Es posible que parte de la información de esta página (o toda) no se aplique a Cloud de Confiance de S3NS. Consulta Diferencias con Google Cloud para obtener más información.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Crea y administra adjuntos de red

En esta página, se describe cómo los administradores de red del consumidor pueden crear y administrar adjuntos de red de Private Service Connect. Los adjuntos de red permiten que las redes de VPC del productor de servicios inicien conexiones a redes de VPC del consumidor.

Antes de comenzar

Debes habilitar la API de Compute Engine en tu proyecto.
Si quieres especificar manualmente los proyectos que pueden conectarse a un adjunto de red, debes conocer los ID de los proyectos.

Funciones

Para obtener los permisos que necesitas para crear, ver y borrar adjuntos de red, pídele a tu administrador que te otorgue el rol de IAM Administrador de Compute Network (roles/compute.networkAdmin) en tu proyecto. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

Crear una subred

Cuando creas un adjunto de red, debes asignarle una sola subred regular. Esta subred debe estar en la misma región que el adjunto de red. Una subred se puede compartir entre varios adjuntos de red. Las subredes con el tipo de pila de pila doble o solo IPv6 deben usar rangos de direcciones IPv6 internas.

Si deseas obtener más información para crear subredes, consulta Crea y administra redes de VPC.

Crea adjuntos de red

Los adjuntos de red son recursos regionales que representan el lado del consumidor de una conexión de interfaz de Private Service Connect. Un adjunto de red debe estar en la misma región que la VM de la interfaz de Private Service Connect asociada.

La política de autorización del adjunto de red determina si un adjunto de red puede aceptar una conexión desde una interfaz de Private Service Connect.

Puedes actualizar la subred, la lista de aceptación, la lista de rechazo y la descripción de un adjunto de red.

Crea un adjunto de red que acepte conexiones de forma manual

Puedes crear un adjunto de red que acepte conexiones de forma manual. Antes de crear un adjunto de este tipo, asegúrate de conocer los IDs de los proyectos o los IDs de las clases de servicio de los productores que deseas aceptar.

Las listas de aceptación y rechazo pueden contener IDs de proyectos o IDs de clases de servicio, pero no una combinación de ambos.

Console

En la consola de Cloud de Confiance , ve a la página Private Service Connect:

Ir a Private Service Connect
Haz clic en Archivos adjuntos de red.
Haz clic en Create network attachment.
Ingresa un Nombre.
Selecciona una Red.
Selecciona una Región.
Selecciona una subred.
Realiza una de las siguientes acciones:
- Para aceptar conexiones según el ID del proyecto, haz lo siguiente:
  1. Selecciona Aceptar conexiones para los proyectos seleccionados.
  2. Para cada proyecto que quieras aceptar, haz clic en Agregar proyecto aceptado y, luego, ingresa el ID del proyecto que deseas aceptar.
  3. Opcional: Para cada proyecto que quieras rechazar de forma explícita, haz clic en Agregar proyecto rechazado y, luego, ingresa el ID del proyecto que quieres rechazar.
- Para aceptar conexiones según el ID de la clase de servicio, haz lo siguiente:
  1. Selecciona Aceptar conexiones para las clases de servicio seleccionadas.
  2. Para cada clase de servicio que desees aceptar, haz clic en Agregar clase de servicio aceptada y, luego, selecciona la clase de servicio que deseas aceptar.
  3. Opcional: Para cada clase de servicio que desees rechazar de forma explícita, haz clic en Agregar clase de servicio rechazada y, luego, selecciona la clase de servicio que deseas rechazar.
Haz clic en Create network attachment.

gcloud

Usa el comando network-attachments create

gcloud compute network-attachments create ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_MANUAL \
    --producer-accept-list=ACCEPTED_PRODUCERS \
    --producer-reject-list=REJECTED_PRODUCERS \
    --subnets=SUBNET_NAME

Reemplaza lo siguiente:

ATTACHMENT_NAME: Es el nombre del adjunto de red.
REGION: Es la región del adjunto de red.
ACCEPTED_PRODUCERS: Es una lista separada por comas de los productores que están autorizados a conectarse a este adjunto de red. Puedes especificar productores de una de las siguientes maneras:
- Por ID del proyecto: Por ejemplo, project-id-1,project-id-2.
- Por ID de clase de servicio: Cada ID debe usar el prefijo serviceclasses/, por ejemplo, serviceclasses/service-class1,serviceclasses/service-class2.
REJECTED_PRODUCERS: Es una lista separada por comas de los IDs de proyectos o de clases de servicio que se rechazan explícitamente para conectarse a este adjunto de red. Especifica los productores con el mismo formato que la lista de aceptación del consumidor.
SUBNET_NAME: el nombre de la subred que se asociará con este archivo adjunto de red.

API

Realiza una solicitud POST al método networkAttachments.insert.

POST https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments
{
  "connectionPreference": "ACCEPT_MANUAL",
  "name": "ATTACHMENT_NAME",
  "producerAcceptLists": [
    "ACCEPTED_PRODUCERS"
  ],
  "producerRejectLists": [
    "REJECTED_PRODUCERS"
  ],
  "subnetworks": [
    "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
  ]
}

Reemplaza lo siguiente:

PROJECT_ID: el ID del proyecto en el que se creará el archivo adjunto de red.
REGION: Es la región del adjunto de red
ATTACHMENT_NAME: Es el nombre del adjunto de red
ACCEPTED_PRODUCERS: Es una lista de productores autorizados para conectarse a este adjunto de red. Puedes especificar productores de una de las siguientes maneras:
- Por ID del proyecto: Por ejemplo, "project-id-1", "project-id-2".
- Por ID de clase de servicio: Cada ID debe usar el prefijo serviceclasses/, por ejemplo, "serviceclasses/service-class1", "serviceclasses/service-class2".
REJECTED_PRODUCERS: Es una lista de IDs de proyectos o IDs de clases de servicio que se rechazan explícitamente para conectarse a este adjunto de red. Especifica los productores con el mismo formato que la lista de aceptación del consumidor.
SUBNET_NAME: el nombre de la subred que se asociará con el archivo adjunto de red.

Crea un adjunto de red que acepte conexiones de forma automática

Puedes crear un adjunto de red que acepte conexiones de forma automática desde cualquier interfaz de Private Service Connect que haga referencia al adjunto de red.

Console

En la consola de Cloud de Confiance , ve a la página Private Service Connect:

Ir a Private Service Connect
Haz clic en Archivos adjuntos de red.
Haz clic en Create network attachment.
Ingresa un Nombre.
Selecciona una Red.
Selecciona una Región.
Selecciona una Subred.
Haz clic en Aceptar conexiones de forma automática para todos los proyectos.
Haz clic en Create network attachment.

gcloud

Usa el comando network-attachments create

gcloud compute network-attachments create ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_AUTOMATIC \
    --subnets=SUBNET_NAME

Reemplaza lo siguiente:

ATTACHMENT_NAME: Es el nombre del adjunto de red.
REGION: Es la región del adjunto de red.
SUBNET_NAME: el nombre de la subred que se asociará con este archivo adjunto de red.

API

Realiza una solicitud POST al método networkAttachments.insert.

POST https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments
{
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "name": "ATTACHMENT_NAME",
  "subnetworks": [
    "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
  ]
}

Reemplaza lo siguiente:

PROJECT_ID: el ID del proyecto en el que se creará el archivo adjunto de red.
REGION: Es la región del adjunto de red
ATTACHMENT_NAME: Es el nombre del adjunto de red
SUBNET_NAME: el nombre de la subred que se asociará con el archivo adjunto de red.

Mostrar lista de adjuntos de red

Console

En la consola de Cloud de Confiance , ve a la página Private Service Connect:

Ir a Private Service Connect
Haz clic en Archivos adjuntos de red.

gcloud

Para enumerar todos los adjuntos de red de un proyecto, usa el comando network-attachments list.
```
gcloud compute network-attachments list
```
Para enumerar los adjuntos de red en una región o regiones determinadas, usa el comando network-attachments list y especifica las regiones.
```
gcloud compute network-attachments list
   --regions=REGIONS
```
Reemplaza REGIONS por las regiones en las que se enumerarán los adjuntos de red. Puedes incluir varias regiones en una lista separada por comas.

API

Para enumerar los adjuntos de red en una región determinada, realiza una solicitud GET al método networkAttachments.list.

GET https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments

Reemplaza lo siguiente:

PROJECT_ID: el ID del proyecto.
REGION: Es la región del adjunto de red.

Describe los adjuntos de red

Puedes describir un adjunto de red para ver sus detalles, incluidas las conexiones de interfaz de Private Service Connect asociadas. Para cada conexión, puedes ver la dirección IP asignada de la interfaz de Private Service Connect.

Console

En la consola de Cloud de Confiance , ve a la página Private Service Connect:

Ir a Private Service Connect
Haz clic en Archivos adjuntos de red.
Selecciona un adjunto de red para ver sus detalles y una lista de proyectos conectados.
Para ver las conexiones individuales de la interfaz de Private Service Connect de un proyecto, haz clic en el nombre del proyecto.

El estado de conexión de un proyecto no siempre determina el estado de las conexiones de la interfaz de Private Service Connect de ese proyecto. Por ejemplo, si agregas un proyecto a la lista de rechazo después de aceptar una conexión de ese proyecto, el estado del proyecto se rechaza, pero la conexión existente permanece abierta. Se rechazan las conexiones nuevas de ese proyecto.

gcloud

Usa el comando network-attachments describe

gcloud compute network-attachments describe ATTACHMENT_NAME \
    --region=REGION

Reemplaza lo siguiente:

ATTACHMENT_NAME: el nombre del adjunto de red que se describirá.
REGION: Es la región del adjunto de red

Las interfaces de Private Service Connect conectadas se muestran en el siguiente formato:

connectionEndpoints:
- ipAddress: 10.6.0.59
  projectIdOrNum: '123456789'
  status: ACCEPTED
  subnetwork: https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet
- ipAddress: 10.6.0.11
  projectIdOrNum: '987654321'
  status: ACCEPTED
  subnetwork: https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet
  ```

API

Para describir un adjunto de red y ver sus detalles, realiza una solicitud GET al método networkAttachments.get.

GET https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME

Reemplaza lo siguiente:

PROJECT_ID: el ID del proyecto.
REGION: Es la región del adjunto de red.
ATTACHMENT_NAME: Es el nombre del adjunto de red.

Las interfaces de Private Service Connect conectadas se muestran en el siguiente formato:

"connectionEndpoints": [
  {
    "status": "ACCEPTED",
    "projectIdOrNum": "123456789",
    "subnetwork": "https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet-1",
    "ipAddress": "10.6.0.11"
  },
  {
    "status": "ACCEPTED",
    "projectIdOrNum": "987654321",
    "subnetwork": "https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet-2",
    "ipAddress": "10.6.0.59"
  }
]

Actualiza los adjuntos de red

Puedes actualizar un adjunto de red si reemplazas su subred, descripción o, para los adjuntos de red que se crearon para aceptar conexiones de forma manual, las listas de aceptación o rechazo. Si necesitas actualizar otros campos, borra el adjunto de red y, luego, crea uno nuevo.

Si reemplazas la subred de un adjunto de red, las conexiones existentes no se verán afectadas. Las conexiones que se crean después de la actualización usan direcciones IP de la subred nueva.

Si actualizas la lista de aceptación o rechazo de un adjunto de red, las conexiones existentes no se verán afectadas. Las conexiones que se crean después de la actualización se aceptan o rechazan según las listas actualizadas.

Console

En la consola de Cloud de Confiance , ve a la página Private Service Connect:

Ir a Private Service Connect
Haz clic en Archivos adjuntos de red.
Haz clic en el archivo adjunto de red que deseas actualizar y, luego, en Editar.
Para reemplazar la subred del archivo adjunto de red, haz clic en Subred y, luego, selecciona la subred nueva.
Para actualizar la lista de aceptación, haz lo siguiente:
1. Para agregar un productor, haz clic en Agregar proyecto aceptado o Agregar clase de servicio aceptada y, luego, ingresa un ID del proyecto o selecciona una clase de servicio.
2. Para quitar un productor, coloca el puntero sobre él y, luego, haz clic en Borrar proyecto aceptado o Borrar clase de servicio aceptada.
Para actualizar la lista de rechazo, haz lo siguiente:
1. Para agregar un productor, haz clic en Agregar proyecto rechazado o Agregar clase de servicio rechazada y, luego, ingresa un ID del proyecto o selecciona una clase de servicio.
2. Para quitar un productor, coloca el puntero sobre él y, luego, haz clic en Borrar proyecto rechazado o Borrar clase de servicio rechazada.
Haz clic en Actualizar archivo adjunto de red.

gcloud

Usa el comando network-attachments update Puedes actualizar uno o más de los campos que se enumeran aquí, excepto la región, que se usa para identificar el adjunto de red. Si actualizas las listas de aceptación o rechazo de un archivo adjunto de red, debes reemplazar toda la lista en una sola actualización.

gcloud compute network-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --subnets=SUBNET \
    --producer-accept-list=ACCEPTED_PRODUCERS \
    --producer-reject-list=REJECTED_PRODUCERS \
    --description=DESCRIPTION

Reemplaza lo siguiente:

ATTACHMENT_NAME: Es el nombre del adjunto de red.
REGION: Es la región del adjunto de red. Esta marca se usa para identificar el adjunto de red. No puedes actualizar la región de un adjunto de red.
SUBNET: el nombre de la subred que se asociará con este archivo adjunto de red.
ACCEPTED_PRODUCERS: Es una lista separada por comas de los productores que están autorizados a conectarse a este adjunto de red. Puedes especificar productores de una de las siguientes maneras:
- Por ID del proyecto: Por ejemplo, project-id-1,project-id-2.
- Por ID de clase de servicio: Cada ID debe usar el prefijo serviceclasses/, por ejemplo, serviceclasses/service-class1,serviceclasses/service-class2.
REJECTED_PRODUCERS: Es una lista separada por comas de los IDs de proyectos o de clases de servicio que se rechazan explícitamente para conectarse a este adjunto de red. Especifica los productores con el mismo formato que la lista de aceptación del consumidor.
DESCRIPTION: una descripción del adjunto de red.

API

Envía una solicitud a la API para describir el adjunto de red que quieres actualizar.
Toma nota del valor del campo fingerprint del adjunto de red.
Realiza una solicitud PATCH al método networkAttachments.patch. Omite los campos del cuerpo de la solicitud que no quieras reemplazar, excepto fingerprint. Si actualizas las listas de aceptación o rechazo de un archivo adjunto de red, debes reemplazar toda la lista en una sola actualización.
```
PATCH https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME
{
  "fingerprint": "FINGERPRINT",
  "producerAcceptLists": [
    "ACCEPTED_PRODUCERS"
  ],
  "producerRejectLists": [
    "REJECTED_PRODUCERS"
  ],
  "subnetworks": [
    "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
  ],
  "description": "DESCRIPTION"
}
```
Reemplaza lo siguiente:
- PROJECT_ID: el ID del proyecto.
- REGION: Es la región del adjunto de red.
- ATTACHMENT_NAME: Es el nombre del adjunto de red.
- FINGERPRINT: El valor del campo de huella digital que encontraste en el paso 2.
- ACCEPTED_PRODUCERS: Es una lista de productores autorizados para conectarse a este adjunto de red. Puedes especificar productores de una de las siguientes maneras:
  - Por ID del proyecto: Por ejemplo, "project-id-1", "project-id-2".
  - Por ID de clase de servicio: Cada ID debe usar el prefijo serviceclasses/, por ejemplo, "serviceclasses/service-class1", "serviceclasses/service-class2".
- REJECTED_PRODUCERS: Es una lista de IDs de proyectos o IDs de clases de servicio que se rechazan explícitamente para conectarse a este adjunto de red. Especifica los productores con el mismo formato que la lista de aceptación del consumidor.
- SUBNET_NAME: el nombre de la subred nueva que se asociará al adjunto de red.
- DESCRIPTION: una descripción actualizada del archivo adjunto de red.

Borrar adjuntos de red

Puedes borrar un adjunto de red si no tiene conexiones. Si deseas borrar un adjunto de red que tiene conexiones, el productor primero debe borrar la interfaz de Private Service Connect asociada.

Si borras un archivo adjunto de red y, luego, creas uno nuevo con el mismo nombre,Cloud de Confiance trata los archivos adjuntos de red como dos recursos separados.

Console

En la consola de Cloud de Confiance , ve a la página Private Service Connect:

Ir a Private Service Connect
Haz clic en Archivos adjuntos de red.
Selecciona un adjunto de red y, luego, haz clic en Borrar.
Haga clic en Borrar nuevamente para confirmar.

gcloud

Usa el comando network-attachments delete.

gcloud compute network-attachments delete ATTACHMENT_NAME \
    --region=REGION

Reemplaza lo siguiente:

ATTACHMENT_NAME: el nombre del adjunto de red que se describirá.
REGION: Es la región del adjunto de red

API

Realiza una solicitud DELETE al método networkAttachments.delete.

DELETE https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME

Reemplaza lo siguiente:

PROJECT_ID: el ID del proyecto.
REGION: Es la región del adjunto de red.
ATTACHMENT_NAME: Es el nombre del adjunto de red.

Próximos pasos

Crea una interfaz de Private Service Connect que se conecte a un adjunto de red.
Configura la seguridad para una red que tenga un adjunto de red.
Administra la superposición de destino en una red que tenga una conexión de interfaz de Private Service Connect.