Criar e gerenciar anexos de rede

Nesta página, descrevemos como os administradores de rede do consumidor podem criar e gerenciar anexos de rede do Private Service Connect. Os anexos de rede permitem que as redes VPC do produtor de serviço iniciem conexões com redes VPC do consumidor.

Antes de começar

  • Você precisa ativar a API Compute Engine no projeto.
  • Se você quiser especificar manualmente quais projetos podem se conectar a um anexo de rede, precisará saber os códigos dos projetos.

Papéis

Para receber as permissões necessárias para criar, ver e excluir anexos de rede, peça ao administrador para conceder a você o papel do IAM de administrador da rede do Compute (roles/compute.networkAdmin) no seu projeto. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Criar uma sub-rede

Ao criar um anexo de rede, você atribui a ele uma única sub-rede regular. A sub-rede precisa estar na mesma região do anexo de rede. Uma sub-rede pode ser compartilhada em vários anexos de rede.

Quando um anexo de rede aceita uma conexão de uma interface do Private Service Connect, o Google Cloud atribui à interface um endereço IP do intervalo de endereços IP principal da sub-rede. Se a sub-rede for de pilha dupla, os produtores poderão especificar no momento da criação se o Google Cloud atribuirá a uma interface do Private Service Connect associada apenas um endereço IPv4 ou um IPv4 e um IPv6 endereço IP.

Para mais informações sobre como criar sub-redes, consulte Criar e gerenciar redes VPC.

Criar anexos de rede

Os anexos de rede são recursos regionais que representam o lado do consumidor de uma interface do Private Service Connect. Para criar uma instância de máquina virtual (VM), um anexo de rede precisa estar na mesma região que a VM da interface do Private Service Connect associada.

A política de conexão do anexo de rede determina se um anexo de rede pode aceitar uma conexão de uma interface do Private Service Connect.

É possível atualizar a sub-rede, a lista de aceitação, a lista de rejeição e a descrição de um anexo de rede.

Criar um anexo de rede que aceite conexões manualmente

Você pode criar um anexo de rede que aceite conexões manualmente. Antes de criar um anexo desse tipo, verifique se você sabe os códigos dos projetos que quer aceitar.

Console

  1. No Console do Google Cloud, acesse Private Service Connect.

    Acessar a página "Private Service Connect"

  2. Clique em Anexos de rede.

  3. Clique em Criar anexo de rede.

  4. Digite um Nome.

  5. Selecione uma rede.

  6. Selecione uma Região.

  7. Selecione uma sub-rede.

  8. Clique em Aceitar conexões para os projetos selecionados.

  9. Clique em Adicionar projeto aceito e insira o código de cada projeto de que você quer aceitar conexões.

  10. Opcional: clique em Adicionar projeto rejeitado e insira o código de cada projeto de que você quer negar conexões explicitamente.

  11. Clique em Criar anexo de rede.

gcloud

Use o comando network-attachments create.

gcloud compute network-attachments create ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_MANUAL \
    --producer-accept-list=ACCEPTED_PROJECTS \
    --producer-reject-list=REJECTED_PROJECTS \
    --subnets=SUBNET_NAME

Substitua:

  • ATTACHMENT_NAME: o nome do anexo de rede.
  • REGION: a região do anexo de rede.
  • ACCEPTED_PROJECTS: IDs dos projetos que podem se conectar a este anexo de rede. É possível incluir várias tags em uma lista separada por vírgulas.
  • REJECTED_PROJECTS: IDs dos projetos que não podem se conectar a este anexo de rede. É possível incluir vários valores em uma lista separada por vírgulas.
  • SUBNET_NAME: o nome da sub-rede a ser associada ao anexo de rede.

API

Faça uma solicitação POST ao método networkAttachments.insert.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments
{
  "connectionPreference": "ACCEPT_MANUAL",
  "name": "ATTACHMENT_NAME",
  "producerAcceptLists": [
    "ACCEPTED_PROJECT_LIST"
  ],
  "producerRejectLists": [
    "REJECTED_PROJECT_LIST"
  ],
  "subnetworks": [
    "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
  ]
}

Substitua:

  • PROJECT_ID: o ID do projeto em que o anexo de rede será criado.
  • REGION: a região do anexo de rede
  • ATTACHMENT_NAME: o nome do anexo de rede.
  • ACCEPTED_PROJECT_LIST: IDs dos projetos que podem se conectar a este anexo de rede. É possível incluir várias IDs no seguinte formato: "id-one", "id-two".
  • REJECTED_PROJECT_LIST: IDs dos projetos que não podem se conectar a este anexo de rede. É possível incluir várias IDs no seguinte formato: "id-one", "id-two".
  • SUBNET_NAME: o nome da sub-rede a ser associada ao anexo de rede.

Criar um anexo de rede que aceite conexões automaticamente

É possível criar um anexo de rede que aceite automaticamente conexões de qualquer interface do Private Service Connect que se refira ao anexo de rede.

Console

  1. No Console do Google Cloud, acesse Private Service Connect.

    Acessar a página "Private Service Connect"

  2. Clique em Anexos de rede.

  3. Clique em Criar anexo de rede.

  4. Digite um Nome.

  5. Selecione uma rede.

  6. Selecione uma Região.

  7. Selecione uma sub-rede.

  8. Clique em Aceitar conexões automaticamente para todos os projetos

  9. Clique em Criar anexo de rede.

gcloud

Use o comando network-attachments create.

gcloud compute network-attachments create ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_AUTOMATIC \
    --subnets=SUBNET_NAME

Substitua:

  • ATTACHMENT_NAME: o nome do anexo de rede.
  • REGION: a região do anexo de rede.
  • SUBNET_NAME: o nome da sub-rede a ser associada ao anexo de rede.

API

Faça uma solicitação POST ao método networkAttachments.insert.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments
{
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "name": "ATTACHMENT_NAME",
  "subnetworks": [
    "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
  ]
}

Substitua:

  • PROJECT_ID: o ID do projeto em que o anexo de rede será criado.
  • REGION: a região do anexo de rede
  • ATTACHMENT_NAME: o nome do anexo de rede.
  • SUBNET_NAME: o nome da sub-rede a ser associada ao anexo de rede.

Listar anexos da rede

Console

  1. No Console do Google Cloud, acesse Private Service Connect.

    Acessar a página "Private Service Connect"

  2. Clique em Anexos de rede.

gcloud

  • Para listar todos os anexos de rede em um projeto, use o comando network-attachments list.

    gcloud compute network-attachments list
    
  • Para listar anexos de rede em uma ou mais regiões, use o comando network-attachments list e especifique as regiões.

    gcloud compute network-attachments list
       --regions=REGIONS
    

    Substitua REGIONS pela região ou regiões em que os anexos de rede serão listados. É possível incluir várias regiões em uma lista separada por vírgulas.

API

Para listar anexos de rede em uma determinada região, faça uma solicitação GET para o método networkAttachments.list.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments

Substitua:

  • PROJECT_ID: o ID do projeto.
  • REGION: a região do anexo de rede.

Descrever anexos de rede

Descreva um anexo de rede para visualizar os detalhes dele, incluindo as conexões da interface do Private Service Connect associadas. Para cada conexão, é possível ver o endereço IP atribuído da interface Private Service Connect.

Console

  1. No Console do Google Cloud, acesse Private Service Connect.

    Acessar a página "Private Service Connect"

  2. Clique em Anexos de rede.

  3. Selecione um anexo de rede para ver os detalhes e uma lista de projetos conectados.

  4. Para ver as conexões individuais da interface do Private Service Connect de um projeto, clique no nome dele.

    O status da conexão de um projeto não determina necessariamente o status das conexões de interface do Private Service Connect desse projeto. Por exemplo, se você adicionar um projeto à lista de rejeição depois de aceitar uma conexão dele, o status do projeto será rejeitado, mas a conexão atual permanecerá aberta. Novas conexões desse projeto são rejeitadas.

gcloud

Use o comando network-attachments describe.

gcloud compute network-attachments describe ATTACHMENT_NAME \
    --region=REGION

Substitua:

  • ATTACHMENT_NAME: o nome do anexo de rede a ser descrito.
  • REGION: a região do anexo de rede

API

Para descrever uma rede e visualizar os detalhes dela, faça uma solicitação GET para o método networkAttachments.get.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME

Substitua:

  • PROJECT_ID: o ID do projeto.
  • REGION: a região do anexo de rede.
  • ATTACHMENT_NAME: o nome do anexo de rede.

Atualizar anexos de rede

Atualize um anexo de rede substituindo a sub-rede, a descrição ou, no caso de anexos de rede que foram criados para aceitar conexões manualmente, as listas de aceitar ou rejeitar. Se você precisar atualizar outros campos, exclua o anexo de rede e crie um novo.

Se você substituir a sub-rede de um anexo de rede, as conexões atuais não serão afetadas. As conexões criadas após a atualização usam endereços IP da nova sub-rede.

Se você substituir a lista de aceitação ou rejeição de um anexo de rede, as conexões atuais não serão afetadas. As conexões criadas após a atualização são aceitas ou rejeitadas de acordo com as listas atualizadas.

Console

  1. No Console do Google Cloud, acesse Private Service Connect.

    Acessar a página "Private Service Connect"

  2. Clique em Anexos de rede.

  3. Clique no anexo de rede que você quer atualizar e clique em Editar.

  4. Para substituir a sub-rede do anexo de rede, clique em Sub-rede e selecione a nova sub-rede.

  5. Para atualizar a lista de aceitação, faça o seguinte:

    1. Para adicionar um projeto à lista de aceitação, clique em Adicionar projeto aceito e insira o ID ou o número do projeto a ser aceito.
    2. Para remover um projeto da lista de aceitação, mantenha o ponteiro sobre ele e clique em Excluir projeto aceito.
  6. Para atualizar a lista de rejeição, faça o seguinte:

    1. Para adicionar um projeto à lista de rejeição, clique em Adicionar projeto rejeitado e insira o ID ou o número do projeto a ser rejeitado.
    2. Para remover um projeto da lista de rejeição, mantenha o ponteiro sobre o projeto e clique em Excluir projeto rejeitado.
  7. Clique em Atualizar anexo de rede.

gcloud

Use o comando network-attachments update. É possível atualizar um ou mais dos campos listados aqui, exceto o valor de região, que é usado para identificar o anexo da rede. Se você atualizar as listas de aceitação ou rejeição de um anexo de rede, será necessário substituir a lista inteira em uma atualização.

gcloud compute network-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --subnets=SUBNET \
    --producer-accept-list=ACCEPTED_PROJECTS \
    --producer-reject-list=REJECTED_PROJECTS \
    --description=DESCRIPTION

Substitua:

  • ATTACHMENT_NAME: o nome do anexo de rede.
  • REGION: a região do anexo de rede. Esta flag é usada para identificar o anexo de rede. Não é possível atualizar a região de um anexo de rede.
  • SUBNET: o nome da sub-rede a ser associada ao anexo de rede.
  • ACCEPTED_PROJECTS: IDs dos projetos que podem se conectar a este anexo de rede. É possível incluir várias tags em uma lista separada por vírgulas. A lista especificada aqui substitui a lista de aceitação atual.
  • REJECTED_PROJECTS: IDs dos projetos que não podem se conectar a este anexo de rede. É possível incluir vários valores em uma lista separada por vírgulas. A lista especificada aqui substitui a lista de rejeição atual.
  • DESCRIPTION: uma descrição do anexo da rede.

API

  1. Envie uma solicitação de API para describe (descrever) o anexo de rede que você quer atualizar.
  2. Anote o valor do campo fingerprint do anexo de rede.
  3. Faça uma solicitação PATCH ao método networkAttachments.patch. Omita todos os campos do corpo da solicitação que você não queira substituir, exceto fingerprint.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME
    {
      "fingerprint": "FINGERPRINT",
      "producerAcceptLists": [
        "ACCEPTED_PROJECT_LIST"
      ],
      "producerRejectLists": [
        "REJECTED_PROJECT_LIST"
      ],
      "subnetworks": [
        "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
      ],
      "description": "DESCRIPTION"
    }
    

    Substitua:

    • PROJECT_ID: o ID do projeto.
    • REGION: a região do anexo de rede.
    • ATTACHMENT_NAME: o nome do anexo de rede.
    • FINGERPRINT: o valor do campo de impressão digital encontrado na etapa 2.
    • ACCEPTED_PROJECT_LIST: IDs dos projetos que podem se conectar a este anexo de rede. É possível incluir várias IDs no seguinte formato: "id-one", "id-two". As atualizações desta lista substituem as listas de projetos já aceitos.
    • REJECTED_PROJECT_LIST: IDs dos projetos que não podem se conectar a este anexo de rede. É possível incluir várias IDs no seguinte formato: "id-one", "id-two". As atualizações dessa lista substituem as anteriores.
    • SUBNET_NAME: o nome da nova sub-rede a ser associada ao anexo de rede.
    • DESCRIPTION: uma descrição atualizada para o anexo de rede.

Excluir anexos de rede

Você pode excluir um anexo de rede se ele não tiver nenhuma conexão. Se você quiser excluir um anexo de rede que tenha conexões, o produtor precisará primeiro excluir a interface do Private Service Connect associada.

Se você excluir um anexo de rede e criar um novo com o mesmo nome, o Google Cloud tratará os anexos de rede como dois recursos separados.

Console

  1. No Console do Google Cloud, acesse Private Service Connect.

    Acessar a página "Private Service Connect"

  2. Clique em Anexos de rede.

  3. Selecione um anexo de rede e clique em Excluir.

  4. Clique em Excluir novamente para confirmar.

gcloud

Use o comando network-attachments delete.

gcloud compute network-attachments delete ATTACHMENT_NAME \
    --region=REGION

Substitua:

  • ATTACHMENT_NAME: o nome do anexo de rede a ser descrito.
  • REGION: a região do anexo de rede

API

Faça uma solicitação DELETE ao método networkAttachments.delete.

DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME

Substitua:

  • PROJECT_ID: o ID do projeto.
  • REGION: a região do anexo de rede.
  • ATTACHMENT_NAME: o nome do anexo de rede.

A seguir