Nesta página, descrevemos as etapas para criar e provisionar uma Partner Interconexão entre nuvens para conexão do Amazon Web Services (AWS).
Você pode iniciar a conectividade no Google Cloud ou no Amazon Web Services. Para estabelecer uma conexão, é necessário
criar o recurso transport. Depois que um recurso é criado
e a conectividade é estabelecida, o fluxo é idêntico, não importa onde o
provisionamento é iniciado. É possível gerenciar o recurso de qualquer lado para
ativar, desativar ou mudar a largura de banda dos recursos.
Antes de iniciar o processo de provisionamento do Partner Interconexão entre nuvens para AWS, verifique se as seguintes condições foram atendidas:
- Você já precisa ter uma conta da AWS.
- Você também precisa criar uma rede de nuvem privada virtual (VPC), se ela ainda não existir, para conectar seu transporte.
- Se você usa o VPC Service Controls, configure regras de entrada e saída
usando a conta de serviço
networkconnectivity-transportmanager-clh@system.gserviceaccount.comassociada ao Partner Interconexão entre nuvens para AWS.
Configurar regras de entrada e saída (para usuários do VPC Service Controls)
Se você usa o VPC Service Controls, siga as instruções para atualizar as políticas de entrada e saída de um perímetro de serviço.
O Google recomenda que você configure regras para permitir que a conta acesse todos os recursos e operações no perímetro de segurança do VPC Service Controls.
Use a conta de serviço networkconnectivity-transportmanager-clh@system.gserviceaccount.com para configurar as regras de entrada e saída.
O exemplo a seguir mostra um YAML de regra de entrada que você pode aplicar.
- ingressFrom:
identities:
- serviceAccount:networkconnectivity-transportmanager-clh@system.gserviceaccount.com
sources:
- accessLevel: '*'
ingressTo:
operations:
- serviceName: '*'
methodSelectors:
- method: '*'
resources:
- '*'
Confira a seguir um exemplo de YAML de regra de saída.
- egressTo:
operations:
- serviceName: '*'
methodSelectors:
- method: '*'
resources:
- '*'
egressFrom:
identities:
- serviceAccount:networkconnectivity-transportmanager-clh@system.gserviceaccount.com
Para informações sobre regras de entrada e saída, consulte Regras de entrada e saída.
Seu fluxo de trabalho pode variar dependendo de você ter ou não uma chave de ativação da AWS. Veja mais detalhes nas próximas seções.
Inicie a conexão em Google Cloud se você não tiver uma chave de ativação
Se você não tiver uma chave de ativação da AWS, poderá iniciar e provisionar uma interconexão entre nuvens por parceiro para uma conexão da AWS em Google Cloud. Para fazer isso, siga estas etapas.
-
As regiões doGoogle Cloud são pareadas com regiões específicas da AWS. Quando você escolhe uma região específica do Google Cloud para criar recursos, é preciso escolher a região da AWS correspondente.
Selecione o perfil correto e crie o recurso de transporte.
Use a chave de ativação gerada para criar a conexão na sua conta da AWS.
Verifique a conexão listando as redes VPC com peering e as tabelas de rotas.
Iniciar uma conexão da AWS se você tiver uma chave de ativação
Se você já tiver uma chave de ativação da AWS, poderá iniciar e provisionar uma interconexão entre nuvens por parceiro para uma conexão da AWS na AWS. Para fazer isso, siga estas etapas.
Ative sua chave usando o console da AWS.
Siga as instruções para criar uma conexão no console da AWS. Você precisa informar o projeto e a região em que quer que a conexão seja feita Google Cloud. Para conferir uma lista de locais pareados, consulte Escolher um local pareado.
Depois que o recurso for criado no lado da AWS, crie o recurso Google Cloud com a chave de ativação fornecida.
Faça peering da sua rede VPC com a rede VPC de peering do transporte.