Criar e gerenciar anexos de rede
Nesta página, descrevemos como os administradores de rede do consumidor podem criar e gerenciar anexos de rede do Private Service Connect. Os anexos de rede permitem que as redes VPC do produtor de serviço iniciem conexões com redes VPC do consumidor.
Antes de começar
- Você precisa ativar a API Compute Engine no projeto.
- Se você quiser especificar manualmente quais projetos podem se conectar a um anexo de rede, precisará saber os códigos dos projetos.
Papéis
Para receber as permissões necessárias para criar, ver e excluir anexos de rede,
peça ao administrador para conceder a você o papel do IAM de
administrador da rede do Compute (roles/compute.networkAdmin
) no seu projeto.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Criar uma sub-rede
Ao criar um anexo de rede, você atribui a ele uma única sub-rede regular. A sub-rede precisa estar na mesma região do anexo de rede. Uma sub-rede pode ser compartilhada em vários anexos de rede. A sub-rede pode ser somente IPv4 ou de pilha dupla. As sub-redes de pilha dupla precisam usar intervalos IPv6 internos.
Para mais informações sobre como criar sub-redes, consulte Criar e gerenciar redes VPC.
Criar anexos de rede
Os anexos de rede são recursos regionais que representam o lado do consumidor de uma interface do Private Service Connect. Para criar uma instância de máquina virtual (VM), um anexo de rede precisa estar na mesma região que a VM da interface do Private Service Connect associada.
A política de conexão do anexo de rede determina se um anexo de rede pode aceitar uma conexão de uma interface do Private Service Connect.
É possível atualizar a sub-rede, a lista de aceitação, a lista de rejeição e a descrição de um anexo de rede.
Criar um anexo de rede que aceite conexões manualmente
Você pode criar um anexo de rede que aceite conexões manualmente. Antes de criar um anexo desse tipo, verifique se você sabe os códigos dos projetos que quer aceitar.
Console
No Console do Google Cloud, acesse Private Service Connect.
Clique em Anexos de rede.
Clique em Criar anexo de rede.
Digite um Nome.
Selecione uma rede.
Selecione uma Região.
Selecione uma sub-rede.
Clique em Aceitar conexões para os projetos selecionados.
Clique em Adicionar projeto aceito e insira o código de cada projeto de que você quer aceitar conexões.
Opcional: clique em Adicionar projeto rejeitado e insira o código de cada projeto de que você quer negar conexões explicitamente.
Clique em Criar anexo de rede.
gcloud
Use o
comando network-attachments create
.
gcloud compute network-attachments create ATTACHMENT_NAME \ --region=REGION \ --connection-preference=ACCEPT_MANUAL \ --producer-accept-list=ACCEPTED_PROJECTS \ --producer-reject-list=REJECTED_PROJECTS \ --subnets=SUBNET_NAME
Substitua:
ATTACHMENT_NAME
: o nome do anexo de rede.REGION
: a região do anexo de rede.ACCEPTED_PROJECTS
: IDs dos projetos que podem se conectar a este anexo de rede. É possível incluir várias tags em uma lista separada por vírgulas.REJECTED_PROJECTS
: IDs dos projetos que não podem se conectar a este anexo de rede. É possível incluir vários valores em uma lista separada por vírgulas.SUBNET_NAME
: o nome da sub-rede a ser associada ao anexo de rede.
API
Faça uma solicitação POST
ao
método networkAttachments.insert
.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments { "connectionPreference": "ACCEPT_MANUAL", "name": "ATTACHMENT_NAME", "producerAcceptLists": [ "ACCEPTED_PROJECT_LIST" ], "producerRejectLists": [ "REJECTED_PROJECT_LIST" ], "subnetworks": [ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME" ] }
Substitua:
PROJECT_ID
: o ID do projeto em que o anexo de rede será criado.REGION
: a região do anexo de redeATTACHMENT_NAME
: o nome do anexo de rede.ACCEPTED_PROJECT_LIST
: IDs dos projetos que podem se conectar a este anexo de rede. É possível incluir várias IDs no seguinte formato:"id-one", "id-two"
.REJECTED_PROJECT_LIST
: IDs dos projetos que não podem se conectar a este anexo de rede. É possível incluir várias IDs no seguinte formato:"id-one", "id-two"
.SUBNET_NAME
: o nome da sub-rede a ser associada ao anexo de rede.
Criar um anexo de rede que aceite conexões automaticamente
É possível criar um anexo de rede que aceite automaticamente conexões de qualquer interface do Private Service Connect que se refira ao anexo de rede.
Console
No Console do Google Cloud, acesse Private Service Connect.
Clique em Anexos de rede.
Clique em Criar anexo de rede.
Digite um Nome.
Selecione uma rede.
Selecione uma Região.
Selecione uma sub-rede.
Clique em Aceitar conexões automaticamente para todos os projetos
Clique em Criar anexo de rede.
gcloud
Use o
comando network-attachments create
.
gcloud compute network-attachments create ATTACHMENT_NAME \ --region=REGION \ --connection-preference=ACCEPT_AUTOMATIC \ --subnets=SUBNET_NAME
Substitua:
ATTACHMENT_NAME
: o nome do anexo de rede.REGION
: a região do anexo de rede.SUBNET_NAME
: o nome da sub-rede a ser associada ao anexo de rede.
API
Faça uma solicitação POST
ao
método networkAttachments.insert
.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments { "connectionPreference": "ACCEPT_AUTOMATIC", "name": "ATTACHMENT_NAME", "subnetworks": [ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME" ] }
Substitua:
PROJECT_ID
: o ID do projeto em que o anexo de rede será criado.REGION
: a região do anexo de redeATTACHMENT_NAME
: o nome do anexo de rede.SUBNET_NAME
: o nome da sub-rede a ser associada ao anexo de rede.
Listar anexos da rede
Console
No Console do Google Cloud, acesse Private Service Connect.
Clique em Anexos de rede.
gcloud
Para listar todos os anexos de rede em um projeto, use o comando
network-attachments list
.gcloud compute network-attachments list
Para listar anexos de rede em uma ou mais regiões, use o comando
network-attachments list
e especifique as regiões.gcloud compute network-attachments list --regions=REGIONS
Substitua
REGIONS
pela região ou regiões em que os anexos de rede serão listados. É possível incluir várias regiões em uma lista separada por vírgulas.
API
Para listar anexos de rede em uma determinada região, faça uma solicitação GET
para o método networkAttachments.list
.
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments
Substitua:
PROJECT_ID
: o ID do projeto.REGION
: a região do anexo de rede.
Descrever anexos de rede
Descreva um anexo de rede para visualizar os detalhes dele, incluindo as conexões da interface do Private Service Connect associadas. Para cada conexão, é possível ver o endereço IP atribuído da interface Private Service Connect.
Console
No Console do Google Cloud, acesse Private Service Connect.
Clique em Anexos de rede.
Selecione um anexo de rede para ver os detalhes e uma lista de projetos conectados.
Para ver as conexões individuais da interface do Private Service Connect de um projeto, clique no nome dele.
O status da conexão de um projeto não determina necessariamente o status das conexões de interface do Private Service Connect desse projeto. Por exemplo, se você adicionar um projeto à lista de rejeição depois de aceitar uma conexão dele, o status do projeto será rejeitado, mas a conexão atual permanecerá aberta. Novas conexões desse projeto são rejeitadas.
gcloud
Use o
comando network-attachments describe
.
gcloud compute network-attachments describe ATTACHMENT_NAME \ --region=REGION
Substitua:
ATTACHMENT_NAME
: o nome do anexo de rede a ser descrito.REGION
: a região do anexo de rede
API
Para descrever uma rede e visualizar os detalhes dela, faça uma solicitação GET
para o
método networkAttachments.get
.
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME
Substitua:
PROJECT_ID
: o ID do projeto.REGION
: a região do anexo de rede.ATTACHMENT_NAME
: o nome do anexo de rede.
Atualizar anexos de rede
Atualize um anexo de rede substituindo a sub-rede, a descrição ou, no caso de anexos de rede que foram criados para aceitar conexões manualmente, as listas de aceitar ou rejeitar. Se você precisar atualizar outros campos, exclua o anexo de rede e crie um novo.
Se você substituir a sub-rede de um anexo de rede, as conexões atuais não serão afetadas. As conexões criadas após a atualização usam endereços IP da nova sub-rede.
Se você substituir a lista de aceitação ou rejeição de um anexo de rede, as conexões atuais não serão afetadas. As conexões criadas após a atualização são aceitas ou rejeitadas de acordo com as listas atualizadas.
Console
No Console do Google Cloud, acesse Private Service Connect.
Clique em Anexos de rede.
Clique no anexo de rede que você quer atualizar e clique em Editar.
Para substituir a sub-rede do anexo de rede, clique em Sub-rede e selecione a nova sub-rede.
Para atualizar a lista de aceitação, faça o seguinte:
- Para adicionar um projeto à lista de aceitação, clique em Adicionar projeto aceito e insira o ID ou o número do projeto a ser aceito.
- Para remover um projeto da lista de aceitação, mantenha o ponteiro sobre ele e clique em Excluir projeto aceito.
Para atualizar a lista de rejeição, faça o seguinte:
- Para adicionar um projeto à lista de rejeição, clique em Adicionar projeto rejeitado e insira o ID ou o número do projeto a ser rejeitado.
- Para remover um projeto da lista de rejeição, mantenha o ponteiro sobre o projeto e clique em Excluir projeto rejeitado.
Clique em Atualizar anexo de rede.
gcloud
Use o
comando network-attachments update
.
É possível atualizar um ou mais
dos campos listados aqui, exceto o valor de região, que é usado para identificar o
anexo da rede. Se você atualizar as listas
de aceitação ou rejeição de um anexo de rede, será necessário substituir a lista inteira em
uma atualização.
gcloud compute network-attachments update ATTACHMENT_NAME \ --region=REGION \ --subnets=SUBNET \ --producer-accept-list=ACCEPTED_PROJECTS \ --producer-reject-list=REJECTED_PROJECTS \ --description=DESCRIPTION
Substitua:
ATTACHMENT_NAME
: o nome do anexo de rede.REGION
: a região do anexo de rede. Esta flag é usada para identificar o anexo de rede. Não é possível atualizar a região de um anexo de rede.SUBNET
: o nome da sub-rede a ser associada ao anexo de rede.ACCEPTED_PROJECTS
: IDs dos projetos que podem se conectar a este anexo de rede. É possível incluir várias tags em uma lista separada por vírgulas. A lista especificada aqui substitui a lista de aceitação atual.REJECTED_PROJECTS
: IDs dos projetos que não podem se conectar a este anexo de rede. É possível incluir vários valores em uma lista separada por vírgulas. A lista especificada aqui substitui a lista de rejeição atual.DESCRIPTION
: uma descrição do anexo da rede.
API
- Envie uma solicitação de API para describe (descrever) o anexo de rede que você quer atualizar.
- Anote o valor do campo
fingerprint
do anexo de rede. Faça uma solicitação
PATCH
ao métodonetworkAttachments.patch
. Omita todos os campos do corpo da solicitação que você não queira substituir, excetofingerprint
.PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME { "fingerprint": "FINGERPRINT", "producerAcceptLists": [ "ACCEPTED_PROJECT_LIST" ], "producerRejectLists": [ "REJECTED_PROJECT_LIST" ], "subnetworks": [ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME" ], "description": "DESCRIPTION" }
Substitua:
PROJECT_ID
: o ID do projeto.REGION
: a região do anexo de rede.ATTACHMENT_NAME
: o nome do anexo de rede.FINGERPRINT
: o valor do campo de impressão digital encontrado na etapa 2.ACCEPTED_PROJECT_LIST
: IDs dos projetos que podem se conectar a este anexo de rede. É possível incluir várias IDs no seguinte formato:"id-one", "id-two"
. As atualizações desta lista substituem as listas de projetos já aceitos.REJECTED_PROJECT_LIST
: IDs dos projetos que não podem se conectar a este anexo de rede. É possível incluir várias IDs no seguinte formato:"id-one", "id-two"
. As atualizações dessa lista substituem as anteriores.SUBNET_NAME
: o nome da nova sub-rede a ser associada ao anexo de rede.DESCRIPTION
: uma descrição atualizada para o anexo de rede.
Excluir anexos de rede
Você pode excluir um anexo de rede se ele não tiver nenhuma conexão. Se você quiser excluir um anexo de rede que tenha conexões, o produtor precisará primeiro excluir a interface do Private Service Connect associada.
Se você excluir um anexo de rede e criar um novo com o mesmo nome, o Google Cloud tratará os anexos de rede como dois recursos separados.
Console
No Console do Google Cloud, acesse Private Service Connect.
Clique em Anexos de rede.
Selecione um anexo de rede e clique em Excluir.
Clique em Excluir novamente para confirmar.
gcloud
Use o comando network-attachments delete
.
gcloud compute network-attachments delete ATTACHMENT_NAME \ --region=REGION
Substitua:
ATTACHMENT_NAME
: o nome do anexo de rede a ser descrito.REGION
: a região do anexo de rede
API
Faça uma solicitação DELETE
ao
método networkAttachments.delete
.
DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME
Substitua:
PROJECT_ID
: o ID do projeto.REGION
: a região do anexo de rede.ATTACHMENT_NAME
: o nome do anexo de rede.
A seguir
- Configure a segurança de uma rede que tenha um anexo de rede.
- Gerencie a sobreposição de destino em uma rede que tenha uma conexão de interface do Private Service Connect.