Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Configurar o acesso à Internet para VMs de carga de trabalho

Você configura o serviço de rede de acesso à Internet para cargas de trabalho da VMware no Google Cloud VMware Engine por região. Direcione o tráfego vinculado à Internet das cargas de trabalho de VMs usando a borda da Internet do Google Cloudou uma conexão local.

O VMware Engine oferece os seguintes métodos para configurar o acesso à Internet de VMs de carga de trabalho:

Serviço de acesso à Internet do VMware Engine: permite o acesso direto à Internet para VMs de carga de trabalho usando o perímetro da Internet do Google Cloud. Consulte Configurar o serviço de acesso à Internet.
Conexão local: roteia o tráfego vinculado à Internet das VMs de carga de trabalho pela sua conexão local. Consulte Usar uma conexão no local para acesso da carga de trabalho à Internet.
Rede VPC do consumidor: encaminha o tráfego vinculado à Internet das VMs de carga de trabalho pela rede VPC do consumidor. Consulte Usar uma VPC no seu projeto para acesso à Internet da carga de trabalho.

As VMs de carga de trabalho que podem acessar a Internet também podem acessar os serviços do Google Cloud usando o Acesso privado do Google. O acesso aos serviços Google Cloud usando o Acesso privado do Google permanece nas redes Google Cloud e não sai para a Internet.

O serviço de rede de acesso à Internet é compatível com o seguinte:

Até 100 endereços IP públicos para cada região
Até 100 regras de acesso externo por política de rede
Capacidade de processamento de até 2 Gbps para cada região
Protocolos TCP, UDP e ICMP

O serviço de rede de acesso à Internet não é compatível com a funcionalidade de gateway de nível de aplicativo (ALG, na sigla em inglês).

Antes de começar

Para alterar as configurações de acesso à Internet da nuvem privada, é preciso ter acesso de administrador ao VMware Engine.

Para ativar o acesso à Internet, você precisa de um intervalo de endereços CIDR de serviços Edge. Ao ativar os serviços de acesso à Internet ou de rede IP público, os gateways são implantados no contexto do locatário de serviço.

Use o intervalo de endereços CIDR dos serviços de borda para se direcionar aos gateways de IP público e da Internet do VMware Engine. O intervalo de endereços precisa atender aos seguintes requisitos:

Estar em conformidade com o RFC 1918 como um intervalo particular.
Não ter sobreposição com outros intervalos de endereços do VMware Engine, como o intervalo de endereço usado para dispositivos de gerenciamento ou segmentos NSX.
Não se sobrepor a intervalos de endereços anunciados no VMware Engine, como aqueles usados para sub-redes de rede de nuvem privada virtual (VPC) ou redes locais;
Dedique um intervalo de endereços IP com 26 bits de máscara de sub-rede (/26).

Google Cloud CLI e requisitos da API

Para usar a ferramenta de linha de comando gcloud ou a API para gerenciar os recursos do VMware Engine, recomendamos configurar as ferramentas conforme descrito abaixo.

gcloud

Defina o ID do projeto padrão:
```
gcloud config set project PROJECT_ID
```

Defina uma região e uma zona padrão.

gcloud config set compute/region REGION

gcloud config set compute/zone ZONE

Para mais informações sobre a ferramenta gcloud vmware, consulte os documentos de referência do SDK Cloud.

API

Os exemplos de API neste conjunto de documentação usam a ferramenta de linha de comando cURL para consultar a API. Um token de acesso válido é necessário como parte da solicitação cURL. Há muitas maneiras de conseguir um token de acesso válido. As etapas a seguir usam a ferramenta gcloud para gerar um token de acesso:

Fazer login em Google Cloud:
```
gcloud auth login
```

Gerar token de acesso e exportar para TOKEN:

export TOKEN=`gcloud auth print-access-token`

Verifique se o TOKEN está definido corretamente:
```
echo $TOKEN
```

Use agora o token de autorização nas solicitações para a API. Exemplo:

curl -X GET -H "Authorization: Bearer \"$TOKEN\"" -H "Content-Type: application/json; charset=utf-8" https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations

Python

Os exemplos de código Python nesta documentação usam a biblioteca do VMware Engine para se comunicar com a API. Para usar essa abordagem, a biblioteca precisa estar instalada e o Application Default Credentials precisa estar configurado.

Faça o download e instale a biblioteca Python:
```
pip install google-cloud-vmwareengine
```
Execute os comandos no shell para configurar as informações do ADC:
```
gcloud auth application-default login
```
Ou use um arquivo de chave da conta de serviço:
```
export GOOGLE_APPLICATION_CREDENTIALS="FILE_PATH"
```

Para mais informações sobre a biblioteca, acesse a página de referência ou veja os exemplos de código no GitHub.

Configurar o serviço de acesso à Internet

Para dar acesso à Internet às VMs de carga de trabalho, crie ou atualize uma política de rede.

Por padrão, o serviço de rede de acesso à Internet está desativado.

Desativar o serviço de acesso à Internet em uma região

Console

Para ativar o serviço de acesso à Internet em uma região, faça o seguinte:

No console do Google Cloud , acesse a página Políticas de rede.

Acessar políticas de rede
Clique em Selecionar um projeto e escolha a organização, a pasta ou o projeto que contém a rede do VMware Engine em que você quer ativar o serviço de acesso à Internet.
Clique em Criar para criar uma nova função. Para editar uma política de rede atual, clique no ícone Mais no final de uma linha e selecione Editar.
Preencha os detalhes da política de rede, incluindo a escolha da rede e da região a que ela se aplica.
Alterne o Acesso à Internet para Ativado e, opcionalmente, ative o Serviço de endereço IP externo.

Observação: é possível ativar o acesso à Internet e deixar o serviço IP público desativado. Se você fizer isso, a VPN de ponto a site e a alocação de IP público não estarão disponíveis.
No campo CIDR dos serviços de borda, insira o intervalo de endereços a ser usado quando se direcionar ao gateway de Internet do VMware Engine (intervalo de endereços /26).
Clique em Criar.

O status do serviço muda para Ativado quando a operação é concluída, geralmente após alguns minutos.

gcloud

Usando a ferramenta gcloud, execute o seguinte comando para criar uma política de rede:

gcloud vmware network-policies create NETWORK_POLICY_NAME \
    --vmware-engine-network projects/PROJECT_ID/locations/LOCATIONS/vmwareEngineNetworks/NETWORK_ID \
    --edge-services-cidr=IP_RANGE \
    --location=LOCATION \
    --internet-access

Substitua:

NETWORK_POLICY_NAME: o nome da política de rede.
NETWORK_ID: a rede em que essa política de rede é aplicável.
IP_RANGE: o intervalo CIDR a ser usado para gateways de acesso à Internet e de IP externo, em notação CIDR. É necessário um bloco CIDR RFC 1918 com um prefixo "/26".
LOCATION: global para redes legadas ou a região de uma rede padrão

API

curl -X POST -H "Authorization: Bearer TOKEN"  -H "Content-Type: application/json; charset=utf-8" https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/networkPolicies?networkPolicyId=NETWORK_POLICY_NAME

'{
  "vmwareEngineNetwork":"projects/PROJECT_ID/locations/LOCATION/vmwareEngineNetworks/NETWORK_ID",
  "edgeServiceCidr":"IP_RANGE",
  "internetAccess": {
    "enabled": true
   },
   "externalIp": {
     "enabled": true
   }
}'

Substitua:

NETWORK_POLICY_NAME: o nome da política de rede. Precisa estar no formato REGION-default.
PROJECT_ID: o ID do projeto desta solicitação
LOCATION: global para redes legadas ou a região de uma rede padrão
IP_RANGE: o intervalo CIDR a ser usado para gateways de acesso à Internet e de IP externo, em notação CIDR. É necessário um bloco CIDR RFC 1918 com um prefixo "/26".
NETWORK_ID: a rede desta política de rede.

Python

from google.api_core import operation
from google.cloud import vmwareengine_v1


def create_network_policy(
    project_id: str,
    region: str,
    ip_range: str,
    internet_access: bool,
    external_ip: bool,
) -> operation.Operation:
    """
    Creates a new network policy in a given network.

    Args:
        project_id: name of the project you want to use.
        region: name of the region you want to use. I.e. "us-central1"
        ip_range: the CIDR range to use for internet access and external IP access gateways,
            in CIDR notation. An RFC 1918 CIDR block with a "/26" suffix is required.
        internet_access: should internet access be allowed.
        external_ip: should external IP addresses be assigned.

    Returns:
        An operation object representing the started operation. You can call its .result() method to wait for
        it to finish.

    Raises:
        ValueError if the provided ip_range doesn't end with /26.
    """
    if not ip_range.endswith("/26"):
        raise ValueError(
            "The ip_range needs to be an RFC 1918 CIDR block with a '/26' suffix"
        )

    network_policy = vmwareengine_v1.NetworkPolicy()
    network_policy.vmware_engine_network = f"projects/{project_id}/locations/{region}/vmwareEngineNetworks/{region}-default"
    network_policy.edge_services_cidr = ip_range
    network_policy.internet_access.enabled = internet_access
    network_policy.external_ip.enabled = external_ip

    request = vmwareengine_v1.CreateNetworkPolicyRequest()
    request.network_policy = network_policy
    request.parent = f"projects/{project_id}/locations/{region}"
    request.network_policy_id = f"{region}-default"

    client = vmwareengine_v1.VmwareEngineClient()
    return client.create_network_policy(request)

Diretrizes para o HCX Mobility Optimized Networking (MON)

Se você migrar VMs usando o HCX com o Mobility Optimized Networking (MON), será necessário uma configuração de roteamento específica para garantir a conectividade com a Internet.

Se você ativou o MON para segmentos de extensão da camada 2 (L2E), o VMware Engine não anuncia automaticamente rotas para VMs migradas ao serviço de Internet. Para garantir que essas VMs possam acessar a Internet, ative a redistribuição de rota estática para o BGP no roteador de nível 1.

Essa etapa é necessária para anunciar as rotas dos segmentos ativados para MON, o que permite rotear o tráfego da Internet pelo ambiente do VMware Engine. Sem essa configuração, as VMs nesses segmentos não podem acessar a Internet pública.

Desativar o serviço de acesso à Internet em uma região

Para desativar o serviço de acesso à Internet em uma região, faça o seguinte:

Console

No console do Google Cloud , acesse a página Políticas de rede.

Acessar políticas de rede
Clique em Selecionar um projeto e escolha a organização, a pasta ou o projeto que contém a rede do VMware Engine em que você quer desativar o serviço de acesso à Internet.
Na linha correspondente à política de rede relevante, clique no ícone Mais.
Alterne o Acesso à Internet para Desativado.
- É necessário desativar o serviço de IP público antes de desativar o acesso à Internet.
- Exclua todos os endereços IP públicos alocados e gateways da VPN de ponto a site antes de desativar o serviço IP público.
Clique em Save.

O status do serviço muda para Desativado quando a operação é concluída, geralmente após alguns minutos.

gcloud

Usando a ferramenta gcloud, execute o seguinte comando para atualizar uma política de rede:

gcloud vmware network-policies update NETWORK_POLICY_NAME \
  --no-internet-access \
  --location LOCATION

Substitua:

NETWORK_POLICY_NAME: o nome da política de rede.
LOCATION: global para redes legadas ou a região de uma rede padrão

API

curl -X PATCH -H "Authorization: Bearer TOKEN"  -H "Content-Type: application/json; charset=utf-8" https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/networkPolicies/NETWORK_POLICY_NAME?updateMask=internetAccess.enabled,externalIp.enabled -d "{
  "internetAccess": {
    "enabled": false
 },
  "externalIp": {
    "enabled": false
   }
}"

Substitua:

PROJECT_ID: o ID do projeto desta solicitação
LOCATION: global para redes legadas ou a região de uma rede padrão
NETWORK_POLICY_NAME: o nome da política de rede.

Python

from google.api_core import operation
from google.cloud import vmwareengine_v1


def update_network_policy(
    project_id: str, region: str, internet_access: bool, external_ip: bool
) -> operation.Operation:
    """
    Updates a network policy in a given network.

    Args:
        project_id: name of the project you want to use.
        region: name of the region you want to use. I.e. "us-central1".
        internet_access: should internet access be allowed.
        external_ip: should external IP addresses be assigned.

    Returns:
        An operation object representing the started operation. You can call its .result() method to wait for
        it to finish.
    """

    client = vmwareengine_v1.VmwareEngineClient()
    request = vmwareengine_v1.UpdateNetworkPolicyRequest()
    request.update_mask = "internetAccess.enabled,externalIp.enabled"
    network_policy = vmwareengine_v1.NetworkPolicy()
    network_policy.name = (
        f"projects/{project_id}/locations/{region}/networkPolicies/{region}-default"
    )
    network_policy.vmware_engine_network = f"projects/{project_id}/locations/{region}/vmwareEngineNetworks/{region}-default"
    network_policy.internet_access.enabled = internet_access
    network_policy.external_ip.enabled = external_ip

    request.network_policy = network_policy

    return client.update_network_policy(request)

Usar uma VPC no projeto para acesso da carga de trabalho à Internet

Como opção, é possível direcionar o tráfego vinculado à Internet das VMs de carga de trabalho no VMware Engine por meio de uma VPC no seu projeto. Essa opção está disponível apenas para redes padrão do VMware Engine que estão em peering com sua rede VPC.

Para acessar a Internet das VMs de carga de trabalho por uma VPC no projeto, siga estas etapas:

Configure o acesso à Internet na sua VPC.
- Se você usa o Cloud NAT:verifique se ele está configurado para fornecer acesso à Internet aos recursos na sua rede VPC. Não é necessária uma rota específica para 0.0.0.0/0, já que o Cloud NAT fornece conectividade com a Internet diretamente.
- Se você não usa o Cloud NAT:verifique se há uma rota na sua VPC para o destino 0.0.0.0/0 que direciona o tráfego para um próximo salto que fornece acesso à Internet, como um firewall ou proxy baseado em instâncias. Além disso, é preciso configurar o peering de rede VPC para trocar rotas personalizadas. Atualize a conexão de peering para exportar rotas personalizadas da sua VPC e importar rotas personalizadas para ela.
Desative o acesso à Internet e o serviço de IP público para a rede do VMware Engine seguindo as etapas em Desativar o serviço de acesso à Internet em uma região.

Depois de concluir essas etapas, o tráfego vinculado à Internet das VMs de carga de trabalho será roteado pela conexão de peering para sua rede VPC e usará a solução de acesso à Internet configurada lá.

Para mais detalhes, consulte Configurar o acesso à Internet para VMs de carga de trabalho usando a VPC.

Usar uma conexão no local para acesso da carga de trabalho à Internet

Como opção, é possível direcionar o tráfego vinculado à Internet das VMs de carga de trabalho no VMware Engine por meio de uma conexão local. A forma como o VMware Engine direciona o tráfego depende do estado dos seguintes itens:

Divulgação de rota padrão (0.0.0.0/0) do local
Serviço de IP público do VMware Engine
Serviço de acesso à Internet no VMware Engine
VPC Service Controls na conexão de peering de VPC entre sua rede VPC e o VMware Engine (somente redes legadas do VMware Engine)

Ativar o roteamento do tráfego da Internet por uma conexão local

Para acessar a Internet a partir das VMs da carga de trabalho por meio de uma conexão local, siga estas duas etapas:

Divulgar a rota padrão (0.0.0.0/0) do local por meio de uma conexão local (Cloud VPN ou Cloud Interconnect). Verifique o gateway do Cloud VPN ou o Cloud Router em que a conexão local com a VPN é encerrada.
Desative o acesso à Internet e o serviço de IP público para a rede do VMware Engine.

Console

No console do Google Cloud , acesse a página Políticas de rede.

Acessar políticas de rede
Clique em Selecionar um projeto e escolha a organização, a pasta ou o projeto que contém a rede do VMware Engine em que você quer ativar o serviço de acesso à Internet.
Na linha correspondente à política de rede relevante, clique no ícone Mais.
Alterne o IP público para Desativado.
Observação: Exclua todos os endereços IP externos alocados e gateways da VPN de ponto a site antes de desativar o serviço IP público.
Alterne o Acesso à Internet para Desativado.
Clique em Save.
Se estiver usando uma rede legada do VMware Engine: ative o VPC Service Controls na conexão de peering de VPC entre a rede VPC e o VMware Engine usando o comando gcloud services vpc-peerings enable-vpc-service-controls:
```
gcloud services vpc-peerings enable-vpc-service-controls \
   --network=VPC_NETWORK \
   --service=servicenetworking.googleapis.com
```

gcloud

Usando a ferramenta gcloud, execute o seguinte comando para atualizar uma política de rede:

gcloud vmware network-policies update NETWORK_POLICY_NAME \
  --no-internet-access \
  --no-external-ip-address \
  --location LOCATION

Substitua:

NETWORK_POLICY_NAME: o nome da política de rede.
LOCATION: global para redes legadas ou a região de uma rede padrão

Se estiver usando uma rede legada do VMware Engine: ative o VPC Service Controls na conexão de peering de VPC entre a rede VPC e o VMware Engine usando gcloud services vpc-peerings enable-vpc-service-controls comando:

gcloud services vpc-peerings enable-vpc-service-controls \
   --network=VPC_NETWORK \
   --service=servicenetworking.googleapis.com

API

curl -X PATCH -H "Authorization: Bearer TOKEN"  -H "Content-Type: application/json; charset=utf-8" https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/networkPolicies/NETWORK_POLICY_NAME?updateMask=internetAccess.enabled,externalIp.enabled

"{
  "internetAccess: {
    "enabled": false
   },
  "externalIp: {
    "enabled": false
   }
}"

gcloud services vpc-peerings enable-vpc-service-controls \
   --network=VPC_NETWORK_NAME \
   --service=servicenetworking.googleapis.com

Python

Defina internet_access e external_ip como False.

from google.api_core import operation
from google.cloud import vmwareengine_v1


def update_network_policy(
    project_id: str, region: str, internet_access: bool, external_ip: bool
) -> operation.Operation:
    """
    Updates a network policy in a given network.

    Args:
        project_id: name of the project you want to use.
        region: name of the region you want to use. I.e. "us-central1".
        internet_access: should internet access be allowed.
        external_ip: should external IP addresses be assigned.

    Returns:
        An operation object representing the started operation. You can call its .result() method to wait for
        it to finish.
    """

    client = vmwareengine_v1.VmwareEngineClient()
    request = vmwareengine_v1.UpdateNetworkPolicyRequest()
    request.update_mask = "internetAccess.enabled,externalIp.enabled"
    network_policy = vmwareengine_v1.NetworkPolicy()
    network_policy.name = (
        f"projects/{project_id}/locations/{region}/networkPolicies/{region}-default"
    )
    network_policy.vmware_engine_network = f"projects/{project_id}/locations/{region}/vmwareEngineNetworks/{region}-default"
    network_policy.internet_access.enabled = internet_access
    network_policy.external_ip.enabled = external_ip

    request.network_policy = network_policy

    return client.update_network_policy(request)

gcloud services vpc-peerings enable-vpc-service-controls \
   --network=VPC_NETWORK \
   --service=servicenetworking.googleapis.com

Se estiver usando uma rede legada do Google Cloud VMware Engine, ative o VPC Service Controls para rotear o acesso à Internet da VEN legada por uma conexão local ou pela VPC no seu projeto. Esse requisito se aplica apenas a redes legadas do Google Cloud VMware Engine, e não a VENs padrão.

Quando você ativa o VPC Service Controls,o Google Cloud faz as seguintes mudanças de roteamento na rede VPC do produtor de serviços (neste caso, o projeto locatário de serviço com peering com o VMware Engine):

Remove a rota padrão IPv4 (destino 0.0.0.0/0, próximo salto do gateway de Internet padrão).
Começa a encaminhar o tráfego da Internet usando a rota padrão de peering de VPC.

Exemplo:

Para ativar o VPC Service Controls em uma conexão com peering de uma rede chamada "my-network" no projeto atual, use o comando gcloud services vpc-peerings enable-vpc-service-controls:

gcloud services vpc-peerings enable-vpc-service-controls \
    --network=my-network \
    --service=servicenetworking.googleapis.com

Observação: ao rotear o tráfego da Internet por uma conexão local, considere o seguinte:

Execute o comando gcloud services vpc-peerings enable-vpc-service-controls no projeto proprietário da rede e da conexão de peering chamada servicenetworking.googleapis.com, que é peered para acessar recursos da nuvem privada do VMware Engine. Se você usar a VPC compartilhada, execute o comando no projeto host que é proprietário da VPC compartilhada, e não nos projetos de serviço em que os nuvens privadas do VMware Engine foram criadas.
Quando uma rota padrão (0.0.0.0/0) é anunciada no local, o VMware Engine encaminha o tráfego da Internet pela conexão local, independentemente de você ativar ou não o acesso à Internet. Para encaminhar o tráfego pelo serviço de acesso à Internet do VMware Engine, não anuncie a rota padrão da conexão local por meio de uma conexão local (Cloud VPN ou Cloud Interconnect).
Se você usar o Apigee com peering de VPC na mesma rede VPC do VMware Engine, seguindo as orientações desta seção para rotear o tráfego da Internet por uma conexão local, também roteará a comunicação de saída do Apigee pela sua conexão local. Como resultado, a Apigee não usa mais o endereço IP externo configurado para comunicação de saída com serviços de back-end de API externos, e você precisa atualizar todas as configurações de firewall que dependem do endereço IP externo da Apigee.

Desativar o roteamento do tráfego da Internet por uma conexão local

Para desativar o roteamento do tráfego da Internet das VMs de carga de trabalho por meio de uma conexão local, pare de divulgar a rota padrão (0.0.0.0/0) e desative os controles de serviço da VPC na conexão de peering da VPC.

Se você estiver usando uma rede legada do VMware Engine: desative o VPC Service Controls na conexão de peering entre a rede VPC e o VMware Engine. Use o comando gcloud services vpc-peerings disable-vpc-service-controls

gcloud services vpc-peerings disable-vpc-service-controls \
    --network=VPC_NETWORK_NAME \
    --service=servicenetworking.googleapis.com

A seguir

Aprenda a alocar um endereço IP público para uma VM na nuvem privada.
Saiba como as regras de acesso externo filtram o tráfego de rede de entrada e saída em recursos de nuvem privada.