Netzwerkanhänge erstellen und verwalten

Auf dieser Seite wird beschrieben, wie Administratoren von Nutzernetzwerken Private Service Connect-Netzwerkanhänge erstellen und verwalten. Mit Netzwerkanhängen können Dienstersteller-VPC-Netzwerke Verbindungen zu Nutzer-VPC-Netzwerken initiieren.

Hinweis

  • Sie müssen in Ihrem Projekt die Compute Engine API aktivieren.
  • Wenn Sie manuell angeben möchten, welche Projekte eine Verbindung zu einem Netzwerkanhang herstellen können, müssen Sie die IDs der Projekte kennen.

Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Compute-Netzwerkadministrator (roles/compute.networkAdmin) für Ihr Projekt zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Erstellen, Aufrufen und Löschen von Netzwerkanhängen benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Subnetz erstellen

Wenn Sie einen Netzwerkanhang erstellen, weisen Sie ihm ein einzelnes reguläres Subnetz zu. Dieses Subnetz muss sich in derselben Region wie der Netzwerkanhang befinden. Ein Subnetz kann für mehrere Netzwerkanhänge freigegeben werden.

Wenn ein Netzwerkanhang eine Verbindung von einer Private Service Connect-Schnittstelle akzeptiert, weist Google Cloud der Schnittstelle eine IP-Adresse aus dem primären IP-Adressbereich des Subnetzes zu. Wenn das Subnetz Dual Stack ist, können Ersteller beim Erstellen angeben, ob Google Cloud einer zugehörigen Private Service Connect-Schnittstelle nur eine IPv4-Adresse oder sowohl eine IPv4- als auch eine IPv6-Adresse zuweist.

Weitere Informationen zum Erstellen von Subnetzen finden Sie unter VPC-Netzwerke erstellen und verwalten.

Netzwerkanhänge erstellen

Netzwerkanhänge sind regionale Ressourcen, die die Nutzerseite der Verbindung einer Private Service Connect-Schnittstelle darstellen. Damit eine VM-Instanz erfolgreich erstellt werden kann, muss sich ein Netzwerkanhang in derselben Region wie die VM der zugehörigen Private Service Connect-Schnittstelle befinden.

Die Verbindungsrichtlinie des Netzwerkanhangs bestimmt, ob ein Netzwerkanhang eine Verbindung von einer Private Service Connect-Schnittstelle akzeptieren kann.

Sie können das Subnetz, die Annahmeliste, die Ablehnungsliste und die Beschreibung eines Netzwerkanhangs aktualisieren.

Netzwerkanhang erstellen, der Verbindungen manuell akzeptiert

Sie können einen Netzwerkanhang erstellen, der Verbindungen manuell akzeptiert. Bevor Sie einen Anhang dieses Typs erstellen, sollten Sie die IDs der Projekte kennen, die Sie akzeptieren möchten.

Console

  1. Wechseln Sie in der Google Cloud Console zu Private Service Connect.

    Zu Private Service Connect

  2. Klicken Sie auf Netzwerkanhänge.

  3. Klicken Sie auf Netzwerkanhang erstellen.

  4. Geben Sie einen Namen ein.

  5. Wählen Sie ein Netzwerk.

  6. Wählen Sie eine Region aus.

  7. Wählen Sie ein Subnetzwerk.

  8. Klicken Sie auf Verbindungen für ausgewählte Projekte akzeptieren.

  9. Klicken Sie auf Angenommenes Projekt hinzufügen und geben Sie dann die ID der einzelnen Projekte ein, von denen Sie Verbindungen akzeptieren möchten.

  10. Optional: Klicken Sie auf Abgelehntes Projekt hinzufügen und geben Sie dann die ID der Projekte ein, von denen Sie Verbindungen explizit ablehnen möchten.

  11. Klicken Sie auf Netzwerkanhang erstellen.

gcloud

Führen Sie den Befehl network-attachments create aus.

gcloud compute network-attachments create ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_MANUAL \
    --producer-accept-list=ACCEPTED_PROJECTS \
    --producer-reject-list=REJECTED_PROJECTS \
    --subnets=SUBNET_NAME

Dabei gilt:

  • ATTACHMENT_NAME ist der Name des Netzwerkanhangs.
  • REGION ist die Region des Netzwerkanhangs.
  • ACCEPTED_PROJECTS sind die IDs der Projekte, die eine Verbindung zu diesem Netzwerkanhang herstellen können. Sie können mehrere Werte in einer durch Kommas getrennten Liste angeben.
  • REJECTED_PROJECTS sind die IDs der Projekte, die keine Verbindung zu diesem Netzwerkanhang herstellen können. Sie können mehrere Werte in einer durch Kommas getrennten Liste angeben.
  • SUBNET_NAME ist der Name des Subnetzes, das diesem Netzwerkanhang zugeordnet werden soll.

API

Stellen Sie eine POST-Anfrage an die Methode networkAttachments.insert.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments
{
  "connectionPreference": "ACCEPT_MANUAL",
  "name": "ATTACHMENT_NAME",
  "producerAcceptLists": [
    "ACCEPTED_PROJECT_LIST"
  ],
  "producerRejectLists": [
    "REJECTED_PROJECT_LIST"
  ],
  "subnetworks": [
    "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
  ]
}

Dabei gilt:

  • PROJECT_ID ist die ID des Projekts, in dem der Netzwerkanhang erstellt werden soll.
  • REGION ist die Region des Netzwerkanhangs
  • ATTACHMENT_NAME ist der Name des Netzwerkanhangs
  • ACCEPTED_PROJECT_LIST sind die IDs der Projekte, die eine Verbindung zu diesem Netzwerkanhang herstellen können. Sie können mehrere IDs im folgenden Format angeben: "id-one", "id-two".
  • REJECTED_PROJECT_LIST sind die IDs der Projekte, die keine Verbindung zu diesem Netzwerkanhang herstellen können. Sie können mehrere IDs im folgenden Format angeben: "id-one", "id-two".
  • SUBNET_NAME ist der Name des Subnetzes, das dem Netzwerkanhang zugeordnet werden soll.

Netzwerkanhang erstellen, der Verbindungen automatisch akzeptiert

Sie können einen Netzwerkanhang erstellen, der automatisch Verbindungen von jeder Private Service Connect-Schnittstelle akzeptiert, die auf den Netzwerkanhang verweist.

Console

  1. Wechseln Sie in der Google Cloud Console zu Private Service Connect.

    Zu Private Service Connect

  2. Klicken Sie auf Netzwerkanhänge.

  3. Klicken Sie auf Netzwerkanhang erstellen.

  4. Geben Sie einen Namen ein.

  5. Wählen Sie ein Netzwerk.

  6. Wählen Sie eine Region aus.

  7. Wählen Sie ein Subnetzwerk.

  8. Klicken Sie auf Verbindungen für alle Projekte automatisch akzeptieren.

  9. Klicken Sie auf Netzwerkanhang erstellen.

gcloud

Führen Sie den Befehl network-attachments create aus.

gcloud compute network-attachments create ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_AUTOMATIC \
    --subnets=SUBNET_NAME

Dabei gilt:

  • ATTACHMENT_NAME ist der Name des Netzwerkanhangs.
  • REGION ist die Region des Netzwerkanhangs.
  • SUBNET_NAME ist der Name des Subnetzes, das diesem Netzwerkanhang zugeordnet werden soll.

API

Stellen Sie eine POST-Anfrage an die Methode networkAttachments.insert.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments
{
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "name": "ATTACHMENT_NAME",
  "subnetworks": [
    "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
  ]
}

Dabei gilt:

  • PROJECT_ID ist die ID des Projekts, in dem der Netzwerkanhang erstellt werden soll.
  • REGION ist die Region des Netzwerkanhangs
  • ATTACHMENT_NAME ist der Name des Netzwerkanhangs
  • SUBNET_NAME ist der Name des Subnetzes, das dem Netzwerkanhang zugeordnet werden soll.

Netzwerkanhänge auflisten

Console

  1. Wechseln Sie in der Google Cloud Console zu Private Service Connect.

    Zu Private Service Connect

  2. Klicken Sie auf Netzwerkanhänge.

gcloud

  • Verwenden Sie den Befehl network-attachments list, um alle Netzwerkanhänge in einem Projekt aufzulisten.

    gcloud compute network-attachments list

  • Verwenden Sie den Befehl network-attachments list und geben Sie die Regionen an, um Netzwerkanhänge in einer oder mehreren bestimmten Regionen aufzulisten.

    gcloud compute network-attachments list
   --regions=REGIONS

    Ersetzen Sie REGIONS durch die Region oder die Regionen, in denen Netzwerkanhänge aufgelistet werden sollen. Sie können mehrere Regionen in einer durch Kommas getrennten Liste angeben.

API

Führen Sie eine GET-Anfrage an die Methode networkAttachments.list aus, um Netzwerkanhänge in einer bestimmten Region aufzulisten.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments

Dabei gilt:

  • PROJECT_ID ist die ID des Projekts.
  • REGION ist die Region des Netzwerkanhangs.

Netzwerkanhänge beschreiben

Sie können einen Netzwerkanhang beschreiben, um dessen Details aufzurufen, einschließlich der zugehörigen Verbindungen zu Private Service Connect-Schnittstellen. Pro Verbindung sehen Sie die zugewiesene IP-Adresse der Private Service Connect-Schnittstelle.

Console

  1. Wechseln Sie in der Google Cloud Console zu Private Service Connect.

    Zu Private Service Connect

  2. Klicken Sie auf Netzwerkanhänge.

  3. Wählen Sie einen Netzwerkanhang aus, um dessen Details und eine Liste der verbundenen Projekte anzusehen.

  4. Klicken Sie auf den Namen des Projekts, um einzelne Private Service Connect-Schnittstellenverbindungen für ein Projekt aufzurufen.

    Der Verbindungsstatus eines Projekts bestimmt nicht unbedingt den Status von Verbindungen zur Private Service Connect-Schnittstelle von diesem Projekt. Wenn Sie beispielsweise ein Projekt zur Ablehnungsliste hinzufügen, nachdem Sie eine Verbindung von diesem Projekt akzeptiert haben, wird der Projektstatus abgelehnt, aber die vorhandene Verbindung bleibt geöffnet. Neue Verbindungen von diesem Projekt werden abgelehnt.

gcloud

Führen Sie den Befehl network-attachments describe aus.

gcloud compute network-attachments describe ATTACHMENT_NAME \
    --region=REGION

Dabei gilt:

  • ATTACHMENT_NAME ist der Name des zu beschreibenden Netzwerkanhangs.
  • REGION ist die Region des Netzwerkanhangs

API

Um einen Netzwerkanhang zu beschreiben und dessen Details aufzurufen, senden Sie eine GET-Anfrage an die Methode networkAttachments.get.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME

Dabei gilt:

  • PROJECT_ID ist die ID des Projekts.
  • REGION ist die Region des Netzwerkanhangs.
  • ATTACHMENT_NAME ist der Name des Netzwerkanhangs.

Netzwerkanhänge aktualisieren

Zum Aktualisieren eines Netzwerkanhangs können Sie dessen Subnetz, Beschreibung oder (im Fall von Netzwerkanhängen, die zum manuellen Akzeptieren von Verbindungen erstellt wurden) die Listen zum Zulassen oder Ablehnen ersetzen. Wenn Sie andere Felder aktualisieren möchten, löschen Sie den Netzwerkanhang und erstellen Sie einen neuen.

Wenn Sie das Subnetz eines Netzwerkanhangs ersetzen, sind bestehende Verbindungen nicht betroffen. Verbindungen, die nach der Aktualisierung erstellt werden, verwenden IP-Adressen aus dem neuen Subnetz.

Wenn Sie die Zulassungs- oder Ablehnungsliste eines Netzwerkanhangs ersetzen, sind vorhandene Verbindungen nicht betroffen. Verbindungen, die nach der Aktualisierung erstellt werden, werden gemäß den aktualisierten Listen akzeptiert oder abgelehnt.

Zum Aktualisieren eines Netzwerkanhangs müssen Sie die Google Cloud Console verwenden oder eine API-Anfrage senden. Das Aktualisieren von Netzwerkanhängen mit der Google Cloud CLI wird nicht unterstützt.

Console

  1. Wechseln Sie in der Google Cloud Console zu Private Service Connect.

    Zu Private Service Connect

  2. Klicken Sie auf Netzwerkanhänge.

  3. Klicken Sie auf den Netzwerkanhang, den Sie aktualisieren möchten, und dann auf Bearbeiten.

  4. Klicken Sie auf Subnetzwerk und wählen Sie das neue Subnetzwerk aus, um das Subnetzwerk des Netzwerkanhangs zu ersetzen.

  5. So aktualisieren Sie die Annahmeliste:

    1. Klicken Sie auf Angenommenes Projekt hinzufügen und geben Sie die Projekt-ID oder Projektnummer des zu akzeptierenden Projekts ein, um ein Projekt zur Zulassungsliste hinzuzufügen.
    2. Wenn Sie ein Projekt aus der Zulassungsliste entfernen möchten, halten Sie den Mauszeiger über das Projekt und klicken dann auf Angenommenes Projekt löschen.

  6. So aktualisieren Sie die Ablehnungsliste:

    1. Wenn Sie der Ablehnungsliste ein Projekt hinzufügen möchten, klicken Sie auf Abgelehntes Projekt hinzufügen und geben die Projekt-ID oder Projektnummer des abzulehnenden Projekts ein.
    2. Wenn Sie ein Projekt aus der Ablehnungsliste entfernen möchten, halten Sie den Mauszeiger über das Projekt und klicken dann auf Abgelehntes Projekt löschen.

  7. Klicken Sie auf Netzwerkanhang aktualisieren.

API

  1. Senden Sie eine API-Anfrage, um den zu aktualisierenden Netzwerkanhang zu beschreiben.
  2. Notieren Sie sich den Wert für das Feld fingerprint des Netzwerkanhangs.

  3. Stellen Sie eine PATCH-Anfrage an die Methode networkAttachments.patch. Lassen Sie alle Felder im Anfragetext weg, die Sie nicht ersetzen möchten, mit Ausnahme von fingerprint.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME
{
  "fingerprint": "FINGERPRINT",
  "producerAcceptLists": [
    "ACCEPTED_PROJECT_LIST"
  ],
  "producerRejectLists": [
    "REJECTED_PROJECT_LIST"
  ],
  "subnetworks": [
    "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
  ],
  "description": "DESCRIPTION"
}

    Dabei gilt:

    • PROJECT_ID ist die ID des Projekts.
    • REGION ist die Region des Netzwerkanhangs.
    • ATTACHMENT_NAME ist der Name des Netzwerkanhangs.
    • FINGERPRINT ist der Wert für das Fingerabdruckfeld, das Sie in Schritt 2 gefunden haben.
    • ACCEPTED_PROJECT_LIST sind die IDs der Projekte, die eine Verbindung zu diesem Netzwerkanhang herstellen können. Sie können mehrere IDs im folgenden Format angeben: "id-one", "id-two". Aktualisierungen dieser Liste ersetzen alle zuvor akzeptierten Projektlisten.
    • REJECTED_PROJECT_LIST sind die IDs der Projekte, die keine Verbindung zu diesem Netzwerkanhang herstellen können. Sie können mehrere IDs im folgenden Format angeben: "id-one", "id-two". Durch Aktualisierungen dieser Liste werden alle vorherigen Listen abgelehnter Projekte ersetzt.
    • SUBNET_NAME ist der Name des neuen Subnetzes, das mit dem Netzwerkanhang verknüpft werden soll.
    • DESCRIPTION ist eine aktualisierte Beschreibung des Netzwerkanhangs.

Netzwerkanhänge löschen

Sie können einen Netzwerkanhang löschen, wenn er keine Verbindungen hat. Wenn Sie einen Netzwerkanhang mit Verbindungen löschen möchten, muss der Ersteller zuerst die zugehörige Private Service Connect-Schnittstelle löschen.

Wenn Sie einen Netzwerkanhang löschen und dann einen neuen mit demselben Namen erstellen, behandelt Google Cloud die Netzwerkanhänge als zwei separate Ressourcen.

Console

  1. Wechseln Sie in der Google Cloud Console zu Private Service Connect.

    Zu Private Service Connect

  2. Klicken Sie auf Netzwerkanhänge.

  3. Wählen Sie einen Netzwerkanhang aus und klicken Sie auf Löschen.

  4. Klicken Sie zum Bestätigen noch einmal auf Löschen.

gcloud

Führen Sie den Befehl network-attachments delete aus.

gcloud compute network-attachments delete ATTACHMENT_NAME \
    --region=REGION

Dabei gilt:

  • ATTACHMENT_NAME ist der Name des zu beschreibenden Netzwerkanhangs.
  • REGION ist die Region des Netzwerkanhangs

API

Stellen Sie eine DELETE-Anfrage an die Methode networkAttachments.delete.

DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME

Dabei gilt:

  • PROJECT_ID ist die ID des Projekts.
  • REGION ist die Region des Netzwerkanhangs.
  • ATTACHMENT_NAME ist der Name des Netzwerkanhangs.

Nächste Schritte