Creare e gestire i collegamenti di rete

Questa pagina descrive come gli amministratori di rete consumer possono creare e gestire i collegamenti di rete Private Service Connect. I collegamenti di rete consentono alle reti VPC del producer di servizi di avviare connessioni alle reti VPC consumer.

Prima di iniziare

  • Devi abilitare l'API Compute Engine nel tuo progetto.
  • Se vuoi specificare manualmente quali progetti possono connettersi a un collegamento di rete, devi conoscere gli ID dei progetti.

Ruoli

Per ottenere le autorizzazioni necessarie per creare, visualizzare ed eliminare i collegamenti di rete, chiedi all'amministratore di concederti il ruolo IAM Amministratore rete Compute (roles/compute.networkAdmin) nel progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Crea una subnet

Quando crei un collegamento di rete, gli assegni una singola subnet regolare. Questa subnet deve trovarsi nella stessa regione del collegamento di rete. Una subnet può essere condivisa tra più collegamenti di rete. Le subnet con tipo di stack a doppio stack o solo IPv6 devono utilizzare intervalli di indirizzi IPv6 interni.

Per saperne di più sulla creazione di subnet, consulta Crea e gestisci le reti VPC.

Crea collegamenti di rete

I collegamenti di rete sono risorse regionali che rappresentano il lato consumer di una connessione dell'interfaccia Private Service Connect. Un collegamento di rete deve trovarsi nella stessa regione della VM dell'interfaccia Private Service Connect associata.

La policy di autorizzazione del collegamento di rete determina se un collegamento di rete può accettare una connessione da un'interfaccia Private Service Connect.

Puoi aggiornare la subnet, la lista consentita, la lista rifiutata e la descrizione di un collegamento di rete.

Crea un collegamento di rete che accetti manualmente le connessioni

Puoi creare un collegamento di rete che accetta manualmente le connessioni. Prima di creare un allegato di questo tipo, assicurati di conoscere gli ID progetto o gli ID classe di servizio dei produttori che vuoi accettare.

Gli elenchi di accettazione e rifiuto possono contenere ID progetto o ID classe di servizio, ma non un mix di entrambi.

Console

  1. Nella console Google Cloud , vai alla pagina Private Service Connect:

    Vai a Private Service Connect

  2. Fai clic su Collegamenti di rete.

  3. Fai clic su Crea collegamento di rete.

  4. Inserisci un Nome.

  5. Seleziona una Rete.

  6. Seleziona una Regione.

  7. Seleziona una subnet.

  8. Esegui una delle seguenti operazioni:

    • Per accettare le connessioni in base all'ID progetto:
      1. Seleziona Accetta connessioni per i progetti selezionati.
      2. Per ogni progetto che vuoi accettare, fai clic su Aggiungi progetto accettato, quindi inserisci l'ID progetto da accettare.
      3. (Facoltativo) Per ogni progetto che vuoi rifiutare esplicitamente, fai clic su Aggiungi progetto rifiutato e poi inserisci l'ID progetto da rifiutare.
    • Per accettare le connessioni in base all'ID classe di servizio:
      1. Seleziona Accetta connessioni per le classi di servizi selezionate.
      2. Per ogni classe di servizio che vuoi accettare, fai clic su Aggiungi classe di servizio accettata e poi seleziona la classe di servizio da accettare.
      3. (Facoltativo) Per ogni classe di servizio che vuoi rifiutare esplicitamente, fai clic su Aggiungi classe di servizio rifiutata, quindi seleziona la classe di servizio da rifiutare.
  9. Fai clic su Crea collegamento di rete.

gcloud

Utilizza il comando network-attachments create.

gcloud compute network-attachments create ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_MANUAL \
    --producer-accept-list=ACCEPTED_PRODUCERS \
    --producer-reject-list=REJECTED_PRODUCERS \
    --subnets=SUBNET_NAME

Sostituisci quanto segue:

  • ATTACHMENT_NAME: il nome dell'allegato di rete.
  • REGION: la regione del collegamento di rete.
  • ACCEPTED_PRODUCERS: un elenco separato da virgole di produttori autorizzati a connettersi a questo collegamento di rete. Puoi specificare i produttori in uno dei seguenti modi:
    • Per ID progetto: ad esempio, project-id-1,project-id-2.
    • Per ID classe di servizio: ogni ID deve utilizzare il prefisso serviceclasses/, ad esempio serviceclasses/service-class1,serviceclasses/service-class2.
  • REJECTED_PRODUCERS: un elenco separato da virgole di ID progetto o ID classe di servizio a cui è esplicitamente negata la connessione a questo collegamento di rete. Specifica i produttori utilizzando lo stesso formato dell'elenco di accettazione dei consumatori.
  • SUBNET_NAME: il nome della subnet da associare a questo collegamento di rete.

API

Invia una richiesta POST al metodo networkAttachments.insert.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments
{
  "connectionPreference": "ACCEPT_MANUAL",
  "name": "ATTACHMENT_NAME",
  "producerAcceptLists": [
    "ACCEPTED_PRODUCERS"
  ],
  "producerRejectLists": [
    "REJECTED_PRODUCERS"
  ],
  "subnetworks": [
    "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
  ]
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto in cui creare l'allegato di rete.
  • REGION: la regione del collegamento di rete
  • ATTACHMENT_NAME: il nome dell'allegato di rete
  • ACCEPTED_PRODUCERS: un elenco di produttori autorizzati a connettersi a questo collegamento di rete. Puoi specificare i produttori in uno dei seguenti modi:
    • Per ID progetto: ad esempio, "project-id-1", "project-id-2".
    • Per ID classe di servizio: ogni ID deve utilizzare il prefisso serviceclasses/, ad esempio "serviceclasses/service-class1", "serviceclasses/service-class2".
  • REJECTED_PRODUCERS: un elenco di ID progetto o ID classe di servizio che vengono rifiutati esplicitamente per la connessione a questo collegamento di rete. Specifica i produttori utilizzando lo stesso formato dell'elenco di accettazione dei consumatori.
  • SUBNET_NAME: il nome della subnet da associare all'allegato di rete.

Crea un collegamento di rete che accetta automaticamente le connessioni

Puoi creare un collegamento di rete che accetta automaticamente le connessioni da qualsiasi interfaccia Private Service Connect che fa riferimento al collegamento di rete.

Console

  1. Nella console Google Cloud , vai alla pagina Private Service Connect:

    Vai a Private Service Connect

  2. Fai clic su Collegamenti di rete.

  3. Fai clic su Crea collegamento di rete.

  4. Inserisci un Nome.

  5. Seleziona una Rete.

  6. Seleziona una Regione.

  7. Seleziona una subnet.

  8. Fai clic su Accetta automaticamente le connessioni per tutti i progetti.

  9. Fai clic su Crea collegamento di rete.

gcloud

Utilizza il comando network-attachments create.

gcloud compute network-attachments create ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_AUTOMATIC \
    --subnets=SUBNET_NAME

Sostituisci quanto segue:

  • ATTACHMENT_NAME: il nome dell'allegato di rete.
  • REGION: la regione del collegamento di rete.
  • SUBNET_NAME: il nome della subnet da associare a questo collegamento di rete.

API

Invia una richiesta POST al metodo networkAttachments.insert.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments
{
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "name": "ATTACHMENT_NAME",
  "subnetworks": [
    "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
  ]
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto in cui creare l'allegato di rete.
  • REGION: la regione del collegamento di rete
  • ATTACHMENT_NAME: il nome dell'allegato di rete
  • SUBNET_NAME: il nome della subnet da associare all'allegato di rete.

Elenca i collegamenti di rete

Console

  1. Nella console Google Cloud , vai alla pagina Private Service Connect:

    Vai a Private Service Connect

  2. Fai clic su Collegamenti di rete.

gcloud

  • Per elencare tutti i collegamenti di rete in un progetto, utilizza il comando network-attachments list.

    gcloud compute network-attachments list
    
  • Per elencare gli allegati di rete in una o più regioni, utilizza il comando network-attachments list e specifica le regioni.

    gcloud compute network-attachments list
       --regions=REGIONS
    

    Sostituisci REGIONS con la regione o le regioni in cui elencare gli allegati di rete. Puoi includere più regioni in un elenco separato da virgole.

API

Per elencare gli allegati di rete in una determinata regione, invia una richiesta GET al metodo networkAttachments.list.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto
  • REGION: la regione del collegamento di rete.

Descrivere i collegamenti di rete

Puoi descrivere un collegamento di rete per visualizzarne i dettagli, incluse le connessioni di interfaccia Private Service Connect associate. Per ogni connessione, puoi visualizzare l'indirizzo IP assegnato all'interfaccia Private Service Connect.

Console

  1. Nella console Google Cloud , vai alla pagina Private Service Connect:

    Vai a Private Service Connect

  2. Fai clic su Collegamenti di rete.

  3. Seleziona un collegamento di rete per visualizzarne i dettagli e un elenco dei progetti collegati.

  4. Per visualizzare le singole connessioni dell'interfaccia Private Service Connect per un progetto, fai clic sul nome del progetto.

    Lo stato della connessione di un progetto non determina necessariamente lo stato delle connessioni dell'interfaccia Private Service Connect da quel progetto. Ad esempio, se aggiungi un progetto all'elenco di rifiuto dopo aver accettato una connessione da quel progetto, lo stato del progetto è rifiutato, ma la connessione esistente rimane aperta. I nuovi collegamenti da questo progetto vengono rifiutati.

gcloud

Utilizza il comando network-attachments describe.

gcloud compute network-attachments describe ATTACHMENT_NAME \
    --region=REGION

Sostituisci quanto segue:

  • ATTACHMENT_NAME: il nome dell'allegato di rete da descrivere.
  • REGION: la regione del collegamento di rete

Le interfacce Private Service Connect connesse vengono visualizzate nel seguente formato:

connectionEndpoints:
- ipAddress: 10.6.0.59
  projectIdOrNum: '123456789'
  status: ACCEPTED
  subnetwork: https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet
- ipAddress: 10.6.0.11
  projectIdOrNum: '987654321'
  status: ACCEPTED
  subnetwork: https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet
  ```

API

Per descrivere un collegamento di rete e visualizzarne i dettagli, invia una richiesta GET al metodo networkAttachments.get.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto
  • REGION: la regione del collegamento di rete.
  • ATTACHMENT_NAME: il nome dell'allegato di rete.

Le interfacce Private Service Connect connesse vengono visualizzate nel seguente formato:

"connectionEndpoints": [
  {
    "status": "ACCEPTED",
    "projectIdOrNum": "123456789",
    "subnetwork": "https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet-1",
    "ipAddress": "10.6.0.11"
  },
  {
    "status": "ACCEPTED",
    "projectIdOrNum": "987654321",
    "subnetwork": "https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet-2",
    "ipAddress": "10.6.0.59"
  }
]

Aggiorna i collegamenti di rete

Puoi aggiornare un collegamento di rete sostituendo la subnet, la descrizione o, per i collegamenti di rete creati per accettare manualmente le connessioni, gli elenchi di accettazione o rifiuto. Se devi aggiornare altri campi, elimina l'allegato di rete e creane uno nuovo.

Se sostituisci la subnet di un collegamento di rete, le connessioni esistenti non sono interessate. Le connessioni create dopo l'aggiornamento utilizzano indirizzi IP della nuova subnet.

Se aggiorni l'elenco di accettazione o rifiuto di un'emittente, le connessioni esistenti non vengono interessate. Le connessioni create dopo l'aggiornamento vengono accettate o rifiutate in base agli elenchi aggiornati.

Console

  1. Nella console Google Cloud , vai alla pagina Private Service Connect:

    Vai a Private Service Connect

  2. Fai clic su Collegamenti di rete.

  3. Fai clic sull'allegato di rete da aggiornare e poi su Modifica.

  4. Per sostituire la subnet dell'allegato di rete, fai clic su Subnet e poi seleziona la nuova subnet.

  5. Per aggiornare l'elenco di accettazione:

    1. Per aggiungere un produttore, fai clic su Aggiungi progetto accettato o Aggiungi classe di servizio accettata, quindi inserisci un ID progetto o seleziona una classe di servizio.
    2. Per rimuovere un produttore, tieni il puntatore sul produttore e poi fai clic su Elimina progetto accettato o Elimina classe di servizio accettata.
  6. Per aggiornare l'elenco dei rifiuti:

    1. Per aggiungere un produttore, fai clic su Aggiungi progetto rifiutato o Aggiungi classe di servizio rifiutata, quindi inserisci un ID progetto o seleziona una classe di servizio.
    2. Per rimuovere un produttore, tieni il puntatore sopra il produttore, quindi fai clic su Elimina progetto rifiutato o Elimina classe di servizio rifiutata.
  7. Fai clic su Aggiorna collegamento di rete.

gcloud

Utilizza il comando network-attachments update. Puoi aggiornare uno o più dei campi elencati qui, ad eccezione della regione, che viene utilizzata per identificare l'allegato di rete. Se aggiorni gli elenchi di accettazione o rifiuto di un allegato di rete, devi sostituire l'intero elenco in un unico aggiornamento.

gcloud compute network-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --subnets=SUBNET \
    --producer-accept-list=ACCEPTED_PRODUCERS \
    --producer-reject-list=REJECTED_PRODUCERS \
    --description=DESCRIPTION

Sostituisci quanto segue:

  • ATTACHMENT_NAME: il nome dell'allegato di rete.
  • REGION: la regione del collegamento di rete. Questo flag viene utilizzato per identificare l'allegato di rete. Non puoi aggiornare la regione di un collegamento di rete.
  • SUBNET: il nome della subnet da associare a questo collegamento di rete.
  • ACCEPTED_PRODUCERS: un elenco separato da virgole di produttori autorizzati a connettersi a questo collegamento di rete. Puoi specificare i produttori in uno dei seguenti modi:
    • Per ID progetto: ad esempio, project-id-1,project-id-2.
    • Per ID classe di servizio: ogni ID deve utilizzare il prefisso serviceclasses/, ad esempio serviceclasses/service-class1,serviceclasses/service-class2.
  • REJECTED_PRODUCERS: un elenco separato da virgole di ID progetto o ID classe di servizio a cui è esplicitamente negata la connessione a questo collegamento di rete. Specifica i produttori utilizzando lo stesso formato dell'elenco di accettazione dei consumatori.
  • DESCRIPTION: una descrizione dell'allegato di rete.

API

  1. Invia una richiesta API per descrivere il collegamento di rete che vuoi aggiornare.
  2. Prendi nota del valore del campo fingerprint dell'allegato di rete.
  3. Invia una richiesta PATCH al metodo networkAttachments.patch. Ometti dal corpo della richiesta i campi che non vuoi sostituire, ad eccezione di fingerprint. Se aggiorni gli elenchi di accettazione o rifiuto di un allegato di rete, devi sostituire l'intero elenco in un unico aggiornamento.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME
    {
      "fingerprint": "FINGERPRINT",
      "producerAcceptLists": [
        "ACCEPTED_PRODUCERS"
      ],
      "producerRejectLists": [
        "REJECTED_PRODUCERS"
      ],
      "subnetworks": [
        "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
      ],
      "description": "DESCRIPTION"
    }
    

    Sostituisci quanto segue:

    • PROJECT_ID: l'ID del progetto
    • REGION: la regione del collegamento di rete.
    • ATTACHMENT_NAME: il nome dell'allegato di rete.
    • FINGERPRINT: il valore del campo impronta che hai trovato nel passaggio 2.
    • ACCEPTED_PRODUCERS: un elenco di produttori autorizzati a connettersi a questo collegamento di rete. Puoi specificare i produttori in uno dei seguenti modi:
      • Per ID progetto: ad esempio, "project-id-1", "project-id-2".
      • Per ID classe di servizio: ogni ID deve utilizzare il prefisso serviceclasses/, ad esempio "serviceclasses/service-class1", "serviceclasses/service-class2".
    • REJECTED_PRODUCERS: un elenco di ID progetto o ID classe di servizio che vengono rifiutati esplicitamente per la connessione a questo collegamento di rete. Specifica i produttori utilizzando lo stesso formato dell'elenco di accettazione dei consumatori.
    • SUBNET_NAME: il nome della nuova subnet da associare all'allegato di rete.
    • DESCRIPTION: una descrizione aggiornata dell'allegato di rete.

Elimina collegamenti di rete

Puoi eliminare un collegamento di rete se non ha connessioni. Se vuoi eliminare un collegamento di rete con connessioni, il producer deve prima eliminare l'interfaccia Private Service Connect associata.

Se elimini un collegamento di rete e ne crei uno nuovo con lo stesso nome,Google Cloud considera i collegamenti di rete come due risorse separate.

Console

  1. Nella console Google Cloud , vai alla pagina Private Service Connect:

    Vai a Private Service Connect

  2. Fai clic su Collegamenti di rete.

  3. Seleziona un collegamento di rete, quindi fai clic su Elimina.

  4. Fai di nuovo clic su Elimina per confermare.

gcloud

Utilizza il comando network-attachments delete.

gcloud compute network-attachments delete ATTACHMENT_NAME \
    --region=REGION

Sostituisci quanto segue:

  • ATTACHMENT_NAME: il nome dell'allegato di rete da descrivere.
  • REGION: la regione del collegamento di rete

API

Invia una richiesta DELETE al metodo networkAttachments.delete.

DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto
  • REGION: la regione del collegamento di rete.
  • ATTACHMENT_NAME: il nome dell'allegato di rete.

Passaggi successivi