Netzwerkanhänge

Auf dieser Seite finden Sie eine Übersicht über Netzwerkanhänge.

Ein Netzwerkanhang ist eine Ressource, die es VPC-Netzwerken (Virtual Private Cloud) von Erstellern erlaubt, Verbindungen zu einem Nutzer-VPC-Netzwerk über eine Private Service Connect-Schnittstelle zu initiieren.

Wenn ein Netzwerkanhang eine Verbindung von einer Private Service Connect-Schnittstelle akzeptiert, weist Google Cloud der Schnittstelle eine interne IP-Adresse aus einem vom Netzwerkanhang bestimmten Nutzersubnetz zu. Die VM-Instanz der Private Service Connect-Schnittstelle hat mindestens eine weitere reguläre Netzwerkschnittstelle, die mit einem Erstellersubnetz verbunden ist.

Über diese Private Service Connect-Schnittstellenverbindung können Ersteller- und Nutzerorganisationen ihre VPC-Netzwerke so konfigurieren, dass die beiden Netzwerke verbunden sind und über interne IP-Adressen kommunizieren können. Die Erstellerorganisation kann beispielsweise das VPC-Netzwerk des Erstellers aktualisieren, um Routen für Nutzersubnetze hinzuzufügen.

Eine Verbindung zwischen einem Netzwerkanhang und einer Private Service Connect-Schnittstelle ähnelt der Verbindung zwischen einem Private Service Connect-Endpunkt und einem Dienstanhang. Es gibt dabei zwei wichtige Unterschiede:

  • Mit einem Netzwerkanhang kann ein Ersteller-VPC-Netzwerk Verbindungen zu einem Nutzer-VPC-Netzwerk initiieren (verwalteter ausgehender Dienst-Traffic). Ein Endpunkt funktioniert in umgekehrter Richtung, sodass ein Nutzer-VPC-Netzwerk Verbindungen zu einem Ersteller-VPC-Netzwerk initiieren kann (verwalteter Dienst-Ingress).
  • Private Service Connect-Schnittstellenverbindungen sind transitiv. Das bedeutet, dass Arbeitslasten in einem VPC-Netzwerk von Erstellern Verbindungen zu Arbeitslasten in anderen VPC-Netzwerken initiieren können, die mit dem VPC-Netzwerk des Nutzers verbunden sind.

Beispiel: Eine Dienstnutzerorganisation kann einem verwalteten Dienst Zugriff auf Nutzerdaten gewähren, die nur im VPC-Netzwerk des Nutzers verfügbar sind. Der Dienst benötigt möglicherweise auch Zugriff auf Daten oder Dienste, die lokal, über ein VPN, über Cloud Interconnect oder von einem Drittanbieterdienst verfügbar sind. Außerdem möchte der Nutzer vielleicht, dass der gesamte Internet-Traffic, der seine Daten verwendet, über sein eigenes Ausgangsgateway geleitet wird. Dadurch kann der Nutzer den Traffic überwachen und benutzerdefinierte Sicherheitsmaßnahmen bereitstellen.

Eine Private Service Connect-Schnittstellenverbindung kann alle diese Anforderungen erfüllen.

Abbildung 1. Ein Netzwerkanhang in einem Nutzer-VPC-Netzwerk ist mit zwei Private Service Connect-Schnittstellen in einem Ersteller-VPC-Netzwerk verbunden (zum Vergrößern klicken).

Spezifikationen

Netzwerkanhänge haben folgende Spezifikationen:

  • Ein Netzwerkanhang ist eine regionale Ressource, die die Nutzerseite der Verbindung einer Private Service Connect-Schnittstelle darstellt.
  • Mit Netzwerkanhängen können Sie Verbindungen von Private Service Connect-Schnittstellen explizit oder automatisch akzeptieren.
  • Ein Netzwerkanhang ist mit einem einzelnen Subnetz verknüpft. Sie können reine IPv4-Subnetze oder Dual-Stack-Subnetze mit Netzwerkanhängen verwenden. Weitere Informationen finden Sie unter Subnetzzuweisung.
  • Wird eine Verbindungsanfrage akzeptiert, wird der Private Service Connect-Schnittstelle eine IP-Adresse aus dem Subnetz des Netzwerkanhangs zugewiesen.
  • Mehrere Private Service Connect-Schnittstellen können mit demselben Netzwerkanhang verbunden werden.
  • Netzwerkanhänge unterstützen freigegebene VPCs. Sie können einen Netzwerkanhang in einem Dienstprojekt erstellen, das Subnetz des Anhangs muss sich jedoch in einem Hostprojekt befinden.
  • Verbindungen zwischen einem Netzwerkanhang und einer Private Service Connect-Schnittstelle sind bidirektional.
  • Verbindungen zwischen einem Netzwerkanhang und einer Private Service Connect-Schnittstelle sind transitiv. Arbeitslasten im VPC-Netzwerk des Erstellers können mit Arbeitslasten kommunizieren, die mit dem VPC-Netzwerk des Nutzers verbunden sind.

Subnetzzuweisung

Wenn Sie einen Netzwerk-Anschluss erstellen, müssen Sie ihm ein einzelnes Subnetz zuweisen. Wird eine Verbindungsanfrage von einer Erstellerschnittstelle akzeptiert, entweder weil der Anhang so konfiguriert ist, dass Verbindungen automatisch akzeptiert werden, oder wenn das Erstellerprojekt in der entsprechenden Annahmeliste enthalten ist, wird dieser Schnittstelle eine IP-Adresse aus dem IP-Adressbereich des Subnetzes zugewiesen.

Dieses Subnetz hat folgende Eigenschaften:

  • Es muss sich um ein reguläres Subnetz handeln.
  • Es kann sich um ein reines IPv4-Subnetz oder ein Dual-Stack-Subnetz mit einem internen IPv6-Adressbereich handeln. Wenn Sie IPv6-Traffic an die Private Service Connect-Schnittstelle senden möchten, verwenden Sie ein Dual-Stack-Subnetz. Allerdings unterstützen nicht alle Dienstanbieter IPv6.
  • IP-Adressen im Subnetz sind nicht reserviert und können dem Subnetz andere Ressourcen zuweisen.
  • Sie können das Subnetz nicht löschen, während es einem Netzwerkanhang zugewiesen ist.
  • Sie können das Subnetz ersetzen. Vorhandene Verbindungen sind davon nicht betroffen. Verbindungen, die nach dem Ersetzen des Subnetzes hergestellt werden, verwenden das neue Subnetz.
  • Sie können den CIDR-Bereich des Subnetzes erweitern. Neue Adressenzuweisungen verwenden dann den erweiterten Bereich.

Verbindungsrichtlinien

Mit Verbindungsrichtlinien wird festgelegt, ob ein Netzwerkanhang eine Verbindung von einer Private Service Connect-Schnittstelle akzeptiert. Eine Verbindungsrichtlinie besteht aus folgenden drei Feldern eines Netzwerkanhangs:

  • Verbindungseinstellungen: Können ACCEPT_AUTOMATIC oder ACCEPT_MANUAL sein.
    • ACCEPT_AUTOMATIC: Neue Verbindungen werden automatisch akzeptiert.
    • ACCEPT_MANUAL: Der Status neuer Verbindungen wird durch die Annahmeliste eines Netzwerkanhangs bestimmt.
  • Annahmeliste: Liste der Projekt-IDs für Netzwerkanhänge mit der Verbindungseinstellung ACCEPT_MANUAL. Neue Verbindungen von Projekten in dieser Liste werden akzeptiert. Wenn eine Private Service Connect-Schnittstelle eine Verbindung anfordert und das Projekt der Schnittstelle nicht in dieser Liste enthalten ist, schlägt das Erstellen der VM der Private Service Connect-Schnittstelle fehl.
  • Ablehnungsliste: Liste der Projekt-IDs für Netzwerkanhänge mit der Verbindungseinstellung ACCEPT_MANUAL. Neue Verbindungen von Projekten in dieser Liste werden explizit abgelehnt und das Erstellen der VM der Private Service Connect-Schnittstelle schlägt fehl.

Wenn ein Netzwerkanhang so konfiguriert ist, dass Verbindungen manuell akzeptiert werden, und du ein Erstellerprojekt sowohl in die Zulassungs- als auch in die Ablehnungsliste aufnimmst, werden Verbindungsanfragen von diesem Projekt abgelehnt. Das Erstellen der VM der Private Service Connect-Schnittstelle schlägt fehl.

Verbindungen

Wenn ein Netzwerkanhang eine Verbindungsanfrage von einer Private Service Connect-Schnittstelle akzeptiert, wird eine logische Verbindung hergestellt. Diese Verbindung ist das Tupel, das aus dem Netzwerkanhang und der zugehörigen Netzwerkschnittstelle besteht. Die Schnittstelle einer Ersteller-VM gehört logisch zum Nutzer-VPC-Netzwerk, der Lebenszyklus wird jedoch vom Ersteller verwaltet. Beispiel: Der Netzwerkanhang in Abbildung 1 zwei Verbindungen.

Sie können angenommene Verbindungen aufrufen, indem Sie einen Netzwerkanhang beschreiben.

Beschränkungen

  • Sie können nur das Subnetz, die Zulassungsliste, die Ablehnungsliste und die Beschreibung eines Netzwerkanhangs aktualisieren. Wenn Sie andere Felder aktualisieren möchten, löschen Sie die Richtlinie und erstellen Sie eine neue Richtlinie.
  • Sie können Netzwerkanhänge mit offenen Verbindungen nicht löschen,. In diesem Fall muss die Erstellerorganisation zuerst die zugehörige Private Service Connect-Schnittstelle löschen.
  • Private Service Connect-Schnittstellen unterstützen externe IP-Adressen nicht.

Preise

Die Preise für Netzwerkanhänge werden auf der Seite der VPC-Preise beschrieben.

Kontingent

Es gibt ein Limit dafür, wie viele Netzwerkanhänge pro Region in einem einzelnen Projekt erstellt werden können. Weitere Informationen erhalten Sie im Abschnitt zu projektbasierten Kontingenten in der VPC-Dokumentation.

Nächste Schritte