Netzwerkanhänge erstellen und verwalten

Auf dieser Seite wird beschrieben, wie Administratoren von Nutzernetzwerken Private Service Connect-Netzwerkanhänge erstellen und verwalten. Mit Netzwerkanhängen können VPC-Netzwerke von Diensterstellern Verbindungen zu Nutzer-VPC-Netzwerken initiieren.

Vorbereitung

  • Sie müssen in Ihrem Projekt die Compute Engine API aktivieren.
  • Wenn Sie manuell angeben möchten, welche Projekte eine Verbindung zu einem Netzwerkanhang herstellen können, benötigen Sie die IDs der Projekte.

Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Compute-Netzwerkadministrator (roles/compute.networkAdmin) für Ihr Projekt zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Erstellen, Aufrufen und Löschen von Netzwerkanhängen benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Subnetz erstellen

Wenn Sie eine Netzwerkverbindung erstellen, weisen Sie ihr ein einzelnes reguläres Subnetz zu. Dieses Subnetz muss sich in derselben Region wie der Netzwerkanhang befinden. Ein Subnetz kann von mehreren Netzwerkverbindungen gemeinsam genutzt werden. Für Subnetze mit dem Dual-Stack- oder Nur-IPv6-Stapeltyp müssen interne IPv6-Adressbereiche verwendet werden.

Weitere Informationen zum Erstellen von Subnetzen finden Sie unter VPC-Netzwerke erstellen und verwalten.

Netzwerkanhänge erstellen

Netzwerkanhänge sind regionale Ressourcen, die die Nutzerseite der Verbindung einer Private Service Connect-Schnittstelle darstellen. Ein Netzwerkanhang muss sich in derselben Region wie die VM der zugehörigen Private Service Connect-Schnittstelle befinden.

Die Autorisierungsrichtlinie des Netzwerkanhangs bestimmt, ob ein Netzwerkanhang eine Verbindung von einer Private Service Connect-Schnittstelle akzeptieren kann.

Sie können das Subnetz, die Zulassungsliste, die Ablehnungsliste und die Beschreibung eines Netzwerkanhangs aktualisieren.

Netzwerkanhang erstellen, der Verbindungen manuell akzeptiert

Sie können einen Netzwerkanhang erstellen, der Verbindungen manuell akzeptiert. Bevor Sie einen Anhang dieses Typs erstellen, müssen Sie die Projekt-IDs oder die Dienstklassen-IDs der Produzenten kennen, die Sie akzeptieren möchten.

Die Annahme- und Ablehnungslisten können entweder Projekt-IDs oder Dienstklassen-IDs enthalten, aber nicht beides.

Console

  1. Rufen Sie in der Cloud de Confiance Console die Seite Private Service Connect auf:

    Zu Private Service Connect

  2. Klicken Sie auf Netzwerkverbindungen.

  3. Klicken Sie auf Netzwerkanhang erstellen.

  4. Geben Sie einen Namen ein.

  5. Wählen Sie ein Netzwerk.

  6. Wählen Sie eine Region aus.

  7. Wählen Sie ein Subnetzwerk.

  8. Führen Sie einen der folgenden Schritte aus:

    • So akzeptieren Sie Verbindungen anhand der Projekt-ID:
      1. Wählen Sie Verbindungen für ausgewählte Projekte akzeptieren aus.
      2. Klicken Sie für jedes Projekt, das Sie akzeptieren möchten, auf Angenommenes Projekt hinzufügen und geben Sie dann die Projekt-ID ein.
      3. Optional: Klicken Sie für jedes Projekt, das Sie explizit ablehnen möchten, auf Abgelehntes Projekt hinzufügen und geben Sie dann die Projekt-ID ein.
    • So akzeptieren Sie Verbindungen basierend auf der Dienstklassen-ID:
      1. Wählen Sie Verbindungen für ausgewählte Dienstklassen akzeptieren aus.
      2. Klicken Sie für jede Dienstklasse, die Sie akzeptieren möchten, auf Akzeptierte Dienstklasse hinzufügen und wählen Sie dann die Dienstklasse aus, die Sie akzeptieren möchten.
      3. Optional: Klicken Sie für jede Dienstklasse, die Sie explizit ablehnen möchten, auf Abgelehnte Dienstklasse hinzufügen und wählen Sie dann die abzulehnende Dienstklasse aus.
  9. Klicken Sie auf Netzwerkanhang erstellen.

gcloud

Führen Sie den Befehl network-attachments create aus.

gcloud compute network-attachments create ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_MANUAL \
    --producer-accept-list=ACCEPTED_PRODUCERS \
    --producer-reject-list=REJECTED_PRODUCERS \
    --subnets=SUBNET_NAME

Ersetzen Sie dabei Folgendes:

  • ATTACHMENT_NAME ist der Name des Netzwerkanhangs.
  • REGION ist die Region des Netzwerkanhangs.
  • ACCEPTED_PRODUCERS: Eine durch Kommas getrennte Liste der Producer, die autorisiert sind, eine Verbindung zu diesem Netzwerkanhang herzustellen. Sie können Produzenten auf eine der folgenden Arten angeben:
    • Nach Projekt-ID: z. B. project-id-1,project-id-2.
    • Nach Dienstklassen-ID: Jede ID muss das Präfix serviceclasses/ verwenden, z. B. serviceclasses/service-class1,serviceclasses/service-class2.
  • REJECTED_PRODUCERS: eine durch Kommas getrennte Liste von Projekt-IDs oder Dienstklassen-IDs, die explizit abgelehnt werden, wenn sie versuchen, eine Verbindung zu diesem Netzwerkanhang herzustellen. Geben Sie Ersteller im selben Format wie die Nutzerakzeptanzliste an.
  • SUBNET_NAME ist der Name des Subnetzes, das diesem Netzwerkanhang zugeordnet werden soll.

API

Stellen Sie eine POST-Anfrage an die Methode networkAttachments.insert.

POST https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments
{
  "connectionPreference": "ACCEPT_MANUAL",
  "name": "ATTACHMENT_NAME",
  "producerAcceptLists": [
    "ACCEPTED_PRODUCERS"
  ],
  "producerRejectLists": [
    "REJECTED_PRODUCERS"
  ],
  "subnetworks": [
    "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
  ]
}

Ersetzen Sie dabei Folgendes:

  • PROJECT_ID: die ID des Projekts, in dem die Netzwerkverbindung erstellt werden soll.
  • REGION ist die Region des Netzwerkanhangs
  • ATTACHMENT_NAME ist der Name des Netzwerkanhangs
  • ACCEPTED_PRODUCERS: Eine Liste der Produzenten, die berechtigt sind, eine Verbindung zu diesem Netzwerkanhang herzustellen. Sie können Produzenten auf eine der folgenden Arten angeben:
    • Nach Projekt-ID: z. B. "project-id-1", "project-id-2".
    • Nach Dienstklassen-ID: Jede ID muss das Präfix serviceclasses/ verwenden, z. B. "serviceclasses/service-class1", "serviceclasses/service-class2".
  • REJECTED_PRODUCERS: Eine Liste von Projekt-IDs oder Dienstklassen-IDs, die explizit abgelehnt werden, wenn sie versuchen, eine Verbindung zu diesem Netzwerkanhang herzustellen. Geben Sie Ersteller im selben Format wie die Nutzerakzeptanzliste an.
  • SUBNET_NAME ist der Name des Subnetzes, das dem Netzwerkanhang zugeordnet werden soll.

Netzwerkanhang erstellen, der Verbindungen automatisch akzeptiert

Sie können einen Netzwerkanhang erstellen, der automatisch Verbindungen von jeder Private Service Connect-Schnittstelle akzeptiert, die auf den Netzwerkanhang verweist.

Console

  1. Rufen Sie in der Cloud de Confiance Console die Seite Private Service Connect auf:

    Zu Private Service Connect

  2. Klicken Sie auf Netzwerkverbindungen.

  3. Klicken Sie auf Netzwerkanhang erstellen.

  4. Geben Sie einen Namen ein.

  5. Wählen Sie ein Netzwerk.

  6. Wählen Sie eine Region aus.

  7. Wählen Sie ein Subnetzwerk.

  8. Klicken Sie auf Verbindungen für alle Projekte automatisch akzeptieren.

  9. Klicken Sie auf Netzwerkanhang erstellen.

gcloud

Führen Sie den Befehl network-attachments create aus.

gcloud compute network-attachments create ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_AUTOMATIC \
    --subnets=SUBNET_NAME

Ersetzen Sie dabei Folgendes:

  • ATTACHMENT_NAME ist der Name des Netzwerkanhangs.
  • REGION ist die Region des Netzwerkanhangs.
  • SUBNET_NAME ist der Name des Subnetzes, das diesem Netzwerkanhang zugeordnet werden soll.

API

Stellen Sie eine POST-Anfrage an die Methode networkAttachments.insert.

POST https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments
{
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "name": "ATTACHMENT_NAME",
  "subnetworks": [
    "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
  ]
}

Ersetzen Sie dabei Folgendes:

  • PROJECT_ID: die ID des Projekts, in dem die Netzwerkverbindung erstellt werden soll.
  • REGION ist die Region des Netzwerkanhangs
  • ATTACHMENT_NAME ist der Name des Netzwerkanhangs
  • SUBNET_NAME ist der Name des Subnetzes, das dem Netzwerkanhang zugeordnet werden soll.

Netzwerkanhänge auflisten

Console

  1. Rufen Sie in der Cloud de Confiance Console die Seite Private Service Connect auf:

    Zu Private Service Connect

  2. Klicken Sie auf Netzwerkverbindungen.

gcloud

  • Verwenden Sie den Befehl network-attachments list, um alle Netzwerkverbindungen in einem Projekt aufzulisten.

    gcloud compute network-attachments list
    
  • Verwenden Sie den Befehl network-attachments list und geben Sie die Regionen an, um Netzwerkanhänge in einer bestimmten Region oder bestimmten Regionen aufzulisten.

    gcloud compute network-attachments list
       --regions=REGIONS
    

    Ersetzen Sie REGIONS durch die Region oder die Regionen, für die Netzwerkanhänge aufgelistet werden sollen. Sie können mehrere Regionen in einer durch Kommas getrennten Liste angeben.

API

Wenn Sie Netzwerkanhänge in einer bestimmten Region auflisten möchten, senden Sie eine GET-Anfrage an die Methode networkAttachments.list.

GET https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments

Ersetzen Sie dabei Folgendes:

  • PROJECT_ID ist die ID des Projekts.
  • REGION ist die Region des Netzwerkanhangs.

Netzwerkanhänge beschreiben

Sie können einen Netzwerkanhang beschreiben, um dessen Details aufzurufen, einschließlich der zugehörigen Verbindungen zu Private Service Connect-Schnittstellen. Pro Verbindung sehen Sie die der Private Service Connect-Schnittstelle zugewiesene IP-Adresse.

Console

  1. Rufen Sie in der Cloud de Confiance Console die Seite Private Service Connect auf:

    Zu Private Service Connect

  2. Klicken Sie auf Netzwerkverbindungen.

  3. Wählen Sie einen Netzwerkanhang aus, um seine Details und eine Liste der verbundenen Projekte aufzurufen.

  4. Wenn Sie sich die einzelnen Private Service Connect-Schnittstellenverbindungen für ein Projekt ansehen möchten, klicken Sie auf den Namen des Projekts.

    Der Verbindungsstatus eines Projekts bestimmt nicht unbedingt den Status der Private Service Connect-Schnittstellenverbindungen von diesem Projekt. Wenn Sie beispielsweise ein Projekt zur Ablehnungsliste hinzufügen, nachdem Sie eine Verbindung von diesem Projekt akzeptiert haben, wird der Projektstatus auf „Abgelehnt“ gesetzt, die bestehende Verbindung bleibt jedoch offen. Neue Verbindungen aus diesem Projekt werden abgelehnt.

gcloud

Führen Sie den Befehl network-attachments describe aus.

gcloud compute network-attachments describe ATTACHMENT_NAME \
    --region=REGION

Ersetzen Sie dabei Folgendes:

  • ATTACHMENT_NAME ist der Name des zu beschreibenden Netzwerkanhangs.
  • REGION ist die Region des Netzwerkanhangs

Verbundene Private Service Connect-Schnittstellen werden im folgenden Format angezeigt:

connectionEndpoints:
- ipAddress: 10.6.0.59
  projectIdOrNum: '123456789'
  status: ACCEPTED
  subnetwork: https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet
- ipAddress: 10.6.0.11
  projectIdOrNum: '987654321'
  status: ACCEPTED
  subnetwork: https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet
  ```

API

Um einen Netzwerkanhang zu beschreiben und dessen Details aufzurufen, senden Sie eine GET-Anfrage an die Methode networkAttachments.get.

GET https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME

Ersetzen Sie dabei Folgendes:

  • PROJECT_ID ist die ID des Projekts.
  • REGION ist die Region des Netzwerkanhangs.
  • ATTACHMENT_NAME ist der Name des Netzwerkanhangs.

Verbundene Private Service Connect-Schnittstellen werden im folgenden Format angezeigt:

"connectionEndpoints": [
  {
    "status": "ACCEPTED",
    "projectIdOrNum": "123456789",
    "subnetwork": "https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet-1",
    "ipAddress": "10.6.0.11"
  },
  {
    "status": "ACCEPTED",
    "projectIdOrNum": "987654321",
    "subnetwork": "https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet-2",
    "ipAddress": "10.6.0.59"
  }
]

Netzwerkanhänge aktualisieren

Zum Aktualisieren eines Netzwerkanhangs können Sie dessen Subnetz, Beschreibung oder (im Fall von Netzwerkanhängen, die zum manuellen Akzeptieren von Verbindungen erstellt wurden) die Listen zum Zulassen oder Ablehnen ersetzen. Wenn Sie andere Felder aktualisieren möchten, löschen Sie den Netzwerkanhang und erstellen Sie einen neuen.

Wenn Sie das Subnetz eines Netzwerkanhangs ersetzen, sind vorhandene Verbindungen nicht betroffen. Für Verbindungen, die nach der Aktualisierung erstellt werden, werden IP-Adressen aus dem neuen Subnetz verwendet.

Wenn Sie die Annahme- oder Ablehnungsliste eines Netzwerkanhangs aktualisieren, sind vorhandene Verbindungen nicht betroffen. Nach einer Aktualisierung erstellte Verbindungen werden gemäß den aktualisierten Listen akzeptiert oder abgelehnt.

Console

  1. Rufen Sie in der Cloud de Confiance Console die Seite Private Service Connect auf:

    Zu Private Service Connect

  2. Klicken Sie auf Netzwerkverbindungen.

  3. Klicken Sie auf die Netzwerkverbindung, die Sie aktualisieren möchten, und dann auf Bearbeiten.

  4. Wenn Sie das Subnetzwerk der Netzwerkverbindung ersetzen möchten, klicken Sie auf Subnetzwerk und wählen Sie das neue Subnetzwerk aus.

  5. So aktualisieren Sie die Annahmeliste:

    1. Wenn Sie einen Produzenten hinzufügen möchten, klicken Sie auf Angenommenes Projekt hinzufügen oder Angenommene Dienstklasse hinzufügen und geben Sie dann eine Projekt-ID ein oder wählen Sie eine Dienstklasse aus.
    2. Wenn Sie einen Produzenten entfernen möchten, halten Sie den Mauszeiger über den Produzenten und klicken Sie dann auf Angenommenes Projekt löschen oder Angenommene Serviceklasse löschen.
  6. So aktualisieren Sie die Ablehnungsliste:

    1. Wenn Sie einen Produzenten hinzufügen möchten, klicken Sie auf Abgelehntes Projekt hinzufügen oder Abgelehnte Dienstklasse hinzufügen und geben Sie dann eine Projekt-ID ein oder wählen Sie eine Dienstklasse aus.
    2. Wenn Sie einen Produzenten entfernen möchten, halten Sie den Mauszeiger über den Produzenten und klicken Sie dann auf Abgelehntes Projekt löschen oder Abgelehnte Dienstklasse löschen.
  7. Klicken Sie auf Netzwerkverknüpfung aktualisieren.

gcloud

Führen Sie den Befehl network-attachments update aus. Sie können eines oder mehrere der hier aufgeführten Felder aktualisieren, mit Ausnahme der Region, die zur Identifizierung der Netzwerkverbindung verwendet wird. Wenn Sie die Annahme- oder Ablehnungsliste eines Netzwerkanhangs aktualisieren, müssen Sie die gesamte Liste in einer Aktualisierung ersetzen.

gcloud compute network-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --subnets=SUBNET \
    --producer-accept-list=ACCEPTED_PRODUCERS \
    --producer-reject-list=REJECTED_PRODUCERS \
    --description=DESCRIPTION

Ersetzen Sie dabei Folgendes:

  • ATTACHMENT_NAME ist der Name des Netzwerkanhangs.
  • REGION ist die Region des Netzwerkanhangs. Mit diesem Flag wird die Netzwerkverbindung identifiziert. Sie können die Region eines Netzwerkanhangs nicht aktualisieren.
  • SUBNET ist der Name des Subnetzes, das diesem Netzwerkanhang zugeordnet werden soll.
  • ACCEPTED_PRODUCERS: Eine durch Kommas getrennte Liste der Producer, die autorisiert sind, eine Verbindung zu diesem Netzwerkanhang herzustellen. Sie können Produzenten auf eine der folgenden Arten angeben:
    • Nach Projekt-ID: z. B. project-id-1,project-id-2.
    • Nach Dienstklassen-ID: Jede ID muss das Präfix serviceclasses/ verwenden, z. B. serviceclasses/service-class1,serviceclasses/service-class2.
  • REJECTED_PRODUCERS: eine durch Kommas getrennte Liste von Projekt-IDs oder Dienstklassen-IDs, die explizit abgelehnt werden, wenn sie versuchen, eine Verbindung zu diesem Netzwerkanhang herzustellen. Geben Sie Ersteller im selben Format wie die Nutzerakzeptanzliste an.
  • DESCRIPTION ist eine Beschreibung des Netzwerkanhangs.

API

  1. Senden Sie eine API-Anfrage, um den zu aktualisierenden Netzwerkanhang zu beschreiben.
  2. Notieren Sie sich den Wert für das Feld fingerprint der Netzwerkverbindung.
  3. Stellen Sie eine PATCH-Anfrage an die Methode networkAttachments.patch. Lassen Sie alle Felder im Anfragetext weg, die Sie nicht ersetzen möchten, mit Ausnahme von fingerprint. Wenn Sie die Annahme- oder Ablehnungsliste eines Netzwerkanhangs aktualisieren, müssen Sie die gesamte Liste in einer Aktualisierung ersetzen.

    PATCH https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME
    {
      "fingerprint": "FINGERPRINT",
      "producerAcceptLists": [
        "ACCEPTED_PRODUCERS"
      ],
      "producerRejectLists": [
        "REJECTED_PRODUCERS"
      ],
      "subnetworks": [
        "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
      ],
      "description": "DESCRIPTION"
    }
    

    Ersetzen Sie Folgendes:

    • PROJECT_ID ist die ID des Projekts.
    • REGION ist die Region des Netzwerkanhangs.
    • ATTACHMENT_NAME ist der Name des Netzwerkanhangs.
    • FINGERPRINT ist der Wert für das Fingerabdruckfeld, das Sie in Schritt 2 gefunden haben.
    • ACCEPTED_PRODUCERS: Eine Liste der Produzenten, die berechtigt sind, eine Verbindung zu diesem Netzwerkanhang herzustellen. Sie können Produzenten auf eine der folgenden Arten angeben:
      • Nach Projekt-ID: z. B. "project-id-1", "project-id-2".
      • Nach Dienstklassen-ID: Jede ID muss das Präfix serviceclasses/ verwenden, z. B. "serviceclasses/service-class1", "serviceclasses/service-class2".
    • REJECTED_PRODUCERS: Eine Liste von Projekt-IDs oder Dienstklassen-IDs, die explizit abgelehnt werden, wenn sie versuchen, eine Verbindung zu diesem Netzwerkanhang herzustellen. Geben Sie Ersteller im selben Format wie die Nutzerakzeptanzliste an.
    • SUBNET_NAME: der Name des neuen Subnetzes, das dem Netzwerkanhang zugeordnet werden soll.
    • DESCRIPTION ist eine aktualisierte Beschreibung des Netzwerkanhangs.

Netzwerkanhänge löschen

Sie können einen Netzwerkanhang löschen, wenn er keine Verbindungen hat. Wenn Sie einen Netzwerkanhang mit Verbindungen löschen möchten, muss der Ersteller zuerst die zugehörige Private Service Connect-Schnittstelle löschen.

Wenn Sie eine Netzwerkverbindung löschen und dann eine neue mit demselben Namen erstellen, behandeltCloud de Confiance die Netzwerkverbindungen als zwei separate Ressourcen.

Console

  1. Rufen Sie in der Cloud de Confiance Console die Seite Private Service Connect auf:

    Zu Private Service Connect

  2. Klicken Sie auf Netzwerkverbindungen.

  3. Wählen Sie eine Netzwerkverbindung aus und klicken Sie dann auf Löschen.

  4. Klicken Sie zum Bestätigen noch einmal auf Löschen.

gcloud

Führen Sie den Befehl network-attachments delete aus.

gcloud compute network-attachments delete ATTACHMENT_NAME \
    --region=REGION

Ersetzen Sie dabei Folgendes:

  • ATTACHMENT_NAME ist der Name des zu beschreibenden Netzwerkanhangs.
  • REGION ist die Region des Netzwerkanhangs

API

Stellen Sie eine DELETE-Anfrage an die Methode networkAttachments.delete.

DELETE https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME

Ersetzen Sie dabei Folgendes:

  • PROJECT_ID ist die ID des Projekts.
  • REGION ist die Region des Netzwerkanhangs.
  • ATTACHMENT_NAME ist der Name des Netzwerkanhangs.

Nächste Schritte