Von Google Cloud ausgehende Verbindung erstellen

Auf dieser Seite werden die Schritte zum erfolgreichen Erstellen und Bereitstellen einer Partner Cross-Cloud Interconnect-Verbindung für Amazon Web Services (AWS) beschrieben, die von Google Cloudinitiiert wurde.

Wenn Sie keinen Aktivierungsschlüssel von AWS haben, können Sie eine Partner Cross-Cloud Interconnect-Verbindung für AWS überGoogle Cloudinitiieren und bereitstellen.

Bevor Sie mit der Bereitstellung von Partner Cross-Cloud Interconnect für AWS beginnen, müssen die folgenden Bedingungen erfüllt sein:

• Sie benötigen ein Amazon Web Services-Konto.
• Sie müssen außerdem ein VPC-Netzwerk (Virtual Private Cloud) erstellen, falls noch keines vorhanden ist, um die Verbindung zu Ihrem Transport herzustellen.

Damit die Verbindung hergestellt werden kann, müssen Sie die transport-Ressource erstellen. Folgen Sie dieser Anleitung, um den Transport zu erstellen.

Hinweise

Lesen Sie zuerst die folgenden Abschnitte, bevor Sie beginnen.

Projekt erstellen oder auswählen

Geben Sie ein gültiges Projekt an, um die Konfiguration von Partner Cross-Cloud Interconnect für AWS zu vereinfachen.

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren:

gcloud init

1. Wenn Sie die Google Cloud CLI verwenden, legen Sie Ihre Projekt-ID mit dem Befehl gcloud config set fest.

   gcloud config set project PROJECT_ID

   Ersetzen Sie PROJECT_ID durch Ihre eindeutige Projekt-ID.

   Die Anleitung für die gcloud-Befehlszeile auf dieser Seite setzt voraus, dass Sie Ihre Projekt-ID festgelegt haben.

2. Prüfen Sie mit dem Befehl gcloud config list, ob die Projekt-ID korrekt festgelegt ist.

   gcloud config list --format='text(core.project)'

Network Connectivity API aktivieren

Bevor Sie Aufgaben mit Cloud Interconnect ausführen können, müssen Sie die Network Connectivity API aktivieren.

Console

So aktivieren Sie die Network Connectivity API:

1. Rufen Sie in der Google Cloud Console die Seite Network Connectivity API auf.

   Zur Network Connectivity API

2. Klicken Sie auf Aktivieren.

Alternativ können Sie die API mithilfe der Google Cloud Console API-Bibliothek aktivieren, wie unter APIs aktivieren beschrieben.

Verbindung von Google Cloud aus initiieren, wenn Sie keinen Aktivierungsschlüssel haben

Erforderliche Berechtigungen für diese Aufgabe

Zum Ausführen dieser Aufgabe müssen Sie die folgenden Berechtigungen oder die folgenden IAM-Rollen haben.

Berechtigungen

• networkconnectivity.remoteTransportProfiles.get, um Transportprofile zu erhalten
• networkconnectivity.remoteTransportProfiles.list zum Auflisten von Transportprofilen
• networkconnectivity.transports.get, um Transporte aufzurufen
• networkconnectivity.transports.list, um Transporte aufzurufen
• networkconnectivity.transports.create zum Erstellen eines Transports
• compute.networks.use, um VPC-Netzwerk-Peering einzurichten
• compute.networks.addPeering, um VPC-Netzwerk-Peering einzurichten

Rollen (eine der folgenden)

• roles/networkconnectivity.transportAdmin zum Erstellen eines Transports
• roles/compute.networkAdmin zum Erstellen eines Transports
• roles/networkconnectivity.transportViewer, um einen Transport aufzurufen

Verfügbare Profile auflisten

So listen Sie die verfügbaren Profile in einem bestimmten Projekt in der Region auf, in der Sie die Verbindung bereitstellen möchten:

API

Verwenden Sie die Methode networkconnectivity.remoteTransportProfiles.list mit einem leeren Anfragetext.

$ curl -H "Authorization: Bearer $(gcloud auth print-access-token)" "https://networkconnectivity.googleapis.com/v1beta/projects/PROJECT/locations/LOCATION/remoteTransportProfiles"

Ersetzen Sie die folgenden Werte:

• PROJECT ist der Name des Projekts.
• LOCATION: Der Name der Google Cloud -Region, in der Sie die Verbindung bereitstellen möchten, z. B. us-west1.

Ressource transport erstellen

Beim Erstellen der transport-Ressource müssen Sie die Felder „Bandwidth“ (Bandbreite), „Network“ (Netzwerk), remoteProfile und remoteAccountId angeben. advertisedRoutes ist ein optionales Feld. Damit die Verbindung von AWS aus funktioniert, müssen Sie dieses Feld jedoch angeben. Dieses Feld kann eine Liste von IPv4- und IPv6-Subnetzen enthalten. Wenn in Ihrem Netzwerk Subnetze automatisch erstellt werden, verwenden Sie den Wert 10.128.0.0/9 aus Google Cloud.

So erstellen Sie eine Transportressource:

API

Verwenden Sie die networkconnectivity.transports.create-Methode und geben Sie TRANSPORT_ID an, wie im folgenden Beispiel:

curl -X POST -H "Authorization: Bearer $(gcloud auth print-access-token)" -H "Content-Type: application/json" "https://networkconnectivity.googleapis.com/v1beta/projects/PROJECT/locations/LOCATION/transports?="TRANSPORT_ID" --data '{
"network": "NETWORK",
"remoteProfile": "REMOTE_PROFILE",
"bandwidth": "BANDWIDTH",
"remoteAccountId": "AWS_ACCOUNT_ID",
"advertisedRoutes": ["IP_RANGE_1","IP_RANGE_2"],
"stackType": "STACK_TYPE
}'

Ersetzen Sie die folgenden Werte:

• PROJECT: der Name des Projekts, in dem Sie den Transport erstellen möchten
• LOCATION: Der Name der Google Cloud -Region, in der Sie die Verbindung bereitstellen möchten, z. B. us-west1.
• TRANSPORT_ID: ein Name für die Transportressource
• NETWORK: Das Netzwerk, in dem Sie den Transport erstellen möchten.
• REMOTE_PROFILE: Das Profil, für das Sie die Verbindung bereitstellen möchten
• BANDWIDTH: die ausgewählte Bandbreite für Ihre Verbindung, z. B. BPS_1G
• AWS_ACCOUNT_ID: die ID Ihres AWS-Kontos
• IP_RANGE: eine durch Kommas getrennte Liste von IP-Adressbereichen
• STACK_TYPE (optional): Stacktyp der IP-Adressversion. Muss IPV4_ONLY oder IPV4_IPV6 sein. Die Standardeinstellung ist IPV4_ONLY.

Suchen Sie in der Ausgabe den Wert des Felds name. Sie hat das Format projects/PROJECT/locations/LOCATION/operations/OPERATION_ID, wobei OPERATION_ID die ID Ihres Vorgangs ist.

Mit der Methode networkconnectivity.operations.get können Sie den Status des Vorgangs prüfen.

GET https://networkconnectivity.googleapis.com/v1/locations/LOCATION/operations/OPERATION_ID

Ersetzen Sie Folgendes:

• LOCATION: Der Name der Google Cloud -Region, in der Sie die Verbindung bereitstellen möchten, z. B. us-west1.
• OPERATION_ID: die ID des Vorgangs

Wenn die Erstellung der transport-Ressource abgeschlossen ist, enthält die Ausgabe die Zeile "done": true. Kopieren Sie die folgenden Werte aus der Ausgabe, um sie in späteren Schritten zu verwenden:

• Der Wert des Felds generatedActivationKey
• Der Wert des Felds peeringNetwork

Führen Sie die Schritte in der AWS API aus.

Folgen Sie der Anleitung im AWS-API-Referenzdokument und verwenden Sie den Aktivierungsschlüssel, den Sie im vorherigen Schritt generiert haben.

VPC-Netzwerk-Peering einrichten

Sie können das VPC-Netzwerk-Peering proaktiv amGoogle Cloud einrichten. Verwenden Sie dazu die peeringNetwork, die von der zuvor erstellten transport-Ressource zurückgegeben wurde, und achten Sie darauf, dass Sie ein Peering mit demselben Stacktyp erstellen. Der Standardstapeltyp entspricht der transport-Ressource mit IPV4_ONLY.

Damit Sie die AWS-Routen erhalten, müssen Sie das Feld Import custom routes aktivieren.

Die MTU im Peering-VPC-Netzwerk wird explizit auf den Maximalwert festgelegt, um MTU-Probleme bei der Verbindung zu vermeiden. Wenn Sie eine MTU unter 8.896 verwenden, wird möglicherweise die Warnung WARNING: Some requests generated warnings: - Network MTU 1460B does not match the peer's MTU 8896B angezeigt. In diesem Fall müssen Sie darauf achten, dass Sie übereinstimmende MTU-Konfigurationen zwischen Ihrem Google Cloud VPC-Netzwerk und dem AWS-VPC-Netzwerk verwenden. Wenn diese nicht übereinstimmen, müssen Sie möglicherweise MTU-Werte auf den niedrigsten gemeinsamen Nenner überschreiben. Wenn Sie beispielsweise 8896 in Google Cloud und 8800 in AWS verwenden, muss alles in Google Cloud als 8800 konfiguriert werden.

gcloud

Verwenden Sie zum Einrichten von VPC-Netzwerk-Peering den Befehl gcloud compute networks peerings create.

gcloud compute networks peerings create "TRANSPORT_NAME" \
    --network="VPC_NETWORK"
    --peer-network="PEERING_NETWORK" \
    --import-custom-routes
    --export-custom-routes

Ersetzen Sie die folgenden Werte:

• TRANSPORT_NAME: der Name des von Ihnen erstellten Transports
• VPC_NETWORK: der Name des VPC-Netzwerks, für das Sie die Routen auflisten möchten
• PEERING_NETWORK: der Name des VPC-Netzwerks, das von der Transport-Ressource bereitgestellt wird, die Sie aus dem Feld peeringNetwork der transport-Ressource kopiert haben

Wenn der Befehl erfolgreich ist, hat das Feld state in der Ausgabe den Wert ACTIVE.

API

Verwenden Sie zum Einrichten von VPC-Netzwerk-Peering die Methode compute.networks.addPeering.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT/global/networks/NETWORK/addPeering

Ersetzen Sie die folgenden Werte:

• PROJECT: Der Name des Projekts, für das Sie eine Peering-Verbindung herstellen
• NETWORK: der Name der Netzwerkressource, der Peering hinzugefügt werden soll

Verbindung prüfen

Sie können prüfen, ob eine Verbindung hergestellt wurde, indem Sie die VPC-Netzwerke mit Peering und die Routentabellen auflisten. Nachdem die AWS-Konfiguration abgeschlossen ist, können Sie Ihre AWS-Routen in der Liste sehen.

gcloud

Verwenden Sie den Befehl gcloud compute networks peerings list, um die VPC-Netzwerke mit Peering aufzulisten.

gcloud compute networks peerings list

Die Ausgabe sieht etwa so aus:

DEST_RANGE   TYPE                   NEXT_HOP_REGION  PRIORITY  STATUS
10.0.0.0/16  DYNAMIC_PEERING_ROUTE  us-east4         0         accepted
10.0.0.0/16  DYNAMIC_PEERING_ROUTE  us-east4         0         accepted

Verwenden Sie den Befehl gcloud compute networks peerings list-routes, um Routen für ein bestimmtes Transportmittel aufzulisten.

gcloud compute networks peerings list-routes TRANSPORT_ID\
    --direction=INCOMING \
    --network=NETWORK \
    --region=LOCATION

Ersetzen Sie die folgenden Werte:

• TRANSPORT_ID: der Name der Transportressource
• NETWORK: der Name des VPC-Netzwerks, für das Sie die Routingtabellen auflisten möchten
• LOCATION: der Speicherort der Transportressource

API

Verwenden Sie die Methode compute.networks.list, um Peering-Netzwerke aufzulisten.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT/global/networks

Ersetzen Sie PROJECT durch den Namen des Projekts, für das Sie die Netzwerke auflisten möchten.

Verwenden Sie die Methode compute.routes.listPeeringRoutes, um Routen aufzulisten.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT/global/networks/NETWORK/listPeeringRoutes

Ersetzen Sie die folgenden Werte:

• PROJECT durch den Namen des Projekts, für das Sie die Routen auflisten möchten
• NETWORK: der Name des VPC-Netzwerks, für das Sie die Routingtabellen auflisten möchten

Nächste Schritte

• Antworten auf häufig gestellte Fragen zur Architektur und zu den Features von Cloud Interconnect finden Sie in den FAQ zu Cloud Interconnect.
• Weitere Informationen zu Cloud Interconnect finden Sie unter Cloud Interconnect – Übersicht.
• Informationen zu Best Practices beim Planen und Konfigurieren von Cloud Interconnect finden Sie unter Best Practices.
• Google Cloud -Ressourcennamen finden Sie in den Cloud Interconnect APIs.