Creare e gestire collegamenti di rete
Questa pagina descrive come gli amministratori di rete consumer possono creare e gestire Collegamenti di rete Private Service Connect. I collegamenti di rete consentono alle reti VPC dei producer di servizi di avviare connessioni alle reti VPC consumer.
Prima di iniziare
- Devi abilitare l'API Compute Engine nel tuo progetto.
- Se vuoi specificare manualmente i progetti che possono connettersi a un collegamento di rete, devi conoscere i relativi ID.
Ruoli
Per ottenere le autorizzazioni necessarie per creare, visualizzare ed eliminare gli allegati di rete,
chiedi all'amministratore di concederti il ruolo IAM Amministratore rete Compute (roles/compute.networkAdmin
) nel progetto.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Crea una subnet
Quando crei un allegato di rete, devi assegnare una singola subnet normale. Questa subnet deve trovarsi nella stessa regione del collegamento di rete. Una subnet può essere condivisa tra più istanze di rete. La subnet può essere solo IPv4 o a doppio stack. Le subnet a doppio stack devono utilizzare intervalli IPv6 interni.
Per ulteriori informazioni sulla creazione di subnet, consulta Creare e gestire le reti VPC.
Crea collegamenti di rete
I collegamenti di rete sono risorse di regione che rappresentano il lato consumer Un'interfaccia Private Service Connect connessione. Per creare correttamente un'istanza di una macchina virtuale (VM), un collegamento di rete deve trovarsi nella stessa regione della VM dell'interfaccia Private Service Connect associata.
Il collegamento di rete criterio di connessione determina se un collegamento di rete può accettare una connessione da un Interfaccia di Private Service Connect.
Puoi aggiornare la sottorete, l'elenco di accettazione, l'elenco di rifiuto e la descrizione di un attacco alla rete.
Creare un collegamento di rete che accetta manualmente le connessioni
Puoi creare un collegamento di rete che accetti manualmente le connessioni. Prima di creare un allegato di questo tipo, assicurati di conoscere gli ID dei progetti che vuoi accettare.
Console
Nella console Google Cloud, vai a Private Service Connect.
Fai clic su Collegamenti di rete.
Fai clic su Crea collegamento di rete.
Inserisci un nome.
Seleziona una Rete.
Seleziona una Regione.
Seleziona una Subnet.
Fai clic su Accetta connessioni per i progetti selezionati.
Fai clic su Aggiungi progetto accettato e poi inserisci l'ID di ogni progetto da cui vuoi accettare le connessioni.
(Facoltativo) Fai clic su Aggiungi progetto rifiutato, quindi inserisci l'ID di ogni progetto da cui vuoi negare esplicitamente le connessioni.
Fai clic su Crea collegamento di rete.
gcloud
Utilizza il
comando network-attachments create
.
gcloud compute network-attachments create ATTACHMENT_NAME \ --region=REGION \ --connection-preference=ACCEPT_MANUAL \ --producer-accept-list=ACCEPTED_PROJECTS \ --producer-reject-list=REJECTED_PROJECTS \ --subnets=SUBNET_NAME
Sostituisci quanto segue:
ATTACHMENT_NAME
: il nome della rete allegato.REGION
: la regione del collegamento di rete.ACCEPTED_PROJECTS
: gli ID dei progetti che possono collegarsi a questo collegamento di rete. Puoi includere più valori in un elenco separato da virgole.REJECTED_PROJECTS
: ID dei progetti che impossibile connettersi a questo collegamento di rete. Puoi includere più valori in un elenco separato da virgole.SUBNET_NAME
: il nome della subnet da associare con questo collegamento di rete.
API
Invia una richiesta POST
a
Metodo networkAttachments.insert
.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments { "connectionPreference": "ACCEPT_MANUAL", "name": "ATTACHMENT_NAME", "producerAcceptLists": [ "ACCEPTED_PROJECT_LIST" ], "producerRejectLists": [ "REJECTED_PROJECT_LIST" ], "subnetworks": [ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME" ] }
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto in cui creare il collegamento alla rete.REGION
: la regione del collegamento di reteATTACHMENT_NAME
: il nome dell'attacco alla reteACCEPTED_PROJECT_LIST
: ID dei progetti che possono connettersi a questo collegamento di rete. Puoi includere più ID in il seguente modulo:"id-one", "id-two"
.REJECTED_PROJECT_LIST
: ID dei progetti che impossibile connettersi a questo collegamento di rete. Puoi includere più ID in il seguente modulo:"id-one", "id-two"
.SUBNET_NAME
: il nome della subnet da associare all'attacco alla rete.
Creare un collegamento di rete che accetti automaticamente le connessioni
Puoi creare un collegamento di rete che accetta automaticamente le connessioni da qualsiasi interfaccia di Private Service Connect che fa riferimento alla rete allegato.
Console
Nella console Google Cloud, vai a Private Service Connect.
Fai clic su Collegamenti di rete.
Fai clic su Crea collegamento di rete.
Inserisci un nome.
Seleziona una Rete.
Seleziona una Regione.
Seleziona una Subnet.
Fai clic su Accetta automaticamente le connessioni per tutti i progetti.
Fai clic su Crea collegamento di rete.
gcloud
Utilizza la
Comando network-attachments create
.
gcloud compute network-attachments create ATTACHMENT_NAME \ --region=REGION \ --connection-preference=ACCEPT_AUTOMATIC \ --subnets=SUBNET_NAME
Sostituisci quanto segue:
ATTACHMENT_NAME
: il nome della rete allegato.REGION
: la regione del collegamento di rete.SUBNET_NAME
: il nome della subnet da associare a questo collegamento di rete.
API
Invia una richiesta POST
al
metodo networkAttachments.insert
.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments { "connectionPreference": "ACCEPT_AUTOMATIC", "name": "ATTACHMENT_NAME", "subnetworks": [ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME" ] }
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto in cui creare il collegamento alla rete.REGION
: la regione del collegamento di reteATTACHMENT_NAME
: il nome della rete allegatoSUBNET_NAME
: il nome della subnet da associare all'attacco alla rete.
Elenca i collegamenti di rete
Console
Nella console Google Cloud, vai a Private Service Connect.
Fai clic su Esecuzioni di rete.
gcloud
Per elencare tutti i collegamenti di rete in un progetto, utilizza Comando
network-attachments list
.gcloud compute network-attachments list
Per elencare i collegamenti di rete in una o più regioni specifiche, utilizza Comando
network-attachments list
e specifica le regioni.gcloud compute network-attachments list --regions=REGIONS
Sostituisci
REGIONS
con la regione o le regioni in cui elencare gli attacchi alla rete. Puoi includere più regioni in un elenco separato da virgole.
API
Per elencare gli allegati di rete in una determinata regione, effettua una richiesta GET
al
metodo networkAttachments.list
.
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto.REGION
: la regione del collegamento di rete.
Descrivi i collegamenti di rete
Puoi descrivere un collegamento di rete per visualizzarne i dettagli, tra cui associate all'interfaccia di Private Service Connect. Per ogni connessione, puoi vedere Private Service Connect all'indirizzo IP assegnato all'interfaccia.
Console
Nella console Google Cloud, vai a Private Service Connect.
Fai clic su Esecuzioni di rete.
Seleziona un collegamento di rete per visualizzare i relativi dettagli e un elenco di in modo programmatico a gestire i progetti.
Per visualizzare la singola interfaccia di Private Service Connect connessioni per un progetto, fai clic sul nome del progetto.
Lo stato di connessione di un progetto non determina necessariamente lo stato delle connessioni dell'interfaccia Private Service Connect da quel progetto. Ad esempio, se aggiungi un progetto all'elenco dei progetti rifiutati, dopo che hai accettato una connessione da tale progetto, lo stato del progetto viene rifiutato, ma la connessione esistente rimangono aperti. Le nuove connessioni da quel progetto vengono rifiutate.
gcloud
Utilizza la
Comando network-attachments describe
.
gcloud compute network-attachments describe ATTACHMENT_NAME \ --region=REGION
Sostituisci quanto segue:
ATTACHMENT_NAME
: il nome della rete allegato da descrivere.REGION
: la regione del collegamento di rete
API
Per descrivere un allegato di rete e visualizzarne i dettagli, effettua una GET
richiesta al
metodo networkAttachments.get
.
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto.REGION
: la regione del collegamento di rete.ATTACHMENT_NAME
: il nome del collegamento alla rete.
Aggiornare i collegamenti di rete
Puoi aggiornare un collegamento di rete sostituendo la subnet, la descrizione o—per i collegamenti di rete creati per accettare manualmente connessioni: gli elenchi di accettazione o rifiuto. Se devi aggiornare altri campi, elimina l'attacco alla rete e creane uno nuovo.
Se sostituisci la subnet di un collegamento di rete, le connessioni esistenti non sono interessate. Le connessioni create dopo l'aggiornamento utilizzano gli indirizzi IP della nuova subnet.
Se sostituisci l'elenco di accettazione o rifiuto di un collegamento di rete, e le connessioni non sono interessate. Connessioni create dopo l'aggiornamento vengono accettati o rifiutati in base agli elenchi aggiornati.
Console
Nella console Google Cloud, vai a Private Service Connect.
Fai clic su Collegamenti di rete.
Fai clic sull'attacco di rete da aggiornare e poi su Modifica.
Per sostituire la sottorete dell'attacco alla rete, fai clic su Subnet, quindi seleziona la nuova sottorete.
Per aggiornare l'elenco di accettazione, procedi nel seguente modo:
- Per aggiungere un progetto all'elenco di quelli accettati, fai clic su Aggiungi progetto accettato e poi inserisci l'ID o il numero del progetto da accettare.
- Per rimuovere un progetto dall'elenco di accettazione, tieni il puntatore sopra la progetto e fai clic su Elimina il progetto accettato.
Per aggiornare l'elenco di elementi rifiutati, procedi nel seguente modo:
- Per aggiungere un progetto all'elenco dei progetti rifiutati, fai clic su Aggiungi progetto rifiutato e poi inserisci l'ID progetto o il numero del progetto da rifiutare.
- Per rimuovere un progetto dall'elenco dei progetti rifiutati, tieni premuto il cursore sul progetto, quindi fai clic su Elimina progetto rifiutato.
Fai clic su Aggiorna collegamento di rete.
gcloud
Utilizza il
comando network-attachments update
.
Puoi aggiornare uno o più
tra i campi elencati qui, ad eccezione di regione, che viene utilizzato per identificare il
collegamento di rete. Se aggiorni una rete
elenchi di accettazione o rifiuto di un allegato, devi sostituire l'intero elenco in
un aggiornamento.
gcloud compute network-attachments update ATTACHMENT_NAME \ --region=REGION \ --subnets=SUBNET \ --producer-accept-list=ACCEPTED_PROJECTS \ --producer-reject-list=REJECTED_PROJECTS \ --description=DESCRIPTION
Sostituisci quanto segue:
ATTACHMENT_NAME
: il nome della rete allegato.REGION
: la regione del collegamento di rete. Questo flag viene utilizzato per identificare l'attacco alla rete. Non puoi aggiornare la regione di un collegamento di rete.SUBNET
: il nome della subnet da associare con questo collegamento di rete.ACCEPTED_PROJECTS
: gli ID dei progetti che possono collegarsi a questo collegamento di rete. Puoi includere più valori in un elenco separato da virgole. L'elenco specificato qui sostituisce l'elenco di accettazione esistente.REJECTED_PROJECTS
: ID dei progetti che non possono connettersi a questo collegamento di rete. Puoi includere più valori in un elenco separato da virgole. L'elenco specificato qui sostituisce l'elenco di rifiuto esistente.DESCRIPTION
: una descrizione del collegamento alla rete.
API
- Invia una richiesta API per descrivere il collegamento di rete che vuoi aggiornare.
- Prendi nota del valore del campo
fingerprint
dell'attacco alla rete. Invia una richiesta
PATCH
a MetodonetworkAttachments.patch
. Ometti dal corpo della richiesta tutti i campi che non vuoi escludere. sostituisci, trannefingerprint
.PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME { "fingerprint": "FINGERPRINT", "producerAcceptLists": [ "ACCEPTED_PROJECT_LIST" ], "producerRejectLists": [ "REJECTED_PROJECT_LIST" ], "subnetworks": [ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME" ], "description": "DESCRIPTION" }
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto.REGION
: la regione del collegamento di rete.ATTACHMENT_NAME
: il nome della rete allegato.FINGERPRINT
: il valore per il campo fingerprinting trovato nel passaggio 2.ACCEPTED_PROJECT_LIST
: ID dei progetti che possono connettersi a questo collegamento di rete. Puoi includere più ID nel seguente formato:"id-one", "id-two"
. Aggiornamenti a questo elenco per sostituire un elenco di progetti accettati in precedenza.REJECTED_PROJECT_LIST
: ID dei progetti che non possono connettersi a questo collegamento di rete. Puoi includere più ID nel seguente formato:"id-one", "id-two"
. Gli aggiornamenti di questo elenco sostituiscono eventuali elenchi di progetti rifiutati precedenti.SUBNET_NAME
: il nome della nuova subnet da associare al collegamento di rete.DESCRIPTION
: una descrizione aggiornata per il collegamento alla rete.
Elimina collegamenti di rete
Puoi eliminare un collegamento di rete se non ha connessioni. Se Se vuoi eliminare un collegamento di rete con connessioni, il producer deve elimina prima l'interfaccia di Private Service Connect associata.
Se elimini un allegato di rete e ne crei uno nuovo con lo stesso nome, Google Cloud tratta gli allegati di rete come due risorse distinte.
Console
Nella console Google Cloud, vai a Private Service Connect.
Fai clic su Collegamenti di rete.
Seleziona un collegamento di rete e fai clic su Elimina.
Fai di nuovo clic su Elimina per confermare.
gcloud
Utilizza il comando network-attachments delete
.
gcloud compute network-attachments delete ATTACHMENT_NAME \ --region=REGION
Sostituisci quanto segue:
ATTACHMENT_NAME
: il nome della rete allegato da descrivere.REGION
: la regione del collegamento di rete
API
Invia una richiesta DELETE
al
metodo networkAttachments.delete
.
DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto.REGION
: la regione del collegamento di rete.ATTACHMENT_NAME
: il nome del collegamento alla rete.
Passaggi successivi
- Configura la sicurezza per una rete con un collegamento di rete.
- Gestisci l'interferenza delle destinazioni in una rete con una connessione dell'interfaccia Private Service Connect.