Acerca de los adjuntos de red

En esta página se ofrece una descripción general de las asociaciones de red.

Una vinculación de red es un recurso que permite que una red de nube privada virtual (VPC) de un productor inicie conexiones con una red de VPC de un consumidor a través de una interfaz de Private Service Connect.

Si una vinculación de red acepta una conexión de una interfaz de Private Service Connect, Google Cloud asigna a la interfaz una dirección IP interna de una subred de consumidor que especifica la vinculación de red. La instancia de máquina virtual (VM) de la interfaz de Private Service Connect tiene al menos otra interfaz de red normal que se conecta a una subred de productor.

Esta conexión de interfaz de Private Service Connect permite a las organizaciones productoras y consumidoras configurar sus redes de VPC para que las dos redes estén conectadas y puedan comunicarse mediante direcciones IP internas. Por ejemplo, la organización productora puede actualizar la red VPC productora para añadir rutas de subredes consumidoras.

Una conexión entre una vinculación de red y una interfaz de Private Service Connect es similar a la conexión entre un endpoint de Private Service Connect y una vinculación de servicio, pero tiene dos diferencias clave:

• Una vinculación de red permite que una red de VPC de productor inicie conexiones con una red de VPC de consumidor (salida de servicio gestionado). Un punto final funciona en la dirección opuesta, lo que permite que una red de VPC de un consumidor inicie conexiones con una red de VPC de un productor (entrada de servicio gestionado).
• Una conexión de interfaz de Private Service Connect es transitiva. Esto significa que las cargas de trabajo de una red de VPC de productor pueden iniciar conexiones con cargas de trabajo de otras redes de VPC conectadas a la red de VPC de consumidor.

Por ejemplo, una organización de consumidor de servicios puede querer proporcionar un acceso a servicios gestionados a datos de consumidores que solo estén disponibles en la red VPC del consumidor. Es posible que el servicio también necesite acceder a datos o servicios que estén disponibles de forma local, a través de una conexión VPN o de Cloud Interconnect, o desde un servicio de terceros. Además, es posible que el consumidor quiera que todo el tráfico de Internet que utilice sus datos pase por su propia pasarela de salida. De esta forma, el consumidor puede monitorizar el tráfico y proporcionar seguridad personalizada.

Una conexión de interfaz de Private Service Connect puede cumplir todos estos requisitos.

Especificaciones

Los archivos adjuntos de red tienen las siguientes especificaciones:

• Una vinculación de red es un recurso regional que representa el lado del consumidor de una conexión de interfaz de Private Service Connect.
• Las vinculaciones de red te permiten aceptar de forma explícita o automática las conexiones de las interfaces de Private Service Connect.
• Una conexión de red está asociada a una sola subred. Puedes usar subredes solo IPv4, de doble pila o solo IPv6 con adjuntos de red. Para obtener más información, consulta Asignación de subredes.
• Cuando se acepta una solicitud de conexión, se asigna una dirección IP a la interfaz de Private Service Connect desde la subred del adjunto de red.
• Se pueden conectar varias interfaces de Private Service Connect a la misma vinculación de red.
• Los acoplamientos de red admiten VPC compartida. Puedes crear una vinculación de red en un proyecto de servicio, pero la subred de la vinculación debe estar en un proyecto host.
• La conexión entre una vinculación de red y una interfaz de Private Service Connect es bidireccional.
• La conexión entre una vinculación de red y una interfaz de Private Service Connect es transitiva. Las cargas de trabajo de la red de VPC del productor pueden comunicarse con las cargas de trabajo conectadas a la red de VPC del consumidor.
• Una vinculación de red puede conectarse a interfaces de Private Service Connect virtuales y dinámicas.

Asignación de subredes

Cuando creas un adjunto de red, debes asignarle una sola subred. Si se acepta una solicitud de conexión de una interfaz de productor, ya sea porque el adjunto está configurado para aceptar conexiones automáticamente o porque el proyecto de productor está incluido en la lista de aceptación, se asigna a esa interfaz una dirección IP del intervalo de direcciones IP de la subred.

Esta subred tiene las siguientes características:

• Debe ser una subred normal.
• El tipo de pila de la subred puede ser solo IPv4, de pila dual o solo IPv6. Las subredes de doble pila y solo IPv6 deben tener intervalos de direcciones IPv6 internas.
• Las direcciones IP de la subred no están reservadas y puedes asignar otros recursos a la subred.
• No puedes eliminar la subred mientras esté asignada a un adjunto de red.
• Puedes sustituir la subred sin que se vean afectadas las conexiones. Las conexiones que se establezcan después de sustituir la subred usarán la nueva subred.
• Puede ampliar el intervalo de CIDR de la subred y las nuevas asignaciones de direcciones usarán el intervalo ampliado.

Políticas de autorización

Las políticas de autorización controlan si una vinculación de red acepta una conexión de una interfaz de Private Service Connect. Una política de autorización se compone de los tres campos siguientes de un archivo adjunto de red:

• Preferencia de conexión: puede ser ACCEPT_AUTOMATIC o ACCEPT_MANUAL.
  • ACCEPT_AUTOMATIC: las nuevas conexiones se aceptan automáticamente.
  • ACCEPT_MANUAL: el estado de las conexiones nuevas se determina mediante la lista de aceptación de un archivo adjunto de red.
• Lista de aceptación: lista de IDs de proyectos de adjuntos de red que tienen la preferencia de conexión ACCEPT_MANUAL. Se aceptan las conexiones nuevas de los proyectos de esta lista. Si una interfaz de Private Service Connect solicita una conexión y el proyecto de la interfaz no está en esta lista, se produce un error al crear la VM de la interfaz de Private Service Connect.
• Lista de rechazo: lista de IDs de proyectos de adjuntos de red que tienen la preferencia de conexión ACCEPT_MANUAL. Las conexiones nuevas de los proyectos de esta lista se rechazan explícitamente y se produce un error al crear la VM de la interfaz de Private Service Connect.

Si un adjunto de red está configurado para aceptar conexiones manualmente y añades un proyecto productor a las listas de aceptación y rechazo, se rechazarán las solicitudes de conexión de ese proyecto. No se puede crear la VM de la interfaz de Private Service Connect.

Conexiones

Cuando una vinculación de red acepta una solicitud de conexión de una interfaz de Private Service Connect, se forma una conexión lógica. Esta conexión es la tupla que consta de la conexión de red y la interfaz de red que hace referencia a ella. La interfaz de una VM de productor pertenece lógicamente a la red de VPC de consumidor, pero el productor gestiona su ciclo de vida. Por ejemplo, la conexión de red de la figura 1 tiene dos conexiones.

Puedes ver las conexiones aceptadas cuando describes un archivo adjunto de red.

Limitaciones

• Solo puedes actualizar la subred, la lista de aceptación, la lista de rechazo y la descripción de un adjunto de red. Si quieres actualizar otros campos, elimina el archivo adjunto y crea otro.
• No puedes eliminar un archivo adjunto de red si tiene alguna conexión abierta. En este caso, la organización de productor debe eliminar primero las interfaces de Private Service Connect asociadas.
• No puedes asignar direcciones IP externas (anunciadas públicamente) a interfaces de Private Service Connect.

Precios

Los precios de las conexiones de red se describen en la página de precios de VPC.

Cuota

Hay un límite en el número de vinculaciones de red que puedes crear por región en un solo proyecto. Para obtener más información, consulta las cuotas por proyecto en la documentación de VPC.

Siguientes pasos

• Crear y gestionar archivos adjuntos de red