יכול להיות שחלק מהמידע בדף הזה או כולו לא רלוונטי ל-Cloud de Confiance by S3NS. פרטים נוספים מופיעים במאמר מה ההבדל מ-Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

יצירה וניהול של קבצים מצורפים לרשת

בדף הזה מוסבר איך מנהלי רשתות של צרכנים יכולים ליצור ולנהל רכיבי רשת של Private Service Connect. צירופי רשת מאפשרים לרשתות VPC של בעלים של שירות מנוהל ליזום חיבורים לרשתות VPC של צרכני שירות.

לפני שמתחילים

צריך להפעיל את Compute Engine API בפרויקט.
אם רוצים לציין באופן ידני אילו פרויקטים יכולים להתחבר לצירוף רשת, צריך לדעת את המזהים של הפרויקטים.

תפקידים

כדי לקבל את ההרשאות שנדרשות ליצירה, להצגה ולמחיקה של קבצים מצורפים לרשת, צריך לבקש מהאדמין להקצות לכם ב-IAM את התפקיד אדמין רשת של Compute (roles/compute.networkAdmin) בפרויקט. כדי לקרוא הסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

יצירת רשת משנה

כשיוצרים קובץ מצורף לרשת, מקצים לו רשת משנה רגילה אחת. רשת המשנה הזו צריכה להיות באותו אזור שבו נמצאת רשת ה-attachment. אפשר לשתף רשת משנה אחת בין כמה קבצים מצורפים לרשת. ברשתות משנה עם סוג הערימה dual-stack או IPv6-only, צריך להשתמש בטווחים של כתובות IPv6 פנימיות.

מידע נוסף על יצירת רשתות משנה זמין במאמר יצירה וניהול של רשתות VPC.

יצירת קבצים מצורפים לרשת

קובצי מצורפים עם הרשת הם משאבים אזוריים שמייצגים את הצד של הצרכן בחיבור של ממשק Private Service Connect. קובץ מצורף לרשת חייב להיות באותו אזור כמו המכונה הווירטואלית של הממשק המשויך של Private Service Connect.

מדיניות ההרשאה של קובץ מצורף עם הרשת קובעת אם קובץ מצורף עם הרשת יכול לאשר חיבור מממשק של Private Service Connect.

אתם יכולים לעדכן את רשת המשנה, את רשימת האישורים, את רשימת הדחיות ואת התיאור של קובץ מצורף לרשת.

יצירת קובץ מצורף לרשת שמאשר חיבורים באופן ידני

אפשר ליצור קובץ מצורף לרשת שמאשר חיבורים באופן ידני. לפני שיוצרים קובץ מצורף מהסוג הזה, חשוב לדעת את מזהי הפרויקט או את מזהי מחלקת השירות של היצרנים שרוצים לאשר.

הרשימות של הקבלה והדחייה יכולות להכיל מזהי פרויקטים או מזהי מחלקות שירות, אבל לא שילוב של שניהם.

המסוף

נכנסים לדף Private Service Connect במסוף Cloud de Confiance .

כניסה אל Private Service Connect
לוחצים על קבצים מצורפים ברשת.
לוחצים על יצירת קובץ מצורף לרשת.
מזינים שם.
בוחרים רשת.
בוחרים Region.
בוחרים רשת משנה.
מבצעים אחת מהפעולות הבאות:
- כדי לאשר חיבורים על סמך מזהה הפרויקט:
  1. בוחרים באפשרות Accept connections for selected projects (אישור חיבורים לפרויקטים שנבחרו).
  2. לכל פרויקט שרוצים לאשר, לוחצים על Add accepted project ומזינים את מזהה הפרויקט כדי לאשר אותו.
  3. אופציונלי: לכל פרויקט שרוצים לדחות באופן מפורש, לוחצים על Add rejected project ומזינים את מזהה הפרויקט שרוצים לדחות.
- כדי לאשר חיבורים על סמך מזהה של מחלקת שירות:
  1. בוחרים באפשרות Accept connections for selected service classes (אישור קישורים לכיתות שירות נבחרות).
  2. לכל סוג שירות שרוצים לאשר, לוחצים על הוספת סוג שירות שאושר ואז בוחרים את סוג השירות הרצוי.
  3. אופציונלי: לכל מחלקת שירות שרוצים לדחות באופן מפורש, לוחצים על הוספת מחלקת שירות שנדחתה ואז בוחרים את מחלקת השירות שרוצים לדחות.
לוחצים על יצירת קובץ מצורף לרשת.

gcloud

משתמשים בפקודה network-attachments create.

gcloud compute network-attachments create ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_MANUAL \
    --producer-accept-list=ACCEPTED_PRODUCERS \
    --producer-reject-list=REJECTED_PRODUCERS \
    --subnets=SUBNET_NAME

מחליפים את מה שכתוב בשדות הבאים:

‫ATTACHMENT_NAME: השם של קובץ הרשת המצורף.
‫REGION: האזור של קובץ הרשת המצורף.
‫ACCEPTED_PRODUCERS: רשימה מופרדת בפסיקים של יצרנים שמורשים להתחבר לקובץ המצורף לרשת. אפשר לציין את היוצרים באחת מהדרכים הבאות:
- לפי מזהה הפרויקט: לדוגמה, project-id-1,project-id-2.
- לפי מזהה מחלקת שירות: כל מזהה חייב להשתמש בתחילית serviceclasses/, לדוגמה, serviceclasses/service-class1,serviceclasses/service-class2.
‫REJECTED_PRODUCERS: רשימה מופרדת בפסיקים של מזהי פרויקטים או מזהי מחלקות שירות שנדחו באופן מפורש מחיבור לצירוף הרשת הזה. מציינים את היצרנים באותו פורמט שבו מציינים את רשימת הצרכנים המותרים.
‫SUBNET_NAME: השם של תת-הרשת שרוצים לשייך לקובץ המצורף הזה לרשת.

API

שולחים בקשת POST אל ה-method‏ networkAttachments.insert.

POST https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments
{
  "connectionPreference": "ACCEPT_MANUAL",
  "name": "ATTACHMENT_NAME",
  "producerAcceptLists": [
    "ACCEPTED_PRODUCERS"
  ],
  "producerRejectLists": [
    "REJECTED_PRODUCERS"
  ],
  "subnetworks": [
    "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
  ]
}

מחליפים את מה שכתוב בשדות הבאים:

‫PROJECT_ID: מזהה הפרויקט שבו רוצים ליצור את קובץ הרשת המצורף.
‫REGION: האזור של קובץ הרשת המצורף
‫ATTACHMENT_NAME: השם של רכיב Network Attachment
‫ACCEPTED_PRODUCERS: רשימה של יצרנים שמורשים להתחבר לצירוף הרשת הזה. אפשר לציין את היוצרים באחת מהדרכים הבאות:
- לפי מזהה הפרויקט: לדוגמה, "project-id-1", "project-id-2".
- לפי מזהה מחלקת שירות: כל מזהה חייב להשתמש בתחילית serviceclasses/, לדוגמה, "serviceclasses/service-class1", "serviceclasses/service-class2".
‫REJECTED_PRODUCERS: רשימה של מזהי פרויקטים או מזהי מחלקות שירות שנדחו באופן מפורש מחיבור לצירוף הרשת הזה. מציינים את היצרנים באותו פורמט שבו מציינים את רשימת הצרכנים המותרים.
‫SUBNET_NAME: השם של תת-הרשת שאותה רוצים לשייך לצירוף הרשת.

יצירת קובץ מצורף לרשת שמקבל חיבורים באופן אוטומטי

אתם יכולים ליצור קובץ מצורף עם הרשת שמקבל באופן אוטומטי חיבורים מכל ממשק Private Service Connect שמפנה לקובץ המצורף עם הרשת.

המסוף

נכנסים לדף Private Service Connect במסוף Cloud de Confiance .

כניסה אל Private Service Connect
לוחצים על קבצים מצורפים ברשת.
לוחצים על יצירת קובץ מצורף לרשת.
מזינים שם.
בוחרים רשת.
בוחרים Region.
בוחרים רשת משנה.
לוחצים על אישור אוטומטי של חיבורים לכל הפרויקטים.
לוחצים על יצירת קובץ מצורף לרשת.

gcloud

משתמשים בפקודה network-attachments create.

gcloud compute network-attachments create ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_AUTOMATIC \
    --subnets=SUBNET_NAME

מחליפים את מה שכתוב בשדות הבאים:

‫ATTACHMENT_NAME: השם של קובץ הרשת המצורף.
‫REGION: האזור של קובץ הרשת המצורף.
‫SUBNET_NAME: השם של תת-הרשת שרוצים לשייך לקובץ המצורף הזה לרשת.

API

שולחים בקשת POST אל ה-method‏ networkAttachments.insert.

POST https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments
{
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "name": "ATTACHMENT_NAME",
  "subnetworks": [
    "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
  ]
}

מחליפים את מה שכתוב בשדות הבאים:

‫PROJECT_ID: מזהה הפרויקט שבו רוצים ליצור את קובץ הרשת המצורף.
‫REGION: האזור של קובץ הרשת המצורף
‫ATTACHMENT_NAME: השם של רכיב Network Attachment
‫SUBNET_NAME: השם של תת-הרשת שאותה רוצים לשייך לצירוף הרשת.

הצגת רשימת צירופים לרשת

המסוף

נכנסים לדף Private Service Connect במסוף Cloud de Confiance .

כניסה אל Private Service Connect
לוחצים על קבצים מצורפים ברשת.

gcloud

כדי להציג את כל רכיבי Network Attachment בפרויקט, משתמשים בפקודה network-attachments list.
```
gcloud compute network-attachments list
```
כדי להציג רשימה של רכיבי Network Attachment באזור או באזורים מסוימים, משתמשים בפקודה network-attachments list ומציינים את האזורים.
```
gcloud compute network-attachments list
   --regions=REGIONS
```
מחליפים את REGIONS באזור או באזורים שבהם רוצים להציג את קבצים מצורפים לרשת. אפשר לכלול כמה אזורים ברשימה שמופרדת בפסיקים.

API

כדי להציג רשימה של קבצים מצורפים לרשת באזור מסוים, שולחים בקשת GET ל-method‏ networkAttachments.list.

GET https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments

מחליפים את מה שכתוב בשדות הבאים:

‫PROJECT_ID: מזהה הפרויקט
‫REGION: האזור של קובץ הרשת המצורף.

תארו קבצים מצורפים ברשת

אתם יכולים לתאר קובץ מצורף עם הרשת כדי לראות את הפרטים שלו, כולל החיבורים המשויכים לממשק Private Service Connect. לכל חיבור אפשר לראות את כתובת ה-IP שהוקצתה לממשק Private Service Connect.

המסוף

נכנסים לדף Private Service Connect במסוף Cloud de Confiance .

כניסה אל Private Service Connect
לוחצים על קבצים מצורפים ברשת.
בוחרים את הרשת המצורפת כדי לראות את הפרטים שלה ואת רשימת הפרויקטים שמחוברים אליה.
כדי לראות חיבורים ספציפיים של ממשק Private Service Connect בפרויקט, לוחצים על שם הפרויקט.

הסטטוס של החיבור של פרויקט לא קובע בהכרח את הסטטוס של חיבורי ממשק Private Service Connect מהפרויקט הזה. לדוגמה, אם מוסיפים פרויקט לרשימת הדחייה אחרי שאישרתם חיבור מהפרויקט הזה, סטטוס הפרויקט יהיה 'נדחה', אבל החיבור הקיים יישאר פתוח. חיבורים חדשים מהפרויקט הזה יידחו.

gcloud

משתמשים בפקודה network-attachments describe.

gcloud compute network-attachments describe ATTACHMENT_NAME \
    --region=REGION

מחליפים את מה שכתוב בשדות הבאים:

‫ATTACHMENT_NAME: השם של רשת ה-VPC שרוצים לתאר.
‫REGION: האזור של קובץ הרשת המצורף

ממשקי Private Service Connect שמקושרים מוצגים בפורמט הבא:

connectionEndpoints:
- ipAddress: 10.6.0.59
  projectIdOrNum: '123456789'
  status: ACCEPTED
  subnetwork: https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet
- ipAddress: 10.6.0.11
  projectIdOrNum: '987654321'
  status: ACCEPTED
  subnetwork: https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet
  ```

API

כדי לתאר רכיב מצורף לרשת ולהציג את הפרטים שלו, שולחים בקשת GET אל ה-method‏ networkAttachments.get.

GET https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME

מחליפים את מה שכתוב בשדות הבאים:

‫PROJECT_ID: מזהה הפרויקט
‫REGION: האזור של קובץ הרשת המצורף.
‫ATTACHMENT_NAME: השם של קובץ הרשת המצורף.

ממשקי Private Service Connect שמקושרים מוצגים בפורמט הבא:

"connectionEndpoints": [
  {
    "status": "ACCEPTED",
    "projectIdOrNum": "123456789",
    "subnetwork": "https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet-1",
    "ipAddress": "10.6.0.11"
  },
  {
    "status": "ACCEPTED",
    "projectIdOrNum": "987654321",
    "subnetwork": "https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet-2",
    "ipAddress": "10.6.0.59"
  }
]

עדכון קבצים מצורפים לרשת

אפשר לעדכן את הרשת המצורפת על ידי החלפת רשת המשנה, התיאור או – עבור רשתות מצורפות שנוצרו כדי לאשר חיבורים באופן ידני – רשימות האישור או הדחייה. אם אתם צריכים לעדכן שדות אחרים, אתם צריכים למחוק את הקובץ המצורף לרשת ואז ליצור קובץ חדש.

אם מחליפים את רשת המשנה של קובץ מצורף לרשת, החיבורים הקיימים לא מושפעים. חיבורים שנוצרים אחרי העדכון משתמשים בכתובות IP מרשת המשנה החדשה.

אם מעדכנים את רשימת האישור או הדחייה של קובץ מצורף לרשת, השינוי לא משפיע על חיבורים קיימים. חיבורים שנוצרו אחרי העדכון יאושרו או יידחו בהתאם לרשימות המעודכנות.

המסוף

נכנסים לדף Private Service Connect במסוף Cloud de Confiance .

כניסה אל Private Service Connect
לוחצים על קבצים מצורפים ברשת.
לוחצים על הקובץ המצורף לרשת שרוצים לעדכן ואז לוחצים על עריכה.
כדי להחליף את רשת המשנה של הקובץ המצורף לרשת, לוחצים על Subnetwork ואז בוחרים את רשת המשנה החדשה.
כדי לעדכן את רשימת המקבלים:
1. כדי להוסיף יצרן, לוחצים על הוספת פרויקט שאושר או על הוספת סיווג שירות שאושר, ואז מזינים מזהה פרויקט או בוחרים סיווג שירות.
2. כדי להסיר שירות מנוהל, מעבירים את מצביע העכבר מעל השירות המנוהל ולוחצים על מחיקת פרויקט שאושר או על מחיקת סיווג שירות שאושר.
כדי לעדכן את רשימת הדחייה:
1. כדי להוסיף יצרן, לוחצים על הוספת פרויקט שנדחה או על הוספת סיווג שירות שנדחה, ואז מזינים מזהה פרויקט או בוחרים סיווג שירות.
2. כדי להסיר יצרן, מעבירים את מצביע העכבר מעל היצרן ולוחצים על מחיקת פרויקט שנדחה או על מחיקת מחלקת שירות שנדחתה.
לוחצים על עדכון הקובץ המצורף לרשת.

gcloud

משתמשים בפקודה network-attachments update. אפשר לעדכן שדה אחד או יותר מהשדות שמופיעים כאן, חוץ מהשדה region (אזור), שמשמש לזיהוי של קובץ הרשת. אם מעדכנים את רשימות ההסכמה או הדחייה של קובץ מצורף לרשת, צריך להחליף את כל הרשימה בעדכון אחד.

gcloud compute network-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --subnets=SUBNET \
    --producer-accept-list=ACCEPTED_PRODUCERS \
    --producer-reject-list=REJECTED_PRODUCERS \
    --description=DESCRIPTION

מחליפים את מה שכתוב בשדות הבאים:

‫ATTACHMENT_NAME: השם של קובץ הרשת המצורף.
‫REGION: האזור של קובץ הרשת המצורף. הדגל הזה משמש לזיהוי הקובץ המצורף לרשת. אי אפשר לעדכן את האזור של קובץ מצורף לרשת.
‫SUBNET: השם של תת-הרשת שרוצים לשייך לקובץ המצורף הזה לרשת.
‫ACCEPTED_PRODUCERS: רשימה מופרדת בפסיקים של יצרנים שמורשים להתחבר לקובץ המצורף לרשת. אפשר לציין את היוצרים באחת מהדרכים הבאות:
- לפי מזהה הפרויקט: לדוגמה, project-id-1,project-id-2.
- לפי מזהה מחלקת שירות: כל מזהה חייב להשתמש בתחילית serviceclasses/, לדוגמה, serviceclasses/service-class1,serviceclasses/service-class2.
‫REJECTED_PRODUCERS: רשימה מופרדת בפסיקים של מזהי פרויקטים או מזהי מחלקות שירות שנדחו באופן מפורש מחיבור לצירוף הרשת הזה. מציינים את היצרנים באותו פורמט שבו מציינים את רשימת הצרכנים המותרים.
‫DESCRIPTION: תיאור של רכיב הרשת המצורף.

API

שולחים בקשת API לתיאור של קובץ הרשת המצורף שרוצים לעדכן.
שימו לב לערך של השדה fingerprint של קובץ הרשת המצורף.
שולחים בקשת PATCH אל ה-method‏ networkAttachments.patch. משמיטים מגוף הבקשה את כל השדות שלא רוצים להחליף, חוץ מ-fingerprint. אם מעדכנים את רשימות ההסכמה או הדחייה של קובץ מצורף לרשת, צריך להחליף את כל הרשימה בעדכון אחד.
```
PATCH https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME
{
  "fingerprint": "FINGERPRINT",
  "producerAcceptLists": [
    "ACCEPTED_PRODUCERS"
  ],
  "producerRejectLists": [
    "REJECTED_PRODUCERS"
  ],
  "subnetworks": [
    "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
  ],
  "description": "DESCRIPTION"
}
```
מחליפים את מה שכתוב בשדות הבאים:
- ‫PROJECT_ID: מזהה הפרויקט
- ‫REGION: האזור של קובץ הרשת המצורף.
- ‫ATTACHMENT_NAME: השם של קובץ הרשת המצורף.
- ‫FINGERPRINT: הערך של שדה טביעת האצבע שמצאתם בשלב 2.
- ‫ACCEPTED_PRODUCERS: רשימה של יצרנים שמורשים להתחבר לצירוף הרשת הזה. אפשר לציין את היוצרים באחת מהדרכים הבאות:
  - לפי מזהה הפרויקט: לדוגמה, "project-id-1", "project-id-2".
  - לפי מזהה מחלקת שירות: כל מזהה חייב להשתמש בתחילית serviceclasses/, לדוגמה, "serviceclasses/service-class1", "serviceclasses/service-class2".
- ‫REJECTED_PRODUCERS: רשימה של מזהי פרויקטים או מזהי מחלקות שירות שנדחו באופן מפורש מחיבור לצירוף הרשת הזה. מציינים את היצרנים באותו פורמט שבו מציינים את רשימת הצרכנים המותרים.
- ‫SUBNET_NAME: השם של תת-הרשת החדשה שרוצים לשייך לחיבור לרשת.
- ‫DESCRIPTION: תיאור מעודכן של הקובץ המצורף לרשת.

מחיקת קבצים מצורפים ברשת

אפשר למחוק קובץ מצורף לרשת אם אין לו חיבורים. אם רוצים למחוק רכיב Network Attachment שיש לו חיבורים, הבעלים של השירות המנוהל צריך קודם למחוק את הממשק המשויך של Private Service Connect.

אם מוחקים קובץ מצורף לרשת ואז יוצרים קובץ חדש באותו שם,Cloud de Confiance מתייחס לקבצים המצורפים לרשת כשני משאבים נפרדים.

המסוף

נכנסים לדף Private Service Connect במסוף Cloud de Confiance .

כניסה אל Private Service Connect
לוחצים על קבצים מצורפים ברשת.
בוחרים קובץ מצורף לרשת ולוחצים על מחיקה.
כדי לאשר, לוחצים שוב על מחיקה.

gcloud

משתמשים בפקודה network-attachments delete.

gcloud compute network-attachments delete ATTACHMENT_NAME \
    --region=REGION

מחליפים את מה שכתוב בשדות הבאים:

‫ATTACHMENT_NAME: השם של רשת ה-VPC שרוצים לתאר.
‫REGION: האזור של קובץ הרשת המצורף

API

שולחים בקשת DELETE אל ה-method‏ networkAttachments.delete.

DELETE https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME

מחליפים את מה שכתוב בשדות הבאים:

‫PROJECT_ID: מזהה הפרויקט
‫REGION: האזור של קובץ הרשת המצורף.
‫ATTACHMENT_NAME: השם של קובץ הרשת המצורף.

מה השלב הבא?

יוצרים ממשק Private Service Connect שמתחבר לקובץ מצורף עם הרשת.
הגדרת אבטחה לרשת עם קובץ מצורף לרשת.
ניהול חפיפה ביעדים ברשת שיש בה חיבור לממשק Private Service Connect.