Algumas ou todas as informações nesta página podem não se aplicar à Trusted Cloud by S3NS. Consulte o artigo Diferenças em relação ao Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Crie e faça a gestão de associações de rede

Esta página descreve como os administradores de redes de consumidores podem criar e gerir anexos de rede do Private Service Connect. As associações de rede permitem que as redes VPC do produtor de serviços iniciem ligações às redes VPC do consumidor.

Antes de começar

Tem de ativar a API Compute Engine no seu projeto.
Se quiser especificar manualmente que projetos se podem ligar a uma associação de rede, tem de saber os IDs dos projetos.

Funções

Para receber as autorizações de que precisa para criar, ver e eliminar anexos de rede, peça ao seu administrador que lhe conceda a função de IAM administrador de rede de computação (roles/compute.networkAdmin) no seu projeto. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.

Crie uma sub-rede

Quando cria uma associação de rede, atribui-lhe uma única sub-rede normal. Esta sub-rede tem de estar na mesma região que a associação de rede. É possível partilhar uma sub-rede em várias associações de rede. A sub-rede pode ser apenas IPv4 ou de pilha dupla. As sub-redes de pilha dupla têm de usar intervalos IPv6 internos.

Não pode usar sub-redes apenas IPv6 para anexos de rede.

Para mais informações sobre como criar sub-redes, consulte o artigo Crie e faça a gestão de redes VPC.

Crie anexos de rede

As associações de rede são recursos regionais que representam o lado do consumidor de uma ligação de interface do Private Service Connect. Para criar com êxito uma instância de máquina virtual (VM), uma associação de rede tem de estar na mesma região que a VM da interface do Private Service Connect associada.

A política de autorização da associação da rede determina se uma associação da rede pode aceitar uma ligação de uma interface do Private Service Connect.

Pode atualizar a sub-rede, a lista de aceitação, a lista de rejeição e a descrição de uma associação de rede.

Crie uma associação de rede que aceite manualmente ligações

Pode criar uma associação de rede que aceite manualmente ligações. Antes de criar um anexo deste tipo, certifique-se de que conhece os IDs dos projetos que quer aceitar.

Consola

Na Trusted Cloud consola, aceda à página Private Service Connect:

Aceda ao Private Service Connect
Clique em Anexos de rede.
Clique em Criar anexo de rede.
Introduza um Nome.
Selecione uma rede.
Selecione uma região.
Selecione uma sub-rede.
Clique em Aceitar associações para projetos selecionados.
Clique em Adicionar projeto aceite e, de seguida, introduza o ID de cada projeto a partir do qual quer aceitar ligações.
Opcional: clique em Adicionar projeto rejeitado e, de seguida, introduza o ID de cada projeto a partir do qual quer negar explicitamente as ligações.
Clique em Criar anexo de rede.

gcloud

Use o comando network-attachments create.

gcloud compute network-attachments create ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_MANUAL \
    --producer-accept-list=ACCEPTED_PROJECTS \
    --producer-reject-list=REJECTED_PROJECTS \
    --subnets=SUBNET_NAME

Substitua o seguinte:

ATTACHMENT_NAME: o nome do anexo de rede.
REGION: a região da associação de rede.
ACCEPTED_PROJECTS: IDs dos projetos que se podem ligar a esta associação de rede. Pode incluir vários valores numa lista separada por vírgulas.
REJECTED_PROJECTS: IDs dos projetos que não conseguem estabelecer ligação a esta associação de rede. Pode incluir vários valores numa lista separada por vírgulas.
SUBNET_NAME: o nome da sub-rede a associar a esta associação de rede.

API

Faça um pedido POST ao método networkAttachments.insert.

POST https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments
{
  "connectionPreference": "ACCEPT_MANUAL",
  "name": "ATTACHMENT_NAME",
  "producerAcceptLists": [
    "ACCEPTED_PROJECT_LIST"
  ],
  "producerRejectLists": [
    "REJECTED_PROJECT_LIST"
  ],
  "subnetworks": [
    "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
  ]
}

Substitua o seguinte:

PROJECT_ID: o ID do projeto no qual criar a associação de rede.
REGION: a região da associação de rede
ATTACHMENT_NAME: o nome do anexo de rede
ACCEPTED_PROJECT_LIST: IDs dos projetos que se podem ligar a esta associação de rede. Pode incluir vários IDs no seguinte formato: "id-one", "id-two".
REJECTED_PROJECT_LIST: IDs dos projetos que não conseguem estabelecer ligação a esta associação de rede. Pode incluir vários IDs no seguinte formato: "id-one", "id-two".
SUBNET_NAME: o nome da sub-rede a associar ao anexo de rede.

Crie uma associação de rede que aceite automaticamente ligações

Pode criar uma associação da rede que aceite automaticamente ligações de qualquer interface do Private Service Connect que faça referência à associação da rede.

Consola

Na Trusted Cloud consola, aceda à página Private Service Connect:

Aceda ao Private Service Connect
Clique em Anexos de rede.
Clique em Criar anexo de rede.
Introduza um Nome.
Selecione uma rede.
Selecione uma região.
Selecione uma sub-rede.
Clique em Aceitar automaticamente associações para todos os projetos.
Clique em Criar anexo de rede.

gcloud

Use o comando network-attachments create.

gcloud compute network-attachments create ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_AUTOMATIC \
    --subnets=SUBNET_NAME

Substitua o seguinte:

ATTACHMENT_NAME: o nome do anexo de rede.
REGION: a região da associação de rede.
SUBNET_NAME: o nome da sub-rede a associar a esta associação de rede.

API

Faça um pedido POST ao método networkAttachments.insert.

POST https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments
{
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "name": "ATTACHMENT_NAME",
  "subnetworks": [
    "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
  ]
}

Substitua o seguinte:

PROJECT_ID: o ID do projeto no qual criar a associação de rede.
REGION: a região da associação de rede
ATTACHMENT_NAME: o nome do anexo de rede
SUBNET_NAME: o nome da sub-rede a associar ao anexo de rede.

Apresentar associações de rede

Consola

Na Trusted Cloud consola, aceda à página Private Service Connect:

Aceda ao Private Service Connect
Clique em Anexos de rede.

gcloud

Para apresentar uma lista de todas as associações de rede num projeto, use o comando network-attachments list.
```
gcloud compute network-attachments list
```
Para listar as associações de rede numa determinada região ou regiões, use o comando network-attachments list e especifique as regiões.
```
gcloud compute network-attachments list
   --regions=REGIONS
```
Substitua REGIONS pela região ou regiões nas quais quer listar os anexos de rede. Pode incluir várias regiões numa lista separada por vírgulas.

API

Para listar as associações de rede numa determinada região, faça um pedido GET ao método networkAttachments.list.

GET https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments

Substitua o seguinte:

PROJECT_ID: o ID do projeto.
REGION: a região da associação de rede.

Descreva os anexos de rede

Pode descrever uma associação da rede para ver os respetivos detalhes, incluindo as associações da interface do Private Service Connect. Para cada ligação, pode ver o endereço IP atribuído à interface do Private Service Connect.

Consola

Na Trusted Cloud consola, aceda à página Private Service Connect:

Aceda ao Private Service Connect
Clique em Anexos de rede.
Selecione uma associação de rede para ver os respetivos detalhes e uma lista de projetos associados.
Para ver as ligações individuais da interface do Private Service Connect de um projeto, clique no nome do projeto.

O estado da ligação de um projeto não determina necessariamente o estado das ligações de interface do Private Service Connect desse projeto. Por exemplo, se adicionar um projeto à lista de rejeição depois de ter aceitado uma associação desse projeto, o estado do projeto é rejeitado, mas a associação existente permanece aberta. As novas ligações desse projeto são rejeitadas.

gcloud

Use o comando network-attachments describe.

gcloud compute network-attachments describe ATTACHMENT_NAME \
    --region=REGION

Substitua o seguinte:

ATTACHMENT_NAME: o nome do anexo de rede a descrever.
REGION: a região da associação de rede

As interfaces do Private Service Connect associadas são apresentadas no seguinte formato:

connectionEndpoints:
- ipAddress: 10.6.0.59
  projectIdOrNum: '123456789'
  status: ACCEPTED
  subnetwork: https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet
- ipAddress: 10.6.0.11
  projectIdOrNum: '987654321'
  status: ACCEPTED
  subnetwork: https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet
  ```

API

Para descrever uma associação de rede e ver os respetivos detalhes, faça um pedido ao método networkAttachments.get.GET

GET https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME

Substitua o seguinte:

PROJECT_ID: o ID do projeto.
REGION: a região da associação de rede.
ATTACHMENT_NAME: o nome do anexo de rede.

As interfaces do Private Service Connect associadas são apresentadas no seguinte formato:

"connectionEndpoints": [
  {
    "status": "ACCEPTED",
    "projectIdOrNum": "123456789",
    "subnetwork": "https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet-1",
    "ipAddress": "10.6.0.11"
  },
  {
    "status": "ACCEPTED",
    "projectIdOrNum": "987654321",
    "subnetwork": "https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet-2",
    "ipAddress": "10.6.0.59"
  }
]

Atualize as associações de rede

Pode atualizar uma associação de rede substituindo a respetiva sub-rede, descrição ou, para associações de rede criadas para aceitar manualmente ligações, as listas de aceitação ou rejeição. Se precisar de atualizar outros campos, elimine a associação de rede e, em seguida, crie uma nova.

Se substituir a sub-rede de um anexo de rede, as ligações existentes não são afetadas. As ligações criadas após a atualização usam endereços IP da nova sub-rede.

Se substituir a lista de aceitação ou rejeição de uma associação de rede, as ligações existentes não são afetadas. As associações criadas após a atualização são aceites ou rejeitadas de acordo com as listas atualizadas.

Consola

Na Trusted Cloud consola, aceda à página Private Service Connect:

Aceda ao Private Service Connect
Clique em Anexos de rede.
Clique na associação de rede que quer atualizar e, de seguida, clique em Editar.
Para substituir a sub-rede do anexo de rede, clique em Sub-rede e, de seguida, selecione a nova sub-rede.
Para atualizar a lista de aceitação, faça o seguinte:
1. Para adicionar um projeto à lista de aceitação, clique em Adicionar projeto aceite e, de seguida, introduza o ID do projeto ou o número do projeto a aceitar.
2. Para remover um projeto da lista de aceitação, mantenha o ponteiro sobre o projeto e, de seguida, clique em Eliminar projeto aceite.
Para atualizar a lista de rejeição, faça o seguinte:
1. Para adicionar um projeto à lista de rejeição, clique em Adicionar projeto rejeitado e, de seguida, introduza o ID do projeto ou o número do projeto a rejeitar.
2. Para remover um projeto da lista de rejeição, mantenha o ponteiro sobre o projeto e, de seguida, clique em Eliminar projeto rejeitado.
Clique em Atualizar associação de rede.

gcloud

Use o comando network-attachments update. Pode atualizar um ou mais dos campos indicados aqui, exceto a região, que é usada para identificar a associação de rede. Se atualizar as listas de aceitação ou rejeição de um anexo de rede, tem de substituir a lista completa numa atualização.

gcloud compute network-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --subnets=SUBNET \
    --producer-accept-list=ACCEPTED_PROJECTS \
    --producer-reject-list=REJECTED_PROJECTS \
    --description=DESCRIPTION

Substitua o seguinte:

ATTACHMENT_NAME: o nome do anexo de rede.
REGION: a região da associação de rede. Esta flag é usada para identificar a associação de rede. Não é possível atualizar a região de uma associação de rede.
SUBNET: o nome da sub-rede a associar a esta associação de rede.
ACCEPTED_PROJECTS: IDs dos projetos que se podem ligar a esta associação de rede. Pode incluir vários valores numa lista separada por vírgulas. A lista que especificar aqui substitui a lista de aceitação existente.
REJECTED_PROJECTS: IDs dos projetos que não conseguem estabelecer ligação a esta associação de rede. Pode incluir vários valores numa lista separada por vírgulas. A lista que especificar aqui substitui a lista de rejeição existente.
DESCRIPTION: uma descrição do anexo de rede.

API

Envie um pedido de API para descrever a associação de rede que quer atualizar.
Tome nota do valor do campo fingerprint do anexo de rede.
Faça um pedido PATCH ao método networkAttachments.patch. Omita todos os campos do corpo do pedido que não quer substituir, exceto fingerprint.
```
PATCH https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME
{
  "fingerprint": "FINGERPRINT",
  "producerAcceptLists": [
    "ACCEPTED_PROJECT_LIST"
  ],
  "producerRejectLists": [
    "REJECTED_PROJECT_LIST"
  ],
  "subnetworks": [
    "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
  ],
  "description": "DESCRIPTION"
}
```
Substitua o seguinte:
- PROJECT_ID: o ID do projeto.
- REGION: a região da associação de rede.
- ATTACHMENT_NAME: o nome do anexo de rede.
- FINGERPRINT: o valor do campo de impressão digital que encontrou no passo 2.
- ACCEPTED_PROJECT_LIST: IDs dos projetos que se podem ligar a esta associação de rede. Pode incluir vários IDs no seguinte formato: "id-one", "id-two". As atualizações a esta lista substituem qualquer lista de projetos aceite anteriormente.
- REJECTED_PROJECT_LIST: IDs dos projetos que não conseguem estabelecer ligação a esta associação de rede. Pode incluir vários IDs no seguinte formato: "id-one", "id-two". As atualizações a esta lista substituem qualquer lista de projetos rejeitados anterior.
- SUBNET_NAME: o nome da nova sub-rede a associar ao anexo de rede.
- DESCRIPTION: uma descrição atualizada do anexo de rede.

Elimine anexos de rede

Pode eliminar uma associação de rede se não tiver associações. Se quiser eliminar uma associação de rede que tenha ligações, o produtor tem de eliminar primeiro a interface do Private Service Connect associada.

Se eliminar uma associação de rede e, em seguida, criar uma nova com o mesmo nome, oTrusted Cloud trata as associações de rede como dois recursos separados.

Consola

Na Trusted Cloud consola, aceda à página Private Service Connect:

Aceda ao Private Service Connect
Clique em Anexos de rede.
Selecione uma associação de rede e, de seguida, clique em Eliminar.
Clique novamente em Eliminar para confirmar.

gcloud

Use o comando network-attachments delete.

gcloud compute network-attachments delete ATTACHMENT_NAME \
    --region=REGION

Substitua o seguinte:

ATTACHMENT_NAME: o nome do anexo de rede a descrever.
REGION: a região da associação de rede

API

Faça um pedido DELETE ao método networkAttachments.delete.

DELETE https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME

Substitua o seguinte:

PROJECT_ID: o ID do projeto.
REGION: a região da associação de rede.
ATTACHMENT_NAME: o nome do anexo de rede.

O que se segue?

Configure a segurança para uma rede com uma ligação de rede.
Faça a gestão da sobreposição de destinos numa rede com uma ligação de interface do Private Service Connect.