Crea y administra adjuntos de red

En esta página, se describe cómo los administradores de red del consumidor pueden crear y administrar adjuntos de red de Private Service Connect. Los adjuntos de red permiten que las redes de VPC del productor de servicios inicien conexiones a redes de VPC del consumidor.

Antes de comenzar

Debes habilitar la API de Compute Engine en tu proyecto.
Si quieres especificar manualmente los proyectos que pueden conectarse a un adjunto de red, debes conocer los ID de los proyectos.

Roles

Para obtener los permisos que necesitas para crear, ver y borrar adjuntos de red, pídele a tu administrador que te otorgue el rol de IAM Administrador de Compute Network (roles/compute.networkAdmin) en tu proyecto. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.

También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

Crea una subred

Cuando creas un adjunto de red, debes asignarle una sola subred regular. Esta subred debe estar en la misma región que el adjunto de red. Una subred se puede compartir entre varios adjuntos de red.

Cuando un adjunto de red acepta una conexión desde una interfaz de Private Service Connect, Google Cloud asigna a la interfaz una dirección IP del rango de direcciones IP principal de la subred. Si la subred es de pila doble, los productores pueden especificar en el momento de la creación si Google Cloud asigna a una interfaz de Private Service Connect asociada solo una dirección IPv4 o una dirección IPv4 y una dirección IPv6.

Si deseas obtener más información para crear subredes, consulta Crea y administra redes de VPC.

Crea adjuntos de red

Los adjuntos de red son recursos regionales que representan el lado del consumidor de una conexión de interfaz de Private Service Connect. Para crear correctamente una instancia de máquina virtual (VM), un adjunto de red debe estar en la misma región que la VM de la interfaz de Private Service Connect asociada.

La política de conexión del adjunto de red determina si un adjunto de red puede aceptar una conexión desde una interfaz de Private Service Connect.

Puedes actualizar la subred, la lista de aceptación, la lista de rechazo y la descripción de un adjunto de red.

Crea un adjunto de red que acepte conexiones de forma manual

Puedes crear un adjunto de red que acepte conexiones de forma manual. Antes de crear un adjunto de este tipo, asegúrate de conocer los IDs de los proyectos que deseas aceptar.

Console

En la consola de Google Cloud, ve a Private Service Connect.

Ir a Private Service Connect
Haz clic en Archivos adjuntos de red.
Haz clic en Crear adjunto de red.
Ingresa un Nombre.
Selecciona una Red.
Selecciona una Región.
Selecciona una Subred.
Haz clic en Aceptar conexiones para los proyectos seleccionados.
Haz clic en Agregar proyecto aceptado y, luego, ingresa el ID de cada proyecto del que deseas aceptar conexiones.
Haz clic en Agregar proyecto rechazado y, luego, ingresa el ID de cada proyecto del que deseas denegar las conexiones de forma explícita.
Haz clic en Crear adjunto de red.

gcloud

Usa el comando network-attachments create

gcloud compute network-attachments create ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_MANUAL \
    --producer-accept-list=ACCEPTED_PROJECTS \
    --producer-reject-list=REJECTED_PROJECTS \
    --subnets=SUBNET_NAME

Reemplaza lo siguiente:

ATTACHMENT_NAME: Es el nombre del adjunto de red.
REGION: Es la región del adjunto de red.
ACCEPTED_PROJECTS: los IDs de los proyectos que se pueden conectar a este adjunto de red. Puedes incluir varias etiquetas en una lista separada por comas.
REJECTED_PROJECTS: Son los IDs de los proyectos que no se pueden conectar a este adjunto de red. Puedes incluir varias etiquetas en una lista separada por comas.
SUBNET_NAME: Es el nombre de la subred que se asociará a este adjunto de red.

API

Realiza una solicitud POST al método networkAttachments.insert.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments
{
  "connectionPreference": "ACCEPT_MANUAL",
  "name": "ATTACHMENT_NAME",
  "producerAcceptLists": [
    "ACCEPTED_PROJECT_LIST"
  ],
  "producerRejectLists": [
    "REJECTED_PROJECT_LIST"
  ],
  "subnetworks": [
    "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
  ]
}

Reemplaza lo siguiente:

PROJECT_ID: Es el ID del proyecto en el que se creará el adjunto de red.
REGION: Es la región del adjunto de red
ATTACHMENT_NAME: Es el nombre del adjunto de red
ACCEPTED_PROJECT_LIST: los IDs de los proyectos que se pueden conectar a este adjunto de red. Puedes incluir varios IDs con el siguiente formato: "id-one", "id-two".
REJECTED_PROJECT_LIST: Son los IDs de los proyectos que no se pueden conectar a este adjunto de red. Puedes incluir varios IDs con el siguiente formato: "id-one", "id-two".
SUBNET_NAME: El nombre de la subred que se asociará al adjunto de red.

Crea un adjunto de red que acepte conexiones de forma automática

Puedes crear un adjunto de red que acepte conexiones de forma automática desde cualquier interfaz de Private Service Connect que haga referencia al adjunto de red.

Console

En la consola de Google Cloud, ve a Private Service Connect.

Ir a Private Service Connect
Haz clic en Archivos adjuntos de red.
Haz clic en Crear adjunto de red.
Ingresa un Nombre.
Selecciona una Red.
Selecciona una Región.
Selecciona una Subred.
Haz clic en Aceptar conexiones de forma automática para todos los proyectos.
Haz clic en Crear adjunto de red.

gcloud

Usa el comando network-attachments create

gcloud compute network-attachments create ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_AUTOMATIC \
    --subnets=SUBNET_NAME

Reemplaza lo siguiente:

ATTACHMENT_NAME: Es el nombre del adjunto de red.
REGION: Es la región del adjunto de red.
SUBNET_NAME: Es el nombre de la subred que se asociará a este adjunto de red.

API

Realiza una solicitud POST al método networkAttachments.insert.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments
{
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "name": "ATTACHMENT_NAME",
  "subnetworks": [
    "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
  ]
}

Reemplaza lo siguiente:

PROJECT_ID: Es el ID del proyecto en el que se creará el adjunto de red.
REGION: Es la región del adjunto de red
ATTACHMENT_NAME: Es el nombre del adjunto de red
SUBNET_NAME: El nombre de la subred que se asociará al adjunto de red.

Mostrar lista de adjuntos de red

Console

En la consola de Google Cloud, ve a Private Service Connect.

Ir a Private Service Connect
Haz clic en Archivos adjuntos de red.

gcloud

Para enumerar todos los adjuntos de red de un proyecto, usa el comando network-attachments list.
```
gcloud compute network-attachments list
```
Para enumerar los adjuntos de red en una región o regiones determinadas, usa el comando network-attachments list y especifica las regiones.
```
gcloud compute network-attachments list
   --regions=REGIONS
```
Reemplaza REGIONS por las regiones en las que se enumerarán los adjuntos de red. Puedes incluir varias regiones en una lista separada por comas.

API

Para enumerar los adjuntos de red en una región determinada, realiza una solicitud GET al método networkAttachments.list.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments

Reemplaza lo siguiente:

PROJECT_ID: el ID del proyecto.
REGION: Es la región del adjunto de red.

Describe los adjuntos de red

Puedes describir un adjunto de red para ver sus detalles, incluidas las conexiones de interfaz de Private Service Connect asociadas. Para cada conexión, puedes ver la dirección IP asignada de la interfaz de Private Service Connect.

Console

En la consola de Google Cloud, ve a Private Service Connect.

Ir a Private Service Connect
Haz clic en Archivos adjuntos de red.
Selecciona un adjunto de red para ver sus detalles y una lista de proyectos conectados.
Para ver las conexiones individuales de la interfaz de Private Service Connect de un proyecto, haz clic en el nombre del proyecto.

El estado de conexión de un proyecto no siempre determina el estado de las conexiones de la interfaz de Private Service Connect desde ese proyecto. Por ejemplo, si agregas un proyecto a la lista de rechazo después de aceptar una conexión desde ese proyecto, se rechazará el estado del proyecto, pero la conexión existente permanecerá abierta. Se rechazan las conexiones nuevas de ese proyecto.

gcloud

Usa el comando network-attachments describe

gcloud compute network-attachments describe ATTACHMENT_NAME \
    --region=REGION

Reemplaza lo siguiente:

ATTACHMENT_NAME: Es el nombre del adjunto de red que deseas describir.
REGION: Es la región del adjunto de red

API

Para describir un adjunto de red y ver sus detalles, realiza una solicitud GET al método networkAttachments.get.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME

Reemplaza lo siguiente:

PROJECT_ID: el ID del proyecto.
REGION: Es la región del adjunto de red.
ATTACHMENT_NAME: Es el nombre del adjunto de red.

Actualiza los adjuntos de red

Puedes actualizar un adjunto de red si reemplazas su subred, descripción o, para los adjuntos de red que se crearon para aceptar conexiones de forma manual, las listas de aceptación o rechazo. Si necesitas actualizar otros campos, borra el adjunto de red y, luego, crea uno nuevo.

Si reemplazas la subred de un adjunto de red, las conexiones existentes no se verán afectadas. Las conexiones que se crean después de la actualización usan direcciones IP de la subred nueva.

Si reemplazas la lista de aceptación o rechazo de un adjunto de red, las conexiones existentes no se verán afectadas. Las conexiones que se crean después de la actualización se aceptan o rechazan de acuerdo con las listas actualizadas.

Para actualizar un adjunto de red, debes usar la consola de Google Cloud o enviar una solicitud a la API. No se admite la actualización de adjuntos de red mediante Google Cloud CLI.

Console

En la consola de Google Cloud, ve a Private Service Connect.

Ir a Private Service Connect
Haz clic en Archivos adjuntos de red.
Haz clic en el adjunto de red que deseas actualizar y, luego, en Editar.
Para reemplazar la subred del adjunto de red, haz clic en Subred y, luego, selecciona la subred nueva.
Para actualizar la lista de aceptación, haz lo siguiente:
1. Para agregar un proyecto a la lista de aceptación, haz clic en Agregar proyecto aceptado y, luego, ingresa el ID o el número del proyecto que aceptas.
2. Para quitar un proyecto de la lista de aceptación, mantén el puntero sobre el proyecto y, luego, haz clic en Borrar proyecto aceptado.
Para actualizar la lista de rechazo, haz lo siguiente:
1. Para agregar un proyecto a la lista de rechazo, haz clic en Agregar proyecto rechazado y, luego, ingresa el ID o el número del proyecto que deseas rechazar.
2. Para quitar un proyecto de la lista de rechazo, mantén el puntero sobre el proyecto y haz clic en Borrar proyecto rechazado.
Haz clic en Actualizar adjunto de red.

API

Envía una solicitud a la API para describir el adjunto de red que quieres actualizar.
Ten en cuenta el valor del campo fingerprint del adjunto de red.
Realiza una solicitud PATCH al método networkAttachments.patch. Omite cualquier campo del cuerpo de la solicitud que no desees reemplazar, excepto fingerprint.
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME
{
  "fingerprint": "FINGERPRINT",
  "producerAcceptLists": [
    "ACCEPTED_PROJECT_LIST"
  ],
  "producerRejectLists": [
    "REJECTED_PROJECT_LIST"
  ],
  "subnetworks": [
    "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
  ],
  "description": "DESCRIPTION"
}
```
Reemplaza lo siguiente:
- PROJECT_ID: el ID del proyecto.
- REGION: Es la región del adjunto de red.
- ATTACHMENT_NAME: Es el nombre del adjunto de red.
- FINGERPRINT: el valor del campo de huella digital que encontraste en el paso 2.
- ACCEPTED_PROJECT_LIST: los IDs de los proyectos que se pueden conectar a este adjunto de red. Puedes incluir varios IDs con el siguiente formato: "id-one", "id-two". Las actualizaciones de esta lista reemplazan cualquier lista de proyectos aceptados anterior.
- REJECTED_PROJECT_LIST: Son los IDs de los proyectos que no se pueden conectar a este adjunto de red. Puedes incluir varios IDs con el siguiente formato: "id-one", "id-two". Las actualizaciones de esta lista reemplazan cualquier lista anterior de proyectos rechazados.
- SUBNET_NAME: es el nombre de la subred nueva que se asociará al adjunto de red.
- DESCRIPTION: una descripción actualizada para el adjunto de red.

Borrar adjuntos de red

Puedes borrar un adjunto de red si no tiene conexiones. Si deseas borrar un adjunto de red que tiene conexiones, el productor primero debe borrar la interfaz de Private Service Connect asociada.

Si borras un adjunto de red y, luego, creas uno nuevo con el mismo nombre, Google Cloud trata los adjuntos de red como dos recursos separados.

Console

En la consola de Google Cloud, ve a Private Service Connect.

Ir a Private Service Connect
Haz clic en Archivos adjuntos de red.
Selecciona un adjunto de red y, luego, haz clic en Borrar.
Haga clic en Borrar nuevamente para confirmar.

gcloud

Usa el comando network-attachments delete.

gcloud compute network-attachments delete ATTACHMENT_NAME \
    --region=REGION

Reemplaza lo siguiente:

ATTACHMENT_NAME: Es el nombre del adjunto de red que deseas describir.
REGION: Es la región del adjunto de red

API

Realiza una solicitud DELETE al método networkAttachments.delete.

DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME

Reemplaza lo siguiente:

PROJECT_ID: el ID del proyecto.
REGION: Es la región del adjunto de red.
ATTACHMENT_NAME: Es el nombre del adjunto de red.

Próximos pasos

Configura la seguridad para una red que tenga un adjunto de red.
Administra la superposición de destino en una red que tenga una conexión de interfaz de Private Service Connect.