(舊版) 設定私人連線

私人服務存取權是指在虛擬私有雲 (VPC) 網路與 VMware Engine 網路之間建立的私人連線。本頁面說明如何設定 Google Cloud VMware Engine 的私人服務存取權,以及將虛擬私有雲網路連線至私有雲。

私人服務存取權可啟用下列行為:

  • 針對虛擬私有雲網路和 VMware VM 中的虛擬機器 (VM) 執行個體,使用內部 IP 位址進行專屬通訊。VM 執行個體不需要網際網路存取權或外部 IP 位址,就可以透過私人服務存取權與服務連線。
  • VMware VM 和Google Cloud支援的服務之間的通訊,這些服務支援使用內部 IP 位址存取私人服務。
  • 如果您已使用 Cloud VPN 或 Cloud Interconnect 將內部部署網路連線至 VPC 網路,則可使用現有的內部部署連線連線至 VMware Engine 私有雲端。

您可以獨立於建立 VMware Engine 私有雲時設定私人服務存取權。您可以建立要連線至虛擬私有雲網路的私人雲端,然後再建立私人連線,也可以先建立私人連線,再建立要連線的私人雲端。

權限

  1. Make sure that you have the following role or roles on the project: Compute > Network Admin

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      前往「身分與存取權管理」頁面
    2. 選取專案。
    3. 按一下 「授予存取權」

    4. 在「New principals」(新增主體) 欄位中輸入使用者 ID。 通常是 Google 帳戶的電子郵件地址。

    5. 在「請選擇角色」清單中,選取角色。
    6. 如要授予其他角色,請按一下 「Add another role」(新增其他角色),然後新增其他角色。
    7. 按一下 [Save]

    事前準備

    1. 您必須具有現有的虛擬私有雲網路。
    2. 在專案中啟用 Service Networking API

    3. 在要連線的虛擬私有雲網路中設定私人服務存取權

    4. 如要找出 VPC 網路的對等互連專案 ID,請按照下列步驟操作:

      1. Google Cloud console中,前往「VPC 網路對等互連」。對等互連表格中列出名稱為 servicenetworking-googleapis-com 的 VPC 網路對等互連連線。
      2. 複製對等專案 ID,以便在 Google Cloud 主控台中設定私人連線時使用。

    多個虛擬私有雲連線

    透過 VMware Engine,您可以從不同的虛擬私有雲網路存取相同的私有雲,而無須變更在 Google Cloud中部署的任何現有虛擬私有雲架構。舉例來說,如果您有用於測試和開發的獨立虛擬私有雲網路,多虛擬私有雲連線就會很實用。

    在這種情況下,VPC 網路必須與同一個私有雲或多個私有雲中不同 vSphere 資源群組的 VMware VM 或其他目的地位址通訊。

    根據預設,您可以在每個區域中對等互連 3 個虛擬私有雲網路。這項對等互連限制包括網際網路存取網路服務使用的 VPC 對等互連。如要提高這項上限,請與 Cloud Customer Care 團隊聯絡

    IP 位址唯一性

    將虛擬私有雲網路連線至 VMware Engine 區域網路時,請遵循下列指南,確保 IP 位址不重複:

    • 虛擬私有雲網路中的 VMware Engine IP 範圍和子網路不得使用相同的 IP 位址範圍。

    • VMware Engine IP 範圍無法納入虛擬私有雲網路中的子網路 IP 位址範圍。虛擬私有雲網路中的子網路路徑必須具備最明確的 IP 位址範圍。

    • 請仔細查看 VPC 網路路徑總覽,進一步瞭解 VPC 網路路徑的運作方式。

    • 如果您需要將兩個或更多 VMware Engine 網路連結至相同的虛擬私人雲端網路,則必須為每個 VMware Engine 網路使用不重複的 IP 範圍,或者只為使用與另一個 VMware Engine 網路相同 IP 範圍的 VMware Engine 網路啟用 NSX-T 連線。

    建立私人連線

    在控制台、Google Cloud CLI 或 REST API 中建立私人連線。在要求中,將連線類型設為 PRIVATE_SERVICE_ACCESS,並將轉送模式設為 GLOBAL 轉送模式。

    主控台

    1. 前往 Google Cloud 控制台的「Private connections」頁面。

      前往「私人連線」

    2. 按一下 [建立]。

    3. 提供連線的「名稱」和「說明」

    4. 選取要連線的 VMware Engine 網路。

    5. 在「Peered project ID」欄位中,貼上您在前置條件中複製的「Peered project ID」

    6. 在「Private connection type」(私人連線類型) 中,選取「Private services access」(私人服務存取權)

    7. 選取這個虛擬私有雲對等互連連線的轉送模式。在大多數情況下,我們建議使用全域轉送模式。如果您不希望 Google 服務與您的 VPC 網路建立對等連線,以便跨地區進行通訊,請改為選取 Regional 轉送模式。這個選項會覆寫現有的轉送模式。

    8. 按一下「提交」

    建立連線後,您可以從私人連線清單中選取特定連線。每個私人連線的詳細資料頁面會顯示私人連線的轉送模式,以及透過虛擬私有雲對等互連學習到的任何路徑。

    「已匯出的路徑」表格會顯示從該地區學習到的私人雲端,並透過虛擬私人雲端對等互連匯出。當多個 VPC 網路與同一個 VMware Engine 區域網路對等互連時,從一個 VPC 網路收到的路由不會通告至其他 VPC 網路。

    gcloud

    1. 執行 gcloud vmware private-connections create 指令,建立私人連線:

      gcloud vmware private-connections create PRIVATE_CONNECTION_ID \
  --location=REGION\
  --description="" \
  --vmware-engine-network=NETWORK_ID \
  --service-project=SERVICE_NETWORKING_TENANT_PROJECT\
  --type=PRIVATE_SERVICE_ACCESS \
  --routing-mode=MODE

      更改下列內容:

      • PRIVATE_CONNECTION_ID:要建立的私人連線名稱
      • REGION:建立此私人連線的區域;必須與 VMware Engine 網路區域相符
      • NETWORK_ID:VMware Engine 網路名稱
      • SERVICE_NETWORKING_TENANT_PROJECT:這個 Service Networking 用戶群虛擬私有雲的專案名稱。您可以在對等名稱 servicenetworking-googleapis-comPEER_PROJECT 欄中找到 SNTP。
      • MODE:路由模式,可為 GLOBALREGIONAL

    2. 選用:如要列出私人連線,請執行 gcloud vmware private-connections list 指令

      gcloud vmware private-connections list \
    --location=REGION

      更改下列內容:

      • REGION:要列出的網路區域。

    API

    如要使用 VMware Engine API 建立 Compute Engine VPC 和私人服務存取權連線,請按照下列步驟操作:

    1. 透過發出 POST 要求來建立私人連線:

      POST "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections?private_connection_id=PRIVATE_CONNECTION_ID"

'{
  "description": "My first private connection",
  "vmware_engine_network":
"projects/PROJECT_ID/locations/REGION/vmwareEngineNetworks/NETWORK_ID
  "type": "PRIVATE_SERVICE_ACCESS",
  "routing_mode": "MODE",
  "service_network":
"projects/SERVICE_NETWORKING_TENANT_PROJECT/global/networks/SERVICE_NETWORK"
}'

      更改下列內容:

      • PRIVATE_CONNECTION_ID:這項要求的私人連線名稱
      • REGION:建立此私人連線的區域
      • NETWORK_ID:這項要求的 VMware Engine 網路
      • SERVICE_NETWORKING_TENANT_PROJECT:這個 Service Networking 用戶群虛擬私有雲的專案名稱。您可以在對等名稱 servicenetworking-googleapis-comPEER_PROJECT 欄中找到 SNTP
      • SERVICE_NETWORK:租戶專案中的網路

    2. 選用:如要列出私人連線,請提出 GET 要求:

      GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections"

      更改下列內容:

      • PROJECT_ID:這項要求的專案名稱。
      • REGION:要列出私人連線的區域。

    編輯私人連線

    建立私人連線後,您可以編輯該連線。建立後,您可以變更 GLOBALREGIONAL 之間的轉送模式。您也可以在 Google Cloud CLI 或 API 中更新私人連線的說明。`

    主控台

    1. 前往 Google Cloud 控制台的「私人連線」頁面。

      前往「私人連線」

    2. 按一下要編輯的私人連線名稱。

    3. 在詳細資料頁面中,按一下「編輯」

    4. 更新連線的說明或轉送模式。

    5. 點選「儲存」儲存變更。

    gcloud

    執行 gcloud vmware private-connections update 指令來編輯私人連線:

    gcloud vmware private-connections update PRIVATE_CONNECTION_ID \
   --location=REGION \
   --description=DESCRIPTION \
   --routing-mode=MODE

    更改下列內容:

    • PROJECT_ID:這項要求的專案名稱
    • REGION:要更新此私人連線的區域
    • DESCRIPTION:要使用的新說明
    • PRIVATE_CONNECTION_ID:此要求的私人連線 ID
    • MODE:路由模式,可為 GLOBALREGIONAL

    API

    如要使用 VMware Engine API 編輯私人連線,請提出 PATCH 要求:

    PATCH "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID?update_mask=description, routing_mode"

'{
  "description": "Updated description for the private connection",
  "routing_mode": "MODE"
}'

    更改下列內容:

    • PROJECT_ID:這項要求的專案名稱
    • REGION:要更新此私人連線的區域
    • PRIVATE_CONNECTION_ID:這項要求的私人連線名稱
    • MODE:路由模式,可為 GLOBALREGIONAL

    說明私人連線

    您可以使用 Google Cloud CLI 或 VMware Engine API 取得任何私人連線的說明。

    gcloud

    執行 gcloud vmware private-connections describe 指令,取得私人連線的說明:

    gcloud vmware private-connections describe PRIVATE_CONNECTION_ID \
    --location=REGION

    更改下列內容:

    • PRIVATE_CONNECTION_ID:這項要求的私人連線名稱
    • REGION:私人連線的區域。

    API

    如要使用 VMware Engine API 取得私人連線的說明,請提出 GET 要求:

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID"

    更改下列內容:

    • PROJECT_ID:這項要求的專案名稱。
    • PRIVATE_CONNECTION_ID:此要求的私人連線名稱。
    • REGION:私人連線的區域。

    當您刪除的私人連線不再顯示在私人連線清單中時,您就可以在Google Cloud 控制台中刪除私人連線。如果步驟順序錯誤,兩個 Google Cloud 專案中都可能會出現過時的 DNS 項目。

    列出私人連線的對等互連路徑

    如要列出為私人連線交換的對等互連路徑,請執行下列操作:

    主控台

    1. 前往 Google Cloud 控制台的「Private connections」頁面。

      前往「私人連線」

    2. 按一下要查看的私人連線名稱。

    詳細資料頁面會說明匯入和匯出的路徑。

    gcloud

    執行 gcloud vmware private-connections routes list 指令,列出為私人連線交換的對等互連路徑:

    gcloud vmware private-connections routes list \
    --private-connection=PRIVATE_CONNECTION_ID \
    --location=REGION

    更改下列內容:

    • PRIVATE_CONNECTION_ID:此要求的私人連線名稱。
    • REGION:私人連線的區域。

    API

    如要使用 VMware Engine API 列出為私人連線交換的對等路徑,請提出 GET 要求:

    GET "https://vmwareengine.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/privateConnections/PRIVATE_CONNECTION_ID/peeringRoutes"

    更改下列內容:

    • PROJECT_ID:這項要求的專案名稱。
    • REGION:私人連線的區域。
    • PRIVATE_CONNECTION_ID:此要求的私人連線名稱。

    路由限制

    Private Cloud 可接收的路徑數量上限為 200。舉例來說,這些路徑可以來自地端部署網路、對等的虛擬私有雲網路,以及同一個虛擬私有雲網路中的其他私有雲。這項路徑限制對應於 Cloud Router 每個 BGP 工作階段的自訂路徑廣告數量上限。

    在特定區域中,您可以使用私人服務存取權,宣傳最多 100 條從 VMware Engine 到虛擬私有雲網路的不重複路徑。例如,這些專屬路徑包括私人雲端管理 IP 位址範圍、NSX-T 工作負載網路區段和 HCX 內部 IP 位址範圍。這項路徑限制包含該地區的所有私人雲端,並對應至 Cloud Router 已學習的路徑限制。

    如要瞭解路由限制,請參閱「Cloud Router 的配額與限制」。

    疑難排解

    以下影片將說明如何驗證及排解 Google Cloud VPC 和 Google Cloud VMware Engine 之間的對等互連連線問題。

    後續步驟