Sobre anexos de rede
Esta página fornece uma visão geral dos anexos de rede.
Um anexo de rede é um recurso que permite que uma rede de nuvem privada virtual (VPC, na sigla em inglês) do produtor inicie conexões com uma rede VPC consumidora por meio de uma interface do Private Service Connect.
Se um anexo de rede aceitar uma conexão de uma interface do Private Service Connect, Cloud de Confiance by S3NS o Google Cloud alocará um endereço IP interno de uma sub-rede do consumidor especificado pelo anexo de rede. A instância de máquina virtual (VM) da interface do Private Service Connect tem pelo menos mais uma interface de rede normal que se conecta a uma sub-rede do produtor.
Essa conexão de interface do Private Service Connect permite que as organizações de produtores e consumidores configurem as redes VPC para que as duas redes sejam conectadas e possam se comunicar por endereços IP internos. Por exemplo, a organização produtora pode atualizar a rede VPC do produtor para adicionar rotas para sub-redes de consumidor.
Uma conexão entre um anexo de rede e uma interface do Private Service Connect é semelhante à conexão entre um Private Service Connectendpoint e um anexo de serviço, mas há duas diferenças principais:
- Um anexo de rede permite que uma rede VPC do produtor inicie conexões com uma rede VPC do consumidor (saída de serviço gerenciado). Um endpoint funciona na direção inversa, permitindo que uma rede VPC consumidor inicie conexões com uma rede VPC do produtor (entrada de serviço gerenciado).
- Uma conexão de interface do Private Service Connect é transitiva. Isso significa que as cargas de trabalho em uma rede VPC do produtor podem iniciar conexões com cargas de trabalho em outras redes VPC conectadas à rede VPC do consumidor.
Por exemplo, uma organização de consumidores de serviços pode querer fornecer um acesso de serviço gerenciado aos dados do consumidor que está disponível apenas na rede VPC do consumidor. O serviço também pode precisar de acesso a dados ou serviços disponíveis no local, por meio de uma conexão VPN ou do Cloud Interconnect, ou de um serviço de terceiros. Além disso, o consumidor pode querer exigir que qualquer tráfego vinculado à Internet que usa os dados dele passe pelo próprio gateway de saída. Isso permite que o consumidor monitore o tráfego e forneça segurança personalizada.
Uma conexão de interface do Private Service Connect pode atender a todos esses requisitos.
Figura 1. Um anexo de rede em uma rede VPC consumidora está conectado a duas interfaces do Private Service Connect em uma rede VPC produtora (clique para ampliar).
Especificações
Os anexos de rede têm as seguintes especificações:
- Um anexo de rede é um recurso regional que representa o lado do consumidor de uma conexão de interface do Private Service Connect.
- Os anexos de rede permitem que você aceite conexões explícita ou automaticamente a partir das interfaces do Private Service Connect.
- Um anexo de rede está associado a uma única sub-rede. É possível usar sub-redes somente IPv4, de pilha dupla ou somente IPv6 com anexos de rede. Para mais informações, consulte Atribuição de sub-rede.
- Quando uma solicitação de conexão é aceita, Cloud de Confiance o Google Cloud aloca à interface do Private Service Connect um endereço IP da sub-rede do anexo de rede.
- Várias interfaces do Private Service Connect podem se conectar ao mesmo anexo de rede.
- Se uma única VM tiver várias interfaces do Private Service Connect, cada interface precisará se conectar a:
- Um anexo de rede diferente associado a uma sub-rede diferente.
- Um anexo de rede que está em uma rede VPC diferente, a menos que as duas condições a seguir sejam verdadeiras:
- A rede do consumidor usa um perfil de rede RDMA para redes VPC do Falcon.
- O produtor se conecta com interfaces virtuais do Private Service Connect.
- Os anexos de rede são compatíveis com a VPC compartilhada. É possível criar um anexo de rede em um projeto de serviço, mas a sub-rede do anexo precisa estar em um projeto host.
- Uma conexão entre um anexo de rede e uma interface do Private Service Connect é bidirecional.
- Uma conexão entre um anexo de rede e uma interface do Private Service Connect é transitiva. As cargas de trabalho na rede VPC do produtor podem se comunicar com as que estão conectadas à rede VPC do consumidor.
- Um anexo de rede pode se conectar a interfaces virtuais e dinâmicas do Private Service Connect.
Atribuição de sub-rede
Ao criar um anexo de rede, você precisa atribuir a ele uma única sub-rede. Se uma solicitação de conexão de uma interface do produtor for aceita, seja porque o anexo está configurado para aceitar conexões automaticamente ou se o projeto do produtor estiver incluído na lista de aceitação, essa interface receberá um IP. do intervalo de endereços IP da sub-rede.
Essa sub-rede tem as seguintes características:
- Ela precisa ser uma sub-rede normal.
- O tipo de pilha da sub-rede pode ser somente IPv4, de pilha dupla ou somente IPv6. As sub-redes de pilha dupla e somente IPv6 precisam ter intervalos de endereços IPv6 internos.
- Os endereços IP na sub-rede não são reservados, e você pode atribuir outros recursos à sub-rede.
- Não é possível excluir a sub-rede enquanto ela está atribuída a um anexo de rede.
- É possível substituir a sub-rede, e as conexões atuais não serão afetadas. As conexões estabelecidas após a substituição da sub-rede usam a nova sub-rede.
- É possível expandir o intervalo CIDR da sub-rede, e as novas alocações de endereço usarão o intervalo expandido.
Políticas de autorização
As políticas de autorização controlam se um anexo de rede aceita uma nova conexão de uma interface do Private Service Connect. É possível configurar políticas de autorização para aceitar automaticamente todas as conexões ou apenas conexões de produtores de serviços específicos.
Para autorizar um produtor específico, adicione o ID do projeto ou da classe de serviço do produtor à lista de aceitação do anexo de rede.
Um ID de classe de serviço é um identificador exclusivo que alguns serviços do Google fornecem para simplificar a autorização desse serviço. Se um produtor tentar criar uma interface com um ID de classe de serviço que não tem permissão para usar, a operação falhará. Antes de configurar a autorização para um serviço do Google, consulte a documentação do serviço para saber se um ID de classe de serviço é necessário.
Uma política de autorização é composta dos três campos a seguir de um anexo de rede:
- Preferência de conexão: pode ser
ACCEPT_AUTOMATICouACCEPT_MANUAL.ACCEPT_AUTOMATIC: novas conexões são aceitas automaticamente.ACCEPT_MANUAL: o estado das novas conexões é determinado pela lista de aceitação de um anexo de rede.
- Lista de aceitação: uma lista de IDs de projetos ou IDs de classe de serviço para anexos de rede
que têm a preferência de conexão
ACCEPT_MANUAL. Novas conexões de produtores nessa lista são aceitas. Se uma interface do Private Service Connect solicitar uma conexão e o ID do projeto ou da classe de serviço do produtor não estiver na lista, a criação da VM da interface do Private Service Connect vai falhar. - Lista de rejeição: uma lista de IDs de projetos ou IDs de classe de serviço para anexos de rede
que têm a preferência de conexão
ACCEPT_MANUAL. Novas conexões de produtores com IDs de projetos ou IDs de classe de serviço nessa lista são explicitamente rejeitadas, e a criação da VM da interface do Private Service Connect falha.
Se você atualizar a lista de aceitação ou rejeição de um anexo de rede, as conexões atuais não serão afetadas. As conexões criadas após a atualização serão aceitas ou rejeitadas de acordo com as listas atualizadas.
Todos os valores nas listas de aceitação e rejeição precisam ter o mesmo tipo. Não é possível misturar IDs de projetos e IDs de classe de serviço na mesma política de autorização.
Se um anexo de rede estiver configurado para aceitar conexões manualmente e você adicionar o mesmo ID do projeto ou ID de classe de serviço às listas de aceitação e rejeição, as solicitações de conexão desse produtor serão rejeitadas. A criação da VM da interface do Private Service Connect falha.
Conexões
Um produtor de serviços solicita uma conexão com um anexo de rede by creating a Private Service Connect interface. Para alguns serviços do Google, um consumidor pode acionar uma solicitação de conexão pela API do serviço.
Uma conexão aceita cria um link lógico ou tupla que consiste no anexo da rede e na interface de rede que se refere a ela. A interface de uma VM do produtor pertence logicamente à rede VPC do consumidor, mas o ciclo de vida é gerenciado pelo produtor. Por exemplo, o anexo de rede na Figura 1 tem duas conexões.
Para visualizar as conexões aceitas, Descreva um anexo de rede.
Limitações
- Só é possível atualizar a sub-rede, a lista de aceitação, a lista de rejeição e a descrição de um anexo de rede. Se você quiser atualizar outros campos, exclua a política e crie uma nova.
- Não é possível excluir um anexo de rede com conexões abertas. Nesse caso, a organização do produtor precisa primeiro excluir a interface associada do Private Service Connect.
- Não é possível atribuir endereços IP externos (anunciados publicamente) a interfaces do Private Service Connect.
Preços
O preço dos anexos de rede é descrito na página de preços da VPC.
Cota
Há um limite de quantos anexos de rede podem ser criados por região em um único projeto. Para mais informações, consulte as cotas por projeto na documentação da VPC.