Acerca de los adjuntos de red

En esta página, se proporciona una descripción general de los adjuntos de red.

Un adjunto de red es un recurso que permite que una red de nube privada virtual (VPC) de productor inicie conexiones a una red de VPC de consumidor a través de una interfaz de Private Service Connect.

Si un adjunto de red acepta una conexión desde una interfaz de Private Service Connect, Google Cloud asigna a la interfaz una dirección IP interna de una subred de consumidor que especifica el adjunto de red. La instancia de máquina virtual (VM) de la interfaz de Private Service Connect tiene al menos una interfaz de red normal más que se conecta a una subred del productor.

Esta conexión de interfaz de Private Service Connect permite que las organizaciones de productores y consumidores configuren sus redes de VPC para que las dos redes estén conectadas y puedan comunicarse mediante direcciones IP internas. Por ejemplo, la organización del productor puede actualizar la red de VPC del productor para agregar rutas para las subredes del consumidor.

Una conexión entre un adjunto de red y una interfaz de Private Service Connect es similar a la conexión entre un extremo de Private Service Connect y un adjunto de servicio, pero tiene dos diferencias clave:

  • Un adjunto de red permite que una red de VPC del productor inicie conexiones con una red de VPC del consumidor (salida de servicio administrado). Un extremo funciona en la dirección inversa, lo que permite que una red de VPC del consumidor inicie conexiones a una red de VPC del productor (entrada de servicio administrado).
  • Una conexión de la interfaz de Private Service Connect es transitiva. Esto significa que las cargas de trabajo en una red de VPC del productor pueden iniciar conexiones con cargas de trabajo en otras redes de VPC que están conectadas a la red de VPC del consumidor.

Por ejemplo, es posible que una organización del consumidor de servicios necesite proporcionar un acceso de servicio administrado a los datos del consumidor que solo esté disponible en la red de VPC del consumidor. Es posible que el servicio también necesite acceso a datos o servicios disponibles de forma local, a través de una conexión de VPN o de Cloud Interconnect, o desde un servicio de terceros. Además, es posible que el consumidor requiera que cualquier tráfico vinculado a Internet que use sus datos se transfiera a través de su propia puerta de enlace de salida. Esto permite que el consumidor supervise el tráfico y proporcione seguridad personalizada.

Una conexión de interfaz de Private Service Connect puede cumplir con todos estos requisitos.

Figura 1. Un adjunto de red en una red de VPC del consumidor está conectado a dos interfaces de Private Service Connect en una red de VPC del productor (haz clic para ampliar).

Especificaciones

Los adjuntos de red tienen las siguientes especificaciones:

  • Un adjunto de red es un recurso regional que representa el lado del consumidor de una conexión de interfaz de Private Service Connect.
  • Los adjuntos de red te permiten aceptar conexiones de forma explícita o automática de las interfaces de Private Service Connect.
  • Un adjunto de red está asociado con una sola subred.
  • Cuando se acepta una solicitud de conexión, a la interfaz de Private Service Connect se le asigna una dirección IP de la subred del adjunto de red.
  • Las interfaces de Private Service Connect se pueden conectar al mismo adjunto de red.
  • Los adjuntos de red admiten la VPC compartida. Puedes crear un adjunto de red en un proyecto de servicio, pero la subred del adjunto debe estar en un proyecto host.
  • Una conexión entre un adjunto de red y una interfaz de Private Service Connect es bidireccional.
  • Una conexión entre un adjunto de red y una interfaz de Private Service Connect es transitiva. Las cargas de trabajo en la red de VPC del productor pueden comunicarse con las cargas de trabajo que están conectadas a la red de VPC del consumidor.

Asignación de la subred

Cuando creas un adjunto de red, debes asignarle una sola subred. Si se acepta una solicitud de conexión de una interfaz del productor, ya sea porque el adjunto está configurado para aceptar conexiones de forma automática o porque el proyecto del productor está incluido en la lista de aceptación, a esa interfaz se le asigna una dirección IP del rango de direcciones IP de la subred.

Esta subred tiene las siguientes características:

  • Debe ser una subred regular.
  • Las direcciones IP en la subred no están reservadas y puedes asignar otros recursos a la subred.
  • No puedes borrar la subred mientras está asignada a un adjunto de red.
  • Puedes reemplazar la subred, y las conexiones existentes no se verán afectadas. Las conexiones que se establecen después de reemplazar la subred usan la subred nueva.
  • Puedes expandir el rango CIDR de la subred, y las asignaciones de direcciones nuevas usarán el rango expandido.

Políticas de conexión

Las políticas de conexión controlan si un adjunto de red acepta una conexión desde una interfaz de Private Service Connect. Una política de conexión se compone de los siguientes tres campos de un adjunto de red:

  • Preferencia de conexión: puede ser ACCEPT_AUTOMATIC o ACCEPT_MANUAL.
    • ACCEPT_AUTOMATIC: Se aceptan automáticamente las conexiones nuevas.
    • ACCEPT_MANUAL: El estado de las conexiones nuevas se determina mediante la lista de aceptación de un adjunto de red.
  • Lista de aceptación: Una lista de IDs de proyectos para los adjuntos de red que tienen la preferencia de conexión ACCEPT_MANUAL. Se aceptan las conexiones nuevas de los proyectos de esta lista. Si una interfaz de Private Service Connect solicita una conexión y el proyecto de la interfaz no está en esta lista, la creación de la VM de la interfaz de Private Service Connect falla.
  • Lista de rechazo: una lista de IDs de proyectos para los adjuntos de red que tienen la preferencia de conexión ACCEPT_MANUAL. Las conexiones nuevas de los proyectos de esta lista se rechazan de forma explícita, y la creación de la VM de la interfaz de Private Service Connect falla.

Si un adjunto de red está configurado para aceptar conexiones de forma manual y agregas un proyecto de productor a las listas de aceptación y rechazo, se rechazan las solicitudes de conexión de ese proyecto. La creación de la VM de la interfaz de Private Service Connect falla.

Conexiones

Cuando un adjunto de red acepta una solicitud de conexión desde una interfaz de Private Service Connect, se forma una conexión lógica. Esta conexión es la tupla que consiste en el adjunto de red y la interfaz de red que hace referencia a ella. La interfaz de la VM de un productor pertenece lógicamente a la red de VPC del consumidor, pero el productor administra su ciclo de vida. Por ejemplo, el adjunto de red de la Figura 1 tiene dos conexiones.

Puedes ver las conexiones aceptadas cuando describes un adjunto de red.

Limitaciones

  • Solo puedes actualizar la subred, la lista de aceptación, la lista de rechazo y la descripción de un adjunto de red. Si deseas actualizar otros campos, borra el adjunto y crea uno nuevo.
  • No puedes borrar un adjunto de red si tiene conexiones abiertas. En este caso, la organización del productor primero debe borrar las interfaces de Private Service Connect asociadas.
  • Las interfaces de Private Service Connect no admiten direcciones IP externas.

Precios

Los precios de los adjuntos de red se describen en la página de precios de VPC.

Cuota

Existe un límite para la cantidad de adjuntos de red que puedes crear por región en un solo proyecto. Para obtener más información, consulta las cuotas por proyecto en la documentación de VPC.

¿Qué sigue?