Crea y administra adjuntos de red
En esta página, se describe cómo los administradores de red del consumidor pueden crear y administrar adjuntos de red de Private Service Connect. Los adjuntos de red permiten que las redes de VPC del productor de servicios inicien conexiones a redes de VPC del consumidor.
Antes de comenzar
- Debes habilitar la API de Compute Engine en tu proyecto.
- Si quieres especificar manualmente los proyectos que pueden conectarse a un adjunto de red, debes conocer los ID de los proyectos.
Roles
Para obtener los permisos que necesitas para crear, ver y borrar adjuntos de red, pídele a tu administrador que te otorgue el rol de IAM Administrador de Compute Network (roles/compute.networkAdmin
) en tu proyecto.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Crea una subred
Cuando creas un adjunto de red, debes asignarle una sola subred regular. Esta subred debe estar en la misma región que el adjunto de red. Una subred se puede compartir entre varios adjuntos de red.
Cuando un adjunto de red acepta una conexión desde una interfaz de Private Service Connect, Google Cloud asigna a la interfaz una dirección IP del rango de direcciones IP principal de la subred. Si la subred es de pila doble, los productores pueden especificar en el momento de la creación si Google Cloud asigna a una interfaz de Private Service Connect asociada solo una dirección IPv4 o una dirección IPv4 y una dirección IPv6.
Si deseas obtener más información para crear subredes, consulta Crea y administra redes de VPC.
Crea adjuntos de red
Los adjuntos de red son recursos regionales que representan el lado del consumidor de una conexión de interfaz de Private Service Connect. Para crear correctamente una instancia de máquina virtual (VM), un adjunto de red debe estar en la misma región que la VM de la interfaz de Private Service Connect asociada.
La política de conexión del adjunto de red determina si un adjunto de red puede aceptar una conexión desde una interfaz de Private Service Connect.
Puedes actualizar la subred, la lista de aceptación, la lista de rechazo y la descripción de un adjunto de red.
Crea un adjunto de red que acepte conexiones de forma manual
Puedes crear un adjunto de red que acepte conexiones de forma manual. Antes de crear un adjunto de este tipo, asegúrate de conocer los IDs de los proyectos que deseas aceptar.
Console
En la consola de Google Cloud, ve a Private Service Connect.
Haz clic en Archivos adjuntos de red.
Haz clic en Crear adjunto de red.
Ingresa un Nombre.
Selecciona una Red.
Selecciona una Región.
Selecciona una Subred.
Haz clic en Aceptar conexiones para los proyectos seleccionados.
Haz clic en Agregar proyecto aceptado y, luego, ingresa el ID de cada proyecto del que deseas aceptar conexiones.
Haz clic en Agregar proyecto rechazado y, luego, ingresa el ID de cada proyecto del que deseas denegar las conexiones de forma explícita.
Haz clic en Crear adjunto de red.
gcloud
Usa el comando network-attachments create
gcloud compute network-attachments create ATTACHMENT_NAME \ --region=REGION \ --connection-preference=ACCEPT_MANUAL \ --producer-accept-list=ACCEPTED_PROJECTS \ --producer-reject-list=REJECTED_PROJECTS \ --subnets=SUBNET_NAME
Reemplaza lo siguiente:
ATTACHMENT_NAME
: Es el nombre del adjunto de red.REGION
: Es la región del adjunto de red.ACCEPTED_PROJECTS
: los IDs de los proyectos que se pueden conectar a este adjunto de red. Puedes incluir varias etiquetas en una lista separada por comas.REJECTED_PROJECTS
: Son los IDs de los proyectos que no se pueden conectar a este adjunto de red. Puedes incluir varias etiquetas en una lista separada por comas.SUBNET_NAME
: Es el nombre de la subred que se asociará a este adjunto de red.
API
Realiza una solicitud POST
al método networkAttachments.insert
.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments { "connectionPreference": "ACCEPT_MANUAL", "name": "ATTACHMENT_NAME", "producerAcceptLists": [ "ACCEPTED_PROJECT_LIST" ], "producerRejectLists": [ "REJECTED_PROJECT_LIST" ], "subnetworks": [ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME" ] }
Reemplaza lo siguiente:
PROJECT_ID
: Es el ID del proyecto en el que se creará el adjunto de red.REGION
: Es la región del adjunto de redATTACHMENT_NAME
: Es el nombre del adjunto de redACCEPTED_PROJECT_LIST
: los IDs de los proyectos que se pueden conectar a este adjunto de red. Puedes incluir varios IDs con el siguiente formato:"id-one", "id-two"
.REJECTED_PROJECT_LIST
: Son los IDs de los proyectos que no se pueden conectar a este adjunto de red. Puedes incluir varios IDs con el siguiente formato:"id-one", "id-two"
.SUBNET_NAME
: El nombre de la subred que se asociará al adjunto de red.
Crea un adjunto de red que acepte conexiones de forma automática
Puedes crear un adjunto de red que acepte conexiones de forma automática desde cualquier interfaz de Private Service Connect que haga referencia al adjunto de red.
Console
En la consola de Google Cloud, ve a Private Service Connect.
Haz clic en Archivos adjuntos de red.
Haz clic en Crear adjunto de red.
Ingresa un Nombre.
Selecciona una Red.
Selecciona una Región.
Selecciona una Subred.
Haz clic en Aceptar conexiones de forma automática para todos los proyectos.
Haz clic en Crear adjunto de red.
gcloud
Usa el comando network-attachments create
gcloud compute network-attachments create ATTACHMENT_NAME \ --region=REGION \ --connection-preference=ACCEPT_AUTOMATIC \ --subnets=SUBNET_NAME
Reemplaza lo siguiente:
ATTACHMENT_NAME
: Es el nombre del adjunto de red.REGION
: Es la región del adjunto de red.SUBNET_NAME
: Es el nombre de la subred que se asociará a este adjunto de red.
API
Realiza una solicitud POST
al método networkAttachments.insert
.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments { "connectionPreference": "ACCEPT_AUTOMATIC", "name": "ATTACHMENT_NAME", "subnetworks": [ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME" ] }
Reemplaza lo siguiente:
PROJECT_ID
: Es el ID del proyecto en el que se creará el adjunto de red.REGION
: Es la región del adjunto de redATTACHMENT_NAME
: Es el nombre del adjunto de redSUBNET_NAME
: El nombre de la subred que se asociará al adjunto de red.
Mostrar lista de adjuntos de red
Console
En la consola de Google Cloud, ve a Private Service Connect.
Haz clic en Archivos adjuntos de red.
gcloud
Para enumerar todos los adjuntos de red de un proyecto, usa el comando
network-attachments list
.gcloud compute network-attachments list
Para enumerar los adjuntos de red en una región o regiones determinadas, usa el comando
network-attachments list
y especifica las regiones.gcloud compute network-attachments list --regions=REGIONS
Reemplaza
REGIONS
por las regiones en las que se enumerarán los adjuntos de red. Puedes incluir varias regiones en una lista separada por comas.
API
Para enumerar los adjuntos de red en una región determinada, realiza una solicitud GET
al método networkAttachments.list
.
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments
Reemplaza lo siguiente:
PROJECT_ID
: el ID del proyecto.REGION
: Es la región del adjunto de red.
Describe los adjuntos de red
Puedes describir un adjunto de red para ver sus detalles, incluidas las conexiones de interfaz de Private Service Connect asociadas. Para cada conexión, puedes ver la dirección IP asignada de la interfaz de Private Service Connect.
Console
En la consola de Google Cloud, ve a Private Service Connect.
Haz clic en Archivos adjuntos de red.
Selecciona un adjunto de red para ver sus detalles y una lista de proyectos conectados.
Para ver las conexiones individuales de la interfaz de Private Service Connect de un proyecto, haz clic en el nombre del proyecto.
El estado de conexión de un proyecto no siempre determina el estado de las conexiones de la interfaz de Private Service Connect desde ese proyecto. Por ejemplo, si agregas un proyecto a la lista de rechazo después de aceptar una conexión desde ese proyecto, se rechazará el estado del proyecto, pero la conexión existente permanecerá abierta. Se rechazan las conexiones nuevas de ese proyecto.
gcloud
Usa el comando network-attachments describe
gcloud compute network-attachments describe ATTACHMENT_NAME \ --region=REGION
Reemplaza lo siguiente:
ATTACHMENT_NAME
: Es el nombre del adjunto de red que deseas describir.REGION
: Es la región del adjunto de red
API
Para describir un adjunto de red y ver sus detalles, realiza una solicitud GET
al método networkAttachments.get
.
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME
Reemplaza lo siguiente:
PROJECT_ID
: el ID del proyecto.REGION
: Es la región del adjunto de red.ATTACHMENT_NAME
: Es el nombre del adjunto de red.
Actualiza los adjuntos de red
Puedes actualizar un adjunto de red si reemplazas su subred, descripción o, para los adjuntos de red que se crearon para aceptar conexiones de forma manual, las listas de aceptación o rechazo. Si necesitas actualizar otros campos, borra el adjunto de red y, luego, crea uno nuevo.
Si reemplazas la subred de un adjunto de red, las conexiones existentes no se verán afectadas. Las conexiones que se crean después de la actualización usan direcciones IP de la subred nueva.
Si reemplazas la lista de aceptación o rechazo de un adjunto de red, las conexiones existentes no se verán afectadas. Las conexiones que se crean después de la actualización se aceptan o rechazan de acuerdo con las listas actualizadas.
Para actualizar un adjunto de red, debes usar la consola de Google Cloud o enviar una solicitud a la API. No se admite la actualización de adjuntos de red mediante Google Cloud CLI.
Console
En la consola de Google Cloud, ve a Private Service Connect.
Haz clic en Archivos adjuntos de red.
Haz clic en el adjunto de red que deseas actualizar y, luego, en Editar.
Para reemplazar la subred del adjunto de red, haz clic en Subred y, luego, selecciona la subred nueva.
Para actualizar la lista de aceptación, haz lo siguiente:
- Para agregar un proyecto a la lista de aceptación, haz clic en Agregar proyecto aceptado y, luego, ingresa el ID o el número del proyecto que aceptas.
- Para quitar un proyecto de la lista de aceptación, mantén el puntero sobre el proyecto y, luego, haz clic en Borrar proyecto aceptado.
Para actualizar la lista de rechazo, haz lo siguiente:
- Para agregar un proyecto a la lista de rechazo, haz clic en Agregar proyecto rechazado y, luego, ingresa el ID o el número del proyecto que deseas rechazar.
- Para quitar un proyecto de la lista de rechazo, mantén el puntero sobre el proyecto y haz clic en Borrar proyecto rechazado.
Haz clic en Actualizar adjunto de red.
API
- Envía una solicitud a la API para describir el adjunto de red que quieres actualizar.
- Ten en cuenta el valor del campo
fingerprint
del adjunto de red. Realiza una solicitud
PATCH
al métodonetworkAttachments.patch
. Omite cualquier campo del cuerpo de la solicitud que no desees reemplazar, exceptofingerprint
.PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME { "fingerprint": "FINGERPRINT", "producerAcceptLists": [ "ACCEPTED_PROJECT_LIST" ], "producerRejectLists": [ "REJECTED_PROJECT_LIST" ], "subnetworks": [ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME" ], "description": "DESCRIPTION" }
Reemplaza lo siguiente:
PROJECT_ID
: el ID del proyecto.REGION
: Es la región del adjunto de red.ATTACHMENT_NAME
: Es el nombre del adjunto de red.FINGERPRINT
: el valor del campo de huella digital que encontraste en el paso 2.ACCEPTED_PROJECT_LIST
: los IDs de los proyectos que se pueden conectar a este adjunto de red. Puedes incluir varios IDs con el siguiente formato:"id-one", "id-two"
. Las actualizaciones de esta lista reemplazan cualquier lista de proyectos aceptados anterior.REJECTED_PROJECT_LIST
: Son los IDs de los proyectos que no se pueden conectar a este adjunto de red. Puedes incluir varios IDs con el siguiente formato:"id-one", "id-two"
. Las actualizaciones de esta lista reemplazan cualquier lista anterior de proyectos rechazados.SUBNET_NAME
: es el nombre de la subred nueva que se asociará al adjunto de red.DESCRIPTION
: una descripción actualizada para el adjunto de red.
Borrar adjuntos de red
Puedes borrar un adjunto de red si no tiene conexiones. Si deseas borrar un adjunto de red que tiene conexiones, el productor primero debe borrar la interfaz de Private Service Connect asociada.
Si borras un adjunto de red y, luego, creas uno nuevo con el mismo nombre, Google Cloud trata los adjuntos de red como dos recursos separados.
Console
En la consola de Google Cloud, ve a Private Service Connect.
Haz clic en Archivos adjuntos de red.
Selecciona un adjunto de red y, luego, haz clic en Borrar.
Haga clic en Borrar nuevamente para confirmar.
gcloud
Usa el comando network-attachments delete
.
gcloud compute network-attachments delete ATTACHMENT_NAME \ --region=REGION
Reemplaza lo siguiente:
ATTACHMENT_NAME
: Es el nombre del adjunto de red que deseas describir.REGION
: Es la región del adjunto de red
API
Realiza una solicitud DELETE
al método networkAttachments.delete
.
DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME
Reemplaza lo siguiente:
PROJECT_ID
: el ID del proyecto.REGION
: Es la región del adjunto de red.ATTACHMENT_NAME
: Es el nombre del adjunto de red.
Próximos pasos
- Configura la seguridad para una red que tenga un adjunto de red.
- Administra la superposición de destino en una red que tenga una conexión de interfaz de Private Service Connect.