Questa pagina descrive i passaggi per creare e eseguire il provisioning di una connessione Partner Cross-Cloud Interconnect per Amazon Web Services (AWS).
Puoi avviare la connettività da Google Cloud o da
Amazon Web Services. Per stabilire una connessione, devi
creare la risorsa transport. Una volta creata una risorsa
e stabilita la connettività, il flusso è identico indipendentemente da dove viene avviato il provisioning. Puoi gestire la risorsa da entrambi i lati per
attivare, disattivare o modificare la larghezza di banda delle risorse.
Prima di iniziare la procedura di provisioning di Partner Cross-Cloud Interconnect per AWS, assicurati che siano soddisfatte le seguenti condizioni:
- Devi già avere un account AWS.
- Se non esiste già, devi anche creare una rete Virtual Private Cloud (VPC) a cui connettere il trasporto.
- Se utilizzi i Controlli di servizio VPC, devi configurare regole in entrata e in uscita
utilizzando il account di servizio
networkconnectivity-transportmanager-clh@system.gserviceaccount.comassociato a Partner Cross-Cloud Interconnect per AWS.
Configura le regole in entrata e in uscita (per gli utenti dei Controlli di servizio VPC)
Se utilizzi Controlli di servizio VPC, segui le istruzioni per Aggiornare le policy in entrata e in uscita per un perimetro di servizio.
Google consiglia di configurare regole per consentire all'account di accedere a tutte le risorse e le operazioni all'interno del perimetro di sicurezza dei Controlli di servizio VPC.
Utilizza il account di servizio networkconnectivity-transportmanager-clh@system.gserviceaccount.com
per configurare le regole in entrata e in uscita.
Il seguente esempio mostra un file YAML di regole in entrata che puoi applicare.
- ingressFrom:
identities:
- serviceAccount:networkconnectivity-transportmanager-clh@system.gserviceaccount.com
sources:
- accessLevel: '*'
ingressTo:
operations:
- serviceName: '*'
methodSelectors:
- method: '*'
resources:
- '*'
Di seguito è riportato un esempio di file YAML di una regola di uscita.
- egressTo:
operations:
- serviceName: '*'
methodSelectors:
- method: '*'
resources:
- '*'
egressFrom:
identities:
- serviceAccount:networkconnectivity-transportmanager-clh@system.gserviceaccount.com
Per informazioni sulle regole in entrata e in uscita, consulta Regole in entrata e in uscita.
Il flusso di lavoro potrebbe variare a seconda che tu disponga o meno di una chiave di attivazione di AWS. Per maggiori dettagli, vedi le sezioni seguenti.
Avvia la connessione da Google Cloud se non hai una chiave di attivazione
Se non hai una chiave di attivazione da AWS, puoi avviare e eseguire il provisioning di una connessione Partner Cross-Cloud Interconnect per AWS daGoogle Cloud. Per farlo, segui questi passaggi:
Scegli una posizione accoppiata.
Le regioniGoogle Cloud sono abbinate a regioni AWS specifiche. Quando scegli una regione Google Cloud specifica in cui creare le risorse, devi scegliere la regione AWS corrispondente.
Seleziona il profilo corretto e crea la risorsa di trasporto.
Utilizza la chiave di attivazione generata per creare la connessione nel tuo account AWS.
Verifica la connessione elencando le reti VPC con peering e le tabelle di routing.
Avvia una connessione da AWS se hai una chiave di attivazione
Se hai già una chiave di attivazione da AWS, puoi avviare e eseguire il provisioning di una connessione Partner Cross-Cloud Interconnect per AWS da AWS. Per farlo, segui questi passaggi:
Attiva la chiave utilizzando la console AWS.
Segui le istruzioni per creare una connessione dalla console AWS. Devi fornire il progetto e la regione in cui vuoi che venga creata la connessione Google Cloud. Per un elenco delle posizioni accoppiate, vedi Scegliere una posizione accoppiata.
Dopo aver creato la risorsa sul lato AWS, crea la risorsa Google Cloud con la chiave di attivazione fornita.
Esegui il peering della tua rete VPC con la rete VPC di peering del trasporto.