(舊版) 設定私人連線

私人服務連線是虛擬私有雲 (VPC) 網路與 VMware Engine 網路之間的私人連線。本頁面說明如何設定 Google Cloud VMware Engine 的私人服務連線,以及如何將虛擬私有雲網路連線至私有雲。

私人服務存取權可啟用下列行為:

  • 虛擬私有雲網路和 VMware VM 中的虛擬機器 (VM) 執行個體,可透過內部 IP 位址進行專屬通訊。VM 執行個體不需要網際網路存取權或外部 IP 位址,就可以透過私人服務連線與服務連線。
  • VMware VM 與Google Cloud支援的服務之間的通訊,這些服務支援使用內部 IP 位址的私人服務連線。
  • 如果您使用 Cloud VPN 或 Cloud Interconnect 連線至虛擬私有雲網路,可以利用現有的地端部署連線,連線至 VMware Engine 私有雲。

您可以獨立設定私人服務連線,不必建立 VMware Engine 私有雲。您可以在建立私人雲端之前或之後,建立私人連線,將虛擬私有雲網路連線至該私人雲端。

權限

  1. 請確認您在專案中具備下列角色: Compute > 網路管理員

    檢查角色

    1. 前往 Google Cloud 控制台的「IAM」頁面。

      前往「IAM」頁面
    2. 選取專案。

    3. 在「主體」欄中,找出所有識別您或您所屬群組的資料列。如要瞭解自己所屬的群組,請與管理員聯絡。

    4. 針對指定或包含您的所有列,請檢查「角色」欄,確認角色清單是否包含必要角色。

    授予角色

    1. 前往 Google Cloud 控制台的「IAM」頁面。

      前往「IAM」頁面
    2. 選取專案。
    3. 按一下「Grant access」(授予存取權)

    4. 在「New principals」(新增主體) 欄位中,輸入您的使用者 ID。 這通常是指 Google 帳戶的電子郵件地址。

    5. 按一下「選取角色」,然後搜尋角色。
    6. 如要授予其他角色,請按一下「Add another role」(新增其他角色),然後新增其他角色。
    7. 按一下「Save」(儲存)

事前準備

  1. 您必須擁有現有的虛擬私有雲網路。
  2. 在專案中啟用 Service Networking API

  3. 在要連線的虛擬私有雲網路中設定私人服務連線

  4. 請按照下列步驟,找出虛擬私有雲網路的對等互連專案 ID

    1. Google Cloud console中,前往「VPC network peering」(虛擬私有雲網路對等互連)。對等互連資料表中會列出名為「servicenetworking-googleapis-com」的虛擬私有雲網路對等互連連線。
    2. 複製對等互連專案 ID,以便在 Google Cloud 控制台中設定私有連線時使用。

多虛擬私有雲連線

您可以使用 VMware Engine 從不同的虛擬私有雲網路存取同一個私有雲,不必變更 Google Cloud中部署的任何現有虛擬私有雲架構。舉例來說,如果您有測試和開發用的個別虛擬私有雲網路,多重虛擬私有雲連線功能就非常實用。

在這種情況下,VPC 網路必須與 VMware VM 或其他目的地通訊,這些目的地位於相同私有雲或多個私有雲中,不同的 vSphere 資源群組。

根據預設,每個區域最多可對等互連 3 個虛擬私有雲網路。這項對等互連限制包括網際網路存取網路服務使用的 VPC 對等互連。如要提高這項上限,請與 Cloud Customer Care 團隊聯絡

IP 位址的唯一性

將虛擬私有雲網路連線至 VMware Engine 區域網路時,請遵循下列指南,確保 IP 位址的唯一性:

  • 虛擬私有雲網路中的 VMware Engine IP 範圍和子網路不能使用相同的 IP 位址範圍。

  • VMware Engine IP 範圍無法納入虛擬私有雲網路的子網路 IP 位址範圍。虛擬私有雲網路中的子網路路徑必須具備最明確的 IP 位址範圍。

  • 請仔細參閱虛擬私有雲網路路徑總覽,瞭解虛擬私有雲網路路徑的運作方式。

  • 如要將兩個以上的 VMware Engine 網路連線至同一個虛擬私有雲網路,您必須為每個 VMware Engine 網路使用不重複的 IP 範圍,或者只為其中一個 VMware Engine 網路啟用 NSX 連線,並使用與其他 VMware Engine 網路相同的 IP 範圍。

建立私人連線

在控制台、Google Cloud CLI 或 REST API 中建立私人連線。 在要求中,將連線類型設為 PRIVATE_SERVICE_ACCESS,並將轉送模式設為 GLOBAL 轉送模式。

控制台

  1. 前往 Google Cloud 控制台的「私人連線」頁面。

    前往「私人連線」頁面

  2. 點選「建立」

  3. 提供連線的「名稱」和「說明」

  4. 選取要連線的 VMware Engine 網路。

  5. 在「對等互連專案 ID」欄位中,貼上您在必要條件中複製的「對等互連專案 ID」

  6. 在「私人連線類型」中,選取「私人服務連線」

  7. 選取這個虛擬私有雲網路對等互連連線的轉送模式。在大多數情況下,建議使用全域轉送模式。如果您不希望與虛擬私有雲網路對等互連的 Google 服務跨區域通訊,請改為選取Regional轉送模式。這項選取項目會覆寫現有的路徑模式。

  8. 按一下「提交」

建立連線後,您可以從私人連線清單中選取特定連線。每個私人連線的詳細資料頁面都會顯示私人連線的轉送模式,以及透過虛擬私有雲對等互連學到的任何路徑。

「匯出路徑」表格會顯示從區域瞭解到的私有雲,以及透過 VPC 對等互連匯出的私有雲。如果多個虛擬私有雲網路與同一個 VMware Engine 區域網路對等互連,從一個虛擬私有雲網路收到的路徑不會通告至其他虛擬私有雲網路。

gcloud

  1. 執行 gcloud vmware private-connections create 指令,建立私人連線:

    gcloud vmware private-connections create PRIVATE_CONNECTION_ID \
  --location=REGION\
  --description="" \
  --vmware-engine-network=NETWORK_ID \
  --service-project=SERVICE_NETWORKING_TENANT_PROJECT\
  --type=PRIVATE_SERVICE_ACCESS \
  --routing-mode=MODE
    格式傳遞 service_network 的完整名稱。

    更改下列內容:

    • PRIVATE_CONNECTION_ID:要建立的私人連線名稱
    • REGION:要在哪個區域建立這個私人連線;必須與 VMware Engine 網路區域相符
    • NETWORK_ID:VMware Engine 網路名稱
    • SERVICE_NETWORKING_TENANT_PROJECT:這個 Service Networking 租戶虛擬私有雲的專案名稱。您可以在對等互連名稱的「PEER_PROJECT」欄中找到 SNTP。servicenetworking-googleapis-com
    • MODE:轉送模式,可為 GLOBALREGIONAL

  2. 選用:如要列出私人連線,請執行 gcloud vmware private-connections list 指令

    gcloud vmware private-connections list \
    --location=REGION

    更改下列內容:

    • REGION:要列出網路的區域。

API

如要使用 VMware Engine API 建立 Compute Engine 虛擬私有雲和私人服務存取權連線,請按照下列步驟操作:

  1. 建立私人連線,方法是發出 POST 要求:

    POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections?private_connection_id=PRIVATE_CONNECTION_ID"

'{
  "description": "My first private connection",
  "vmware_engine_network":
"projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/NETWORK_ID
  "type": "PRIVATE_SERVICE_ACCESS",
  "routing_mode": "MODE",
  "service_network":
"projects/SERVICE_NETWORKING_TENANT_PROJECT/global/networks/SERVICE_NETWORK"
}'

    更改下列內容:

    • PRIVATE_CONNECTION_ID:這項要求的私人連線名稱
    • REGION:要在哪個區域建立這個私人連線
    • NETWORK_ID:這項要求的 VMware Engine 網路
    • SERVICE_NETWORKING_TENANT_PROJECT:這個 Service Networking 租戶虛擬私有雲的專案名稱。您可以在對等互連名稱的 PEER_PROJECT 欄中找到 SNTP。servicenetworking-googleapis-com
    • SERVICE_NETWORK:租戶專案中的網路

  2. 選用:如要列出私人連線,請提出 GET 要求:

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections"

    更改下列內容:

    • PROJECT_ID:這項要求的專案名稱。
    • REGION:要列出私人連線的區域。

編輯私人連線

建立私人連線後,您可以編輯連線。建立後,您可以將轉送模式改為 GLOBALREGIONAL。您也可以在 Google Cloud CLI 或 API 中更新私人連線的說明。

控制台

  1. 前往 Google Cloud 控制台的「私人連線」頁面。

    前往「私人連線」頁面

  2. 按一下要編輯的私人連線名稱。

  3. 在詳細資料頁面中,按一下「編輯」

  4. 更新連線的說明或轉送模式。

  5. 點選「儲存」儲存變更。

gcloud

執行 gcloud vmware private-connections update 指令來編輯私人連線:

gcloud vmware private-connections update PRIVATE_CONNECTION_ID \
   --location=REGION \
   --description=DESCRIPTION \
   --routing-mode=MODE

更改下列內容:

  • PROJECT_ID:這項要求的專案名稱
  • REGION:要更新這個私人連線的區域
  • DESCRIPTION:要使用的新說明
  • PRIVATE_CONNECTION_ID:這項要求的私人連線 ID
  • MODE:轉送模式,可為 GLOBALREGIONAL

API

如要使用 VMware Engine API 編輯私人連線,請提出 PATCH要求:

PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID?update_mask=description, routing_mode"

'{
  "description": "Updated description for the private connection",
  "routing_mode": "MODE"
}'

更改下列內容:

  • PROJECT_ID:這項要求的專案名稱
  • REGION:要更新這個私人連線的區域
  • PRIVATE_CONNECTION_ID:這項要求的私人連線名稱
  • MODE:轉送模式,可為 GLOBALREGIONAL

說明私人連線

您可以使用 Google Cloud CLI 或 VMware Engine API,取得任何私有連線的說明。

gcloud

執行 gcloud vmware private-connections describe 指令,取得私人連線的說明:

gcloud vmware private-connections describe PRIVATE_CONNECTION_ID \
    --location=REGION

更改下列內容:

  • PRIVATE_CONNECTION_ID:這項要求的私人連線名稱
  • REGION:私人連線的區域。

API

如要使用 VMware Engine API 取得私人連線的說明,請發出 GET 要求:

GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID"

更改下列內容:

  • PROJECT_ID:這項要求的專案名稱。
  • PRIVATE_CONNECTION_ID:這項要求的私有連線名稱。
  • REGION:私人連線的區域。

刪除的私人連線不再顯示於私人連線清單後,即可在Google Cloud 控制台中刪除私人連線。如果未依序執行這個步驟,兩個 Google Cloud 專案中可能會出現過時的 DNS 項目。

列出私人連線的對等互連路徑

如要列出私人連線交換的對等互連路徑,請按照下列步驟操作:

控制台

  1. 前往 Google Cloud 控制台的「私人連線」頁面。

    前往「私人連線」頁面

  2. 按一下要查看的私人連線名稱。

詳細資料頁面會說明匯入及匯出的路線。

gcloud

執行 gcloud vmware private-connections routes list 指令,列出私人連線交換的對等互連路徑:

gcloud vmware private-connections routes list \
    --private-connection=PRIVATE_CONNECTION_ID \
    --location=REGION

更改下列內容:

  • PRIVATE_CONNECTION_ID:這項要求的私有連線名稱。
  • REGION:私人連線的區域。

API

如要使用 VMware Engine API 列出為私人連線交換的對等互連路由,請發出 GET 要求:

GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID/peeringRoutes"

更改下列內容:

  • PROJECT_ID:這項要求的專案名稱。
  • REGION:私人連線的區域。
  • PRIVATE_CONNECTION_ID:這項要求的私有連線名稱。

轉送限制

Private Cloud 最多可接收 200 條路徑。舉例來說,這些路徑可能來自地端部署網路、對等互連的虛擬私有雲網路,以及相同虛擬私有雲網路中的其他私有雲。這項路徑限制對應於 Cloud Router 每個 BGP 工作階段的自訂路徑通告數量上限。

在特定區域中,您最多可以透過私人服務存取權,從 VMware Engine 通告 100 個不重複的路徑到虛擬私有雲網路。舉例來說,這些專屬路徑包括私有雲管理 IP 位址範圍、NSX 工作負載網路區隔,以及 HCX 內部 IP 位址範圍。這項路徑限制包含該區域中的所有私有雲,且對應於 Cloud Router 取得的路徑限制。

如要瞭解路由限制,請參閱「Cloud Router 配額與限制」一文。

疑難排解

以下影片將說明如何驗證及排解 Google Cloud 虛擬私有雲與 Google Cloud VMware Engine 之間的對接連線問題。

後續步驟