Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Criar e gerenciar anexos de rede

Nesta página, descrevemos como os administradores de rede do consumidor podem criar e gerenciar anexos de rede do Private Service Connect. Os anexos de rede permitem que as redes VPC do produtor de serviço iniciem conexões com redes VPC do consumidor.

Antes de começar

Você precisa ativar a API Compute Engine no projeto.
Se você quiser especificar manualmente quais projetos podem se conectar a um anexo de rede, precisará saber os códigos dos projetos.

Papéis

Para receber as permissões necessárias para criar, ver e excluir anexos de rede, peça ao administrador para conceder a você o papel do IAM de Administrador de rede do Compute (roles/compute.networkAdmin) no projeto. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Criar uma sub-rede

Ao criar um anexo de rede, você atribui a ele uma única sub-rede regular. A sub-rede precisa estar na mesma região do anexo de rede. Uma sub-rede pode ser compartilhada em vários anexos de rede. As sub-redes com o tipo de pilha de pilha dupla ou somente IPv6 precisam usar intervalos de endereços IPv6 internos.

Para mais informações sobre como criar sub-redes, consulte Criar e gerenciar redes VPC.

Criar anexos de redee

Os anexos de rede são recursos regionais que representam o lado do consumidor de uma interface do Private Service Connect. Um anexo de rede precisa estar na mesma região que a VM da interface do Private Service Connect associada.

A política de autorização do anexo de rede determina se um anexo de rede pode aceitar uma conexão de uma interface do Private Service Connect.

É possível atualizar a sub-rede, a lista de aceitação, a lista de rejeição e a descrição de um anexo de rede.

Criar um anexo de rede que aceite conexões manualmente

Você pode criar um anexo de rede que aceite conexões manualmente. Antes de criar um anexo desse tipo, verifique se você sabe os IDs dos projetos ou das classes de serviço dos produtores que quer aceitar.

As listas de aceitação e rejeição podem conter IDs de projeto ou de classe de serviço, mas não uma combinação dos dois.

Console

No console do Google Cloud , acesse a página Private Service Connect:

Acessar a página "Private Service Connect"
Clique em Anexos de rede.
Clique em Criar anexo de rede.
Digite um Nome.
Selecione uma rede.
Selecione uma Região.
Selecione uma sub-rede.
Escolha uma destas opções:
- Para aceitar conexões com base no ID do projeto:
  1. Selecione Aceitar conexões para projetos selecionados.
  2. Para cada projeto que você quer aceitar, clique em Adicionar projeto aceito e insira o ID do projeto.
  3. Opcional: para cada projeto que você quer rejeitar explicitamente, clique em Adicionar projeto rejeitado e insira o ID do projeto para rejeitar.
- Para aceitar conexões com base no ID da classe de serviço:
  1. Selecione Aceitar conexões para as classes de serviço selecionadas.
  2. Para cada classe de serviço que você quer aceitar, clique em Adicionar classe de serviço aceita e selecione a classe de serviço que será aceita.
  3. Opcional: para cada classe de serviço que você quer rejeitar explicitamente, clique em Adicionar classe de serviço rejeitada e selecione a classe de serviço a ser rejeitada.
Clique em Criar anexo de rede.

gcloud

Use o comando network-attachments create.

gcloud compute network-attachments create ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_MANUAL \
    --producer-accept-list=ACCEPTED_PRODUCERS \
    --producer-reject-list=REJECTED_PRODUCERS \
    --subnets=SUBNET_NAME

Substitua:

ATTACHMENT_NAME: o nome do anexo de rede.
REGION: a região do anexo de rede.
ACCEPTED_PRODUCERS: uma lista separada por vírgulas de produtores autorizados a se conectar a esse anexo de rede. É possível especificar produtores de uma das seguintes maneiras:
- Por ID do projeto: por exemplo, project-id-1,project-id-2.
- Por ID da classe de serviço: cada ID precisa usar o prefixo serviceclasses/. Por exemplo, serviceclasses/service-class1,serviceclasses/service-class2.
REJECTED_PRODUCERS: uma lista separada por vírgulas de IDs de projetos ou IDs de classes de serviço que são explicitamente rejeitados de se conectar a esse anexo de rede. Especifique os produtores usando o mesmo formato da lista de aceitação do consumidor.
SUBNET_NAME: o nome da sub-rede a ser associada ao anexo de rede.

API

Faça uma solicitação POST ao método networkAttachments.insert.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments
{
  "connectionPreference": "ACCEPT_MANUAL",
  "name": "ATTACHMENT_NAME",
  "producerAcceptLists": [
    "ACCEPTED_PRODUCERS"
  ],
  "producerRejectLists": [
    "REJECTED_PRODUCERS"
  ],
  "subnetworks": [
    "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
  ]
}

Substitua:

PROJECT_ID: o ID do projeto em que o anexo de rede será criado.
REGION: a região do anexo de rede
ATTACHMENT_NAME: o nome do anexo de rede.
ACCEPTED_PRODUCERS: uma lista de produtores autorizados a se conectar a esse anexo de rede. É possível especificar produtores de uma das seguintes maneiras:
- Por ID do projeto: por exemplo, "project-id-1", "project-id-2".
- Por ID da classe de serviço: cada ID precisa usar o prefixo serviceclasses/. Por exemplo, "serviceclasses/service-class1", "serviceclasses/service-class2".
REJECTED_PRODUCERS: uma lista de IDs de projetos ou de classes de serviço que são explicitamente rejeitados para conexão com esse anexo de rede. Especifique os produtores usando o mesmo formato da lista de aceitação do consumidor.
SUBNET_NAME: o nome da sub-rede a ser associada ao anexo de rede.

Criar um anexo de rede que aceite conexões automaticamente

É possível criar um anexo de rede que aceite automaticamente conexões de qualquer interface do Private Service Connect que se refira ao anexo de rede.

Console

No console do Google Cloud , acesse a página Private Service Connect:

Acessar a página "Private Service Connect"
Clique em Anexos de rede.
Clique em Criar anexo de rede.
Digite um Nome.
Selecione uma rede.
Selecione uma Região.
Selecione uma sub-rede.
Clique em Aceitar conexões automaticamente para todos os projetos
Clique em Criar anexo de rede.

gcloud

Use o comando network-attachments create.

gcloud compute network-attachments create ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_AUTOMATIC \
    --subnets=SUBNET_NAME

Substitua:

ATTACHMENT_NAME: o nome do anexo de rede.
REGION: a região do anexo de rede.
SUBNET_NAME: o nome da sub-rede a ser associada ao anexo de rede.

API

Faça uma solicitação POST ao método networkAttachments.insert.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments
{
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "name": "ATTACHMENT_NAME",
  "subnetworks": [
    "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
  ]
}

Substitua:

PROJECT_ID: o ID do projeto em que o anexo de rede será criado.
REGION: a região do anexo de rede
ATTACHMENT_NAME: o nome do anexo de rede.
SUBNET_NAME: o nome da sub-rede a ser associada ao anexo de rede.

Listar anexos da rede

Console

No console do Google Cloud , acesse a página Private Service Connect:

Acessar a página "Private Service Connect"
Clique em Anexos de rede.

gcloud

Para listar todos os anexos de rede em um projeto, use o comando network-attachments list.
```
gcloud compute network-attachments list
```
Para listar anexos de rede em uma ou mais regiões, use o comando network-attachments list e especifique as regiões.
```
gcloud compute network-attachments list
   --regions=REGIONS
```
Substitua REGIONS pela região ou regiões em que os anexos de rede serão listados. É possível incluir várias regiões em uma lista separada por vírgulas.

API

Para listar anexos de rede em uma determinada região, faça uma solicitação GET para o método networkAttachments.list.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments

Substitua:

PROJECT_ID: o ID do projeto.
REGION: a região do anexo de rede.

Descrever anexos de rede

Descreva um anexo de rede para visualizar os detalhes dele, incluindo as conexões da interface do Private Service Connect associadas. Para cada conexão, é possível ver o endereço IP atribuído da interface Private Service Connect.

Console

No console do Google Cloud , acesse a página Private Service Connect:

Acessar a página "Private Service Connect"
Clique em Anexos de rede.
Selecione um anexo de rede para ver os detalhes e uma lista de projetos conectados.
Para ver as conexões individuais da interface do Private Service Connect de um projeto, clique no nome dele.

O status da conexão de um projeto não determina necessariamente o status das conexões de interface do Private Service Connect desse projeto. Por exemplo, se você adicionar um projeto à lista de rejeição depois de aceitar uma conexão dele, o status do projeto será rejeitado, mas a conexão atual permanecerá aberta. Novas conexões desse projeto são rejeitadas.

gcloud

Use o comando network-attachments describe.

gcloud compute network-attachments describe ATTACHMENT_NAME \
    --region=REGION

Substitua:

ATTACHMENT_NAME: o nome do anexo de rede a ser descrito.
REGION: a região do anexo de rede

As interfaces conectadas do Private Service Connect são mostradas no seguinte formato:

connectionEndpoints:
- ipAddress: 10.6.0.59
  projectIdOrNum: '123456789'
  status: ACCEPTED
  subnetwork: https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet
- ipAddress: 10.6.0.11
  projectIdOrNum: '987654321'
  status: ACCEPTED
  subnetwork: https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet
  ```

API

Para descrever uma rede e visualizar os detalhes dela, faça uma solicitação GET para o método networkAttachments.get.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME

Substitua:

PROJECT_ID: o ID do projeto.
REGION: a região do anexo de rede.
ATTACHMENT_NAME: o nome do anexo de rede.

As interfaces conectadas do Private Service Connect são mostradas no seguinte formato:

"connectionEndpoints": [
  {
    "status": "ACCEPTED",
    "projectIdOrNum": "123456789",
    "subnetwork": "https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet-1",
    "ipAddress": "10.6.0.11"
  },
  {
    "status": "ACCEPTED",
    "projectIdOrNum": "987654321",
    "subnetwork": "https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet-2",
    "ipAddress": "10.6.0.59"
  }
]

Atualizar anexos de rede

Atualize um anexo de rede substituindo a sub-rede, a descrição ou, no caso de anexos de rede que foram criados para aceitar conexões manualmente, as listas de aceitar ou rejeitar. Se você precisar atualizar outros campos, exclua o anexo de rede e crie um novo.

Se você substituir a sub-rede de um anexo de rede, as conexões atuais não serão afetadas. As conexões criadas após a atualização usam endereços IP da nova sub-rede.

Se você atualizar a lista de aceitação ou rejeição de um anexo de rede, as conexões atuais não serão afetadas. As conexões criadas após a atualização são aceitas ou rejeitadas de acordo com as listas atualizadas.

Console

No console do Google Cloud , acesse a página Private Service Connect:

Acessar a página "Private Service Connect"
Clique em Anexos de rede.
Clique no anexo de rede que você quer atualizar e clique em Editar.
Para substituir a sub-rede do anexo de rede, clique em Sub-rede e selecione a nova sub-rede.
Para atualizar a lista de aceitação, faça o seguinte:
1. Para adicionar um produtor, clique em Adicionar projeto aceito ou Adicionar classe de serviço aceita e insira um ID do projeto ou selecione uma classe de serviço.
2. Para remover um produtor, mantenha o ponteiro sobre ele e clique em Excluir projeto aceito ou Excluir classe de serviço aceita.
Para atualizar a lista de rejeição, faça o seguinte:
1. Para adicionar um produtor, clique em Adicionar projeto rejeitado ou Adicionar classe de serviço rejeitada e insira um ID do projeto ou selecione uma classe de serviço.
2. Para remover um produtor, mantenha o ponteiro sobre ele e clique em Excluir projeto rejeitado ou Excluir classe de serviço rejeitada.
Clique em Atualizar anexo de rede.

gcloud

Use o comando network-attachments update. É possível atualizar um ou mais dos campos listados aqui, exceto o valor de região, que é usado para identificar o anexo da rede. Se você atualizar as listas de aceitação ou rejeição de um anexo de rede, será necessário substituir a lista inteira em uma atualização.

gcloud compute network-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --subnets=SUBNET \
    --producer-accept-list=ACCEPTED_PRODUCERS \
    --producer-reject-list=REJECTED_PRODUCERS \
    --description=DESCRIPTION

Substitua:

ATTACHMENT_NAME: o nome do anexo de rede.
REGION: a região do anexo de rede. Esta flag é usada para identificar o anexo de rede. Não é possível atualizar a região de um anexo de rede.
SUBNET: o nome da sub-rede a ser associada ao anexo de rede.
ACCEPTED_PRODUCERS: uma lista separada por vírgulas de produtores autorizados a se conectar a esse anexo de rede. É possível especificar produtores de uma das seguintes maneiras:
- Por ID do projeto: por exemplo, project-id-1,project-id-2.
- Por ID da classe de serviço: cada ID precisa usar o prefixo serviceclasses/. Por exemplo, serviceclasses/service-class1,serviceclasses/service-class2.
REJECTED_PRODUCERS: uma lista separada por vírgulas de IDs de projetos ou IDs de classes de serviço que são explicitamente rejeitados de se conectar a esse anexo de rede. Especifique os produtores usando o mesmo formato da lista de aceitação do consumidor.
DESCRIPTION: uma descrição do anexo da rede.

API

Envie uma solicitação de API para describe (descrever) o anexo de rede que você quer atualizar.
Anote o valor do campo fingerprint do anexo de rede.
Faça uma solicitação PATCH ao método networkAttachments.patch. Omita todos os campos do corpo da solicitação que você não queira substituir, exceto fingerprint. Se você atualizar as listas de aceitação ou rejeição de um anexo de rede, será necessário substituir a lista inteira em uma atualização.
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME
{
  "fingerprint": "FINGERPRINT",
  "producerAcceptLists": [
    "ACCEPTED_PRODUCERS"
  ],
  "producerRejectLists": [
    "REJECTED_PRODUCERS"
  ],
  "subnetworks": [
    "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
  ],
  "description": "DESCRIPTION"
}
```
Substitua:
- PROJECT_ID: o ID do projeto.
- REGION: a região do anexo de rede.
- ATTACHMENT_NAME: o nome do anexo de rede.
- FINGERPRINT: o valor do campo de impressão digital encontrado na etapa 2.
- ACCEPTED_PRODUCERS: uma lista de produtores autorizados a se conectar a esse anexo de rede. É possível especificar produtores de uma das seguintes maneiras:
  - Por ID do projeto: por exemplo, "project-id-1", "project-id-2".
  - Por ID da classe de serviço: cada ID precisa usar o prefixo serviceclasses/. Por exemplo, "serviceclasses/service-class1", "serviceclasses/service-class2".
- REJECTED_PRODUCERS: uma lista de IDs de projetos ou de classes de serviço que são explicitamente rejeitados para conexão com esse anexo de rede. Especifique os produtores usando o mesmo formato da lista de aceitação do consumidor.
- SUBNET_NAME: o nome da nova sub-rede a ser associada ao anexo de rede.
- DESCRIPTION: uma descrição atualizada para o anexo de rede.

Excluir anexos de rede

Você pode excluir um anexo de rede se ele não tiver nenhuma conexão. Se você quiser excluir um anexo de rede que tenha conexões, o produtor precisará primeiro excluir a interface do Private Service Connect associada.

Se você excluir um anexo de rede e criar um novo com o mesmo nome, oGoogle Cloud tratará os anexos de rede como dois recursos separados.

Console

No console do Google Cloud , acesse a página Private Service Connect:

Acessar a página "Private Service Connect"
Clique em Anexos de rede.
Selecione um anexo de rede e clique em Excluir.
Clique em Excluir novamente para confirmar.

gcloud

Use o comando network-attachments delete.

gcloud compute network-attachments delete ATTACHMENT_NAME \
    --region=REGION

Substitua:

ATTACHMENT_NAME: o nome do anexo de rede a ser descrito.
REGION: a região do anexo de rede

API

Faça uma solicitação DELETE ao método networkAttachments.delete.

DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME

Substitua:

PROJECT_ID: o ID do projeto.
REGION: a região do anexo de rede.
ATTACHMENT_NAME: o nome do anexo de rede.

A seguir

Crie uma interface do Private Service Connect que se conecte a um anexo de rede.
Configure a segurança de uma rede que tenha um anexo de rede.
Gerencie a sobreposição de destino em uma rede que tenha uma conexão de interface do Private Service Connect.