Informationen zu Netzwerkanhängen

Diese Seite bietet einen Überblick über Netzwerkanhänge.

Ein Netzwerkanhang ist eine Ressource, die es VPC-Netzwerken (Virtual Private Cloud) von Erstellern erlaubt, Verbindungen zu einem Nutzer-VPC-Netzwerk über eine Private Service Connect-Schnittstelle zu initiieren.

Wenn ein Netzwerkanhang eine Verbindung von einer Private Service Connect-Schnittstelle akzeptiert, weist Google Cloud der Schnittstelle eine interne IP-Adresse aus einem vom Netzwerkanhang bestimmten Nutzersubnetz zu. Die VM-Instanz der Private Service Connect-Schnittstelle hat mindestens eine weitere reguläre Netzwerkschnittstelle, die eine Verbindung zu einem Ersteller-Subnetz herstellt.

Über diese Private Service Connect-Schnittstellenverbindung können Ersteller- und Nutzerorganisationen ihre VPC-Netzwerke so konfigurieren, dass die beiden Netzwerke verbunden sind und über interne IP-Adressen kommunizieren können. Beispielsweise kann die Erstellerorganisation das Ersteller-VPC-Netzwerk aktualisieren, um Routen für Nutzersubnetze hinzuzufügen.

Eine Verbindung zwischen einem Netzwerkanhang und einer Private Service Connect-Schnittstelle ähnelt der Verbindung zwischen einem Private Service Connect-Endpunkt und einem Dienstanhang. Es gibt dabei zwei wichtige Unterschiede:

  • Mit einem Netzwerkanhang kann ein Ersteller-VPC-Netzwerk Verbindungen zu einem Nutzer-VPC-Netzwerk initiieren (verwalteter ausgehender Dienst). Ein Endpunkt arbeitet in umgekehrter Richtung, sodass ein Nutzer-VPC-Netzwerk Verbindungen zu einem Ersteller-VPC-Netzwerk initiieren kann (verwalteter Dienst).
  • Private Service Connect-Schnittstellenverbindungen sind transitiv. Dies bedeutet, dass Arbeitslasten in einem Produzenten-VPC-Netzwerk Verbindungen zu Arbeitslasten in anderen VPC-Netzwerken, die mit dem Nutzer-VPC-Netzwerk verbunden sind, initiieren können.

Beispiel: Eine Dienstnutzerorganisation kann einem verwalteten Dienst Zugriff auf Nutzerdaten gewähren, die nur im VPC-Netzwerk des Nutzers verfügbar sind. Der Dienst benötigt möglicherweise auch Zugriff auf Daten oder Dienste, die lokal, über ein VPN, über Cloud Interconnect oder von einem Drittanbieterdienst verfügbar sind. Außerdem möchte der Nutzer vielleicht, dass der gesamte Internet-Traffic, der seine Daten verwendet, über sein eigenes Ausgangsgateway geleitet wird. Dadurch kann der Nutzer den Traffic überwachen und benutzerdefinierte Sicherheitsmaßnahmen bereitstellen.

Eine Private Service Connect-Schnittstellenverbindung kann alle diese Anforderungen erfüllen.

Abbildung 1. Ein Netzwerkanhang in einem Nutzer-VPC-Netzwerk ist mit zwei Private Service Connect-Schnittstellen in einem Ersteller-VPC-Netzwerk verbunden.

Spezifikationen

Netzwerkanhänge haben folgende Spezifikationen:

  • Ein Netzwerkanhang ist eine regionale Ressource, die die Nutzerseite einer Verbindung zur Private Service Connect-Schnittstelle darstellt.
  • Mit Netzwerkanhängen können Sie Verbindungen von Private Service Connect-Schnittstellen explizit oder automatisch akzeptieren.
  • Ein Netzwerkanhang ist einem einzelnen Subnetz zugeordnet.
  • Wird eine Verbindungsanfrage akzeptiert, wird der Private Service Connect-Schnittstelle eine IP-Adresse aus dem Subnetz des Netzwerkanhangs zugewiesen.
  • Mehrere Private Service Connect-Schnittstellen können eine Verbindung zum selben Netzwerkanhang herstellen.
  • Netzwerkanhänge unterstützen freigegebene VPCs. Sie können einen Netzwerkanhang in einem Dienstprojekt erstellen. Das Subnetz des Anhangs muss sich jedoch in einem Hostprojekt befinden.
  • Verbindungen zwischen einem Netzwerkanhang und einer Private Service Connect-Schnittstelle sind bidirektional.
  • Eine Verbindung zwischen einem Netzwerkanhang und einer Private Service Connect-Schnittstelle ist transitiv. Arbeitslasten im Ersteller-VPC-Netzwerk können mit Arbeitslasten kommunizieren, die mit dem Nutzer-VPC-Netzwerk verbunden sind.

Subnetzzuweisung

Wenn Sie einen Netzwerkanhang erstellen, müssen Sie ihm ein einzelnes Subnetz zuweisen. Wird eine Verbindungsanfrage von einer Erstellerschnittstelle akzeptiert, entweder weil der Anhang so konfiguriert ist, dass Verbindungen automatisch akzeptiert werden, oder wenn das Erstellerprojekt in der entsprechenden Annahmeliste enthalten ist, wird dieser Schnittstelle eine IP-Adresse aus dem IP-Adressbereich des Subnetzes zugewiesen.

Dieses Subnetz hat folgende Eigenschaften:

  • Es muss ein reguläres Subnetz sein.
  • IP-Adressen im Subnetz sind nicht reserviert und können dem Subnetz andere Ressourcen zuweisen.
  • Sie können das Subnetz nicht löschen, während es einem Netzwerkanhang zugewiesen ist.
  • Sie können das Subnetz ersetzen. Vorhandene Verbindungen sind nicht betroffen. Verbindungen, die nach dem Ersetzen des Subnetzes hergestellt werden, verwenden das neue Subnetz.
  • Sie können den CIDR-Bereich des Subnetzes erweitern. Neue Adressenzuweisungen verwenden dann den erweiterten Bereich.

Verbindungsrichtlinien

Verbindungsrichtlinien steuern, ob ein Netzwerkanhang eine Verbindung von einer Private Service Connect-Schnittstelle akzeptiert. Eine Verbindungsrichtlinie besteht aus folgenden drei Feldern eines Netzwerkanhangs:

  • Verbindungseinstellungen: Können ACCEPT_AUTOMATIC oder ACCEPT_MANUAL sein.
    • ACCEPT_AUTOMATIC: Neue Verbindungen werden automatisch akzeptiert.
    • ACCEPT_MANUAL: Der Status neuer Verbindungen wird durch die Zulassungsliste eines Netzwerkanhangs bestimmt.
  • Annahmeliste: Eine Liste der Projekt-IDs für Netzwerkanhänge, die die Verbindungseinstellung ACCEPT_MANUAL haben. Neue Verbindungen von Projekten in dieser Liste werden akzeptiert. Wenn eine Private Service Connect-Schnittstelle eine Verbindung anfordert und das Projekt der Schnittstelle nicht in dieser Liste enthalten ist, schlägt das Erstellen der VM der Private Service Connect-Schnittstelle fehl.
  • Ablehnungsliste: Liste an Projekt-IDs für Netzwerkanhänge, die die Verbindungseinstellung ACCEPT_MANUAL haben. Neue Verbindungen von Projekten in dieser Liste werden explizit abgelehnt und das Erstellen der VM der Private Service Connect-Schnittstelle schlägt fehl.

Wenn ein Netzwerkanhang so konfiguriert ist, dass Verbindungen manuell akzeptiert werden, und Sie ein Erstellerprojekt sowohl auf die Annahme- als auch auf die Ablehnungsliste setzen, werden Verbindungsanfragen von diesem Projekt abgelehnt. Das Erstellen der VM der Private Service Connect-Schnittstelle schlägt fehl.

Verbindungen

Wenn ein Netzwerkanhang eine Verbindungsanfrage von einer Private Service Connect-Schnittstelle akzeptiert, wird eine logische Verbindung hergestellt. Diese Verbindung ist das Tupel, das aus dem Netzwerkanhang und der darauf verweisenden Netzwerkschnittstelle besteht. Die Schnittstelle einer Ersteller-VM gehört logisch zum Nutzer-VPC-Netzwerk, der Lebenszyklus wird jedoch vom Ersteller verwaltet. Beispiel: Der Netzwerkanhang in Abbildung 1 zwei Verbindungen.

Sie können akzeptierte Verbindungen aufrufen, wenn Sie einen Netzwerkanhang beschreiben.

Beschränkungen

  • Sie können nur das Subnetz, die Annahmeliste, die Ablehnungsliste und die Beschreibung eines Netzwerkanhangs aktualisieren. Wenn Sie andere Felder aktualisieren möchten, löschen Sie die Richtlinie und erstellen Sie eine neue Richtlinie.
  • Sie können Netzwerkanhänge mit offenen Verbindungen nicht löschen,. In diesem Fall muss die Erstellerorganisation zuerst die zugehörige Private Service Connect-Schnittstelle löschen.
  • Private Service Connect-Schnittstellen unterstützen externe IP-Adressen nicht.

Preise

Die Preise für Netzwerkanhänge werden auf der Seite der VPC-Preise beschrieben.

Kontingent

Es gibt ein Limit dafür, wie viele Netzwerkanhänge pro Region in einem einzelnen Projekt erstellt werden können. Weitere Informationen erhalten Sie im Abschnitt zu projektbasierten Kontingenten in der VPC-Dokumentation.

Nächste Schritte