(Alt) Private Verbindungen einrichten

Der Zugriff auf private Dienste ist eine private Verbindung zwischen Ihrem Virtual Private Cloud-Netzwerk (VPC) und Netzwerken in VMware Engine. Auf dieser Seite wird erläutert, wie Sie den Zugriff auf private Dienste auf Google Cloud VMware Engine einrichten und Ihrem VPC-Netzwerk mit Ihrer privaten Cloud verbinden.

Der private Dienstzugriff ermöglicht Folgendes:

  • Exklusive Kommunikation über interne IP-Adressen zwischen VM-Instanzen in Ihrem VPC-Netzwerk und den VMware-VMs. VM-Instanzen erfordern keinen Internetzugang oder externe IP-Adressen, um verfügbare Dienste über den Zugriff auf private Dienste zu erreichen.
  • Kommunikation zwischen VMs von VMware und von Google Cloud unterstützten Diensten, die den Zugriff auf private Dienste über interne IP-Adressen unterstützen.
  • Verwendung einer vorhandenen lokalen Verbindung, um eine Verbindung zu Ihrer privaten VMware Engine-Cloud herzustellen, wenn eine lokale Verbindung über Cloud VPN oder Cloud Interconnect zu Ihrem VPC-Netzwerk existiert.

Sie können private Dienstzugriffe unabhängig von der Erstellung der privaten Cloud in VMware Engine einrichten. Die private Verbindung kann vor oder nach der Erstellung der privaten Cloud erstellt werden, mit der Sie Ihr VPC-Netzwerk verbinden möchten.

Berechtigungen

  1. Make sure that you have the following role or roles on the project: Compute > Network Admin

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      IAM aufrufen
    2. Wählen Sie das Projekt aus.
    3. Klicken Sie auf Zugriff erlauben.

    4. Geben Sie im Feld Neue Hauptkonten Ihre Nutzer-ID ein. Dies ist in der Regel die E-Mail-Adresse eines Google-Kontos.

    5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
    6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
    7. Klicken Sie auf Speichern.

    Hinweise

    1. Sie benötigen ein vorhandenes VPC-Netzwerk.
    2. Aktivieren Sie die Service Networking API in Ihrem Projekt.

    3. Konfigurieren Sie den Zugriff auf private Dienste im VPC-Netzwerk, mit dem Sie eine Verbindung herstellen möchten.

    4. So finden Sie die Peering-Projekt-ID Ihres VPC-Netzwerk:

      1. Gehen Sie in der Google Cloud Console zu VPC-Netzwerk-Peering. Eine VPC-Netzwerk-Peering-Verbindung mit dem Namen servicenetworking-googleapis-com wird in der Peering-Tabelle aufgeführt.
      2. Kopieren Sie die Peering-Projekt-ID, damit Sie sie beim Einrichten einer privaten Verbindung in der Google Cloud Console verwenden können.

    Multi-VPC-Konnektivität

    Mit VMware Engine können Sie über verschiedene VPC-Netzwerke auf dieselbe private Cloud zugreifen, ohne vorhandene VPC-Architekturen ändern zu müssen, die in Google Cloud bereitgestellt werden. Multi-VPC-Verbindungen sind beispielsweise nützlich, wenn Sie separate VPC-Netzwerke für Tests und Entwicklung haben.

    In dieser Situation müssen VPC-Netzwerke mit VMware-VMs oder anderen Zieladressen in separaten vSphere-Ressourcengruppen in derselben privaten Cloud oder in mehreren privaten Clouds kommunizieren.

    Standardmäßig können Sie drei VPC-Netzwerke pro Region über Peering verbinden. Dieses Peering-Limit umfasst das VPC-Peering, das vom Netzwerkdienst für den Internetzugriff verwendet wird. Wenden Sie sich an den Cloud-Kundendienst, um dieses Limit zu erhöhen.

    Eindeutigkeit der IP-Adresse

    Wenn Sie Ihr VPC-Netzwerk mit einem regionalen VMware Engine-Netzwerk verbinden, beachten Sie die folgenden Richtlinien, um für eindeutige IP-Adressen zu sorgen:

    • Die IP-Adressbereiche von VMware Engine und die Subnetze in Ihrem VPC-Netzwerk dürfen nicht dieselben IP-Adressbereiche verwenden.

    • Die IP-Bereiche der VMware Engine dürfen nicht in einen IP-Adressbereich eines Subnetzes in Ihrem VPC-Netzwerk fallen. Subnetzrouten in Ihrem VPC-Netzwerk müssen die spezifischsten IP-Adressbereiche haben.

    • In der Übersicht zu VPC-Netzwerkrouten finden Sie weitere Informationen zur Funktionsweise von VPC-Netzwerkrouten.

    • Wenn Sie zwei oder mehr VMware Engine-Netzwerke mit demselben VPC-Netzwerk verbinden möchten, müssen Sie entweder für jedes VMware Engine-Netzwerk eindeutige IP-Bereiche verwenden oder die NSX-T-Verbindung nur für eines der VMware Engine-Netzwerke mit denselben IP-Bereichen wie ein anderes VMware Engine-Netzwerk aktivieren.

    Private Verbindung erstellen

    Erstellen Sie eine private Verbindung in der Console, der Google Cloud CLI oder der REST API. Legen Sie in Ihrer Anfrage den Verbindungstyp auf PRIVATE_SERVICE_ACCESS und den Routingmodus auf GLOBAL fest.

    Console

    1. Rufen Sie in der Google Cloud Console die Seite Private Verbindungen auf.

      Zu „Private Verbindungen“

    2. Klicken Sie auf Erstellen.

    3. Geben Sie einen Namen und eine Beschreibung für die Verbindung ein.

    4. Wählen Sie das VMware Engine-Netzwerk aus, mit dem Sie eine Verbindung herstellen möchten.

    5. Fügen Sie im Feld Peering-Projekt-ID die Peering-Projekt-ID ein, die Sie in den Voraussetzungen kopiert haben.

    6. Wählen Sie unter Typ der privaten Verbindung die Option Zugriff auf private Dienste aus.

    7. Wählen Sie den Routingmodus für diese VPC-Netzwerk-Peering-Verbindung aus. In den meisten Fällen empfehlen wir den globalen Routingmodus. Wenn Sie nicht möchten, dass Google-Dienste, die mit Ihrem VPC-Netzwerk über Peering verbunden sind, mit anderen Regionen kommunizieren, wählen Sie stattdessen den Routingmodus Regional aus. Bei dieser Auswahl wird der vorhandene Routingmodus überschrieben.

    8. Klicken Sie auf Senden.

    Nachdem die Verbindung erstellt wurde, können Sie sie aus der Liste der privaten Verbindungen auswählen. Auf der Detailseite für jede private Verbindung werden der Routingmodus der privaten Verbindung und alle über VPC-Peering erlernten Routen angezeigt.

    In der Tabelle Exportierte Routen sind private Clouds aufgeführt, die aus der Region abgerufen und über VPC-Peering exportiert wurden. Wenn mehrere VPC-Netzwerke mit demselben regionalen VMware Engine-Netzwerk verbunden sind, werden die von einem VPC-Netzwerk empfangenen Routen dem anderen VPC-Netzwerk nicht angeboten.

    gcloud

    1. Erstellen Sie eine private Verbindung, indem Sie den Befehl gcloud vmware private-connections create ausführen:

      gcloud vmware private-connections create PRIVATE_CONNECTION_ID \
  --location=REGION\
  --description="" \
  --vmware-engine-network=NETWORK_ID \
  --service-project=SERVICE_NETWORKING_TENANT_PROJECT\
  --type=PRIVATE_SERVICE_ACCESS \
  --routing-mode=MODE

      Ersetzen Sie Folgendes:

      • PRIVATE_CONNECTION_ID: Der Name der zu erstellenden privaten Verbindung.
      • REGION: die Region, in der diese private Verbindung erstellt werden soll. Sie muss mit der VMware Engine-Netzwerkregion übereinstimmen.
      • NETWORK_ID: Name des VMware Engine-Netzwerks
      • SERVICE_NETWORKING_TENANT_PROJECT: der Projektname für das VPC des Dienstnetzwerkmieters. Sie finden den SNTP in der Spalte PEER_PROJECT des Peeringnamens servicenetworking-googleapis-com.
      • MODE: Routingmodus, entweder GLOBAL oder REGIONAL

    2. Optional: Wenn Sie Ihre privaten Verbindungen auflisten möchten, führen Sie den Befehl gcloud vmware private-connections list aus:

      gcloud vmware private-connections list \
    --location=REGION

      Ersetzen Sie Folgendes:

      • REGION: die Region des Netzwerks, das aufgeführt werden soll.

    API

    So erstellen Sie mit der VMware Engine API eine Compute Engine-VPC und eine Verbindung für den privaten Dienstzugriff:

    1. Erstellen Sie eine private Verbindung, indem Sie eine POST-Anfrage senden:

      POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections?private_connection_id=PRIVATE_CONNECTION_ID"

'{
  "description": "My first private connection",
  "vmware_engine_network":
"projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/NETWORK_ID
  "type": "PRIVATE_SERVICE_ACCESS",
  "routing_mode": "MODE",
  "service_network":
"projects/SERVICE_NETWORKING_TENANT_PROJECT/global/networks/SERVICE_NETWORK"
}'

      Ersetzen Sie Folgendes:

      • PRIVATE_CONNECTION_ID: der Name der privaten Verbindung für diese Anfrage
      • REGION: die Region, in der diese private Verbindung erstellt werden soll
      • NETWORK_ID: das VMware Engine-Netzwerk für diese Anfrage
      • SERVICE_NETWORKING_TENANT_PROJECT: der Projektname für das VPC des Dienstnetzwerkmieters. Sie finden den SNTP in der Spalte PEER_PROJECT des Peeringnamens.servicenetworking-googleapis-com
      • SERVICE_NETWORK: das Netzwerk im Mandantenprojekt

    2. Optional: Wenn Sie Ihre privaten Verbindungen auflisten möchten, senden Sie eine GETAnfrage:

      GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections"

      Ersetzen Sie Folgendes:

      • PROJECT_ID: der Projektname für diese Anfrage.
      • REGION: die Region, in der die privaten Verbindungen aufgeführt werden sollen.

    Private Verbindung bearbeiten

    Sie können eine private Verbindung nach dem Erstellen bearbeiten. Nach dem Erstellen können Sie den Routingmodus zwischen GLOBAL und REGIONAL ändern. In der Google Cloud CLI oder in der API können Sie auch die Beschreibung der privaten Verbindung aktualisieren.`

    Console

    1. Rufen Sie in der Google Cloud Console die Seite Private Verbindungen auf.

      Zu „Private Verbindungen“

    2. Klicken Sie auf den Namen der privaten Verbindung, die Sie bearbeiten möchten.

    3. Klicken Sie auf der Detailseite auf Bearbeiten.

    4. Aktualisieren Sie die Beschreibung oder den Routing-Modus der Verbindung.

    5. Speichern Sie die Änderungen.

    gcloud

    Bearbeiten Sie eine private Verbindung mit dem Befehl gcloud vmware private-connections update:

    gcloud vmware private-connections update PRIVATE_CONNECTION_ID \
   --location=REGION \
   --description=DESCRIPTION \
   --routing-mode=MODE

    Ersetzen Sie Folgendes:

    • PROJECT_ID: der Projektname für diese Anfrage
    • REGION: die Region, in der diese private Verbindung aktualisiert werden soll
    • DESCRIPTION: die neue zu verwendende Beschreibung
    • PRIVATE_CONNECTION_ID: die ID der privaten Verbindung für diese Anfrage
    • MODE: Routingmodus, entweder GLOBAL oder REGIONAL

    API

    Wenn Sie eine private Verbindung mit der VMware Engine API bearbeiten möchten, senden Sie eine PATCH-Anfrage:

    PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID?update_mask=description, routing_mode"

'{
  "description": "Updated description for the private connection",
  "routing_mode": "MODE"
}'

    Ersetzen Sie Folgendes:

    • PROJECT_ID: der Projektname für diese Anfrage
    • REGION: die Region, in der diese private Verbindung aktualisiert werden soll
    • PRIVATE_CONNECTION_ID: der Name der privaten Verbindung für diese Anfrage
    • MODE: Routingmodus, entweder GLOBAL oder REGIONAL

    Private Verbindung beschreiben

    Sie können die Beschreibung einer privaten Verbindung mit der Google Cloud CLI oder der VMware Engine API abrufen.

    gcloud

    Führen Sie den Befehl gcloud vmware private-connections describe aus, um eine Beschreibung einer privaten Verbindung abzurufen:

    gcloud vmware private-connections describe PRIVATE_CONNECTION_ID \
    --location=REGION

    Ersetzen Sie Folgendes:

    • PRIVATE_CONNECTION_ID: der Name der privaten Verbindung für diese Anfrage
    • REGION: die Region der privaten Verbindung.

    API

    Wenn Sie eine Beschreibung einer privaten Verbindung mit der VMware Engine API abrufen möchten, senden Sie eine GET-Anfrage:

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID"

    Ersetzen Sie Folgendes:

    • PROJECT_ID: der Projektname für diese Anfrage.
    • PRIVATE_CONNECTION_ID: der Name der privaten Verbindung für diese Anfrage.
    • REGION: die Region der privaten Verbindung.

    Wenn die gelöschten privaten Verbindungen nicht mehr in der Liste der privaten Verbindungen sichtbar sind, können Sie die Verbindung in der Google Cloud Console löschen. Wenn Sie diesen Schritt in der richtigen Reihenfolge ausführen, kann dies zu veralteten DNS-Einträgen in beiden Google Cloud-Projekten führen.

    Peering-Routen für eine private Verbindung auflisten

    So listen Sie die Peering-Routen auf, die für eine private Verbindung ausgetauscht werden:

    Console

    1. Rufen Sie in der Google Cloud Console die Seite Private Verbindungen auf.

      Zu „Private Verbindungen“

    2. Klicken Sie auf den Namen der privaten Verbindung, die Sie aufrufen möchten.

    Auf der Detailseite werden importierte und exportierte Routen beschrieben.

    gcloud

    Führen Sie den Befehl gcloud vmware private-connections routes list aus, um Peering-Routen aufzulisten, die für eine private Verbindung ausgetauscht wurden:

    gcloud vmware private-connections routes list \
    --private-connection=PRIVATE_CONNECTION_ID \
    --location=REGION

    Ersetzen Sie Folgendes:

    • PRIVATE_CONNECTION_ID: der Name der privaten Verbindung für diese Anfrage.
    • REGION: die Region der privaten Verbindung.

    API

    Wenn Sie die Peering-Routen auflisten möchten, die für eine private Verbindung mit der VMware Engine API ausgetauscht wurden, senden Sie eine GET-Anfrage:

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID/peeringRoutes"

    Ersetzen Sie Folgendes:

    • PROJECT_ID: der Projektname für diese Anfrage.
    • REGION: die Region der privaten Verbindung.
    • PRIVATE_CONNECTION_ID: der Name der privaten Verbindung für diese Anfrage.

    Routing-Limits

    Die maximale Anzahl von Routen, die eine private Cloud empfangen kann, ist 200. Diese Routen können beispielsweise von lokalen Netzwerken, Peering-VPC-Netzwerken und anderen privaten Clouds im selben VPC-Netzwerk stammen. Dieses Routenlimit entspricht der maximalen Anzahl von benutzerdefinierten Route Advertisements pro BGP-Sitzung auf dem Cloud Router.

    In einer bestimmten Region können Sie maximal 100 eindeutige Routen von VMware Engine zu Ihrem VPC-Netzwerk weitergeben. Verwenden Sie dazu den privaten Dienstzugriff. Zu diesen eindeutigen Routen gehören beispielsweise IP-Adressbereiche für die private Cloudverwaltung, Netzwerksegmente für NSX-T-Arbeitslasten und interne IP-Adressbereiche von HCX. Dieses Routenlimit umfasst alle privaten Clouds in der Region und entspricht dem Limit für erkannte Routen des Cloud Router.

    Informationen zu Routing-Limits finden Sie unter Kontingente und Limits für Cloud Router.

    Fehlerbehebung

    Im folgenden Video erfahren Sie, wie Sie Probleme mit Peering-Verbindungen zwischen der Google Cloud VPC und der Google Cloud VMware Engine prüfen und beheben.

    Nächste Schritte