Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Informazioni sui collegamenti di rete

Questa pagina fornisce una panoramica dei collegamenti di rete.

Un collegamento di rete è una risorsa che consente a una rete Virtual Private Cloud (VPC) producer di avviare connessioni a una rete VPC consumer tramite un' interfaccia Private Service Connect.

Se un collegamento di rete accetta una connessione da un' interfaccia Private Service Connect, Google Cloud alloca all'interfaccia un indirizzo IP interno da una subnet consumer specificata dal collegamento di rete. L'istanza di macchina virtuale (VM) dell'interfaccia Private Service Connect ha almeno un'altra interfaccia di rete normale che si connette a una subnet producer.

Questa connessione dell'interfaccia Private Service Connect consente alle organizzazioni producer e consumer di configurare le proprie reti VPC in modo che le due reti siano connesse e possano comunicare utilizzando indirizzi IP interni. Ad esempio, l'organizzazione producer può aggiornare la rete VPC producer per aggiungere route per le subnet consumer.

Una connessione tra un collegamento di rete e un' interfaccia Private Service Connect è simile alla connessione tra un endpoint Private Service Connect e un collegamento di servizio, ma presenta due differenze fondamentali:

Un collegamento di rete consente a una rete VPC producer di avviare connessioni a una rete VPC consumer (uscita del servizio gestito). Un endpoint funziona nella direzione opposta, consentendo a una rete VPC consumer di avviare connessioni a una rete VPC producer (ingresso del servizio gestito).
Una connessione dell'interfaccia Private Service Connect è transitiva. Ciò significa che i carichi di lavoro in una rete VPC producer possono avviare connessioni ai carichi di lavoro in altre reti VPC connesse alla rete VPC consumer.

Ad esempio, un'organizzazione consumer di servizi potrebbe voler fornire un accesso al servizio gestito ai dati dei consumer disponibili solo nella rete VPC del consumer. Il servizio potrebbe anche richiedere l'accesso a dati o servizi disponibili on-premise, tramite una connessione VPN o Cloud Interconnect o da un servizio di terze parti. Inoltre, il consumer potrebbe voler richiedere che tutto il traffico diretto a internet che utilizza i suoi dati transiti attraverso il proprio gateway di uscita. In questo modo, il consumer può monitorare il traffico e fornire sicurezza personalizzata.

Una connessione dell'interfaccia Private Service Connect può soddisfare tutti questi requisiti.

**Figura 1.** Un collegamento di rete in una rete VPC consumer è connesso a due interfacce Private Service Connect in una rete VPC producer (fai clic per ingrandire).

Specifiche

I collegamenti di rete hanno le seguenti specifiche:

Un collegamento di rete è una risorsa di regione che rappresenta il lato consumer di una connessione dell'interfaccia Private Service Connect.
I collegamenti di rete consentono di accettare in modo esplicito o automatico le connessioni dalle interfacce Private Service Connect.
Un collegamento di rete è associato a una singola subnet. Puoi utilizzare subnet solo IPv4, a doppio stack o solo IPv6 con i collegamenti di rete. Per ulteriori informazioni, consulta Assegnazione di subnet.
Quando una richiesta di connessione viene accettata, all'interfaccia Private Service Connect viene allocato un indirizzo IP dalla subnet del collegamento di rete.
Più interfacce Private Service Connect possono connettersi allo stesso collegamento di rete.
I collegamenti di rete supportano il VPC condiviso. Puoi creare un collegamento di rete in un progetto di servizio, ma la subnet del collegamento deve trovarsi in un progetto host.
Una connessione tra un collegamento di rete e un'interfaccia Private Service Connect è bidirezionale.
Una connessione tra un collegamento di rete e un' interfaccia Private Service Connect è transitiva. I carichi di lavoro nella rete VPC producer possono comunicare con i carichi di lavoro connessi alla rete VPC consumer.
Un collegamento di rete può connettersi a interfacce Private Service Connect sia virtuali che dinamiche.

Assegnazione di subnet

Quando crei un collegamento di rete, devi assegnargli una singola subnet. Se una richiesta di connessione da un'interfaccia producer viene accettata, perché il collegamento è configurato per accettare automaticamente le connessioni o perché il progetto producer è incluso nell'elenco di accettazione, all'interfaccia viene allocato un indirizzo IP dall'intervallo di indirizzi IP della subnet.

Questa subnet ha le seguenti caratteristiche:

Deve essere una subnet normale.
Il tipo di stack della subnet può essere solo IPv4, a doppio stack o solo IPv6. Le subnet a doppio stack e solo IPv6 devono avere intervalli di indirizzi IPv6 interni.
Gli indirizzi IP nella subnet non sono riservati e puoi assegnare altre risorse alla subnet.
Non puoi eliminare la subnet mentre è assegnata a un collegamento di rete.
Puoi sostituire la subnet e le connessioni esistenti non vengono interessate. Le connessioni stabilite dopo la sostituzione della subnet utilizzano la nuova subnet.
Puoi espandere l'intervallo CIDR della subnet e le nuove allocazioni di indirizzi utilizzeranno l'intervallo espanso.

Policy di autorizzazione

Le policy di autorizzazione controllano se un collegamento di rete accetta una nuova connessione da un'interfaccia Private Service Connect. Puoi configurare le policy di autorizzazione in modo da accettare automaticamente tutte le connessioni o solo le connessioni da producer di servizi specifici.

Per autorizzare un producer specifico, aggiungi l'ID progetto o l'ID classe di servizio del producer all'elenco di accettazione del collegamento di rete.

Un ID classe di servizio è un identificatore univoco fornito da alcuni servizi Google per semplificare l'autorizzazione per quel servizio. Se un producer tenta di creare un'interfaccia con un ID classe di servizio per cui non ha l'autorizzazione a utilizzare, l'operazione non riesce. Prima di configurare l'autorizzazione per un servizio Google, consulta la documentazione del servizio per verificare se è richiesto un ID classe di servizio.

Una policy di autorizzazione è composta dai seguenti tre campi di un collegamento di rete:

Preferenza di connessione: può essere ACCEPT_AUTOMATIC o ACCEPT_MANUAL.
- ACCEPT_AUTOMATIC: le nuove connessioni vengono accettate automaticamente.
- ACCEPT_MANUAL: lo stato delle nuove connessioni è determinato dall'elenco di accettazione di un collegamento di rete.
Elenco di accettazione: un elenco di ID progetto o ID classe di servizio per i collegamenti di rete con la preferenza di connessione ACCEPT_MANUAL. Le nuove connessioni dai producer in questo elenco vengono accettate. Se un'interfaccia Private Service Connect richiede una connessione e l'ID progetto o l'ID classe di servizio del producer non è presente in questo elenco, la creazione della VM dell'interfaccia Private Service Connect non riesce.
Elenco di rifiuto: un elenco di ID progetto o ID classe di servizio per i collegamenti di rete con la preferenza di connessione ACCEPT_MANUAL. Le nuove connessioni dai producer con ID progetto o ID classe di servizio in questo elenco vengono rifiutate in modo esplicito e la creazione della VM dell'interfaccia Private Service Connect non riesce.

Se aggiorni l'elenco di accettazione o rifiuto di un collegamento di rete, le connessioni esistenti non vengono interessate. Le connessioni create dopo l'aggiornamento vengono accettate o rifiutate in base agli elenchi aggiornati.

Tutti i valori negli elenchi di accettazione e rifiuto devono avere lo stesso tipo. Non puoi combinare ID progetto e ID classe di servizio nella stessa policy di autorizzazione.

Se un collegamento di rete è configurato per accettare manualmente le connessioni e aggiungi lo stesso ID progetto o ID classe di servizio sia all'elenco di accettazione sia all'elenco di rifiuto, le richieste di connessione da quel producer vengono rifiutate. La creazione della VM dell'interfaccia Private Service Connect non riesce.

Connessioni

Un producer di servizi richiede una connessione a un collegamento di rete mediante la creazione di un'interfaccia Private Service Connect. Per alcuni servizi Google, un consumer può attivare una richiesta di connessione tramite l'API del servizio.

Una connessione accettata crea un link logico o una tupla composta dal collegamento di rete e dall'interfaccia di rete che vi fa riferimento. L'interfaccia di una VM producer appartiene logicamente alla rete VPC consumer, ma il suo ciclo di vita è gestito dal producer. Ad esempio, il collegamento di rete nella Figura 1 ha due connessioni.

Puoi visualizzare le connessioni accettate quando descrivi un collegamento di rete.

Limitazioni

Puoi aggiornare solo la subnet, l'elenco di accettazione, l'elenco di rifiuto e la descrizione di un collegamento di rete. Se vuoi aggiornare altri campi, elimina il collegamento e creane uno nuovo.
Non puoi eliminare un collegamento di rete se ha connessioni aperte. In questo caso, l'organizzazione producer deve prima eliminare le interfacce Private Service Connect associate.
Non puoi assegnare esterni (pubblicizzati pubblicamente) indirizzi IP alle interfacce Private Service Connect.

Prezzi

I prezzi per i collegamenti di rete sono descritti nella pagina dei prezzi di VPC.

Quota

Esiste un limite al numero di collegamenti di rete che puoi creare per regione in un singolo progetto. Per ulteriori informazioni, consulta le quote per progetto nella documentazione di VPC.

Passaggi successivi

Creare e gestire i collegamenti di rete