Netzwerkanhänge erstellen und verwalten
Auf dieser Seite wird beschrieben, wie Administratoren von Nutzernetzwerken Private Service Connect-Netzwerkanhänge erstellen und verwalten. Mit Netzwerkanhängen können VPC-Netzwerke von Diensterstellern Verbindungen zu Nutzer-VPC-Netzwerken initiieren.
Vorbereitung
- Sie müssen in Ihrem Projekt die Compute Engine API aktivieren.
- Wenn Sie manuell angeben möchten, welche Projekte eine Verbindung zu einem Netzwerkanhang herstellen können, müssen Sie die IDs der Projekte kennen.
Rollen
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Compute-Netzwerkadministrator (roles/compute.networkAdmin
) für Ihr Projekt zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Erstellen, Aufrufen und Löschen von Netzwerkanhängen benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Subnetz erstellen
Wenn Sie einen Netzwerkanhang erstellen, weisen Sie ihm ein einzelnes reguläres Subnetz zu. Dieses Subnetz muss sich in derselben Region wie der Netzwerkanhang befinden. Ein Subnetz kann für mehrere Netzwerkanhänge freigegeben werden.
Wenn ein Netzwerkanhang eine Verbindung von einer Private Service Connect-Schnittstelle akzeptiert, weist Google Cloud der Schnittstelle eine IP-Adresse aus dem primären IP-Adressbereich des Subnetzes zu. Wenn das Subnetz Dual Stack ist, können Ersteller beim Erstellen angeben, ob Google Cloud einer zugehörigen Private Service Connect-Schnittstelle nur eine IPv4-Adresse oder sowohl eine IPv4- als auch eine IPv6-Adresse zuweist.
Weitere Informationen zum Erstellen von Subnetzen finden Sie unter VPC-Netzwerke erstellen und verwalten.
Netzwerkanhänge erstellen
Netzwerkanhänge sind regionale Ressourcen, die die Nutzerseite der Verbindung einer Private Service Connect-Schnittstelle darstellen. Damit eine VM-Instanz erfolgreich erstellt werden kann, muss sich ein Netzwerkanhang in derselben Region wie die VM der zugehörigen Private Service Connect-Schnittstelle befinden.
Die Verbindungsrichtlinie des Netzwerkanhangs bestimmt, ob ein Netzwerkanhang eine Verbindung von einer Private Service Connect-Schnittstelle akzeptieren kann.
Sie können das Subnetz, die Annahmeliste, die Ablehnungsliste und die Beschreibung eines Netzwerkanhangs aktualisieren.
Netzwerkanhang erstellen, der Verbindungen manuell akzeptiert
Sie können einen Netzwerkanhang erstellen, der Verbindungen manuell akzeptiert. Bevor Sie einen Anhang dieses Typs erstellen, sollten Sie die IDs der Projekte kennen, die Sie akzeptieren möchten.
Console
Wechseln Sie in der Google Cloud Console zu Private Service Connect.
Klicken Sie auf Netzwerkanhänge.
Klicken Sie auf Netzwerkanhang erstellen.
Geben Sie einen Namen ein.
Wählen Sie ein Netzwerk.
Wählen Sie eine Region aus.
Wählen Sie ein Subnetzwerk.
Klicken Sie auf Verbindungen für ausgewählte Projekte akzeptieren.
Klicken Sie auf Angenommenes Projekt hinzufügen und geben Sie dann die ID der einzelnen Projekte ein, von denen Sie Verbindungen akzeptieren möchten.
Optional: Klicken Sie auf Abgelehntes Projekt hinzufügen und geben Sie dann die ID der Projekte ein, von denen Sie Verbindungen explizit ablehnen möchten.
Klicken Sie auf Netzwerkanhang erstellen.
gcloud
Führen Sie den Befehl network-attachments create
aus.
gcloud compute network-attachments create ATTACHMENT_NAME \ --region=REGION \ --connection-preference=ACCEPT_MANUAL \ --producer-accept-list=ACCEPTED_PROJECTS \ --producer-reject-list=REJECTED_PROJECTS \ --subnets=SUBNET_NAME
Ersetzen Sie dabei Folgendes:
ATTACHMENT_NAME
ist der Name des Netzwerkanhangs.REGION
ist die Region des Netzwerkanhangs.ACCEPTED_PROJECTS
sind die IDs der Projekte, die eine Verbindung zu diesem Netzwerkanhang herstellen können. Sie können mehrere Werte in einer kommagetrennten Liste angeben.REJECTED_PROJECTS
sind die IDs der Projekte, die keine Verbindung zu diesem Netzwerkanhang herstellen können. Sie können mehrere Werte in einer kommagetrennten Liste angeben.SUBNET_NAME
ist der Name des Subnetzes, das diesem Netzwerkanhang zugeordnet werden soll.
API
Stellen Sie eine POST
-Anfrage an die Methode networkAttachments.insert
.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments { "connectionPreference": "ACCEPT_MANUAL", "name": "ATTACHMENT_NAME", "producerAcceptLists": [ "ACCEPTED_PROJECT_LIST" ], "producerRejectLists": [ "REJECTED_PROJECT_LIST" ], "subnetworks": [ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME" ] }
Ersetzen Sie dabei Folgendes:
PROJECT_ID
ist die ID des Projekts, in dem der Netzwerkanhang erstellt werden soll.REGION
ist die Region des NetzwerkanhangsATTACHMENT_NAME
ist der Name des NetzwerkanhangsACCEPTED_PROJECT_LIST
sind die IDs der Projekte, die eine Verbindung zu diesem Netzwerkanhang herstellen können. Sie können mehrere IDs im folgenden Format angeben:"id-one", "id-two"
.REJECTED_PROJECT_LIST
sind die IDs der Projekte, die keine Verbindung zu diesem Netzwerkanhang herstellen können. Sie können mehrere IDs im folgenden Format angeben:"id-one", "id-two"
.SUBNET_NAME
ist der Name des Subnetzes, das dem Netzwerkanhang zugeordnet werden soll.
Netzwerkanhang erstellen, der Verbindungen automatisch akzeptiert
Sie können einen Netzwerkanhang erstellen, der automatisch Verbindungen von jeder Private Service Connect-Schnittstelle akzeptiert, die auf den Netzwerkanhang verweist.
Console
Wechseln Sie in der Google Cloud Console zu Private Service Connect.
Klicken Sie auf Netzwerkanhänge.
Klicken Sie auf Netzwerkanhang erstellen.
Geben Sie einen Namen ein.
Wählen Sie ein Netzwerk.
Wählen Sie eine Region aus.
Wählen Sie ein Subnetzwerk.
Klicken Sie auf Verbindungen für alle Projekte automatisch akzeptieren.
Klicken Sie auf Netzwerkanhang erstellen.
gcloud
Führen Sie den Befehl network-attachments create
aus.
gcloud compute network-attachments create ATTACHMENT_NAME \ --region=REGION \ --connection-preference=ACCEPT_AUTOMATIC \ --subnets=SUBNET_NAME
Ersetzen Sie dabei Folgendes:
ATTACHMENT_NAME
ist der Name des Netzwerkanhangs.REGION
ist die Region des Netzwerkanhangs.SUBNET_NAME
ist der Name des Subnetzes, das diesem Netzwerkanhang zugeordnet werden soll.
API
Stellen Sie eine POST
-Anfrage an die Methode networkAttachments.insert
.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments { "connectionPreference": "ACCEPT_AUTOMATIC", "name": "ATTACHMENT_NAME", "subnetworks": [ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME" ] }
Ersetzen Sie dabei Folgendes:
PROJECT_ID
ist die ID des Projekts, in dem der Netzwerkanhang erstellt werden soll.REGION
ist die Region des NetzwerkanhangsATTACHMENT_NAME
ist der Name des NetzwerkanhangsSUBNET_NAME
ist der Name des Subnetzes, das dem Netzwerkanhang zugeordnet werden soll.
Netzwerkanhänge auflisten
Console
Wechseln Sie in der Google Cloud Console zu Private Service Connect.
Klicken Sie auf Netzwerkanhänge.
gcloud
Verwenden Sie den Befehl
network-attachments list
, um alle Netzwerkanhänge in einem Projekt aufzulisten.gcloud compute network-attachments list
Verwenden Sie den Befehl
network-attachments list
und geben Sie die Regionen an, um Netzwerkanhänge in einer bestimmten Region oder bestimmten Regionen aufzulisten.gcloud compute network-attachments list --regions=REGIONS
Ersetzen Sie
REGIONS
durch die Region oder die Regionen, für die Netzwerkanhänge aufgelistet werden sollen. Sie können mehrere Regionen in einer durch Kommas getrennten Liste angeben.
API
Senden Sie eine GET
-Anfrage an die Methode networkAttachments.list
, um Netzwerkanhänge in einer bestimmten Region aufzulisten.
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments
Ersetzen Sie dabei Folgendes:
PROJECT_ID
ist die ID des Projekts.REGION
ist die Region des Netzwerkanhangs.
Netzwerkanhänge beschreiben
Sie können einen Netzwerkanhang beschreiben, um dessen Details aufzurufen, einschließlich der zugehörigen Verbindungen zu Private Service Connect-Schnittstellen. Pro Verbindung sehen Sie die der Private Service Connect-Schnittstelle zugewiesene IP-Adresse.
Console
Wechseln Sie in der Google Cloud Console zu Private Service Connect.
Klicken Sie auf Netzwerkanhänge.
Wählen Sie einen Netzwerkanhang aus, um dessen Details und eine Liste der verbundenen Projekte anzusehen.
Klicken Sie auf den Namen des Projekts, um einzelne Private Service Connect-Schnittstellenverbindungen für ein Projekt aufzurufen.
Der Verbindungsstatus eines Projekts bestimmt nicht unbedingt den Status der Private Service Connect-Schnittstellenverbindungen von diesem Projekt. Wenn Sie beispielsweise ein Projekt zur Ablehnungsliste hinzufügen, nachdem Sie eine Verbindung von diesem Projekt akzeptiert haben, wird der Projektstatus abgelehnt, aber die vorhandene Verbindung bleibt geöffnet. Neue Verbindungen von diesem Projekt werden abgelehnt.
gcloud
Führen Sie den Befehl network-attachments describe
aus.
gcloud compute network-attachments describe ATTACHMENT_NAME \ --region=REGION
Ersetzen Sie dabei Folgendes:
ATTACHMENT_NAME
ist der Name des zu beschreibenden Netzwerkanhangs.REGION
ist die Region des Netzwerkanhangs
API
Um einen Netzwerkanhang zu beschreiben und dessen Details aufzurufen, senden Sie eine GET
-Anfrage an die Methode networkAttachments.get
.
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME
Ersetzen Sie dabei Folgendes:
PROJECT_ID
ist die ID des Projekts.REGION
ist die Region des Netzwerkanhangs.ATTACHMENT_NAME
ist der Name des Netzwerkanhangs.
Netzwerkanhänge aktualisieren
Zum Aktualisieren eines Netzwerkanhangs können Sie dessen Subnetz, Beschreibung oder (im Fall von Netzwerkanhängen, die zum manuellen Akzeptieren von Verbindungen erstellt wurden) die Listen zum Zulassen oder Ablehnen ersetzen. Wenn Sie andere Felder aktualisieren möchten, löschen Sie den Netzwerkanhang und erstellen Sie einen neuen.
Wenn Sie das Subnetz eines Netzwerkanhangs ersetzen, sind bestehende Verbindungen nicht betroffen. Verbindungen, die nach der Aktualisierung erstellt werden, verwenden IP-Adressen aus dem neuen Subnetz.
Wenn Sie die Zulassungs- oder Ablehnungsliste eines Netzwerkanhangs ersetzen, sind vorhandene Verbindungen nicht betroffen. Nach einer Aktualisierung erstellte Verbindungen werden gemäß den aktualisierten Listen akzeptiert oder abgelehnt.
Console
Wechseln Sie in der Google Cloud Console zu Private Service Connect.
Klicken Sie auf Netzwerkanhänge.
Klicken Sie auf den Netzwerkanhang, den Sie aktualisieren möchten, und dann auf Bearbeiten.
Klicken Sie auf Subnetzwerk und wählen Sie das neue Subnetzwerk aus, um das Subnetzwerk des Netzwerkanhangs zu ersetzen.
So aktualisieren Sie die Annahmeliste:
- Klicken Sie auf Angenommenes Projekt hinzufügen und geben Sie die Projekt-ID oder Projektnummer des zu akzeptierenden Projekts ein, um ein Projekt zur Zulassungsliste hinzuzufügen.
- Wenn Sie ein Projekt aus der Zulassungsliste entfernen möchten, halten Sie den Mauszeiger über das Projekt und klicken dann auf Angenommenes Projekt löschen.
So aktualisieren Sie die Ablehnungsliste:
- Wenn Sie der Ablehnungsliste ein Projekt hinzufügen möchten, klicken Sie auf Abgelehntes Projekt hinzufügen und geben die Projekt-ID oder Projektnummer des abzulehnenden Projekts ein.
- Wenn Sie ein Projekt aus der Ablehnungsliste entfernen möchten, halten Sie den Mauszeiger über das Projekt und klicken dann auf Abgelehntes Projekt löschen.
Klicken Sie auf Netzwerkanhang aktualisieren.
gcloud
Führen Sie den Befehl network-attachments update
aus.
Sie können eines oder mehrere der hier aufgeführten Felder aktualisieren, mit Ausnahme der Region, die zum Identifizieren des Netzwerkanhangs verwendet wird. Wenn Sie die Annahme- oder Ablehnungsliste eines Netzwerkanhangs aktualisieren, müssen Sie die gesamte Liste in einer Aktualisierung ersetzen.
gcloud compute network-attachments update ATTACHMENT_NAME \ --region=REGION \ --subnets=SUBNET \ --producer-accept-list=ACCEPTED_PROJECTS \ --producer-reject-list=REJECTED_PROJECTS \ --description=DESCRIPTION
Ersetzen Sie dabei Folgendes:
ATTACHMENT_NAME
ist der Name des Netzwerkanhangs.REGION
ist die Region des Netzwerkanhangs. Dieses Flag wird zur Identifizierung des Netzwerkanhangs verwendet. Sie können die Region eines Netzwerkanhangs nicht aktualisieren.SUBNET
ist der Name des Subnetzes, das diesem Netzwerkanhang zugeordnet werden soll.ACCEPTED_PROJECTS
sind die IDs der Projekte, die eine Verbindung zu diesem Netzwerkanhang herstellen können. Sie können mehrere Werte in einer kommagetrennten Liste angeben. Die hier angegebene Liste ersetzt die vorhandene Annahmeliste.REJECTED_PROJECTS
sind die IDs der Projekte, die keine Verbindung zu diesem Netzwerkanhang herstellen können. Sie können mehrere Werte in einer kommagetrennten Liste angeben. Die hier angegebene Liste ersetzt die vorhandene Ablehnungsliste.DESCRIPTION
ist eine Beschreibung des Netzwerkanhangs.
API
- Senden Sie eine API-Anfrage, um den zu aktualisierenden Netzwerkanhang zu beschreiben.
- Notieren Sie sich den Wert für das Feld
fingerprint
des Netzwerkanhangs. Stellen Sie eine
PATCH
-Anfrage an die MethodenetworkAttachments.patch
. Lassen Sie alle Felder im Anfragetext weg, die Sie nicht ersetzen möchten, mit Ausnahme vonfingerprint
.PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME { "fingerprint": "FINGERPRINT", "producerAcceptLists": [ "ACCEPTED_PROJECT_LIST" ], "producerRejectLists": [ "REJECTED_PROJECT_LIST" ], "subnetworks": [ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME" ], "description": "DESCRIPTION" }
Ersetzen Sie dabei Folgendes:
PROJECT_ID
ist die ID des Projekts.REGION
ist die Region des Netzwerkanhangs.ATTACHMENT_NAME
ist der Name des Netzwerkanhangs.FINGERPRINT
ist der Wert für das Fingerabdruckfeld, das Sie in Schritt 2 gefunden haben.ACCEPTED_PROJECT_LIST
sind die IDs der Projekte, die eine Verbindung zu diesem Netzwerkanhang herstellen können. Sie können mehrere IDs im folgenden Format angeben:"id-one", "id-two"
. Durch Aktualisierungen an dieser Liste werden alle zuvor akzeptierten Projektlisten ersetzt.REJECTED_PROJECT_LIST
sind die IDs der Projekte, die keine Verbindung zu diesem Netzwerkanhang herstellen können. Sie können mehrere IDs im folgenden Format angeben:"id-one", "id-two"
. Durch Aktualisierungen dieser Liste werden alle vorherigen Listen abgelehnter Projekte ersetzt.SUBNET_NAME
ist der Name des neuen Subnetzes, das mit dem Netzwerkanhang verknüpft werden soll.DESCRIPTION
ist eine aktualisierte Beschreibung des Netzwerkanhangs.
Netzwerkanhänge löschen
Sie können Netzwerkanhänge löschen, wenn sie keine Verbindungen haben. Wenn Sie einen Netzwerkanhang mit Verbindungen löschen möchten, muss der Ersteller zuerst die zugehörige Private Service Connect-Schnittstelle löschen.
Wenn Sie einen Netzwerkanhang löschen und dann einen neuen mit demselben Namen erstellen, behandelt Google Cloud die Netzwerkanhänge als zwei separate Ressourcen.
Console
Wechseln Sie in der Google Cloud Console zu Private Service Connect.
Klicken Sie auf Netzwerkanhänge.
Wählen Sie einen Netzwerkanhang aus und klicken Sie auf Löschen.
Klicken Sie zum Bestätigen noch einmal auf Löschen.
gcloud
Führen Sie den Befehl network-attachments delete
aus.
gcloud compute network-attachments delete ATTACHMENT_NAME \ --region=REGION
Ersetzen Sie dabei Folgendes:
ATTACHMENT_NAME
ist der Name des zu beschreibenden Netzwerkanhangs.REGION
ist die Region des Netzwerkanhangs
API
Stellen Sie eine DELETE
-Anfrage an die Methode networkAttachments.delete
.
DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME
Ersetzen Sie dabei Folgendes:
PROJECT_ID
ist die ID des Projekts.REGION
ist die Region des Netzwerkanhangs.ATTACHMENT_NAME
ist der Name des Netzwerkanhangs.
Nächste Schritte
- Konfigurieren der Sicherheit für ein Netzwerk mit einem Netzwerkanhang.
- Verwalten Sie Zielüberschneidungen in einem Netzwerk mit einer Verbindung zur Private Service Connect-Schnittstelle.