ワークロード VM のインターネット アクセスを構成する

Google Cloud VMware Engine では、VMware ワークロードのインターネット アクセス ネットワーク サービスをリージョン単位で構成します。 のインターネット エッジまたはオンプレミス 接続を使用して、ワークロード VM からインターネットに向かうトラフィックを転送できます。 Google Cloud

VMware Engine には、ワークロード VM のインターネット アクセスを構成するための次の方法があります。

• VMware Engine インターネット アクセス サービス: Google Cloudのインターネット エッジを使用して、ワークロード VM がインターネットに直接アクセスできるようにします。インターネット アクセス サービスを構成するをご覧ください。
• オンプレミス接続: ワークロード VM からインターネットに向かうトラフィックをオンプレミス接続経由でルーティングします。ワークロードのインターネット接続にオンプレミス接続を使用するをご覧ください。
• コンシューマー VPC ネットワーク: ワークロード VM からインターネットに向かうトラフィックをコンシューマー VPC ネットワーク経由でルーティングします。ワークロードのインターネット アクセスにプロジェクトの VPC を使用するをご覧ください。

インターネットにアクセスできるワークロード VM も、 Google Cloud サービスにプライベート Google アクセスを使用してアクセスできます。 プライベート Google アクセスを使用して Google Cloud サービスにアクセスする場合、そのアクセスは Google Cloud ネットワーク内に留まるため、インターネットに接続されることはありません。

インターネット アクセス ネットワーク サービスは、以下をサポートしています。

• リージョンごとに最大 100 個のパブリック IP アドレス
• ネットワーク ポリシーごとに最大 100 個の外部アクセスルール
• リージョンごとに最大 2 Gbps のスループット
• TCP、UDP、ICMP プロトコル

インターネット アクセス ネットワーク サービスは、アプリケーション レベル ゲートウェイ（ALG）機能をサポートしていません。

始める前に

プライベート クラウドのインターネット アクセス設定を変更するには、VMware Engine に対する管理者権限が必要です。

インターネット アクセスを有効にするには、Edge サービスの CIDR アドレス範囲が必要です。インターネット アクセスまたはパブリック IP ネットワーク サービスを有効にすると、サービス テナント コンテキストの中でゲートウェイがデプロイされます。

VMware Engine のインターネット ゲートウェイとパブリック IP ゲートウェイのアドレスには、Edge サービスの CIDR アドレス範囲を使用します。アドレス範囲は、次の要件を満たしている必要があります。

• プライベート範囲としてRFC 1918に準拠する。
• 他の VMware Engine アドレス範囲（管理アプライアンスや NSX セグメントに使用されるアドレス範囲など）と重複しない。
• Virtual Private Cloud（VPC）ネットワーク サブネットやオンプレミス ネットワークに使用されるような、VMware Engine にアドバタイズされるアドレス範囲と重複しない。
• 26 サブネット マスク ビット（/26）を IP アドレス範囲専用にする。

Google Cloud CLI と API の要件

gcloud コマンドライン ツールまたは API を使用して VMware Engine リソースを管理するには、以下で説明するようにツールを構成することをおすすめします。

curl -X GET -H "Authorization: Bearer \"$TOKEN\"" -H "Content-Type: application/json; charset=utf-8" https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations

インターネット アクセス サービスを構成する

ワークロード VM にインターネット アクセスを許可するには、ネットワーク ポリシーを作成または更新します。

デフォルトでは、インターネット アクセス ネットワーク サービスは無効になっています。

リージョンでインターネット アクセス サービスを有効にする

gcloud vmware network-policies create NETWORK_POLICY_NAME \
    --vmware-engine-network projects/PROJECT_ID/locations/LOCATIONS/vmwareEngineNetworks/NETWORK_ID \
    --edge-services-cidr=IP_RANGE \
    --location=LOCATION \
    --internet-access

curl -X POST -H "Authorization: Bearer TOKEN"  -H "Content-Type: application/json; charset=utf-8" https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/networkPolicies?networkPolicyId=NETWORK_POLICY_NAME

'{
  "vmwareEngineNetwork":"projects/PROJECT_ID/locations/LOCATION/vmwareEngineNetworks/NETWORK_ID",
  "edgeServiceCidr":"IP_RANGE",
  "internetAccess": {
    "enabled": true
   },
   "externalIp": {
     "enabled": true
   }
}'

from google.api_core import operation
from google.cloud import vmwareengine_v1


def create_network_policy(
    project_id: str,
    region: str,
    ip_range: str,
    internet_access: bool,
    external_ip: bool,
) -> operation.Operation:
    """
    Creates a new network policy in a given network.

    Args:
        project_id: name of the project you want to use.
        region: name of the region you want to use. I.e. "us-central1"
        ip_range: the CIDR range to use for internet access and external IP access gateways,
            in CIDR notation. An RFC 1918 CIDR block with a "/26" suffix is required.
        internet_access: should internet access be allowed.
        external_ip: should external IP addresses be assigned.

    Returns:
        An operation object representing the started operation. You can call its .result() method to wait for
        it to finish.

    Raises:
        ValueError if the provided ip_range doesn't end with /26.
    """
    if not ip_range.endswith("/26"):
        raise ValueError(
            "The ip_range needs to be an RFC 1918 CIDR block with a '/26' suffix"
        )

    network_policy = vmwareengine_v1.NetworkPolicy()
    network_policy.vmware_engine_network = f"projects/{project_id}/locations/{region}/vmwareEngineNetworks/{region}-default"
    network_policy.edge_services_cidr = ip_range
    network_policy.internet_access.enabled = internet_access
    network_policy.external_ip.enabled = external_ip

    request = vmwareengine_v1.CreateNetworkPolicyRequest()
    request.network_policy = network_policy
    request.parent = f"projects/{project_id}/locations/{region}"
    request.network_policy_id = f"{region}-default"

    client = vmwareengine_v1.VmwareEngineClient()
    return client.create_network_policy(request)

HCX Mobility Optimized Networking（MON）のガイドライン

Mobility Optimized Networking（MON）を使用して HCX で VM を移行する場合は、インターネット接続を確保するために特定のルーティング構成が必要です。

レイヤ 2 拡張（L2E）セグメントで MON を有効にしている場合、VMware Engine は移行された VM のルートをインターネット サービスに自動的にアドバタイズしません。これらの VM がインターネットにアクセスできるようにするには、Tier-1 ルーターで BGP への静的ルート再配布を有効にする必要があります。

この手順は、MON 対応セグメントのルートをアドバタイズするために必要です。これにより、VMware Engine 環境を介してインターネット トラフィックをルーティングできます。この構成がないと、これらのセグメントの VM はパブリック インターネットにアクセスできません。

リージョンでインターネット アクセス サービスを無効にする

リージョンでインターネット アクセス サービスを無効にするには、次の操作を行います。

gcloud vmware network-policies update NETWORK_POLICY_NAME \
  --no-internet-access \
  --location LOCATION

curl -X PATCH -H "Authorization: Bearer TOKEN"  -H "Content-Type: application/json; charset=utf-8" https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/networkPolicies/NETWORK_POLICY_NAME?updateMask=internetAccess.enabled,externalIp.enabled -d "{
  "internetAccess": {
    "enabled": false
 },
  "externalIp": {
    "enabled": false
   }
}"

from google.api_core import operation
from google.cloud import vmwareengine_v1


def update_network_policy(
    project_id: str, region: str, internet_access: bool, external_ip: bool
) -> operation.Operation:
    """
    Updates a network policy in a given network.

    Args:
        project_id: name of the project you want to use.
        region: name of the region you want to use. I.e. "us-central1".
        internet_access: should internet access be allowed.
        external_ip: should external IP addresses be assigned.

    Returns:
        An operation object representing the started operation. You can call its .result() method to wait for
        it to finish.
    """

    client = vmwareengine_v1.VmwareEngineClient()
    request = vmwareengine_v1.UpdateNetworkPolicyRequest()
    request.update_mask = "internetAccess.enabled,externalIp.enabled"
    network_policy = vmwareengine_v1.NetworkPolicy()
    network_policy.name = (
        f"projects/{project_id}/locations/{region}/networkPolicies/{region}-default"
    )
    network_policy.vmware_engine_network = f"projects/{project_id}/locations/{region}/vmwareEngineNetworks/{region}-default"
    network_policy.internet_access.enabled = internet_access
    network_policy.external_ip.enabled = external_ip

    request.network_policy = network_policy

    return client.update_network_policy(request)

ワークロードのインターネット アクセスにプロジェクトの VPC を使用する

必要に応じて、プロジェクトの VPC を介して、VMware Engine のワークロード VM からインターネットに向かうトラフィックを転送できます。このオプションは、VPC ネットワークとピアリングされている標準の VMware Engine ネットワークでのみ使用できます。

プロジェクトの VPC を介してワークロード VM からインターネットにアクセスするには、次の手順を完了する必要があります。

1. VPC でインターネット アクセスを構成します。
   • Cloud NAT を使用する場合: Cloud NAT が VPC ネットワーク内のリソースにインターネット アクセスを提供するように構成されていることを確認します。 Cloud NAT はインターネット接続を直接提供するため、0.0.0.0/0 の特定のルートは必要ありません。
   • Cloud NAT を使用しない場合: インスタンス ベースのファイアウォールやプロキシなど、インターネット アクセスを提供する ネクストホップにトラフィックを転送する宛先 0.0.0.0/0 のルートが VPC にあることを確認します。また、カスタムルートを交換するように VPC ネットワーク ピアリングを構成する必要があります。ピアリング接続を更新して、VPC からカスタムルートをエクスポートし、カスタムルートをインポートします。
2. リージョンでインターネット アクセス サービスを無効にするの手順に沿って、 VMware Engine ネットワークのインターネット アクセスとパブリック IP サービスを無効にします。

これらの手順を完了すると、ワークロード VM からインターネットに向かうトラフィックは、ピアリング接続を介して VPC ネットワークにルーティングされ、そこで構成されたインターネット アクセス ソリューションを使用します。

詳細については、VPC を使用してワークロード VM のインターネット アクセスを構成するをご覧ください。

ワークロードのインターネット接続にオンプレミス接続を使用する

オンプレミス接続を介して、VMware Engine のワークロード VM からインターネットに向かうトラフィックを転送できます。VMware Engine がトラフィックを転送する方法は、次の状態によって異なります。

• オンプレミスからのデフォルト ルート（0.0.0.0/0）のアドバタイズ
• VMware Engine のパブリック IP サービス
• VMware Engine インターネット アクセス サービス
• VPC ネットワークと VMware Engine 間の VPC ピアリング接続での VPC Service Controls（レガシー VMware Engine ネットワークのみ）

オンプレミス接続を介したインターネット トラフィックのルーティングを有効にする

オンプレミス接続を介してワークロード VM からインターネットにアクセスするには、次の 2 つの手順を完了する必要があります。

1. オンプレミス接続（Cloud VPN または Cloud Interconnect）を介して、オンプレミスからデフォルト ルート（0.0.0.0/0）をアドバタイズします。VPN へのオンプレミス接続が終端する Cloud VPN ゲートウェイまたは Cloud Router を確認します。
2. VMware Engine ネットワークのインターネット アクセスとパブリック IP サービスを無効にします。

gcloud vmware network-policies update NETWORK_POLICY_NAME \
  --no-internet-access \
  --no-external-ip-address \
  --location LOCATION

gcloud services vpc-peerings enable-vpc-service-controls \
   --network=VPC_NETWORK \
   --service=servicenetworking.googleapis.com

curl -X PATCH -H "Authorization: Bearer TOKEN"  -H "Content-Type: application/json; charset=utf-8" https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/networkPolicies/NETWORK_POLICY_NAME?updateMask=internetAccess.enabled,externalIp.enabled

"{
  "internetAccess: {
    "enabled": false
   },
  "externalIp: {
    "enabled": false
   }
}"

gcloud services vpc-peerings enable-vpc-service-controls \
   --network=VPC_NETWORK_NAME \
   --service=servicenetworking.googleapis.com

from google.api_core import operation
from google.cloud import vmwareengine_v1


def update_network_policy(
    project_id: str, region: str, internet_access: bool, external_ip: bool
) -> operation.Operation:
    """
    Updates a network policy in a given network.

    Args:
        project_id: name of the project you want to use.
        region: name of the region you want to use. I.e. "us-central1".
        internet_access: should internet access be allowed.
        external_ip: should external IP addresses be assigned.

    Returns:
        An operation object representing the started operation. You can call its .result() method to wait for
        it to finish.
    """

    client = vmwareengine_v1.VmwareEngineClient()
    request = vmwareengine_v1.UpdateNetworkPolicyRequest()
    request.update_mask = "internetAccess.enabled,externalIp.enabled"
    network_policy = vmwareengine_v1.NetworkPolicy()
    network_policy.name = (
        f"projects/{project_id}/locations/{region}/networkPolicies/{region}-default"
    )
    network_policy.vmware_engine_network = f"projects/{project_id}/locations/{region}/vmwareEngineNetworks/{region}-default"
    network_policy.internet_access.enabled = internet_access
    network_policy.external_ip.enabled = external_ip

    request.network_policy = network_policy

    return client.update_network_policy(request)

gcloud services vpc-peerings enable-vpc-service-controls \
   --network=VPC_NETWORK \
   --service=servicenetworking.googleapis.com

レガシー Google Cloud VMware Engine ネットワークを使用している場合は、オンプレミス接続またはプロジェクトの VPC のいずれかを介してレガシー VEN インターネット アクセスをルーティングするために、VPC Service Controls を有効にする必要があります。この要件は、標準 VEN ではなく、レガシー Google Cloud VMware Engine ネットワークにのみ適用されます。

VPC Service Controls が有効になっている場合、 Google Cloud はサービス プロデューサーの VPC ネットワーク（この場合は VMware Engine とピアリングされたサービス テナント プロジェクト）で次のルーティング変更を行います。

• IPv4 デフォルト ルート（宛先 0.0.0.0/0、ネクストホップ デフォルト インターネット ゲートウェイ）を削除します。
• VPC ピアリングのデフォルト ルートを使用してインターネット トラフィックの転送を開始します。

例:

現在のプロジェクトで「my-network」という名前のネットワークをピアリングする接続で VPC Service Controls を有効にするには、gcloud services vpc-peerings enable-vpc-service-controls コマンドを使用します。

gcloud services vpc-peerings enable-vpc-service-controls \
    --network=my-network \
    --service=servicenetworking.googleapis.com

オンプレミス接続を介したインターネット トラフィックのルーティングを無効にする

オンプレミス接続を介したワークロード VM からのインターネット トラフィックのルーティングを無効にするには、デフォルト ルート（0.0.0.0/0）のアドバタイズを停止し、VPC ピアリング接続で VPC Service Controls を無効にします。

レガシー VMware Engine ネットワークを使用する場合: gcloud services vpc-peerings disable-vpc-service-controls コマンドを使用して、VPC ネットワークと VMware Engine の間の VPC ピアリング接続の VPC Service Controls を無効にします。

gcloud services vpc-peerings disable-vpc-service-controls \
    --network=VPC_NETWORK_NAME \
    --service=servicenetworking.googleapis.com

次のステップ

• プライベート クラウド内の VM にパブリック IP アドレスを割り振る方法を学習する。
• 外部アクセスルールで、プライベート クラウド リソースとの間のネットワーク トラフィックをフィルタする方法を学習する。