Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Acerca de los adjuntos de red

En esta página, se proporciona una descripción general de los adjuntos de red.

Un adjunto de red es un recurso que permite que una red de nube privada virtual (VPC) de productor inicie conexiones a una red de VPC de consumidor a través de una interfaz de Private Service Connect.

Si un adjunto de red acepta una conexión desde una interfaz de Private Service Connect, Google Cloud asigna a la interfaz una dirección IP interna de una subred de consumidor que especifica el adjunto de red. La instancia de máquina virtual (VM) de la interfaz de Private Service Connect tiene al menos una interfaz de red normal más que se conecta a una subred del productor.

Esta conexión de interfaz de Private Service Connect permite que las organizaciones de productores y consumidores configuren sus redes de VPC para que las dos redes estén conectadas y puedan comunicarse a través de direcciones IP internas. Por ejemplo, la organización del productor puede actualizar la red de VPC del productor para agregar rutas para las subredes del consumidor.

Una conexión entre un adjunto de red y una interfaz de Private Service Connect es similar a la conexión entre un extremo de Private Service Connect y un adjunto de servicio, pero tiene dos diferencias clave:

Un adjunto de red permite que una red de VPC del productor inicie conexiones con una red de VPC del consumidor (salida de servicio administrado). Un extremo funciona en la dirección inversa, lo que permite que una red de VPC del consumidor inicie conexiones a una red de VPC del productor (entrada de servicio administrado).
Una conexión de la interfaz de Private Service Connect es transitiva. Esto significa que las cargas de trabajo en una red de VPC del productor pueden iniciar conexiones con cargas de trabajo en otras redes de VPC que están conectadas a la red de VPC del consumidor.

Por ejemplo, es posible que una organización del consumidor de servicios necesite proporcionar un acceso de servicio administrado a los datos del consumidor que solo esté disponible en la red de VPC del consumidor. Es posible que el servicio también necesite acceso a datos o servicios disponibles de forma local, a través de una conexión de VPN o de Cloud Interconnect, o desde un servicio de terceros. Además, es posible que el consumidor requiera que cualquier tráfico vinculado a Internet que use sus datos se transfiera a través de su propia puerta de enlace de salida. Esto permite que el consumidor supervise el tráfico y proporcione seguridad personalizada.

Una conexión de interfaz de Private Service Connect puede cumplir con todos estos requisitos.

**Figura 1.** Un adjunto de red en una red de VPC del consumidor está conectado a dos interfaces de Private Service Connect en una red de VPC del productor (haz clic para ampliar).

Especificaciones

Los adjuntos de red tienen las siguientes especificaciones:

Un adjunto de red es un recurso regional que representa el lado del consumidor de una conexión de interfaz de Private Service Connect.
Los adjuntos de red te permiten aceptar conexiones de forma explícita o automática de las interfaces de Private Service Connect.
Un adjunto de red está asociado con una sola subred. Puedes usar subredes solo IPv4, de pila doble o solo IPv6 con adjuntos de red. Para obtener más información, consulta Asignación de subredes.
Cuando se acepta una solicitud de conexión, a la interfaz de Private Service Connect se le asigna una dirección IP de la subred del adjunto de red.
Las interfaces de Private Service Connect se pueden conectar al mismo adjunto de red.
Los adjuntos de red admiten la VPC compartida. Puedes crear un adjunto de red en un proyecto de servicio, pero la subred del adjunto debe estar en un proyecto host.
Una conexión entre un adjunto de red y una interfaz de Private Service Connect es bidireccional.
Una conexión entre un adjunto de red y una interfaz de Private Service Connect es transitiva. Las cargas de trabajo en la red de VPC del productor pueden comunicarse con las cargas de trabajo que están conectadas a la red de VPC del consumidor.
Un adjunto de red se puede conectar a interfaces de Private Service Connect virtuales y dinámicas.

Asignación de la subred

Cuando creas un adjunto de red, debes asignarle una sola subred. Si se acepta una solicitud de conexión de una interfaz del productor, ya sea porque el adjunto está configurado para aceptar conexiones de forma automática o porque el proyecto del productor está incluido en la lista de aceptación, a esa interfaz se le asigna una dirección IP del rango de direcciones IP de la subred.

Esta subred tiene las siguientes características:

Debe ser una subred regular.
El tipo de pila de la subred puede ser solo IPv4, de pila doble o solo IPv6. Las subredes de pila doble y solo IPv6 deben tener rangos de direcciones IPv6 internas.
Las direcciones IP en la subred no están reservadas y puedes asignar otros recursos a la subred.
No puedes borrar la subred mientras está asignada a un adjunto de red.
Puedes reemplazar la subred, y las conexiones existentes no se verán afectadas. Las conexiones que se establecen después de reemplazar la subred usan la subred nueva.
Puedes expandir el rango CIDR de la subred, y las asignaciones de direcciones nuevas usarán el rango expandido.

Políticas de autorización

Las políticas de autorización controlan si un adjunto de red acepta una conexión nueva desde una interfaz de Private Service Connect. Puedes configurar políticas de autorización para aceptar automáticamente todas las conexiones o solo aceptar conexiones de productores de servicios específicos.

Para autorizar un productor específico, agrega el ID del proyecto o el ID de la clase de servicio del productor a la lista de aceptación del adjunto de red.

Un ID de clase de servicio es un identificador único que proporcionan algunos servicios de Google para simplificar la autorización de ese servicio. Si un productor intenta crear una interfaz con un ID de clase de servicio que no tiene permiso para usar, la operación falla. Antes de configurar la autorización para un servicio de Google, consulta la documentación del servicio para ver si se requiere un ID de clase de servicio.

Una política de autorización se compone de los siguientes tres campos de un adjunto de red:

Preferencia de conexión: Puede ser ACCEPT_AUTOMATIC o ACCEPT_MANUAL.
- ACCEPT_AUTOMATIC: se aceptan automáticamente las conexiones nuevas
- ACCEPT_MANUAL: el estado de las conexiones nuevas se determina a través de la lista de aceptación de un adjunto de red
Lista de aceptación: Es una lista de IDs de proyectos o IDs de clases de servicio para los adjuntos de red que tienen la preferencia de conexión ACCEPT_MANUAL. Se aceptan las conexiones nuevas de los productores de esta lista. Si una interfaz de Private Service Connect solicita una conexión y el ID del proyecto o el ID de la clase de servicio del productor no están en esta lista, la creación de la VM de la interfaz de Private Service Connect falla.
Lista de rechazo: Es una lista de IDs de proyectos o IDs de clases de servicio para los adjuntos de red que tienen la preferencia de conexión ACCEPT_MANUAL. Las conexiones nuevas de productores con IDs de proyecto o IDs de clase de servicio en esta lista se rechazan de forma explícita, y la creación de la VM de la interfaz de Private Service Connect falla.

Si actualizas la lista de aceptación o rechazo de un adjunto de red, las conexiones existentes no se verán afectadas. Las conexiones que se crean después de la actualización se aceptan o rechazan según las listas actualizadas.

Todos los valores de las listas de aceptación y rechazo deben tener el mismo tipo. No puedes combinar IDs de proyectos y de clases de servicio en la misma política de autorización.

Si un adjunto de red está configurado para aceptar conexiones de forma manual y agregas el mismo ID del proyecto o ID de clase de servicio a las listas de aceptación y rechazo, se rechazan las solicitudes de conexión de ese productor. La creación de la VM de la interfaz de Private Service Connect falla.

Conexiones

Un productor de servicios solicita una conexión a un adjunto de red creando una interfaz de Private Service Connect. En el caso de algunos servicios de Google, un consumidor puede activar una solicitud de conexión a través de la API del servicio.

Una conexión aceptada crea un vínculo lógico o una tupla que consta del adjunto de red y la interfaz de red que hace referencia a él. La interfaz de una VM de productor pertenece lógicamente a la red de VPC del consumidor, pero el productor administra su ciclo de vida. Por ejemplo, el adjunto de red de la figura 1 tiene dos conexiones.

Puedes ver las conexiones aceptadas cuando describes un adjunto de red.

Limitaciones

Solo puedes actualizar la subred, la lista de aceptación, la lista de rechazo y la descripción de un adjunto de red. Si deseas actualizar otros campos, borra el adjunto y crea uno nuevo.
No puedes borrar un adjunto de red si tiene conexiones abiertas. En este caso, la organización del productor primero debe borrar las interfaces de Private Service Connect asociadas.
No puedes asignar direcciones IP externas (anunciadas públicamente) a las interfaces de Private Service Connect.

Precios

Los precios de los adjuntos de red se describen en la página de precios de VPC.

Cuota

Existe un límite para la cantidad de adjuntos de red que puedes crear por región en un solo proyecto. Para obtener más información, consulta las cuotas por proyecto en la documentación de VPC.

¿Qué sigue?

Crea y administra adjuntos de red