Diese Seite wurde von der Cloud Translation API übersetzt.

Netzwerkanhänge erstellen und verwalten

Auf dieser Seite wird beschrieben, wie Administratoren von Nutzernetzwerken Private Service Connect-Netzwerkanhänge erstellen und verwalten. Mit Netzwerkanhängen können VPC-Netzwerke von Diensterstellern Verbindungen zu Nutzer-VPC-Netzwerken initiieren.

Vorbereitung

Sie müssen in Ihrem Projekt die Compute Engine API aktivieren.
Wenn Sie manuell angeben möchten, welche Projekte eine Verbindung zu einem Netzwerk-Anhang herstellen können, müssen Sie die IDs der Projekte kennen.

Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Compute-Netzwerkadministrator (roles/compute.networkAdmin) für Ihr Projekt zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Erstellen, Aufrufen und Löschen von Netzwerkanhängen benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Subnetz erstellen

Wenn Sie eine Netzwerkverbindung erstellen, weisen Sie ihr ein einzelnes reguläres Subnetz zu. Dieses Subnetz muss sich in derselben Region befinden wie der Netzwerkanhang. Ein Subnetz kann für mehrere Netzwerkanhänge freigegeben werden. Das Subnetz kann ein reines IPv4- oder ein Dual-Stack-Subnetz sein. Für Dual-Stack-Subnetze müssen interne IPv6-Bereiche verwendet werden.

Weitere Informationen zum Erstellen von Subnetzen finden Sie unter VPC-Netzwerke erstellen und verwalten.

Netzwerkanhänge erstellen

Netzwerkanhänge sind regionale Ressourcen, die die Nutzerseite der Verbindung einer Private Service Connect-Schnittstelle darstellen. Damit eine VM-Instanz erstellt werden kann, muss sich ein Netzwerkanhang in derselben Region wie die VM der zugehörigen Private Service Connect-Schnittstelle befinden.

Die Verbindungsrichtlinie des Netzwerkanhangs bestimmt, ob ein Netzwerkanhang eine Verbindung von einer Private Service Connect-Schnittstelle akzeptieren kann.

Sie können das Subnetz, die Zulassungsliste, die Ablehnungsliste und die Beschreibung eines Netzwerkanhangs aktualisieren.

Netzwerkanhang erstellen, der Verbindungen manuell akzeptiert

Sie können einen Netzwerkanhang erstellen, der Verbindungen manuell akzeptiert. Bevor Sie einen Anhang dieses Typs erstellen, müssen Sie die IDs der Projekte kennen, die Sie akzeptieren möchten.

Console

Wechseln Sie in der Google Cloud Console zu Private Service Connect.

Zu Private Service Connect
Klicken Sie auf Netzwerkanhänge.
Klicken Sie auf Netzwerkanhang erstellen.
Geben Sie einen Namen ein.
Wählen Sie ein Netzwerk.
Wählen Sie eine Region aus.
Wählen Sie ein Subnetzwerk.
Klicken Sie auf Verbindungen für ausgewählte Projekte akzeptieren.
Klicken Sie auf Angenommenes Projekt hinzufügen und geben Sie dann die ID der einzelnen Projekte ein, von denen Sie Verbindungen akzeptieren möchten.
Optional: Klicken Sie auf Abgelehntes Projekt hinzufügen und geben Sie dann die ID der Projekte ein, von denen Sie Verbindungen explizit ablehnen möchten.
Klicken Sie auf Netzwerkanhang erstellen.

gcloud

Führen Sie den Befehl network-attachments create aus.

gcloud compute network-attachments create ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_MANUAL \
    --producer-accept-list=ACCEPTED_PROJECTS \
    --producer-reject-list=REJECTED_PROJECTS \
    --subnets=SUBNET_NAME

Ersetzen Sie dabei Folgendes:

ATTACHMENT_NAME ist der Name des Netzwerkanhangs.
REGION ist die Region des Netzwerkanhangs.
ACCEPTED_PROJECTS sind die IDs der Projekte, die eine Verbindung zu diesem Netzwerkanhang herstellen können. Sie können mehrere Werte in einer kommagetrennten Liste angeben.
REJECTED_PROJECTS sind die IDs der Projekte, die keine Verbindung zu diesem Netzwerkanhang herstellen können. Sie können mehrere Werte in einer kommagetrennten Liste angeben.
SUBNET_NAME ist der Name des Subnetzes, das diesem Netzwerkanhang zugeordnet werden soll.

API

Stellen Sie eine POST-Anfrage an die Methode networkAttachments.insert.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments
{
  "connectionPreference": "ACCEPT_MANUAL",
  "name": "ATTACHMENT_NAME",
  "producerAcceptLists": [
    "ACCEPTED_PROJECT_LIST"
  ],
  "producerRejectLists": [
    "REJECTED_PROJECT_LIST"
  ],
  "subnetworks": [
    "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
  ]
}

Ersetzen Sie dabei Folgendes:

PROJECT_ID: die ID des Projekts, in dem die Netzwerkverbindung erstellt werden soll.
REGION ist die Region des Netzwerkanhangs
ATTACHMENT_NAME ist der Name des Netzwerkanhangs
ACCEPTED_PROJECT_LIST sind die IDs der Projekte, die eine Verbindung zu diesem Netzwerkanhang herstellen können. Sie können mehrere IDs im folgenden Format angeben: "id-one", "id-two".
REJECTED_PROJECT_LIST sind die IDs der Projekte, die keine Verbindung zu diesem Netzwerkanhang herstellen können. Sie können mehrere IDs im folgenden Format angeben: "id-one", "id-two".
SUBNET_NAME ist der Name des Subnetzes, das dem Netzwerkanhang zugeordnet werden soll.

Netzwerkanhang erstellen, der Verbindungen automatisch akzeptiert

Sie können einen Netzwerkanhang erstellen, der automatisch Verbindungen von jeder Private Service Connect-Schnittstelle akzeptiert, die auf den Netzwerkanhang verweist.

Console

Wechseln Sie in der Google Cloud Console zu Private Service Connect.

Zu Private Service Connect
Klicken Sie auf Netzwerkanhänge.
Klicken Sie auf Netzwerkanhang erstellen.
Geben Sie einen Namen ein.
Wählen Sie ein Netzwerk.
Wählen Sie eine Region aus.
Wählen Sie ein Subnetzwerk.
Klicken Sie auf Verbindungen für alle Projekte automatisch akzeptieren.
Klicken Sie auf Netzwerkanhang erstellen.

gcloud

Führen Sie den Befehl network-attachments create aus.

gcloud compute network-attachments create ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_AUTOMATIC \
    --subnets=SUBNET_NAME

Ersetzen Sie dabei Folgendes:

ATTACHMENT_NAME ist der Name des Netzwerkanhangs.
REGION ist die Region des Netzwerkanhangs.
SUBNET_NAME ist der Name des Subnetzes, das diesem Netzwerkanhang zugeordnet werden soll.

API

Stellen Sie eine POST-Anfrage an die Methode networkAttachments.insert.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments
{
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "name": "ATTACHMENT_NAME",
  "subnetworks": [
    "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
  ]
}

Ersetzen Sie dabei Folgendes:

PROJECT_ID: die ID des Projekts, in dem die Netzwerkverbindung erstellt werden soll.
REGION ist die Region des Netzwerkanhangs
ATTACHMENT_NAME ist der Name des Netzwerkanhangs
SUBNET_NAME ist der Name des Subnetzes, das dem Netzwerkanhang zugeordnet werden soll.

Netzwerkanhänge auflisten

Console

Wechseln Sie in der Google Cloud Console zu Private Service Connect.

Zu Private Service Connect
Klicken Sie auf Netzwerkanhänge.

gcloud

Verwenden Sie den Befehl network-attachments list, um alle Netzwerkanhänge in einem Projekt aufzulisten.
```
gcloud compute network-attachments list
```
Verwenden Sie den Befehl network-attachments list und geben Sie die Regionen an, um Netzwerkanhänge in einer bestimmten Region oder bestimmten Regionen aufzulisten.
```
gcloud compute network-attachments list
   --regions=REGIONS
```
Ersetzen Sie REGIONS durch die Region oder die Regionen, für die Netzwerkanhänge aufgelistet werden sollen. Sie können mehrere Regionen in einer durch Kommas getrennten Liste angeben.

API

Wenn Sie Netzwerkanhänge in einer bestimmten Region auflisten möchten, senden Sie eine GET-Anfrage an die Methode networkAttachments.list.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments

Ersetzen Sie dabei Folgendes:

PROJECT_ID ist die ID des Projekts.
REGION ist die Region des Netzwerkanhangs.

Netzwerkanhänge beschreiben

Sie können einen Netzwerkanhang beschreiben, um dessen Details aufzurufen, einschließlich der zugehörigen Verbindungen zu Private Service Connect-Schnittstellen. Pro Verbindung sehen Sie die der Private Service Connect-Schnittstelle zugewiesene IP-Adresse.

Console

Wechseln Sie in der Google Cloud Console zu Private Service Connect.

Zu Private Service Connect
Klicken Sie auf Netzwerkanhänge.
Wählen Sie einen Netzwerk-Anhang aus, um seine Details und eine Liste der verbundenen Projekte aufzurufen.
Wenn Sie sich die einzelnen Private Service Connect-Verbindungen für ein Projekt ansehen möchten, klicken Sie auf den Namen des Projekts.

Der Verbindungsstatus eines Projekts bestimmt nicht unbedingt den Status der Private Service Connect-Schnittstellenverbindungen von diesem Projekt. Wenn Sie beispielsweise ein Projekt auf die Ablehnungsliste setzen, nachdem Sie eine Verbindung von diesem Projekt akzeptiert haben, wird der Projektstatus auf „Abgelehnt“ gesetzt, die bestehende Verbindung bleibt jedoch offen. Neue Verbindungen aus diesem Projekt werden abgelehnt.

gcloud

Führen Sie den Befehl network-attachments describe aus.

gcloud compute network-attachments describe ATTACHMENT_NAME \
    --region=REGION

Ersetzen Sie dabei Folgendes:

ATTACHMENT_NAME ist der Name des zu beschreibenden Netzwerkanhangs.
REGION ist die Region des Netzwerkanhangs

API

Um einen Netzwerkanhang zu beschreiben und dessen Details aufzurufen, senden Sie eine GET-Anfrage an die Methode networkAttachments.get.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME

Ersetzen Sie dabei Folgendes:

PROJECT_ID ist die ID des Projekts.
REGION ist die Region des Netzwerkanhangs.
ATTACHMENT_NAME ist der Name des Netzwerkanhangs.

Netzwerkanhänge aktualisieren

Zum Aktualisieren eines Netzwerkanhangs können Sie dessen Subnetz, Beschreibung oder (im Fall von Netzwerkanhängen, die zum manuellen Akzeptieren von Verbindungen erstellt wurden) die Listen zum Zulassen oder Ablehnen ersetzen. Wenn Sie andere Felder aktualisieren möchten, löschen Sie den Netzwerk-Anhang und erstellen Sie einen neuen.

Wenn Sie das Subnetz eines Netzwerkanhangs ersetzen, sind vorhandene Verbindungen nicht betroffen. Nach der Aktualisierung erstellte Verbindungen verwenden IP-Adressen aus dem neuen Subnetz.

Wenn Sie die Annahme- oder Ablehnungsliste eines Netzwerkanhangs ersetzen, sind vorhandene Verbindungen nicht betroffen. Nach einer Aktualisierung erstellte Verbindungen werden gemäß den aktualisierten Listen akzeptiert oder abgelehnt.

Console

Wechseln Sie in der Google Cloud Console zu Private Service Connect.

Zu Private Service Connect
Klicken Sie auf Netzwerkanhänge.
Klicken Sie auf die Netzwerkanhänge, die Sie aktualisieren möchten, und dann auf Bearbeiten.
Wenn Sie das Subnetzwerk des Netzwerk-Anhangs ersetzen möchten, klicken Sie auf Subnetzwerk und wählen Sie dann das neue Subnetzwerk aus.
So aktualisieren Sie die Annahmeliste:
1. Wenn Sie der Zulassungsliste ein Projekt hinzufügen möchten, klicken Sie auf Angenommenes Projekt hinzufügen und geben Sie die Projekt-ID oder Projektnummer des Projekts ein, das Sie akzeptieren möchten.
2. Wenn Sie ein Projekt aus der Zulassungsliste entfernen möchten, halten Sie den Mauszeiger über das Projekt und klicken dann auf Angenommenes Projekt löschen.
So aktualisieren Sie die Ablehnungsliste:
1. Wenn Sie der Ablehnungsliste ein Projekt hinzufügen möchten, klicken Sie auf Abgelehntes Projekt hinzufügen und geben die Projekt-ID oder Projektnummer des abzulehnenden Projekts ein.
2. Wenn Sie ein Projekt aus der Ablehnungsliste entfernen möchten, halten Sie den Mauszeiger über das Projekt und klicken dann auf Abgelehntes Projekt löschen.
Klicken Sie auf Netzwerkanhänge aktualisieren.

gcloud

Führen Sie den Befehl network-attachments update aus. Sie können eines oder mehrere der hier aufgeführten Felder aktualisieren, mit Ausnahme von „Region“, mit dem die Netzwerkverbindung identifiziert wird. Wenn Sie die Annahme- oder Ablehnungsliste eines Netzwerkanhangs aktualisieren, müssen Sie die gesamte Liste in einer Aktualisierung ersetzen.

gcloud compute network-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --subnets=SUBNET \
    --producer-accept-list=ACCEPTED_PROJECTS \
    --producer-reject-list=REJECTED_PROJECTS \
    --description=DESCRIPTION

Ersetzen Sie dabei Folgendes:

ATTACHMENT_NAME ist der Name des Netzwerkanhangs.
REGION ist die Region des Netzwerkanhangs. Mit diesem Flag wird der Netzwerkanhang identifiziert. Die Region eines Netzwerkanhangs kann nicht aktualisiert werden.
SUBNET ist der Name des Subnetzes, das diesem Netzwerkanhang zugeordnet werden soll.
ACCEPTED_PROJECTS sind die IDs der Projekte, die eine Verbindung zu diesem Netzwerkanhang herstellen können. Sie können mehrere Werte in einer kommagetrennten Liste angeben. Die hier angegebene Liste ersetzt die vorhandene Zulassungsliste.
REJECTED_PROJECTS sind die IDs der Projekte, die keine Verbindung zu diesem Netzwerkanhang herstellen können. Sie können mehrere Werte in einer kommagetrennten Liste angeben. Die hier angegebene Liste ersetzt die vorhandene Ablehnungsliste.
DESCRIPTION: eine Beschreibung des Netzwerkanhangs.

API

Senden Sie eine API-Anfrage, um den zu aktualisierenden Netzwerkanhang zu beschreiben.
Notieren Sie sich den Wert für das Feld fingerprint des Netzwerkanhängsels.
Stellen Sie eine PATCH-Anfrage an die Methode networkAttachments.patch. Lassen Sie alle Felder aus dem Anfragetext weg, die Sie nicht ersetzen möchten, mit Ausnahme von fingerprint.
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME
{
  "fingerprint": "FINGERPRINT",
  "producerAcceptLists": [
    "ACCEPTED_PROJECT_LIST"
  ],
  "producerRejectLists": [
    "REJECTED_PROJECT_LIST"
  ],
  "subnetworks": [
    "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
  ],
  "description": "DESCRIPTION"
}
```
Ersetzen Sie dabei Folgendes:
- PROJECT_ID ist die ID des Projekts.
- REGION ist die Region des Netzwerkanhangs.
- ATTACHMENT_NAME ist der Name des Netzwerkanhangs.
- FINGERPRINT ist der Wert für das Fingerabdruckfeld, das Sie in Schritt 2 gefunden haben.
- ACCEPTED_PROJECT_LIST sind die IDs der Projekte, die eine Verbindung zu diesem Netzwerkanhang herstellen können. Sie können mehrere IDs im folgenden Format angeben: "id-one", "id-two". Durch Aktualisierungen an dieser Liste werden alle zuvor akzeptierten Projektlisten ersetzt.
- REJECTED_PROJECT_LIST sind die IDs der Projekte, die keine Verbindung zu diesem Netzwerkanhang herstellen können. Sie können mehrere IDs im folgenden Format angeben: "id-one", "id-two". Durch Aktualisierungen dieser Liste werden alle vorherigen Listen abgelehnter Projekte ersetzt.
- SUBNET_NAME: der Name des neuen Subnetzes, das dem Netzwerkanhang zugeordnet werden soll.
- DESCRIPTION ist eine aktualisierte Beschreibung des Netzwerkanhangs.

Netzwerkanhänge löschen

Sie können einen Netzwerkanhang löschen, wenn er keine Verbindungen hat. Wenn Sie einen Netzwerkanhang mit Verbindungen löschen möchten, muss der Ersteller zuerst die zugehörige Private Service Connect-Schnittstelle löschen.

Wenn Sie eine Netzwerkanwendung löschen und dann eine neue mit demselben Namen erstellen, werden die Netzwerkanwendungen in Google Cloud als zwei separate Ressourcen behandelt.

Console

Wechseln Sie in der Google Cloud Console zu Private Service Connect.

Zu Private Service Connect
Klicken Sie auf Netzwerkanhänge.
Wählen Sie eine Netzwerkverbindung aus und klicken Sie dann auf Löschen.
Klicken Sie zum Bestätigen noch einmal auf Löschen.

gcloud

Führen Sie den Befehl network-attachments delete aus.

gcloud compute network-attachments delete ATTACHMENT_NAME \
    --region=REGION

Ersetzen Sie dabei Folgendes:

ATTACHMENT_NAME ist der Name des zu beschreibenden Netzwerkanhangs.
REGION ist die Region des Netzwerkanhangs

API

Stellen Sie eine DELETE-Anfrage an die Methode networkAttachments.delete.

DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME

Ersetzen Sie dabei Folgendes:

PROJECT_ID ist die ID des Projekts.
REGION ist die Region des Netzwerkanhangs.
ATTACHMENT_NAME ist der Name des Netzwerkanhangs.

Nächste Schritte

Konfigurieren der Sicherheit für ein Netzwerk mit einem Netzwerkanhang.
Verwalten Sie Zielüberschneidungen in einem Netzwerk mit einer Verbindung zur Private Service Connect-Schnittstelle.