Cette page décrit la procédure à suivre pour créer et provisionner une connexion Partner interconnexion cross-cloud pour Amazon Web Services (AWS).
Vous pouvez établir la connectivité depuis Google Cloud ou depuis Amazon Web Services. Pour établir une connexion, vous devez créer la ressource transport. Une fois qu'une ressource est créée et que la connectivité est établie, le flux est identique, quel que soit l'endroit où le provisionnement est lancé. Vous pouvez gérer la ressource de chaque côté pour activer ou désactiver la bande passante, ou la modifier.
Avant de démarrer le processus de provisionnement d'une connexion Partner Cross-Cloud Interconnect pour AWS, assurez-vous que les conditions suivantes sont remplies :
- Vous devez déjà disposer d'un compte AWS.
- Vous devez également créer un réseau de cloud privé virtuel (VPC), s'il n'existe pas déjà, pour y connecter votre transport.
- Si vous êtes un utilisateur de VPC Service Controls, vous devez configurer des règles d'entrée et de sortie à l'aide du compte de service
networkconnectivity-transportmanager-clh@system.gserviceaccount.comassocié à Partner interconnexion cross-cloud pour AWS.
Configurer des règles d'entrée et de sortie (pour les utilisateurs de VPC Service Controls)
Si vous utilisez VPC Service Controls, suivez les instructions pour mettre à jour les règles d'entrée et de sortie d'un périmètre de service.
Google vous recommande de configurer des règles pour permettre au compte d'accéder à toutes les ressources et opérations du périmètre de sécurité VPC Service Controls.
Utilisez le compte de service networkconnectivity-transportmanager-clh@system.gserviceaccount.com pour configurer les règles d'entrée et de sortie.
L'exemple suivant montre un fichier YAML de règle d'entrée que vous pouvez appliquer.
- ingressFrom:
identities:
- serviceAccount:networkconnectivity-transportmanager-clh@system.gserviceaccount.com
sources:
- accessLevel: '*'
ingressTo:
operations:
- serviceName: '*'
methodSelectors:
- method: '*'
resources:
- '*'
Voici un exemple de fichier YAML de règle de sortie.
- egressTo:
operations:
- serviceName: '*'
methodSelectors:
- method: '*'
resources:
- '*'
egressFrom:
identities:
- serviceAccount:networkconnectivity-transportmanager-clh@system.gserviceaccount.com
Pour en savoir plus sur les règles d'entrée et de sortie, consultez Règles d'entrée et de sortie.
Votre workflow peut varier selon que vous disposez ou non d'une clé d'activation AWS. Pour en savoir plus, consultez les sections suivantes.
Initier la connexion depuis Google Cloud si vous n'avez pas de clé d'activation
Si vous ne disposez pas de clé d'activation AWS, vous pouvez lancer et provisionner une connexion Partner interconnexion cross-cloud pour AWS à partir deGoogle Cloud. Pour cela, procédez comme suit.
Choisissez un emplacement associé.
Les régionsGoogle Cloud sont associées à des régions AWS spécifiques. Lorsque vous choisissez une région Google Cloud spécifique dans laquelle créer vos ressources, vous devez choisir la région AWS correspondante.
Sélectionnez le bon profil et créez la ressource de transport.
Utilisez la clé d'activation générée pour créer la connexion dans votre compte AWS.
Vérifiez la connexion en listant les réseaux VPC appairés et les tables de routage.
Établir une connexion depuis AWS si vous disposez d'une clé d'activation
Si vous disposez déjà d'une clé d'activation fournie par AWS, vous pouvez lancer et provisionner une connexion Partner interconnexion cross-cloud pour AWS depuis AWS. Pour cela, procédez comme suit.
Activez votre clé à l'aide de la console AWS.
Suivez les instructions pour créer une connexion à partir de la console AWS. Vous devez indiquer le projet et la région dans lesquels vous souhaitez que la connexion soit établie Google Cloud. Pour obtenir la liste des emplacements associés, consultez Choisir un emplacement associé.
Une fois la ressource créée côté AWS, créez la ressource Google Cloud avec la clé d'activation fournie.
Appairez votre réseau VPC au réseau VPC d'appairage du transport.