Configura conexiones privadas (heredado)
El acceso privado a servicios es una conexión privada entre tu red de nube privada virtual (VPC) y las redes en VMware Engine. En esta página, se explica cómo configurar el acceso privado a los servicios en Google Cloud VMware Engine y cómo conectar una red de VPC a una nube privada.
El acceso privado a los servicios permite el siguiente comportamiento:
- Comunicación exclusiva por dirección IP interna para instancias de máquina virtual (VM) en tu red de VPC y las VM de VMware. Las instancias de VM no necesitan acceso a Internet o direcciones IP externas para alcanzar los servicios que están disponibles a través del acceso privado a los servicios.
- La comunicación entre las VM de VMware y los servicios compatibles de Google Cloud admite el acceso privado a los servicios mediante direcciones IP internas.
- Uso de conexiones locales existentes para conectarte a tu nube privada de VMware Engine, si tienes conectividad local mediante Cloud VPN o Cloud Interconnect a tu red de VPC.
Puedes configurar el acceso privado a los servicios y crear las nubes privadas de VMware Engine por separado. La conexión privada se puede crear antes o después de la creación de la nube privada a la que deseas conectar tu red de VPC.
Permisos
-
Make sure that you have the following role or roles on the project: Compute > Network Admin
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the project.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
Ir a IAM - Selecciona el proyecto.
- Haz clic en Grant access.
-
En el campo Principales nuevas, ingresa tu identificador de usuario. Esta suele ser la dirección de correo electrónico de una Cuenta de Google.
- En la lista Seleccionar un rol, elige un rol.
- Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
- Haz clic en Guardar.
Antes de comenzar
- Debes tener una red de VPC existente.
- Activa la API de Service Networking en el proyecto.
Configura el acceso privado a los servicios en la red de VPC a la que quieres conectarte.
Para encontrar el ID del proyecto con intercambio de tráfico de tu red de VPC, sigue estos pasos:
- En la consola de Google Cloud, ve a Intercambio de tráfico entre redes de VPC. R Conexión de intercambio de tráfico entre redes de VPC con nombre servicenetworking-googleapis-com aparece en la tabla de intercambio de tráfico.
- Copia el ID del proyecto de intercambio de tráfico para poder usarlo mientras configuras una una conexión privada en la consola de Google Cloud.
Conectividad de VPC múltiple
VMware Engine te permite acceder a la misma nube privada desde diferentes VPC sin necesidad de cambiar las arquitecturas de VPC existentes implementadas en Google Cloud. Por ejemplo, la conectividad de varias VPC es útil cuando tienes redes de VPC independientes para probar y desarrollar.
Esta situación requiere que las VPC se comuniquen con las VM de VMware y otras direcciones de destino en grupos de recursos de vSphere independientes en la misma nube privada o en varias nubes privadas.
De forma predeterminada, puedes intercambiar 3 redes de VPC por región. Esta incluye el intercambio de tráfico de VPC que usa el servicio de red de acceso a Internet. Para aumentar este límite, comunícate con el equipo de atención al cliente de Cloud.
Unicidad de la dirección IP
Cuando conectas tu red de VPC a una red regional de VMware Engine, sigue estos lineamientos para garantizar que las direcciones IP sean únicas:
Los rangos de IP y las subredes de VMware Engine en tu red de VPC no pueden usar el mismos rangos de direcciones IP.
Los rangos de IP de VMware Engine no pueden caber dentro de un rango de direcciones IP de subred en tu red de VPC. Las rutas de subred en tu red de VPC deben tener la rangos de direcciones IP específicos.
Revisa con atención la descripción general de las rutas de red de VPC funcionan las rutas de red.
Si necesitas conectar dos o más redes de VMware Engine a la misma red de VPC, debes usar rangos de IP únicos para cada de VMware Engine o solo debes habilitar la conectividad NSX-T para una de las redes de VMware Engine con los mismos rangos de IP que otra red de VMware Engine.
Crea una conexión privada
Crea una conexión privada en la consola, Google Cloud CLI o la API de REST. En tu solicitud, establece el tipo de conexión en
PRIVATE_SERVICE_ACCESSy, entre el modo de enrutamiento al modo de enrutamientoGLOBAL.Console
En la consola de Google Cloud, ve a la página Conexiones privadas.
Haz clic en Crear.
Proporciona un Nombre y una Descripción para la conexión.
Selecciona la red de VMware Engine a la que deseas conectarte.
En el campo ID del proyecto con intercambio de tráfico, pega el ID del proyecto con intercambio de tráfico que copiaste en los requisitos previos.
En Tipo de conexión privada, selecciona Acceso privado a servicios.
Selecciona el modo de enrutamiento para esta conexión de intercambio de tráfico entre redes de VPC. En la mayoría de los casos, recomendamos modo de enrutamiento global. Si no quieres que Google intercambio de tráfico con tu red de VPC para comunicarse entre regiones, selecciona el modo de enrutamiento
Regionalen su lugar. Esta La selección anula el modo de enrutamiento existente.Haz clic en Enviar.
Cuando se crea la conexión, puedes seleccionar la conexión específica la lista de conexiones privadas. La página de detalles de cada conexión privada muestra el modo de enrutamiento de la conexión privada y las rutas aprendidas a través del intercambio de tráfico entre VPC.
En la tabla Rutas exportadas, se muestran las nubes privadas aprendidas en la región y se exportan mediante el intercambio de tráfico entre VPC. Cuando varias redes de VPC intercambian tráfico a la misma red regional de VMware Engine, las rutas recibidos de una red de VPC no se anuncian al otra red de VPC.
gcloud
Crea una conexión privada ejecutando el Comando
gcloud vmware private-connections create:gcloud vmware private-connections create PRIVATE_CONNECTION_ID \ --location=REGION\ --description="" \ --vmware-engine-network=NETWORK_ID \ --service-project=SERVICE_NETWORKING_TENANT_PROJECT\ --type=PRIVATE_SERVICE_ACCESS \ --routing-mode=MODE
Reemplaza lo siguiente:
PRIVATE_CONNECTION_ID: el privado nombre de la conexión que se crearáREGION: Es la región para crear este entorno privado. conexión en; debe coincidir con la región de red de VMware EngineNETWORK_ID: Es el nombre de la red de VMware Engine.SERVICE_NETWORKING_TENANT_PROJECT: el nombre del proyecto para esta VPC de usuario de Herramientas de redes de servicios. Puedes encontrar el SNTP en la columna PEER_PROJECT del nombre del intercambio de tráficoservicenetworking-googleapis-comMODE: Es el modo de enrutamiento, ya seaGLOBALoREGIONAL.
Opcional: Si deseas generar una lista de tus conexiones privadas, ejecuta el comando
gcloud vmware private-connections list:gcloud vmware private-connections list \ --location=REGIONReemplaza lo siguiente:
REGION: Es la región de la red que se mostrará en la lista.
API
Para crear una VPC de Compute Engine y una conexión de acceso privado a servicios con la API de VMware Engine:
Crea una conexión privada mediante una solicitud
POST:POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections?private_connection_id=PRIVATE_CONNECTION_ID" '{ "description": "My first private connection", "vmware_engine_network": "projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/NETWORK_ID "type": "PRIVATE_SERVICE_ACCESS", "routing_mode": "MODE", "service_network": "projects/SERVICE_NETWORKING_TENANT_PROJECT/global/networks/SERVICE_NETWORK" }'Reemplaza lo siguiente:
PRIVATE_CONNECTION_ID: el privado nombre de la conexión para esta solicitudREGION: Es la región para crear este entorno privado. conexión enNETWORK_ID: Es la red de VMware Engine para esto. solicitudSERVICE_NETWORKING_TENANT_PROJECT: el nombre del proyecto para esta VPC de usuario de Herramientas de redes de servicios. Puedes encontrar el SNTP en la columna PEER_PROJECT del nombre del intercambio de tráficoservicenetworking-googleapis-comSERVICE_NETWORK: Es la red en el proyecto de usuario.
Opcional: Si quieres enumerar tus conexiones privadas, crea una
GETsolicitud:GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections"
Reemplaza lo siguiente:
PROJECT_ID: Es el nombre del proyecto para esto. para cada solicitud.REGION: Es la región en la que se mostrará la lista privada. conexiones.
Edita una conexión privada
Puedes editar una conexión privada después de crearla. Una vez creada, puedes Cambia el modo de enrutamiento entre
GLOBALyREGIONAL. En Google Cloud CLI o la API, también puedes actualizar la descripción de la conexión privada.Console
En la consola de Google Cloud, ve a la página Conexiones privadas.
Haz clic en el nombre de la conexión privada que deseas editar.
En la página de detalles, haz clic en Editar.
Actualiza la descripción o el modo de enrutamiento de la conexión.
Guarde sus cambios.
gcloud
Edita una conexión privada ejecutando el Comando
gcloud vmware private-connections update:gcloud vmware private-connections update PRIVATE_CONNECTION_ID \ --location=REGION \ --description=DESCRIPTION \ --routing-mode=MODE
Reemplaza lo siguiente:
PROJECT_ID: Es el nombre del proyecto para esta solicitud.REGION: Es la región en la que se actualizará este entorno privado. conexión enDESCRIPTION: Es la nueva descripción que se usará.PRIVATE_CONNECTION_ID: Es la conexión privada. ID de esta solicitudMODE: Es el modo de enrutamiento, ya seaGLOBALoREGIONAL.
API
Para editar una conexión privada con la API de VMware Engine, crea una
PATCHsolicitud:PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID?update_mask=description, routing_mode" '{ "description": "Updated description for the private connection", "routing_mode": "MODE" }'Reemplaza lo siguiente:
PROJECT_ID: Es el nombre del proyecto para esta solicitud.REGION: Es la región en la que se actualizará este entorno privado. conexión enPRIVATE_CONNECTION_ID: Es la conexión privada. nombre de esta solicitudMODE: Es el modo de enrutamiento, ya seaGLOBALoREGIONAL.
Describe una conexión privada
Puedes obtener la descripción de cualquier conexión privada con Google Cloud CLI o API de VMware Engine.
gcloud
Para obtener una descripción de una conexión privada, ejecuta el comando
gcloud vmware private-connections describe:gcloud vmware private-connections describe PRIVATE_CONNECTION_ID \ --location=REGIONReemplaza lo siguiente:
PRIVATE_CONNECTION_ID: Es la conexión privada. nombre de esta solicitudREGION: Es la región de la conexión privada.
API
Para obtener la descripción de una conexión privada usando el En la API de VMware Engine, haz una solicitud
GET:GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID"
Reemplaza lo siguiente:
PROJECT_ID: Es el nombre del proyecto para esta solicitud.PRIVATE_CONNECTION_ID: Es la conexión privada. nombre de esta solicitud.REGION: Es la región de la conexión privada.
Una vez que las conexiones privadas que borraste ya no estén visibles en la lista de conexiones privadas, puedes borrar la conexión de acceso privado en la consola de Google Cloud. Este paso desordenado puede provocar que el DNS esté inactivo en ambos proyectos de Google Cloud.
Enumera las rutas de intercambio de tráfico para una conexión privada
Para enumerar las rutas de intercambio de tráfico intercambiadas para una conexión privada, haz lo siguiente:
Console
En la consola de Google Cloud, ve a la página Conexiones privadas.
Haz clic en el nombre de la conexión privada que deseas ver.
En la página de detalles, se describen las rutas importadas y exportadas.
gcloud
Enumerar las rutas de intercambio de tráfico intercambiadas por una conexión privada ejecutando Comando
gcloud vmware private-connections routes list:gcloud vmware private-connections routes list \ --private-connection=PRIVATE_CONNECTION_ID \ --location=REGIONReemplaza lo siguiente:
PRIVATE_CONNECTION_ID: Es la conexión privada. nombre de esta solicitud.REGION: Es la región de la conexión privada.
API
Para enumerar las rutas de intercambio de tráfico intercambiadas por una conexión privada con el En la API de VMware Engine, haz una solicitud
GET:GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID/peeringRoutes"
Reemplaza lo siguiente:
PROJECT_ID: Es el nombre del proyecto para esta solicitud.REGION: Es la región de la conexión privada.PRIVATE_CONNECTION_ID: Es la conexión privada. nombre de esta solicitud.
Límites de enrutamiento
La cantidad máxima de rutas que puede recibir una nube privada es de 200. Para ejemplo, esas rutas pueden provenir de redes locales, redes de VPC y otras nubes privadas en la misma red de VPC. Este límite de ruta corresponde a la cantidad máxima de instancias de anuncios de ruta por límite de sesión de BGP.
En una región determinada, puedes anunciar hasta 100 rutas únicas de VMware Engine a tu red de VPC mediante el acceso privado a los servicios. Por ejemplo, esas rutas únicas incluyen nubes privadas administración de rangos de direcciones IP, segmentos de red de carga de trabajo NSX-T y conexiones o varios rangos de direcciones IP. Este límite de ruta incluye todas las nubes privadas en la región y corresponde al límite de ruta aprendidas de Cloud Router.
Para obtener más información sobre los límites de enrutamiento, consulta Cuotas y límites.
Soluciona problemas
En el siguiente video, se muestra cómo verificar y solucionar problemas de intercambio de tráfico de conexión entre la VPC de Google Cloud y Google Cloud VMware Engine.
¿Qué sigue?
-