本頁說明如何成功建立及佈建 Amazon Web Services (AWS) 的合作夥伴跨雲互連連線。
您可以從 Google Cloud 或 Amazon Web Services 啟動連線。如要成功連線,您必須建立 transport 資源。建立資源並連線後,無論從何處啟動佈建程序,流程都相同。您可以從任一端管理資源,啟用、停用或變更資源的頻寬。
開始佈建 AWS 合作夥伴 Cross-Cloud Interconnect 之前,請確認符合下列條件:
- 您必須已有 AWS 帳戶。
- 如果沒有虛擬私有雲 (VPC) 網路,您也必須建立一個,才能將傳輸連線至該網路。
- 如果您是 VPC Service Controls 使用者,則必須使用與 AWS 合作夥伴跨雲端互連相關聯的
networkconnectivity-transportmanager-clh@system.gserviceaccount.com服務帳戶,設定輸入和輸出規則。
設定輸入和輸出規則 (適用於 VPC Service Controls 使用者)
如果您是 VPC Service Controls 使用者,請按照操作說明更新服務範圍的輸入和輸出政策。
Google 建議您設定規則,允許帳戶存取 VPC Service Controls 安全範圍內的所有資源和作業。
使用 networkconnectivity-transportmanager-clh@system.gserviceaccount.com 服務帳戶設定輸入和輸出規則。
以下範例顯示可套用的 Ingress 規則 YAML。
- ingressFrom:
identities:
- serviceAccount:networkconnectivity-transportmanager-clh@system.gserviceaccount.com
sources:
- accessLevel: '*'
ingressTo:
operations:
- serviceName: '*'
methodSelectors:
- method: '*'
resources:
- '*'
以下是輸出規則 YAML 的範例。
- egressTo:
operations:
- serviceName: '*'
methodSelectors:
- method: '*'
resources:
- '*'
egressFrom:
identities:
- serviceAccount:networkconnectivity-transportmanager-clh@system.gserviceaccount.com
如要瞭解輸入和輸出規則,請參閱「輸入和輸出規則」。
工作流程可能會因您是否擁有 AWS 啟動金鑰而異。詳情請參閱以下各節說明。
如果沒有啟用金鑰,請從 Google Cloud 啟動連線
如果沒有 AWS 提供的啟用金鑰,可以從Google Cloud啟動及佈建 AWS 連線的合作夥伴 Cross-Cloud Interconnect。請按照以下步驟操作。
-
Google Cloud 區域會與特定 AWS 區域配對。選擇在特定 Google Cloud 地區建立資源時,必須選擇對應的 AWS 地區。
選取正確的設定檔,然後建立運輸資源。
使用產生的啟用金鑰在 AWS 帳戶中建立連線。
驗證連線:列出對等互連的虛擬私有雲網路和路徑表。
如有啟用金鑰,請從 AWS 啟動連線
如果您已有 AWS 提供的啟用金鑰,可以從 AWS 啟動及佈建 AWS 連線的合作夥伴跨雲端互連網路。請按照以下步驟操作。
使用 AWS 管理控制台啟用金鑰。
按照操作說明從 AWS 控制台建立連線。您必須提供專案和區域,讓連線進入 Google Cloud。如需配對位置清單,請參閱「選擇配對位置」。
在 AWS 端建立資源後,請使用提供的啟用金鑰建立 Google Cloud 資源。