建立及管理網路政策
本文說明如何使用網路政策控管 VMware 工作負載是否能存取網際網路,或者使用者是否能透過網際網路存取 VMware 工作負載。
每個網路政策都會與 VMware Engine 網路建立關聯,而 VMware Engine 網路可以是區域性或全球性。標準 VMware Engine 網路是全球資源,而舊版 VMware Engine 網路則是區域資源。
網路政策會套用至與 VMware Engine 網路相關聯的所有私有雲。針對舊版網路,如果您在多個區域部署私人雲端,且想要啟用網際網路存取或外部 IP 位址服務,則必須在每個區域建立網路政策。
建立網路政策
使用控制台、gcloud 或 API 建立網路政策。
主控台
如要使用 Google Cloud 控制台建立新的網路政策,請按照下列步驟操作:
在 Google Cloud 控制台中,前往「Network policies」頁面。
按一下「選取專案」,然後選取包含要關聯網路政策的 VMware Engine 網路的機構、資料夾或專案。
按一下 [建立]。
提供新網路政策的相關資訊:
- 網路政策名稱:用於識別網路政策的名稱
- 網路政策說明:網路政策的說明
- VMware Engine 網路:要與政策建立關聯的 VMware Engine 網路
- 地區:您要套用網路政策的地區
在「政策詳細資料」部分中,啟用或停用網路服務:
- 網路連線服務:啟用後,VMware Engine 會允許從內部 IP 位址傳送至網際網路的傳出流量。
外部 IP 位址服務:啟用後,VMware Engine 會為相關聯私有雲中的內部 IP 位址保留外部 IP 位址。外部 IP 位址可讓來自網際網路的流量存取內部 IP 位址。
只有在啟用網際網路存取服務時,才能啟用這項服務。
在「Edge 服務位址範圍」欄位中,輸入要用於 VMware Engine 公開 IP 閘道位址的 IP 位址範圍 (/26 位址範圍)。
按一下「建立」,VMware Engine 會開始建立新的網路政策。
gcloud
在 gcloud 中執行 network-policies create 指令:
gcloud vmware network-policies create NETWORK_POLICY_ID \ --location LOCATION --vmware-engine-network NETWORK_ID \ --edge-services-cidr=EDGE_SERVICES_CIDR [--external-ip-access] \ [--internet-access]
更改下列內容:
NETWORK_POLICY_ID:這個網路政策的名稱LOCATION:這個網路政策的位置;必須與 VMware Engine 網路相符NETWORK_ID:VMware Engine 網路名稱EDGE_SERVICES_CIDR:用於指定 VMware Engine 公開 IP 閘道 (/26 位址範圍) 的 IP 位址範圍--external-ip-access:是否要啟用外部 IP 位址,以便指派給 VMware 工作負載。必須一併啟用--internet-access。--internet-access:VMWare 工作負載是否可存取網際網路
API
在 API 中,發出 POST 要求:
POST https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/networkPolicies?networkPolicyId=NETWORK_POLICY_ID
'{
"internetAccess": INTERNET_ACCESS,
"externalIp": EXTERNAL_IP,
"vmwareEngineNetwork": "projects/PROJECT_ID/locations/LOCATION/vmwareEngineNetworks/NETWORK_ID"
"edgeServicesCidr": "EDGE_SERVICES_CIDR"
}'更改下列內容:
PROJECT_ID:這項要求的專案LOCATION:這個網路政策的位置;必須與 VMware Engine 網路相符NETWORK_POLICY_ID:這個網路政策的名稱INTERNET_ACCESS:VMware 工作負載是否可存取網際網路;將此值設為true或falseEXTERNAL_IP:是否要啟用外部 IP 位址,以便指派給 VMware 工作負載。您也必須啟用internetAccess,並將其設為true或false。NETWORK_ID:VMware Engine 網路名稱EDGE_SERVICES_CIDR:用於指定 VMware Engine 公開 IP 閘道 (/26 位址範圍) 的 IP 位址範圍
編輯網路政策
主控台
如要使用 Google Cloud 控制台編輯現有的網路政策,請按照下列步驟操作:
在 Google Cloud 控制台中,前往「Network policies」頁面。
按一下「選取專案」,然後選取包含要編輯網路政策的 VMware Engine 網路的機構、資料夾或專案。
在網路政策清單中,找出要編輯的網路政策。
按一下資料列末端的「更多」圖示 ,然後選取「編輯」。
在隨即顯示的頁面中,視需要調整網路政策。
按一下 [儲存]。
gcloud
如要更新網路政策,請使用 network-policies update 指令:
gcloud vmware network-policies update NETWORK_POLICY_ID \ --location LOCATION \ --edge-services-cidr=EDGE_SERVICES_CIDR [--external-ip-access] \ [--internet-access]
更改下列內容:
NETWORK_POLICY_ID:網路政策名稱LOCATION:這個網路政策的位置EDGE_SERVICES_CIDR:用於指定 VMware Engine 公開 IP 閘道 (/26 位址範圍) 的 IP 位址範圍--external-ip-access:是否要啟用外部 IP 位址,以便指派給 VMware 工作負載。必須一併啟用--internet-access。--internet-access:VMWare 工作負載是否可存取網際網路
API
在 API 中,發出 PATCH 要求:
POST https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/networkPolicies?networkPolicyId=NETWORK_POLICY_ID
'{
"internetAccess": INTERNET_ACCESS,
"externalIp": EXTERNAL_IP,
"edgeServicesCidr": "EDGE_SERVICES_CIDR"
}'更改下列內容:
PROJECT_ID:這項要求的專案LOCATION:這個網路政策的位置NETWORK_POLICY_ID:這個網路政策的名稱INTERNET_ACCESS:VMware 工作負載是否可存取網際網路;將此值設為true或falseEXTERNAL_IP:是否要啟用外部 IP 位址,以便指派給 VMware 工作負載。您也必須啟用internetAccess;將其設為true或false。EDGE_SERVICES_CIDR:用於指定 VMware Engine 公開 IP 閘道 (/26 位址範圍) 的 IP 位址範圍
刪除網路政策
如要刪除現有網路政策,請按照下列步驟操作。
主控台
在 Google Cloud 控制台中,前往「Network policies」頁面。
按一下「選取專案」,然後選取包含要刪除網路政策的 VMware Engine 網路的機構、資料夾或專案。
在網路政策清單中,找出要刪除的網路政策。
按一下資料列末端的「更多」圖示 ,然後選取「刪除」。
gcloud
在 gcloud 中,使用 network-policies delete 指令:
gcloud vmware network-policies delete NETWORK_POLICY_ID
將 NETWORK_POLICY_ID 替換為要刪除的網路政策名稱。
API
請對網路政策資源提出 DELETE 要求:
DELETE https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/networkPolicies/NETWORK_POLICY_ID
更改下列內容:
PROJECT_ID:這項要求的專案LOCATION:這個網路政策的位置NETWORK_POLICY_ID:這個網路政策的名稱