(Antigo) Configure ligações privadas

O acesso a serviços privados é uma ligação privada entre a sua rede da nuvem virtual privada (VPC) e as redes no VMware Engine. Esta página explica como configurar o acesso a serviços privados ao Google Cloud VMware Engine e associar a sua rede VPC à sua nuvem privada.

O acesso a serviços privados permite o seguinte comportamento:

  • Comunicação exclusiva por endereço IP interno para instâncias de máquinas virtuais (VMs) na sua rede VPC e VMs VMware. As instâncias de VM não precisam de acesso à Internet nem de endereços IP externos para alcançar serviços que estão disponíveis através do acesso a serviços privados.
  • Comunicação entre VMs VMware e Google Cloudserviços suportados, que suportam o acesso a serviços privados através de endereços IP internos.
  • Utilização de ligações nas instalações existentes para se ligar à sua nuvem privada do VMware Engine, se tiver conetividade nas instalações através do Cloud VPN ou do Cloud Interconnect à sua rede VPC.

Pode configurar o acesso a serviços privados independentemente da criação da nuvem privada do VMware Engine. A ligação privada pode ser criada antes ou depois da criação da nuvem privada à qual quer ligar a sua rede de VPC.

Autorizações

  1. Make sure that you have the following role or roles on the project: Compute > Network Admin

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Aceder ao IAM
    2. Selecione o projeto.
    3. Clique em Conceder acesso.

    4. No campo Novos responsáveis, introduza o identificador do utilizador. Normalmente, este é o endereço de email de uma Conta Google.

    5. Na lista Selecionar uma função, selecione uma função.
    6. Para conceder funções adicionais, clique em Adicionar outra função e adicione cada função adicional.
    7. Clique em Guardar.

    Antes de começar

    1. Tem de ter uma rede de VPC existente.
    2. Ative a API Service Networking no seu projeto.

    3. Configure o acesso a serviços privados na rede VPC à qual quer estabelecer ligação.

    4. Localize o ID do projeto com peering da sua rede VPC fazendo o seguinte:

      1. No Google Cloud console, aceda a Intercâmbio da rede da VPC. Uma ligação de peering de rede VPC com o nome servicenetworking-googleapis-com está listada na tabela de peering.
      2. Copie o ID do projeto com peering para o poder usar ao configurar uma ligação privada na Google Cloud consola.

    Conetividade com várias VPCs

    O VMware Engine permite-lhe aceder à mesma nuvem privada a partir de diferentes redes VPC sem ter de alterar as arquiteturas VPC existentes implementadas no Google Cloud. Por exemplo, a conetividade de várias VPCs é útil quando tem redes VPC separadas para testes e desenvolvimento.

    Esta situação requer que as redes da VPC comuniquem com VMs VMware ou outros endereços de destino em grupos de recursos vSphere separados na mesma nuvem privada ou em várias nuvens privadas.

    Por predefinição, pode estabelecer peering com 3 redes de VPC por região. Este limite de peering inclui o peering de VPC usado pelo serviço de rede de acesso à Internet. Para aumentar este limite, contacte o apoio ao cliente do Google Cloud.

    Unicidade do endereço IP

    Quando associa a sua rede VPC a uma rede regional do VMware Engine, siga estas diretrizes para garantir a exclusividade do endereço IP:

    • Os intervalos de IP e as sub-redes do VMware Engine na sua rede VPC não podem usar os mesmos intervalos de endereços IP.

    • Os intervalos de IP do VMware Engine não cabem num intervalo de endereços IP de sub-rede na sua rede VPC. As rotas de sub-rede na sua rede VPC têm de ter os intervalos de endereços IP mais específicos.

    • Reveja cuidadosamente a vista geral das rotas de rede VPC para ver detalhes sobre como funcionam as rotas de rede VPC.

    • Se precisar de ligar duas ou mais redes do VMware Engine à mesma rede VPC, tem de usar intervalos de IP únicos para cada rede do VMware Engine ou só tem de ativar a conetividade do NSX para uma das redes do VMware Engine que use os mesmos intervalos de IP que outra rede do VMware Engine.

    Crie uma ligação privada

    Crie uma ligação privada na consola, na Google Cloud CLI ou na API REST. Na sua solicitação, defina o tipo de ligação como PRIVATE_SERVICE_ACCESS e o modo de encaminhamento como modo de encaminhamento GLOBAL.

    Consola

    1. Na Google Cloud consola, aceda à página Ligações privadas.

      Aceda a Ligações privadas

    2. Clique em Criar.

    3. Indique um Nome e uma Descrição para a associação.

    4. Selecione a rede do VMware Engine à qual se quer ligar.

    5. No campo ID do projeto com peering, cole o ID do projeto com peering que copiou nos pré-requisitos.

    6. Em Tipo de ligação privada, selecione Acesso a serviços privados.

    7. Selecione o modo de encaminhamento para esta ligação de peering de redes VPC. Na maioria dos casos, recomendamos o modo de encaminhamento global. Se não quiser que os serviços Google com peering com a sua rede VPC comuniquem entre regiões, selecione o modo de encaminhamento Regional. Esta seleção substitui o modo de planeamento de trajeto existente.

    8. Clique em Enviar.

    Quando a associação é criada, pode selecionar a associação específica na lista de associações privadas. A página de detalhes de cada ligação privada apresenta o modo de encaminhamento da ligação privada e quaisquer rotas aprendidas através do intercâmbio de redes da VPC.

    A tabela Rotas exportadas mostra as nuvens privadas aprendidas na região e exportadas através do intercâmbio da VPC. Quando várias redes VPC estão interligadas à mesma rede regional do VMware Engine, as rotas recebidas de uma rede VPC não são anunciadas à outra rede VPC.

    gcloud

    1. Crie uma ligação privada executando o comando gcloud vmware private-connections create:

      gcloud vmware private-connections create PRIVATE_CONNECTION_ID \
  --location=REGION\
  --description="" \
  --vmware-engine-network=NETWORK_ID \
  --service-project=SERVICE_NETWORKING_TENANT_PROJECT\
  --type=PRIVATE_SERVICE_ACCESS \
  --routing-mode=MODE

      Substitua o seguinte:

      • PRIVATE_CONNECTION_ID: o nome da associação privada a criar
      • REGION: a região na qual criar esta ligação privada. Tem de corresponder à região da rede do VMware Engine
      • NETWORK_ID: o nome da rede do VMware Engine
      • SERVICE_NETWORKING_TENANT_PROJECT: o nome do projeto para esta VPC de inquilino de rede de serviços. Pode encontrar o SNTP na coluna PEER_PROJECT do nome da interligação servicenetworking-googleapis-com.
      • MODE: o modo de planeamento de trajeto, GLOBAL ou REGIONAL

    2. Opcional: se quiser listar as suas associações privadas, execute o comando gcloud vmware private-connections list:

      gcloud vmware private-connections list \
    --location=REGION

      Substitua o seguinte:

      • REGION: a região da rede a listar.

    API

    Para criar uma VPC do Compute Engine e uma ligação de acesso a serviços privados através da API VMware Engine:

    1. Crie uma ligação privada fazendo um pedido POST:

      POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections?private_connection_id=PRIVATE_CONNECTION_ID"

'{
  "description": "My first private connection",
  "vmware_engine_network":
"projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/NETWORK_ID
  "type": "PRIVATE_SERVICE_ACCESS",
  "routing_mode": "MODE",
  "service_network":
"projects/SERVICE_NETWORKING_TENANT_PROJECT/global/networks/SERVICE_NETWORK"
}'

      Substitua o seguinte:

      • PRIVATE_CONNECTION_ID: o nome da ligação privada para este pedido
      • REGION: a região na qual criar esta ligação privada
      • NETWORK_ID: a rede do VMware Engine para este pedido
      • SERVICE_NETWORKING_TENANT_PROJECT: o nome do projeto para esta VPC de inquilino de rede de serviços. Pode encontrar o SNTP na coluna PEER_PROJECT do nome da interligaçãoservicenetworking-googleapis-com
      • SERVICE_NETWORK: a rede no projeto de inquilino

    2. Opcional: se quiser listar as suas associações privadas, faça um GETpedido:

      GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections"

      Substitua o seguinte:

      • PROJECT_ID: o nome do projeto para este pedido.
      • REGION: a região para listar as associações privadas.

    Edite uma associação privada

    Pode editar uma associação privada depois de a criar. Depois de criadas, pode alterar o modo de planeamento de trajeto entre GLOBAL e REGIONAL. Na CLI do Google Cloud ou na API, também pode atualizar a descrição da ligação privada.`

    Consola

    1. Na Google Cloud consola, aceda à página Ligações privadas.

      Aceda a Ligações privadas

    2. Clique no nome da associação privada que quer editar.

    3. Na página de detalhes, clique em Editar.

    4. Atualize a descrição ou o modo de encaminhamento da ligação.

    5. Guarde as alterações.

    gcloud

    Edite uma associação privada executando o comando gcloud vmware private-connections update:

    gcloud vmware private-connections update PRIVATE_CONNECTION_ID \
   --location=REGION \
   --description=DESCRIPTION \
   --routing-mode=MODE

    Substitua o seguinte:

    • PROJECT_ID: o nome do projeto para este pedido
    • REGION: a região para atualizar esta ligação privada
    • DESCRIPTION: a nova descrição a usar
    • PRIVATE_CONNECTION_ID: o ID da ligação privada para este pedido
    • MODE: o modo de planeamento de trajeto, GLOBAL ou REGIONAL

    API

    Para editar uma ligação privada através da API VMware Engine, faça um pedido PATCH 

    PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID?update_mask=description, routing_mode"

'{
  "description": "Updated description for the private connection",
  "routing_mode": "MODE"
}'

    Substitua o seguinte:

    • PROJECT_ID: o nome do projeto para este pedido
    • REGION: a região para atualizar esta ligação privada
    • PRIVATE_CONNECTION_ID: o nome da ligação privada para este pedido
    • MODE: o modo de planeamento de trajeto, GLOBAL ou REGIONAL

    Descreva uma ligação privada

    Pode obter a descrição de qualquer ligação privada através da CLI Google Cloud ou da API VMware Engine.

    gcloud

    Execute o comando gcloud vmware private-connections describe para obter uma descrição de uma ligação privada:

    gcloud vmware private-connections describe PRIVATE_CONNECTION_ID \
    --location=REGION

    Substitua o seguinte:

    • PRIVATE_CONNECTION_ID: o nome da ligação privada para este pedido
    • REGION: a região da ligação privada.

    API

    Para receber uma descrição de uma ligação privada através da API VMware Engine, faça um pedido GET:

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID"

    Substitua o seguinte:

    • PROJECT_ID: o nome do projeto para este pedido.
    • PRIVATE_CONNECTION_ID: o nome da associação privada para este pedido.
    • REGION: a região da ligação privada.

    Depois de as ligações privadas que eliminou deixarem de estar visíveis na lista de ligações privadas, pode eliminar a ligação privada na consolaGoogle Cloud . Se executar este passo fora de ordem, pode resultar em entradas DNS desatualizadas em ambos os projetos Google Cloud .

    Liste as rotas de peering para uma ligação privada

    Para listar as rotas de peering trocadas para uma ligação privada, faça o seguinte:

    Consola

    1. Na Google Cloud consola, aceda à página Ligações privadas.

      Aceda a Ligações privadas

    2. Clique no nome da associação privada que quer ver.

    A página de detalhes descreve as rotas importadas e exportadas.

    gcloud

    Liste as rotas de peering trocadas para uma ligação privada executando o comando gcloud vmware private-connections routes list:

    gcloud vmware private-connections routes list \
    --private-connection=PRIVATE_CONNECTION_ID \
    --location=REGION

    Substitua o seguinte:

    • PRIVATE_CONNECTION_ID: o nome da associação privada para este pedido.
    • REGION: a região da ligação privada.

    API

    Para listar as rotas de peering trocadas para uma ligação privada através da API VMware Engine, faça um pedido GET:

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID/peeringRoutes"

    Substitua o seguinte:

    • PROJECT_ID: o nome do projeto para este pedido.
    • REGION: a região da ligação privada.
    • PRIVATE_CONNECTION_ID: o nome da associação privada para este pedido.

    Limites de encaminhamento

    O número máximo de rotas que uma nuvem privada pode receber é 200. Por exemplo, essas rotas podem ter origem em redes nas instalações, redes VPC com intercâmbio e outras nuvens privadas na mesma rede VPC. Este limite de rotas corresponde ao número máximo de anúncios de rotas personalizadas do Cloud Router por limite de sessão BGP.

    Numa determinada região, pode anunciar, no máximo, 100 rotas únicas do VMware Engine para a sua rede VPC através do acesso a serviços privados. Por exemplo, essas rotas únicas incluem intervalos de endereços IP de gestão da nuvem privada, segmentos de rede de carga de trabalho do NSX e intervalos de endereços IP internos do HCX. Este limite de rotas inclui todas as nuvens privadas na região e corresponde ao limite de rotas aprendidas do Cloud Router.

    Para ver informações sobre os limites de encaminhamento, consulte o artigo Quotas e limites do Cloud Router.

    Resolução de problemas

    O vídeo seguinte mostra como validar e resolver problemas de ligação de intercâmbio entre a Google Cloud VPC e o Google Cloud VMware Engine.

    O que se segue?