Creare e gestire i collegamenti di rete
Questa pagina descrive come gli amministratori di rete consumer possono creare e gestire i collegamenti di rete Private Service Connect. I collegamenti di rete consentono alle reti VPC del producer di servizi di avviare connessioni alle reti VPC consumer.
Prima di iniziare
- Devi abilitare l'API Compute Engine nel tuo progetto.
- Se vuoi specificare manualmente quali progetti possono connettersi a un collegamento di rete, devi conoscere gli ID dei progetti.
Ruoli
Per ottenere le autorizzazioni necessarie per creare, visualizzare ed eliminare i collegamenti di rete, chiedi all'amministratore di concederti il ruolo IAM Amministratore rete Compute (roles/compute.networkAdmin) nel progetto.
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Crea una subnet
Quando crei un collegamento di rete, gli assegni una singola subnet regolare. Questa subnet deve trovarsi nella stessa regione del collegamento di rete. Una subnet può essere condivisa tra più collegamenti di rete. Le subnet con tipo di stack a doppio stack o solo IPv6 devono utilizzare intervalli di indirizzi IPv6 interni.
Per saperne di più sulla creazione di subnet, consulta Crea e gestisci le reti VPC.
Crea collegamenti di rete
I collegamenti di rete sono risorse regionali che rappresentano il lato consumer di una connessione dell'interfaccia Private Service Connect. Un collegamento di rete deve trovarsi nella stessa regione della VM dell'interfaccia Private Service Connect associata.
La policy di autorizzazione del collegamento di rete determina se un collegamento di rete può accettare una connessione da un'interfaccia Private Service Connect.
Puoi aggiornare la subnet, la lista consentita, la lista rifiutata e la descrizione di un collegamento di rete.
Crea un collegamento di rete che accetti manualmente le connessioni
Puoi creare un collegamento di rete che accetta manualmente le connessioni. Prima di creare un allegato di questo tipo, assicurati di conoscere gli ID progetto o gli ID classe di servizio dei produttori che vuoi accettare.
Gli elenchi di accettazione e rifiuto possono contenere ID progetto o ID classe di servizio, ma non un mix di entrambi.
Console
Nella console Google Cloud , vai alla pagina Private Service Connect:
Fai clic su Collegamenti di rete.
Fai clic su Crea collegamento di rete.
Inserisci un Nome.
Seleziona una Rete.
Seleziona una Regione.
Seleziona una subnet.
Esegui una delle seguenti operazioni:
- Per accettare le connessioni in base all'ID progetto:
- Seleziona Accetta connessioni per i progetti selezionati.
- Per ogni progetto che vuoi accettare, fai clic su Aggiungi progetto accettato, quindi inserisci l'ID progetto da accettare.
- (Facoltativo) Per ogni progetto che vuoi rifiutare esplicitamente, fai clic su Aggiungi progetto rifiutato e poi inserisci l'ID progetto da rifiutare.
- Per accettare le connessioni in base all'ID classe di servizio:
- Seleziona Accetta connessioni per le classi di servizi selezionate.
- Per ogni classe di servizio che vuoi accettare, fai clic su Aggiungi classe di servizio accettata e poi seleziona la classe di servizio da accettare.
- (Facoltativo) Per ogni classe di servizio che vuoi rifiutare esplicitamente, fai clic su Aggiungi classe di servizio rifiutata, quindi seleziona la classe di servizio da rifiutare.
- Per accettare le connessioni in base all'ID progetto:
Fai clic su Crea collegamento di rete.
gcloud
Utilizza il comando network-attachments create.
gcloud compute network-attachments create ATTACHMENT_NAME \
--region=REGION \
--connection-preference=ACCEPT_MANUAL \
--producer-accept-list=ACCEPTED_PRODUCERS \
--producer-reject-list=REJECTED_PRODUCERS \
--subnets=SUBNET_NAME
Sostituisci quanto segue:
ATTACHMENT_NAME: il nome dell'allegato di rete.REGION: la regione del collegamento di rete.ACCEPTED_PRODUCERS: un elenco separato da virgole di produttori autorizzati a connettersi a questo collegamento di rete. Puoi specificare i produttori in uno dei seguenti modi:- Per ID progetto: ad esempio,
project-id-1,project-id-2. - Per ID classe di servizio: ogni ID deve utilizzare il prefisso
serviceclasses/, ad esempioserviceclasses/service-class1,serviceclasses/service-class2.
- Per ID progetto: ad esempio,
REJECTED_PRODUCERS: un elenco separato da virgole di ID progetto o ID classe di servizio a cui è esplicitamente negata la connessione a questo collegamento di rete. Specifica i produttori utilizzando lo stesso formato dell'elenco di accettazione dei consumatori.SUBNET_NAME: il nome della subnet da associare a questo collegamento di rete.
API
Invia una richiesta POST al metodo networkAttachments.insert.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments
{
"connectionPreference": "ACCEPT_MANUAL",
"name": "ATTACHMENT_NAME",
"producerAcceptLists": [
"ACCEPTED_PRODUCERS"
],
"producerRejectLists": [
"REJECTED_PRODUCERS"
],
"subnetworks": [
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
]
}
Sostituisci quanto segue:
PROJECT_ID: l'ID del progetto in cui creare l'allegato di rete.REGION: la regione del collegamento di reteATTACHMENT_NAME: il nome dell'allegato di reteACCEPTED_PRODUCERS: un elenco di produttori autorizzati a connettersi a questo collegamento di rete. Puoi specificare i produttori in uno dei seguenti modi:- Per ID progetto: ad esempio,
"project-id-1", "project-id-2". - Per ID classe di servizio: ogni ID deve utilizzare il prefisso
serviceclasses/, ad esempio"serviceclasses/service-class1", "serviceclasses/service-class2".
- Per ID progetto: ad esempio,
REJECTED_PRODUCERS: un elenco di ID progetto o ID classe di servizio che vengono rifiutati esplicitamente per la connessione a questo collegamento di rete. Specifica i produttori utilizzando lo stesso formato dell'elenco di accettazione dei consumatori.SUBNET_NAME: il nome della subnet da associare all'allegato di rete.
Crea un collegamento di rete che accetta automaticamente le connessioni
Puoi creare un collegamento di rete che accetta automaticamente le connessioni da qualsiasi interfaccia Private Service Connect che fa riferimento al collegamento di rete.
Console
Nella console Google Cloud , vai alla pagina Private Service Connect:
Fai clic su Collegamenti di rete.
Fai clic su Crea collegamento di rete.
Inserisci un Nome.
Seleziona una Rete.
Seleziona una Regione.
Seleziona una subnet.
Fai clic su Accetta automaticamente le connessioni per tutti i progetti.
Fai clic su Crea collegamento di rete.
gcloud
Utilizza il comando network-attachments create.
gcloud compute network-attachments create ATTACHMENT_NAME \
--region=REGION \
--connection-preference=ACCEPT_AUTOMATIC \
--subnets=SUBNET_NAME
Sostituisci quanto segue:
ATTACHMENT_NAME: il nome dell'allegato di rete.REGION: la regione del collegamento di rete.SUBNET_NAME: il nome della subnet da associare a questo collegamento di rete.
API
Invia una richiesta POST al metodo networkAttachments.insert.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments
{
"connectionPreference": "ACCEPT_AUTOMATIC",
"name": "ATTACHMENT_NAME",
"subnetworks": [
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
]
}
Sostituisci quanto segue:
PROJECT_ID: l'ID del progetto in cui creare l'allegato di rete.REGION: la regione del collegamento di reteATTACHMENT_NAME: il nome dell'allegato di reteSUBNET_NAME: il nome della subnet da associare all'allegato di rete.
Elenca i collegamenti di rete
Console
Nella console Google Cloud , vai alla pagina Private Service Connect:
Fai clic su Collegamenti di rete.
gcloud
Per elencare tutti i collegamenti di rete in un progetto, utilizza il comando
network-attachments list.gcloud compute network-attachments list
Per elencare gli allegati di rete in una o più regioni, utilizza il comando
network-attachments liste specifica le regioni.gcloud compute network-attachments list --regions=REGIONS
Sostituisci
REGIONScon la regione o le regioni in cui elencare gli allegati di rete. Puoi includere più regioni in un elenco separato da virgole.
API
Per elencare gli allegati di rete in una determinata regione, invia una richiesta GET al
metodo networkAttachments.list.
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments
Sostituisci quanto segue:
PROJECT_ID: l'ID del progettoREGION: la regione del collegamento di rete.
Descrivere i collegamenti di rete
Puoi descrivere un collegamento di rete per visualizzarne i dettagli, incluse le connessioni di interfaccia Private Service Connect associate. Per ogni connessione, puoi visualizzare l'indirizzo IP assegnato all'interfaccia Private Service Connect.
Console
Nella console Google Cloud , vai alla pagina Private Service Connect:
Fai clic su Collegamenti di rete.
Seleziona un collegamento di rete per visualizzarne i dettagli e un elenco dei progetti collegati.
Per visualizzare le singole connessioni dell'interfaccia Private Service Connect per un progetto, fai clic sul nome del progetto.
Lo stato della connessione di un progetto non determina necessariamente lo stato delle connessioni dell'interfaccia Private Service Connect da quel progetto. Ad esempio, se aggiungi un progetto all'elenco di rifiuto dopo aver accettato una connessione da quel progetto, lo stato del progetto è rifiutato, ma la connessione esistente rimane aperta. I nuovi collegamenti da questo progetto vengono rifiutati.
gcloud
Utilizza il comando network-attachments describe.
gcloud compute network-attachments describe ATTACHMENT_NAME \
--region=REGION
Sostituisci quanto segue:
ATTACHMENT_NAME: il nome dell'allegato di rete da descrivere.REGION: la regione del collegamento di rete
Le interfacce Private Service Connect connesse vengono visualizzate nel seguente formato:
connectionEndpoints:
- ipAddress: 10.6.0.59
projectIdOrNum: '123456789'
status: ACCEPTED
subnetwork: https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet
- ipAddress: 10.6.0.11
projectIdOrNum: '987654321'
status: ACCEPTED
subnetwork: https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet
```
API
Per descrivere un collegamento di rete e visualizzarne i dettagli, invia una richiesta GET
al
metodo networkAttachments.get.
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME
Sostituisci quanto segue:
PROJECT_ID: l'ID del progettoREGION: la regione del collegamento di rete.ATTACHMENT_NAME: il nome dell'allegato di rete.
Le interfacce Private Service Connect connesse vengono visualizzate nel seguente formato:
"connectionEndpoints": [
{
"status": "ACCEPTED",
"projectIdOrNum": "123456789",
"subnetwork": "https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet-1",
"ipAddress": "10.6.0.11"
},
{
"status": "ACCEPTED",
"projectIdOrNum": "987654321",
"subnetwork": "https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet-2",
"ipAddress": "10.6.0.59"
}
]
Aggiorna i collegamenti di rete
Puoi aggiornare un collegamento di rete sostituendo la subnet, la descrizione o, per i collegamenti di rete creati per accettare manualmente le connessioni, gli elenchi di accettazione o rifiuto. Se devi aggiornare altri campi, elimina l'allegato di rete e creane uno nuovo.
Se sostituisci la subnet di un collegamento di rete, le connessioni esistenti non sono interessate. Le connessioni create dopo l'aggiornamento utilizzano indirizzi IP della nuova subnet.
Se aggiorni l'elenco di accettazione o rifiuto di un'emittente, le connessioni esistenti non vengono interessate. Le connessioni create dopo l'aggiornamento vengono accettate o rifiutate in base agli elenchi aggiornati.
Console
Nella console Google Cloud , vai alla pagina Private Service Connect:
Fai clic su Collegamenti di rete.
Fai clic sull'allegato di rete da aggiornare e poi su Modifica.
Per sostituire la subnet dell'allegato di rete, fai clic su Subnet e poi seleziona la nuova subnet.
Per aggiornare l'elenco di accettazione:
- Per aggiungere un produttore, fai clic su Aggiungi progetto accettato o Aggiungi classe di servizio accettata, quindi inserisci un ID progetto o seleziona una classe di servizio.
- Per rimuovere un produttore, tieni il puntatore sul produttore e poi fai clic su Elimina progetto accettato o Elimina classe di servizio accettata.
Per aggiornare l'elenco dei rifiuti:
- Per aggiungere un produttore, fai clic su Aggiungi progetto rifiutato o Aggiungi classe di servizio rifiutata, quindi inserisci un ID progetto o seleziona una classe di servizio.
- Per rimuovere un produttore, tieni il puntatore sopra il produttore, quindi fai clic su Elimina progetto rifiutato o Elimina classe di servizio rifiutata.
Fai clic su Aggiorna collegamento di rete.
gcloud
Utilizza il comando network-attachments update.
Puoi aggiornare uno o più
dei campi elencati qui, ad eccezione della regione, che viene utilizzata per identificare
l'allegato di rete. Se aggiorni gli elenchi di accettazione o rifiuto di un allegato di rete, devi sostituire l'intero elenco in un unico aggiornamento.
gcloud compute network-attachments update ATTACHMENT_NAME \
--region=REGION \
--subnets=SUBNET \
--producer-accept-list=ACCEPTED_PRODUCERS \
--producer-reject-list=REJECTED_PRODUCERS \
--description=DESCRIPTION
Sostituisci quanto segue:
ATTACHMENT_NAME: il nome dell'allegato di rete.REGION: la regione del collegamento di rete. Questo flag viene utilizzato per identificare l'allegato di rete. Non puoi aggiornare la regione di un collegamento di rete.SUBNET: il nome della subnet da associare a questo collegamento di rete.ACCEPTED_PRODUCERS: un elenco separato da virgole di produttori autorizzati a connettersi a questo collegamento di rete. Puoi specificare i produttori in uno dei seguenti modi:- Per ID progetto: ad esempio,
project-id-1,project-id-2. - Per ID classe di servizio: ogni ID deve utilizzare il prefisso
serviceclasses/, ad esempioserviceclasses/service-class1,serviceclasses/service-class2.
- Per ID progetto: ad esempio,
REJECTED_PRODUCERS: un elenco separato da virgole di ID progetto o ID classe di servizio a cui è esplicitamente negata la connessione a questo collegamento di rete. Specifica i produttori utilizzando lo stesso formato dell'elenco di accettazione dei consumatori.DESCRIPTION: una descrizione dell'allegato di rete.
API
- Invia una richiesta API per descrivere il collegamento di rete che vuoi aggiornare.
- Prendi nota del valore del campo
fingerprintdell'allegato di rete. Invia una richiesta
PATCHal metodonetworkAttachments.patch. Ometti dal corpo della richiesta i campi che non vuoi sostituire, ad eccezione difingerprint. Se aggiorni gli elenchi di accettazione o rifiuto di un allegato di rete, devi sostituire l'intero elenco in un unico aggiornamento.PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME { "fingerprint": "FINGERPRINT", "producerAcceptLists": [ "ACCEPTED_PRODUCERS" ], "producerRejectLists": [ "REJECTED_PRODUCERS" ], "subnetworks": [ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME" ], "description": "DESCRIPTION" }Sostituisci quanto segue:
PROJECT_ID: l'ID del progettoREGION: la regione del collegamento di rete.ATTACHMENT_NAME: il nome dell'allegato di rete.FINGERPRINT: il valore del campo impronta che hai trovato nel passaggio 2.ACCEPTED_PRODUCERS: un elenco di produttori autorizzati a connettersi a questo collegamento di rete. Puoi specificare i produttori in uno dei seguenti modi:- Per ID progetto: ad esempio,
"project-id-1", "project-id-2". - Per ID classe di servizio: ogni ID deve utilizzare il prefisso
serviceclasses/, ad esempio"serviceclasses/service-class1", "serviceclasses/service-class2".
- Per ID progetto: ad esempio,
REJECTED_PRODUCERS: un elenco di ID progetto o ID classe di servizio che vengono rifiutati esplicitamente per la connessione a questo collegamento di rete. Specifica i produttori utilizzando lo stesso formato dell'elenco di accettazione dei consumatori.SUBNET_NAME: il nome della nuova subnet da associare all'allegato di rete.DESCRIPTION: una descrizione aggiornata dell'allegato di rete.
Elimina collegamenti di rete
Puoi eliminare un collegamento di rete se non ha connessioni. Se vuoi eliminare un collegamento di rete con connessioni, il producer deve prima eliminare l'interfaccia Private Service Connect associata.
Se elimini un collegamento di rete e ne crei uno nuovo con lo stesso nome,Google Cloud considera i collegamenti di rete come due risorse separate.
Console
Nella console Google Cloud , vai alla pagina Private Service Connect:
Fai clic su Collegamenti di rete.
Seleziona un collegamento di rete, quindi fai clic su Elimina.
Fai di nuovo clic su Elimina per confermare.
gcloud
Utilizza il comando network-attachments delete.
gcloud compute network-attachments delete ATTACHMENT_NAME \
--region=REGION
Sostituisci quanto segue:
ATTACHMENT_NAME: il nome dell'allegato di rete da descrivere.REGION: la regione del collegamento di rete
API
Invia una richiesta DELETE al metodo networkAttachments.delete.
DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME
Sostituisci quanto segue:
PROJECT_ID: l'ID del progettoREGION: la regione del collegamento di rete.ATTACHMENT_NAME: il nome dell'allegato di rete.
Passaggi successivi
- Crea un'interfaccia Private Service Connect che si connette a un collegamento di rete.
- Configura la sicurezza per una rete con un collegamento di rete.
- Gestisci la sovrapposizione della destinazione in una rete con una connessione all'interfaccia Private Service Connect.