Acerca de los adjuntos de red
En esta página, se proporciona una descripción general de los adjuntos de red.
Un adjunto de red es un recurso que permite que una red de nube privada virtual (VPC) de productor inicie conexiones a una red de VPC de consumidor a través de una interfaz de Private Service Connect.
Si un adjunto de red acepta una conexión desde una interfaz de Private Service Connect, Google Cloud asigna a la interfaz una dirección IP interna de una subred de consumidor que especifica el adjunto de red. La instancia de máquina virtual (VM) de la interfaz de Private Service Connect tiene al menos una interfaz de red normal más que se conecta a una subred del productor.
Esta conexión de interfaz de Private Service Connect permite que las organizaciones de productores y consumidores configuren sus redes de VPC para que las dos redes estén conectadas y puedan comunicarse mediante direcciones IP internas. Por ejemplo, la organización del productor puede actualizar la red de VPC del productor para agregar rutas para las subredes del consumidor.
Una conexión entre un adjunto de red y una interfaz de Private Service Connect es similar a la conexión entre un extremo de Private Service Connect y un adjunto de servicio, pero tiene dos diferencias clave:
- Un adjunto de red permite que una red de VPC del productor inicie conexiones con una red de VPC del consumidor (salida de servicio administrado). Un extremo funciona en la dirección inversa, lo que permite que una red de VPC del consumidor inicie conexiones a una red de VPC del productor (entrada de servicio administrado).
- Una conexión de la interfaz de Private Service Connect es transitiva. Esto significa que las cargas de trabajo en una red de VPC del productor pueden iniciar conexiones con cargas de trabajo en otras redes de VPC que están conectadas a la red de VPC del consumidor.
Por ejemplo, es posible que una organización del consumidor de servicios necesite proporcionar un acceso de servicio administrado a los datos del consumidor que solo esté disponible en la red de VPC del consumidor. Es posible que el servicio también necesite acceso a datos o servicios disponibles de forma local, a través de una conexión de VPN o de Cloud Interconnect, o desde un servicio de terceros. Además, es posible que el consumidor requiera que cualquier tráfico vinculado a Internet que use sus datos se transfiera a través de su propia puerta de enlace de salida. Esto permite que el consumidor supervise el tráfico y proporcione seguridad personalizada.
Una conexión de interfaz de Private Service Connect puede cumplir con todos estos requisitos.
Especificaciones
Los adjuntos de red tienen las siguientes especificaciones:
- Un adjunto de red es un recurso regional que representa el lado del consumidor de una conexión de interfaz de Private Service Connect.
- Los adjuntos de red te permiten aceptar conexiones de forma explícita o automática de las interfaces de Private Service Connect.
- Un adjunto de red está asociado con una sola subred. Puedes usar subredes solo IPv4 o de pila doble con archivos adjuntos de red. Para obtener más información, consulta Asignación de subredes.
- Cuando se acepta una solicitud de conexión, a la interfaz de Private Service Connect se le asigna una dirección IP de la subred del adjunto de red.
- Las interfaces de Private Service Connect se pueden conectar al mismo adjunto de red.
- Los adjuntos de red admiten la VPC compartida. Puedes crear un adjunto de red en un proyecto de servicio, pero la subred del adjunto debe estar en un proyecto host.
- Una conexión entre un adjunto de red y una interfaz de Private Service Connect es bidireccional.
- Una conexión entre un adjunto de red y una interfaz de Private Service Connect es transitiva. Las cargas de trabajo en la red de VPC del productor pueden comunicarse con las cargas de trabajo que están conectadas a la red de VPC del consumidor.
Asignación de la subred
Cuando creas un adjunto de red, debes asignarle una sola subred. Si se acepta una solicitud de conexión de una interfaz del productor, ya sea porque el adjunto está configurado para aceptar conexiones de forma automática o porque el proyecto del productor está incluido en la lista de aceptación, a esa interfaz se le asigna una dirección IP del rango de direcciones IP de la subred.
Esta subred tiene las siguientes características:
- Debe ser una subred regular.
- Puede ser una subred solo IPv4 o una subred de pila doble con un rango de direcciones IPv6 interno. Si deseas enviar tráfico IPv6 a la interfaz de Private Service Connect, usa una subred de pila doble. Sin embargo, no todos los productores de servicios admiten IPv6.
- Las direcciones IP en la subred no están reservadas y puedes asignar otros recursos a la subred.
- No puedes borrar la subred mientras está asignada a un adjunto de red.
- Puedes reemplazar la subred, y las conexiones existentes no se verán afectadas. Las conexiones que se establecen después de reemplazar la subred usan la subred nueva.
- Puedes expandir el rango CIDR de la subred, y las asignaciones de direcciones nuevas usarán el rango expandido.
Políticas de conexión
Las políticas de conexión controlan si un adjunto de red acepta una conexión desde una interfaz de Private Service Connect. Una política de conexión se compone de los siguientes tres campos de un adjunto de red:
- Preferencia de conexión: puede ser
ACCEPT_AUTOMATIC
oACCEPT_MANUAL
.ACCEPT_AUTOMATIC
: Se aceptan automáticamente las conexiones nuevas.ACCEPT_MANUAL
: El estado de las conexiones nuevas se determina mediante la lista de aceptación de un adjunto de red.
- Lista de aceptación: Una lista de IDs de proyectos para los adjuntos de red que tienen la preferencia de conexión
ACCEPT_MANUAL
. Se aceptan las conexiones nuevas de los proyectos de esta lista. Si una interfaz de Private Service Connect solicita una conexión y el proyecto de la interfaz no está en esta lista, la creación de la VM de la interfaz de Private Service Connect falla. - Lista de rechazo: una lista de IDs de proyectos para los adjuntos de red que tienen la preferencia de conexión
ACCEPT_MANUAL
. Las conexiones nuevas de los proyectos de esta lista se rechazan de forma explícita, y la creación de la VM de la interfaz de Private Service Connect falla.
Si un adjunto de red está configurado para aceptar conexiones de forma manual y agregas un proyecto de productor a las listas de aceptación y rechazo, se rechazan las solicitudes de conexión de ese proyecto. La creación de la VM de la interfaz de Private Service Connect falla.
Conexiones
Cuando un adjunto de red acepta una solicitud de conexión desde una interfaz de Private Service Connect, se forma una conexión lógica. Esta conexión es la tupla que consiste en el adjunto de red y la interfaz de red que hace referencia a ella. La interfaz de la VM de un productor pertenece lógicamente a la red de VPC del consumidor, pero el productor administra su ciclo de vida. Por ejemplo, el adjunto de red de la Figura 1 tiene dos conexiones.
Puedes ver las conexiones aceptadas cuando describes un adjunto de red.
Limitaciones
- Solo puedes actualizar la subred, la lista de aceptación, la lista de rechazo y la descripción de un adjunto de red. Si deseas actualizar otros campos, borra el adjunto y crea uno nuevo.
- No puedes borrar un adjunto de red si tiene conexiones abiertas. En este caso, la organización del productor primero debe borrar las interfaces de Private Service Connect asociadas.
- Las interfaces de Private Service Connect no admiten direcciones IP externas.
Precios
Los precios de los adjuntos de red se describen en la página de precios de VPC.
Cuota
Existe un límite para la cantidad de adjuntos de red que puedes crear por región en un solo proyecto. Para obtener más información, consulta las cuotas por proyecto en la documentación de VPC.