ersetzen Sie Folgendes:

    • PROJECT_ID ist der Projektname für diese Anfrage.
    • PRIVATE_CONNECTION_ID ist der Name der privaten Verbindung für diese Anfrage.
    • REGION: die Region der privaten Verbindung.

    Wenn die gelöschten privaten Verbindungen nicht mehr in der Liste der privaten Verbindungen sichtbar sind, können Sie die Verbindung in derGoogle Cloud -Konsole löschen. Wenn Sie diesen Schritt in der falschen Reihenfolge ausführen, kann dies zu veralteten DNS-Einträgen in beiden Google Cloud -Projekten führen.

    Peering-Routen für eine private Verbindung auflisten

    So listen Sie die Peering-Routen auf, die für eine private Verbindung ausgetauscht wurden:

    Console

    1. Rufen Sie in der Google Cloud Console die Seite Private Verbindungen auf.

      Zu „Private Verbindungen“

    2. Klicken Sie auf den Namen der privaten Verbindung, die Sie aufrufen möchten.

    Auf der Detailseite werden importierte und exportierte Routen beschrieben.

    gcloud

    Führen Sie den Befehl gcloud vmware private-connections routes list aus, um die für eine private Verbindung ausgetauschten Peering-Routen aufzulisten:

    gcloud vmware private-connections routes list \
    --private-connection=PRIVATE_CONNECTION_ID \
    --location=REGION

    Ersetzen Sie Folgendes:

    • PRIVATE_CONNECTION_ID ist der Name der privaten Verbindung für diese Anfrage.
    • REGION: die Region der privaten Verbindung.

    API

    Wenn Sie die für eine private Verbindung ausgetauschten Peering-Routen mit der VMware Engine API auflisten möchten, stellen Sie eine GET-Anfrage:

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID/peeringRoutes"

    Ersetzen Sie Folgendes:

    • PROJECT_ID ist der Projektname für diese Anfrage.
    • REGION: die Region der privaten Verbindung.
    • PRIVATE_CONNECTION_ID ist der Name der privaten Verbindung für diese Anfrage.

    Routing-Limits

    Die maximale Anzahl von Routen, die eine private Cloud empfangen kann, ist 200. Diese Routen können beispielsweise von lokalen Netzwerken, Peering-VPC-Netzwerken und anderen privaten Clouds im selben VPC-Netzwerk stammen. Dieses Routenlimit entspricht der maximalen Anzahl von benutzerdefinierten Route Advertisements pro BGP-Sitzung auf dem Cloud Router.

    In einer bestimmten Region können Sie maximal 100 eindeutige Routen von VMware Engine zu Ihrem VPC-Netzwerk weitergeben. Verwenden Sie dazu den privaten Dienstzugriff. Zu diesen eindeutigen Routen gehören beispielsweise IP-Adressbereiche für die private Cloudverwaltung, Netzwerksegmente für NSX-Arbeitslasten und interne IP-Adressbereiche des HCX. Dieses Routenlimit umfasst alle privaten Clouds in der Region und entspricht dem Limit für erkannte Routen des Cloud Router.

    Informationen zu Routing-Limits finden Sie unter Kontingente und Limits für Cloud Router.

    Fehlerbehebung

    Im folgenden Video wird gezeigt, wie Sie Probleme mit Peering-Verbindungen zwischen Google Cloud VPC und Google Cloud VMware Engine prüfen und beheben.

    Nächste Schritte