(舊版) 設定私人連線

私人服務存取權是指在虛擬私有雲 (VPC) 網路與 VMware Engine 網路之間建立的私人連線。本頁說明如何設定 Google Cloud VMware Engine 的私人服務存取權,以及如何將虛擬私有雲網路連線至私有雲。

私人服務存取權可啟用下列行為:

  • 虛擬私有雲網路中的虛擬機器 (VM) 執行個體和 VMware VM 可透過內部 IP 位址進行專屬通訊。VM 執行個體不需要網際網路存取權或外部 IP 位址,就可以透過私人服務存取權與服務連線。
  • VMware VM 與Google Cloud支援的服務之間的通訊,這些服務支援使用內部 IP 位址的私人服務存取權。
  • 如果您使用 Cloud VPN 或 Cloud Interconnect 將內部部署網路連線至 VPC 網路,則可使用現有的內部部署連線連線至 VMware Engine 私有雲。

您可以獨立設定私人服務存取權,不必建立 VMware Engine 私有雲。您可以在建立要連結虛擬私有雲網路的私有雲之前或之後,建立私人連線。

權限

  1. Make sure that you have the following role or roles on the project: Compute > Network Admin

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      前往「IAM」頁面
    2. 選取專案。
    3. 按一下「授予存取權」

    4. 在「New principals」(新增主體) 欄位中,輸入您的使用者 ID。 這通常是 Google 帳戶的電子郵件地址。

    5. 在「Select a role」(選取角色) 清單中,選取角色。
    6. 如要授予其他角色,請按一下 「新增其他角色」,然後新增每個其他角色。
    7. 按一下 [Save]

    事前準備

    1. 您必須擁有現有的虛擬私有雲網路。
    2. 在專案中啟用 Service Networking API

    3. 在要連線的虛擬私有雲網路中設定私人服務存取權

    4. 請按照下列步驟找出虛擬私有雲網路的對等互連專案 ID

      1. Google Cloud console中,前往「VPC network peering」(虛擬私有雲網路對等互連)。對等互連資料表會列出名為「servicenetworking-googleapis-com」的虛擬私有雲網路對等互連連線。
      2. 複製對等互連專案 ID,以便在 Google Cloud 控制台中設定私有連線時使用。

    多個虛擬私有雲連線

    透過 VMware Engine,您可以在不同虛擬私有雲網路中存取同一個私有雲,不必變更 Google Cloud中部署的任何現有虛擬私有雲架構。舉例來說,如果您有測試和開發用的獨立虛擬私有雲網路,多虛擬私有雲連線功能就非常實用。

    在這種情況下,虛擬私有雲網路必須與 VMware VM 或其他目的地 IP 位址通訊,這些 VM/位址位於相同私有雲或多個私有雲中,但屬於不同的 vSphere 資源群組。

    根據預設,每個區域最多可對等互連 3 個虛擬私有雲網路。這項對等互連限制包括網際網路存取網路服務使用的 VPC 對等互連。如要提高這項上限,請與 Cloud Customer Care 團隊聯絡

    IP 位址的唯一性

    將虛擬私有雲網路連線至 VMware Engine 區域網路時,請遵循下列指南,確保 IP 位址的唯一性:

    • 虛擬私有雲網路中的 VMware Engine IP 範圍和子網路不能使用相同的 IP 位址範圍。

    • VMware Engine IP 範圍無法納入虛擬私有雲網路的子網路 IP 位址範圍。虛擬私有雲網路中的子網路路徑必須具備最明確的 IP 位址範圍。

    • 請仔細參閱虛擬私有雲網路路徑總覽,瞭解虛擬私有雲網路路徑的運作方式。

    • 如要將兩個以上的 VMware Engine 網路連線至同一個 VPC 網路,您必須為每個 VMware Engine 網路使用不重複的 IP 範圍,或是只為其中一個 VMware Engine 網路啟用 NSX 連線,並使用與其他 VMware Engine 網路相同的 IP 範圍。

    建立私人連線

    在控制台、Google Cloud CLI 或 REST API 中建立私人連線。 在要求中,將連線類型設為 PRIVATE_SERVICE_ACCESS,並將轉送模式設為 GLOBAL 轉送模式。

    主控台

    1. 前往 Google Cloud 控制台的「私人連線」頁面。

      前往「私人連線」頁面

    2. 點選「建立」

    3. 提供連線的「名稱」和「說明」

    4. 選取要連線的 VMware Engine 網路。

    5. 在「Peered project ID」(對等互連專案 ID) 欄位中,貼上您在必要條件中複製的「Peered project ID」

    6. 在「私人連線類型」中,選取「私人服務存取權」

    7. 選取這個虛擬私有雲網路對等互連連線的轉送模式。在大多數情況下,建議使用全域轉送模式。如果您不希望與 VPC 網路對等互連的 Google 服務跨地區通訊,請改為選取Regional轉送模式。這個選項會覆寫現有的轉送模式。

    8. 按一下「提交」

    連線建立完成後,您可以從私人連線清單中選取特定連線。每個私人連線的詳細資料頁面都會顯示私人連線的轉送模式,以及透過虛擬私有雲對等互連學到的任何路徑。

    「匯出的路徑」表格會顯示從區域中瞭解到的私有雲,並透過虛擬私有雲對等互連匯出。如果多個虛擬私有雲網路與同一個 VMware Engine 地區網路對等互連,從一個虛擬私有雲網路收到的路徑不會通告至其他虛擬私有雲網路。

    gcloud

    1. 執行 gcloud vmware private-connections create 指令,建立私人連線:

      gcloud vmware private-connections create PRIVATE_CONNECTION_ID \
  --location=REGION\
  --description="" \
  --vmware-engine-network=NETWORK_ID \
  --service-project=SERVICE_NETWORKING_TENANT_PROJECT\
  --type=PRIVATE_SERVICE_ACCESS \
  --routing-mode=MODE

      更改下列內容:

      • PRIVATE_CONNECTION_ID:要建立的私有連線名稱
      • REGION:建立此私人連線的區域,必須與 VMware Engine 網路區域相符
      • NETWORK_ID:VMware Engine 網路名稱
      • SERVICE_NETWORKING_TENANT_PROJECT:這個 Service Networking 用戶群虛擬私有雲的專案名稱。您可以在對等互連名稱的「PEER_PROJECT」欄中找到 SNTP。servicenetworking-googleapis-com
      • MODE:路徑模式,可為 GLOBALREGIONAL

    2. 選用:如要列出私人連線,請執行 gcloud vmware private-connections list 指令

      gcloud vmware private-connections list \
    --location=REGION

      更改下列內容:

      • REGION:要列出網路的區域。

    API

    如要使用 VMware Engine API 建立 Compute Engine 虛擬私有雲和私人服務存取權連線,請按照下列步驟操作:

    1. 提出 POST 要求,建立私人連線:

      POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections?private_connection_id=PRIVATE_CONNECTION_ID"

'{
  "description": "My first private connection",
  "vmware_engine_network":
"projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/NETWORK_ID
  "type": "PRIVATE_SERVICE_ACCESS",
  "routing_mode": "MODE",
  "service_network":
"projects/SERVICE_NETWORKING_TENANT_PROJECT/global/networks/SERVICE_NETWORK"
}'

      更改下列內容:

      • PRIVATE_CONNECTION_ID:這項要求的私人連線名稱
      • REGION:要在哪個區域建立這個私人連線
      • NETWORK_ID:這項要求的 VMware Engine 網路
      • SERVICE_NETWORKING_TENANT_PROJECT:這個 Service Networking 用戶端虛擬私有雲的專案名稱。您可以在對等互連名稱的「PEER_PROJECT」欄中找到 SNTP。servicenetworking-googleapis-com
      • SERVICE_NETWORK:租戶專案中的網路

    2. 選用:如要列出私人連線,請提出 GET 要求:

      GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections"

      更改下列內容:

      • PROJECT_ID:這項要求的專案名稱。
      • REGION:要列出私人連線的區域。

    編輯私人連線

    建立私人連線後,您可以編輯該連線。建立完成後,您可以在 GLOBALREGIONAL 之間變更轉送模式。您也可以在 Google Cloud CLI 或 API 中更新私人連線的說明。

    主控台

    1. 前往 Google Cloud 控制台的「私人連線」頁面。

      前往「私人連線」頁面

    2. 按一下要編輯的私人連線名稱。

    3. 在詳細資料頁面中,按一下「編輯」

    4. 更新連線的說明或轉送模式。

    5. 點選「儲存」儲存變更。

    gcloud

    執行 gcloud vmware private-connections update 指令來編輯私人連線:

    gcloud vmware private-connections update PRIVATE_CONNECTION_ID \
   --location=REGION \
   --description=DESCRIPTION \
   --routing-mode=MODE

    更改下列內容:

    • PROJECT_ID:這項要求的專案名稱
    • REGION:要更新這個私人連線的區域
    • DESCRIPTION:要使用的新說明
    • PRIVATE_CONNECTION_ID:這項要求的私人連線 ID
    • MODE:路徑模式,可為 GLOBALREGIONAL

    API

    如要使用 VMware Engine API 編輯私人連線,請提出 PATCH 要求:

    PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID?update_mask=description, routing_mode"

'{
  "description": "Updated description for the private connection",
  "routing_mode": "MODE"
}'

    更改下列內容:

    • PROJECT_ID:這項要求的專案名稱
    • REGION:要更新這個私人連線的區域
    • PRIVATE_CONNECTION_ID:這項要求的私人連線名稱
    • MODE:路徑模式,可為 GLOBALREGIONAL

    說明私人連線

    您可以使用 Google Cloud CLI 或 VMware Engine API,取得任何私人連線的說明。

    gcloud

    執行 gcloud vmware private-connections describe 指令,取得私人連線的說明:

    gcloud vmware private-connections describe PRIVATE_CONNECTION_ID \
    --location=REGION

    更改下列內容:

    • PRIVATE_CONNECTION_ID:這項要求的私人連線名稱
    • REGION:私人連線的區域。

    API

    如要使用 VMware Engine API 取得私人連線的說明,請發出 GET 要求:

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID"

    更改下列內容:

    • PROJECT_ID:這項要求的專案名稱。
    • PRIVATE_CONNECTION_ID:這項要求的私人連線名稱。
    • REGION:私人連線的區域。

    確認已刪除的私人連線不再顯示於私人連線清單後,即可在Google Cloud 控制台中刪除私人連線。如果未依序執行這個步驟,兩個 Google Cloud 專案中的 DNS 項目可能會過時。

    列出私人連線的對等互連路徑

    如要列出私人連線交換的對等互連路徑,請執行下列操作:

    主控台

    1. 前往 Google Cloud 控制台的「私人連線」頁面。

      前往「私人連線」頁面

    2. 按一下要查看的私人連線名稱。

    詳細資料頁面會說明匯入及匯出的路線。

    gcloud

    執行 gcloud vmware private-connections routes list 指令,列出私人連線交換的對等互連路徑:

    gcloud vmware private-connections routes list \
    --private-connection=PRIVATE_CONNECTION_ID \
    --location=REGION

    更改下列內容:

    • PRIVATE_CONNECTION_ID:這項要求的私人連線名稱。
    • REGION:私人連線的區域。

    API

    如要使用 VMware Engine API 列出私人連線交換的對等互連路徑,請發出 GET 要求:

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID/peeringRoutes"

    更改下列內容:

    • PROJECT_ID:這項要求的專案名稱。
    • REGION:私人連線的區域。
    • PRIVATE_CONNECTION_ID:這項要求的私人連線名稱。

    轉送限制

    Private Cloud 最多可接收 200 條路徑。舉例來說,這些路徑可能來自地端部署網路、對等互連的虛擬私有雲網路,以及同一個虛擬私有雲網路中的其他私有雲。這項路徑限制對應於每個 BGP 工作階段的 Cloud Router 自訂路徑通告數量上限。

    在特定區域中,您最多可以透過私人服務存取權,從 VMware Engine 通告 100 個不重複的路徑至虛擬私有雲網路。舉例來說,這些專屬路徑包括私有雲管理 IP 位址範圍、NSX 工作負載網路區隔,以及 HCX 內部 IP 位址範圍。這項路徑限制包含該區域中的所有私有雲,且對應於 Cloud Router 取得的路徑限制。

    如要瞭解路由限制,請參閱 Cloud Router 配額與限制

    疑難排解

    以下影片將說明如何驗證及排解虛擬私有雲與 Google Cloud VMware Engine 之間的對等互連連線問題。 Google Cloud

    後續步驟