建立及管理網路政策
本文說明如何使用網路政策,控管 VMware 工作負載是否能存取網際網路,或者使用者是否能透過網際網路存取 VMware 工作負載。
每個網路政策都會與 VMware Engine 網路建立關聯,而 VMware Engine 網路可以是區域性或全球性。標準 VMware Engine 網路是全域性資源,而舊版 VMware Engine 網路是區域資源。
網路政策會套用至與 VMware Engine 網路相關聯的所有私有雲。如果是舊版網路,如果您在多個區域部署私有雲,且想啟用網際網路存取權或外部 IP 位址服務,則必須在每個區域建立網路政策。
建立網路政策
使用控制台、gcloud 或 API 建立網路政策。
控制台
如要使用 Google Cloud 控制台建立新的網路政策,請按照下列步驟操作:
前往 Google Cloud 控制台的「Network policies」(網路政策) 頁面。
按一下「選取專案」,然後選取包含要與網路政策建立關聯的 VMware Engine 網路的機構、資料夾或專案。
點選「建立」。
提供新網路政策的相關資訊:
- 網路政策名稱:用於識別網路政策的名稱
- 網路政策說明:網路政策的說明
- VMware Engine 網路:要將政策與之建立關聯的 VMware Engine 網路
- 區域:您要套用網路政策的區域
在「政策詳細資料」部分,啟用或停用網路服務:
- 網際網路存取服務:啟用後,VMware Engine 允許內部 IP 位址將傳出流量傳送至網際網路。
外部 IP 位址服務:啟用後,VMware Engine 可讓您為相關聯私有雲中的內部 IP 位址預留外部 IP 位址。外部 IP 位址可讓網際網路的連入流量存取內部 IP 位址。
只有在啟用網際網路存取服務時,才能啟用這項服務。
在「Edge services address range」(邊緣服務位址範圍) 欄位中,輸入用於定址 VMware Engine 公開 IP 閘道的 IP 位址範圍 (/26 位址範圍)。
點按「Create」(建立)。VMware Engine 會開始建立新的網路政策。
gcloud
在 gcloud 中執行 network-policies create 指令:
gcloud vmware network-policies create NETWORK_POLICY_ID \ --location LOCATION --vmware-engine-network NETWORK_ID \ --edge-services-cidr=EDGE_SERVICES_CIDR [--external-ip-access] \ [--internet-access]
更改下列內容:
NETWORK_POLICY_ID:這個網路政策的名稱LOCATION:這個網路政策的位置,必須與 VMware Engine 網路相符NETWORK_ID:VMware Engine 網路名稱EDGE_SERVICES_CIDR:用於定址 VMware Engine 公開 IP 閘道的 IP 位址範圍 (/26 位址範圍)--external-ip-access:是否允許將外部 IP 位址指派給 VMware 工作負載。必須一併啟用「--internet-access」。--internet-access:VMWare 工作負載是否可存取網際網路
API
在 API 中,發出 POST 要求:
POST https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/networkPolicies?networkPolicyId=NETWORK_POLICY_ID
'{
"internetAccess": INTERNET_ACCESS,
"externalIp": EXTERNAL_IP,
"vmwareEngineNetwork": "projects/PROJECT_ID/locations/LOCATION/vmwareEngineNetworks/NETWORK_ID"
"edgeServicesCidr": "EDGE_SERVICES_CIDR"
}'更改下列內容:
PROJECT_ID:這項要求所屬的專案LOCATION:這個網路政策的位置,必須與 VMware Engine 網路相符NETWORK_POLICY_ID:這個網路政策的名稱INTERNET_ACCESS:VMWare 工作負載是否可存取網際網路;請將此值設為true或falseEXTERNAL_IP:是否允許將外部 IP 位址指派給 VMware 工作負載。也必須啟用internetAccess,並設為true或false。NETWORK_ID:VMware Engine 網路名稱EDGE_SERVICES_CIDR:用於定址 VMware Engine 公開 IP 閘道的 IP 位址範圍 (/26 位址範圍)
編輯網路政策
控制台
如要使用 Google Cloud 控制台編輯現有網路政策,請按照下列步驟操作:
前往 Google Cloud 控制台的「Network policies」(網路政策) 頁面。
按一下「選取專案」,然後選取包含要編輯網路政策的 VMware Engine 網路的機構、資料夾或專案。
在網路政策清單中,找出要編輯的網路政策。
按一下資料列尾端的「更多」 圖示,然後選取「編輯」。
在隨即顯示的頁面中,視需要調整網路政策。
按一下 [儲存]。
gcloud
如要更新網路政策,請使用 network-policies update 指令:
gcloud vmware network-policies update NETWORK_POLICY_ID \ --location LOCATION \ --edge-services-cidr=EDGE_SERVICES_CIDR [--external-ip-access] \ [--internet-access]
更改下列內容:
NETWORK_POLICY_ID:網路政策的名稱LOCATION:這項網路政策的位置EDGE_SERVICES_CIDR:用於定址 VMware Engine 公開 IP 閘道的 IP 位址範圍 (/26 位址範圍)--external-ip-access:是否允許將外部 IP 位址指派給 VMware 工作負載。必須一併啟用「--internet-access」。--internet-access:VMWare 工作負載是否可存取網際網路
API
在 API 中,發出 PATCH 要求:
POST https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/networkPolicies?networkPolicyId=NETWORK_POLICY_ID
'{
"internetAccess": INTERNET_ACCESS,
"externalIp": EXTERNAL_IP,
"edgeServicesCidr": "EDGE_SERVICES_CIDR"
}'更改下列內容:
PROJECT_ID:這項要求所屬的專案LOCATION:這項網路政策的位置NETWORK_POLICY_ID:這個網路政策的名稱INTERNET_ACCESS:VMWare 工作負載是否可存取網際網路;請將此值設為true或falseEXTERNAL_IP:是否允許將外部 IP 位址指派給 VMware 工作負載。也必須啟用internetAccess,並設為true或false。EDGE_SERVICES_CIDR:用於定址 VMware Engine 公開 IP 閘道的 IP 位址範圍 (/26 位址範圍)
刪除網路政策
如要刪除現有網路政策,請按照下列步驟操作。
控制台
前往 Google Cloud 控制台的「Network policies」(網路政策) 頁面。
按一下「選取專案」,然後選取包含要刪除網路政策的 VMware Engine 網路的機構、資料夾或專案。
在網路政策清單中,找出要刪除的網路政策。
按一下資料列末端的「更多」 圖示,然後選取「刪除」。
gcloud
在 gcloud 中,使用 network-policies delete 指令:
gcloud vmware network-policies delete NETWORK_POLICY_ID
將 NETWORK_POLICY_ID 替換為要刪除的網路政策名稱。
API
對網路政策資源發出 DELETE 要求:
DELETE https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/networkPolicies/NETWORK_POLICY_ID
更改下列內容:
PROJECT_ID:這項要求所屬的專案LOCATION:這項網路政策的位置NETWORK_POLICY_ID:這個網路政策的名稱