Sobre anexos de rede

Esta página fornece uma visão geral dos anexos de rede.

Um anexo de rede é um recurso que permite que uma rede de nuvem privada virtual (VPC, na sigla em inglês) do produtor inicie conexões com uma rede VPC consumidora por meio de uma interface do Private Service Connect.

Se um anexo de rede aceitar uma conexão de uma interface do Private Service Connect, o Google Cloud aloca um endereço IP interno de uma sub-rede do consumidor especificado pelo anexo de rede. A instância de máquina virtual (VM) da interface do Private Service Connect tem pelo menos mais uma interface de rede normal que se conecta a uma sub-rede do produtor.

Essa conexão de interface do Private Service Connect permite que as organizações de produtores e consumidores configurem as redes VPC para que as duas redes sejam conectadas e possam se comunicar por endereços IP internos. Por exemplo, a organização produtora pode atualizar a rede VPC do produtor para adicionar rotas para sub-redes de consumidor.

Uma conexão entre um anexo de rede e uma interface do Private Service Connect é semelhante à conexão entre um Private Service Connectendpoint e um anexo de serviço, mas há duas diferenças principais:

  • Um anexo de rede permite que uma rede VPC do produtor inicie conexões com uma rede VPC do consumidor (saída de serviço gerenciado). Um endpoint funciona na direção inversa, permitindo que uma rede VPC consumidor inicie conexões com uma rede VPC do produtor (entrada de serviço gerenciado).
  • Uma conexão de interface do Private Service Connect é transitiva. Isso significa que as cargas de trabalho em uma rede VPC do produtor podem iniciar conexões com cargas de trabalho em outras redes VPC conectadas à rede VPC do consumidor.

Por exemplo, uma organização de consumidores de serviços pode querer fornecer um acesso de serviço gerenciado aos dados do consumidor que está disponível apenas na rede VPC do consumidor. O serviço também pode precisar de acesso a dados ou serviços disponíveis no local, por meio de uma conexão VPN ou do Cloud Interconnect, ou de um serviço de terceiros. Além disso, o consumidor pode querer exigir que qualquer tráfego vinculado à Internet que usa os dados dele passe pelo próprio gateway de saída. Isso permite que o consumidor monitore o tráfego e forneça segurança personalizada.

Uma conexão de interface do Private Service Connect pode atender a todos esses requisitos.

Figura 1. Um anexo de rede em uma rede VPC consumidor está conectado a duas interfaces do Private Service Connect em uma rede VPC produtora.

Especificações

Os anexos de rede têm as seguintes especificações:

  • Um anexo de rede é um recurso regional que representa o lado do consumidor de uma conexão de interface do Private Service Connect.
  • Os anexos de rede permitem que você aceite conexões explícita ou automaticamente a partir das interfaces do Private Service Connect.
  • Um anexo de rede está associado a uma única sub-rede.
  • Quando uma solicitação de conexão é aceiaa, a interface do Private Service Connect é alocada da sub-rede do anexo de rede.
  • Várias interfaces do Private Service Connect podem se conectar ao mesmo anexo de rede.
  • Os anexos de rede são compatíveis com a VPC compartilhada. É possível criar um anexo de rede em um projeto de serviço, mas a sub-rede do anexo precisa estar em um projeto host.
  • Uma conexão entre um anexo de rede e uma interface do Private Service Connect é bidirecional.
  • Uma conexão entre um anexo de rede e uma interface do Private Service Connect é transitiva. As cargas de trabalho na rede VPC do produtor podem se comunicar com as que estão conectadas à rede VPC do consumidor.

Atribuição de sub-rede

Ao criar um anexo de rede, você precisa atribuir a ele uma única sub-rede. Se uma solicitação de conexão de uma interface do produtor for aceita, seja porque o anexo está configurado para aceitar conexões automaticamente ou se o projeto do produtor estiver incluído na lista de aceitação, essa interface receberá um IP. do intervalo de endereços IP da sub-rede.

Essa sub-rede tem as seguintes características:

  • Ela precisa ser uma sub-rede normal.
  • Os endereços IP na sub-rede não são reservados, e você pode atribuir outros recursos à sub-rede.
  • Não é possível excluir a sub-rede enquanto ela está atribuída a um anexo de rede.
  • É possível substituir a sub-rede, e as conexões atuais não serão afetadas. As conexões estabelecidas após a substituição da sub-rede usam a nova sub-rede.
  • É possível expandir o intervalo CIDR da sub-rede, e as novas alocações de endereço usarão o intervalo expandido.

Políticas de conexão

As políticas de conexão controlam se um anexo de rede aceita uma conexão de uma interface do Private Service Connect. Uma política de conexão é composta dos três campos a seguir de um anexo de rede:

  • Preferência de conexão: pode ser ACCEPT_AUTOMATIC ou ACCEPT_MANUAL.
    • ACCEPT_AUTOMATIC: novas conexões são aceitas automaticamente.
    • ACCEPT_MANUAL: o estado das novas conexões é determinado pela lista de aceitação de um anexo de rede.
  • Lista de aceitação: uma lista de IDs de projetos para anexos de rede que têm a preferência de conexão ACCEPT_MANUAL. Novas conexões de projetos nesta lista são aceitas. Se uma interface do Private Service Connect solicitar uma conexão e o projeto da interface não estiver na lista, a criação da VM da interface do Private Service Connect vai falhar.
  • Lista de rejeição: uma lista de IDs do projeto para anexos de rede que têm a preferência de conexão ACCEPT_MANUAL. Novas conexões de projetos nesta lista são explicitamente rejeitadas, e a criação da VM da interface do Private Service Connect falha.

Se um anexo de rede estiver configurado para aceitar conexões manualmente e você adicionar um projeto de produtor às listas de aceitação e rejeição, as solicitações de conexão desse projeto serão rejeitadas. A criação da VM da interface do Private Service Connect falha.

Conexões

Quando um anexo de rede aceita uma solicitação de conexão de uma interface do Private Service Connect, uma conexão lógica é formada. Essa conexão é a tupla que consiste no anexo da rede e na interface de rede que se refere a ela. A interface de uma VM do produtor pertence logicamente à rede VPC do consumidor, mas o ciclo de vida é gerenciado pelo produtor. Por exemplo, o anexo de rede na figura 1 tem duas conexões.

Para visualizar as conexões aceitas, Descreva um anexo de rede.

Limitações

  • Só é possível atualizar a sub-rede, a lista de aceitação, a lista de rejeição e a descrição de um anexo de rede. Se você quiser atualizar outros campos, exclua a política e crie uma nova.
  • Não é possível excluir um anexo de rede com conexões abertas. Nesse caso, a organização do produtor precisa primeiro excluir a interface associada do Private Service Connect.
  • As interfaces do Private Service Connect não aceitam endereços IP externos.

Preços

O preço dos anexos de rede é descrito na página de preços da VPC.

Cota

Há um limite de quantos anexos de rede podem ser criados por região em um único projeto. Para mais informações, consulte as cotas por projeto na documentação da VPC.

A seguir