À propos des rattachements de réseau

Cette page présente les rattachements de réseau.

Un rattachement de réseau est une ressource qui permet à un réseau cloud privé virtuel (VPC) producteur d'établir des connexions à un réseau VPC utilisateur via une interface Private Service Connect.

Si un rattachement de réseau accepte une connexion depuis une interface Private Service Connect, Google Cloud attribue à l'interface une adresse IP interne d'un sous-réseau utilisateur spécifié par le rattachement de réseau. L'instance de machine virtuelle (VM) de l'interface Private Service Connect comporte au moins une interface réseau standard supplémentaire qui se connecte à un sous-réseau de producteur.

Cette connexion d'interface Private Service Connect permet aux organisations de producteurs et de consommateurs de configurer leurs réseaux VPC de sorte qu'ils soient connectés et puissent communiquer à l'aide d'adresses IP internes. Par exemple, l'organisation producteur peut mettre à jour le réseau VPC producteur afin d'ajouter des routes pour les sous-réseaux consommateur.

Une connexion entre un rattachement de réseau et une interface Private Service Connect est semblable à la connexion entre un point de terminaison Private Service Connect et un rattachement de service, avec toutefois deux différences essentielles :

  • Un rattachement de réseau permet à un réseau VPC producteur d'établir des connexions à un réseau VPC consommateur (sortie de service géré). Un point de terminaison fonctionne dans le sens inverse, ce qui permet à un réseau VPC consommateur d'établir des connexions avec un réseau VPC producteur (entrée de service géré).
  • Une connexion d'interface Private Service Connect est transitive. Cela signifie que les charges de travail d'un réseau VPC producteur peuvent initier des connexions aux charges de travail d'autres réseaux VPC connectés au réseau VPC consommateur.

Par exemple, une organisation utilisatrice de services peut souhaiter fournir un accès de service géré aux données utilisateur qui n'est disponible que dans le réseau VPC de l'utilisateur. Le service peut également avoir besoin d'accéder à des données ou à des services disponibles sur site, via une connexion VPN ou Cloud Interconnect, ou à partir d'un service tiers. En outre, le client peut souhaiter que le trafic Internet utilisant ses données transite par sa propre passerelle de sortie. Cela permet à l'utilisateur de surveiller le trafic et de fournir une sécurité personnalisée.

Une connexion d'interface Private Service Connect peut répondre à toutes ces exigences.

Figure 1 : Un rattachement de réseau dans un réseau VPC utilisateur est connecté à deux interfaces Private Service Connect dans un réseau VPC producteur.

Spécifications

Les rattachements de réseau sont soumis aux spécifications suivantes:

  • Un rattachement de réseau est une ressource régionale qui représente le côté utilisateur d'une connexion d'interface Private Service Connect.
  • Les rattachements de réseau vous permettent d'accepter explicitement ou automatiquement les connexions à partir d'interfaces Private Service Connect.
  • Un rattachement de réseau est associé à un seul sous-réseau.
  • Lorsqu'une requête de connexion est acceptée, l'interface Private Service Connect se voit attribuer une adresse IP à partir du sous-réseau du rattachement de réseau.
  • Plusieurs interfaces Private Service Connect peuvent se connecter au même rattachement de réseau.
  • Les rattachements de réseau sont compatibles avec les VPC partagés. Vous pouvez créer un rattachement de réseau dans un projet de service, mais le sous-réseau du rattachement doit se trouver dans un projet hôte.
  • Une connexion entre un rattachement de réseau et une interface Private Service Connect est bidirectionnelle.
  • Une connexion entre un rattachement de réseau et une interface Private Service Connect est transitive. Les charges de travail du réseau VPC producteur peuvent communiquer avec les charges de travail connectées au réseau VPC consommateur.

Attribution de sous-réseau

Lorsque vous créez un rattachement de réseau, vous devez lui attribuer un seul sous-réseau. Si une requête de connexion provenant d'une interface de producteur est acceptée, soit parce que le rattachement est configuré pour accepter automatiquement les connexions, soit parce que le projet producteur est inclus dans la liste d'acceptation, cette interface se voit attribuer une adresse IP issue de la plage d'adresses IP du sous-réseau.

Ce sous-réseau présente les caractéristiques suivantes:

  • Il doit s'agir d'un sous-réseau standard.
  • Les adresses IP du sous-réseau ne sont pas réservées et vous pouvez attribuer d'autres ressources au sous-réseau.
  • Vous ne pouvez pas supprimer le sous-réseau lorsqu'il est attribué à un rattachement de réseau.
  • Vous pouvez remplacer le sous-réseau, sans que cela ait une incidence sur les connexions existantes. Les connexions établies après le remplacement du sous-réseau utilisent le nouveau sous-réseau.
  • Vous pouvez étendre la plage CIDR du sous-réseau, et les nouvelles allocations d'adresses utiliseront la plage étendue.

Règles de connexion

Les règles de connexion contrôlent si un rattachement de réseau accepte une connexion depuis une interface Private Service Connect. Une règle de connexion est composée des trois champs suivants d'un rattachement de réseau :

  • Préférence de connexion : il peut s'agir de ACCEPT_AUTOMATIC ou ACCEPT_MANUAL.
    • ACCEPT_AUTOMATIC: les nouvelles connexions sont automatiquement acceptées.
    • ACCEPT_MANUAL: l'état des nouvelles connexions est déterminé par la liste d'acceptation d'un rattachement de réseau.
  • Liste d'acceptation: liste des ID de projet pour les rattachements de réseau ayant la préférence de connexion ACCEPT_MANUAL. Les nouvelles connexions à partir de projets de cette liste sont acceptées. Si une interface Private Service Connect demande une connexion et que le projet de l'interface ne figure pas dans cette liste, la création de la VM de l'interface Private Service Connect échoue.
  • Liste de refus: liste des ID de projet pour les rattachements de réseau ayant la préférence de connexion ACCEPT_MANUAL. Les nouvelles connexions à partir de projets de cette liste sont explicitement rejetées et la création de la VM de l'interface Private Service Connect échoue.

Si un rattachement de réseau est configuré pour accepter manuellement les connexions et que vous ajoutez un projet producteur aux listes d'acceptation et de refus, les requêtes de connexion de ce projet sont rejetées. La création de la VM de l'interface Private Service Connect échoue.

Connexions

Lorsqu'un rattachement de réseau accepte une requête de connexion à partir d'une interface Private Service Connect, une connexion logique est créée. Cette connexion correspond au tuple composé du rattachement de réseau et de l'interface réseau qui y fait référence. L'interface d'une VM de producteur appartient logiquement au réseau VPC consommateur, mais son cycle de vie est géré par le producteur. Par exemple, le rattachement de réseau de la figure 1 dispose de deux connexions.

Vous pouvez afficher les connexions acceptées lorsque vous décrivez un rattachement de réseau.

Limites

  • Vous ne pouvez mettre à jour que le sous-réseau, la liste d'acceptation, la liste de rejet et la description d'un rattachement de réseau. Si vous souhaitez mettre à jour d'autres champs, supprimez le rattachement et créez-en un nouveau.
  • Vous ne pouvez pas supprimer un rattachement de réseau si des connexions sont ouvertes. Dans ce cas, l'organisation producteur doit d'abord supprimer les interfaces Private Service Connect associées.
  • Les interfaces Private Service Connect ne sont pas compatibles avec les adresses IP externes.

Tarification

La tarification des rattachements de réseau est décrite sur la page des tarifs relatifs aux VPC.

Quotas

Le nombre de rattachements de réseau que vous pouvez créer par région dans un seul projet est limité. Pour plus d'informations, vérifiez quels sont les quotas par projet dans la documentation VPC.

Étapes suivantes