Esta página foi traduzida pela API Cloud Translation.

Acerca das associações de rede

Esta página apresenta uma vista geral das associações de redes.

Uma associação de rede é um recurso que permite a uma rede da nuvem virtual privada (VPC) de um produtor iniciar ligações a uma rede da VPC de um consumidor através de uma interface do Private Service Connect.

Se uma associação da rede aceitar uma ligação de uma interface do Private Service Connect, Google Cloud atribui à interface um endereço IP interno de uma sub-rede do consumidor que é especificada pela associação da rede. A instância de máquina virtual (VM) da interface do Private Service Connect tem, pelo menos, mais uma interface de rede normal que se liga a uma sub-rede do produtor.

Esta ligação de interface do Private Service Connect permite que as organizações produtoras e consumidoras configurem as respetivas redes VPC para que as duas redes estejam ligadas e possam comunicar através de endereços IP internos. Por exemplo, a organização produtora pode atualizar a rede VPC do produtor para adicionar rotas para sub-redes de consumidores.

Uma ligação entre uma associação da rede e uma interface do Private Service Connect é semelhante à ligação entre um ponto final do Private Service Connect e uma associação do serviço, mas tem duas diferenças importantes:

Uma associação da rede permite que uma rede de VPC do produtor inicie ligações a uma rede de VPC do consumidor (saída do serviço gerido). Um ponto final funciona na direção inversa, permitindo que uma rede VPC do consumidor inicie ligações a uma rede VPC do produtor (entrada de serviço gerido).
Uma ligação de interface do Private Service Connect é transitiva. Isto significa que as cargas de trabalho numa rede VPC do produtor podem iniciar ligações a cargas de trabalho noutras redes VPC que estão ligadas à rede VPC do consumidor.

Por exemplo, uma organização consumidora de serviços pode querer fornecer um acesso a serviços geridos aos dados do consumidor que só estão disponíveis na rede VPC do consumidor. O serviço também pode precisar de acesso a dados ou serviços que estão disponíveis no local, através de uma ligação VPN ou Cloud Interconnect, ou de um serviço de terceiros. Além disso, o consumidor pode querer exigir que qualquer tráfego ligado à Internet que use os seus dados passe pelo seu próprio gateway de saída. Isto permite que o consumidor monitorize o tráfego e forneça segurança personalizada.

Uma ligação de interface do Private Service Connect pode cumprir todos estes requisitos.

**Figura 1.** Uma associação de rede numa rede da VPC do consumidor está ligada a duas interfaces do Private Service Connect numa rede da VPC do produtor (clique para aumentar).

Especificações

Os anexos de rede têm as seguintes especificações:

Uma associação da rede é um recurso regional que representa o lado do consumidor de uma ligação de interface do Private Service Connect.
As associações de rede permitem-lhe aceitar explícita ou automaticamente ligações de interfaces do Private Service Connect.
Uma associação de rede está associada a uma única sub-rede. Pode usar sub-redes apenas IPv4 ou de pilha dupla com anexos de rede. Para mais informações, consulte o artigo Atribuição de sub-rede.

Não pode usar sub-redes apenas IPv6 com anexos de rede.
Quando um pedido de ligação é aceite, é atribuído um endereço IP à interface do Private Service Connect a partir da sub-rede da associação de rede.
Várias interfaces do Private Service Connect podem estabelecer ligação à mesma associação da rede.
As associações de rede suportam a VPC partilhada. Pode criar uma associação da rede num projeto de serviço, mas a sub-rede da associação tem de estar num projeto anfitrião.
Uma ligação entre uma associação de rede e uma interface do Private Service Connect é bidirecional.
Uma ligação entre uma associação de rede e uma interface do Private Service Connect é transitiva. As cargas de trabalho na rede VPC do produtor podem comunicar com as cargas de trabalho ligadas à rede VPC do consumidor.
Uma associação de rede pode estabelecer ligação a interfaces do Private Service Connect virtuais e dinâmicas.

Atribuição de sub-rede

Quando cria uma associação de rede, tem de lhe atribuir uma única sub-rede. Se um pedido de ligação de uma interface de produtor for aceite, quer porque o anexo está configurado para aceitar automaticamente ligações, quer porque o projeto de produtor está incluído na lista de aceitação, é atribuído um endereço IP a essa interface a partir do intervalo de endereços IP da sub-rede.

Esta sub-rede tem as seguintes características:

Tem de ser uma sub-rede normal.
Pode ser uma sub-rede apenas IPv4 ou uma sub-rede de pilha dupla com um intervalo de endereços IPv6 internos. Se quiser enviar tráfego IPv6 para a interface do Private Service Connect, use uma sub-rede de pilha dupla. No entanto, nem todos os produtores de serviços suportam o IPv6.
Os endereços IP na sub-rede não estão reservados e pode atribuir outros recursos à sub-rede.
Não pode eliminar a sub-rede enquanto estiver atribuída a uma associação de rede.
Pode substituir a sub-rede e as associações existentes não são afetadas. As ligações estabelecidas após a substituição da sub-rede usam a nova sub-rede.
Pode expandir o intervalo CIDR da sub-rede e as novas atribuições de endereços vão usar o intervalo expandido.

Políticas de autorização

As políticas de autorização controlam se uma associação da rede aceita uma ligação de uma interface do Private Service Connect. Uma política de autorização é composta pelos seguintes três campos de uma associação de rede:

Preferência de ligação: pode ser ACCEPT_AUTOMATIC ou ACCEPT_MANUAL.
- ACCEPT_AUTOMATIC: as novas associações são aceites automaticamente.
- ACCEPT_MANUAL: o estado das novas associações é determinado pela lista de aceitação de um anexo de rede.
Lista de aceitação: uma lista de IDs de projetos para anexos de rede que têm a preferência de ligação ACCEPT_MANUAL. As novas associações de projetos nesta lista são aceites. Se uma interface do Private Service Connect pedir uma ligação e o projeto da interface não estiver nesta lista, a criação da VM da interface do Private Service Connect falha.
Lista de rejeição: uma lista de IDs de projetos para anexos de rede que têm a preferência de ligação ACCEPT_MANUAL. As novas ligações de projetos nesta lista são explicitamente rejeitadas, e a criação da VM da interface do Private Service Connect falha.

Se um anexo de rede estiver configurado para aceitar manualmente ligações, e adicionar um projeto produtor às listas de aceitação e rejeição, os pedidos de ligação desse projeto são rejeitados. A criação da VM da interface do Private Service Connect falha.

Ligações

Quando uma associação de rede aceita um pedido de ligação de uma interface do Private Service Connect, é formada uma ligação lógica. Esta ligação é a tupla que consiste na ligação à rede e na interface de rede que se refere à mesma. A interface de uma VM de produtor pertence logicamente à rede VPC do consumidor, mas o respetivo ciclo de vida é gerido pelo produtor. Por exemplo, a ligação de rede na figura 1 tem duas ligações.

Pode ver as associações aceites quando descrever uma associação de rede.

Limitações

Só pode atualizar a sub-rede, a lista de aceitação, a lista de rejeição e a descrição de uma associação de rede. Se quiser atualizar outros campos, elimine o anexo e crie um novo.
Não pode eliminar uma associação de rede se tiver ligações abertas. Neste caso, a organização produtora tem de eliminar primeiro as interfaces do Private Service Connect associadas.
As interfaces do Private Service Connect não suportam endereços IP externos.

Preços

Os preços dos anexos de rede estão descritos na página de preços da VPC.

Quota

Existe um limite para o número de associações de rede que pode criar por região num único projeto. Para mais informações, consulte as cotas por projeto na documentação da VPC.

O que se segue?

Crie e faça a gestão de associações de redes