À propos des rattachements de réseau
Cette page présente les rattachements de réseau.
Un rattachement de réseau est une ressource qui permet à un réseau cloud privé virtuel (VPC) producteur d'établir des connexions à un réseau VPC utilisateur via une interface Private Service Connect.
Si un rattachement de réseau accepte une connexion depuis une interface Private Service Connect, Google Cloud attribue à l'interface une adresse IP interne d'un sous-réseau client spécifié par le rattachement de réseau. L'instance de machine virtuelle (VM) de l'interface Private Service Connect comporte au moins une interface réseau standard supplémentaire qui se connecte à un sous-réseau de producteur.
Cette connexion d'interface Private Service Connect permet aux organisations du producteur et du client de configurer leurs réseaux VPC afin que les deux réseaux soient connectés et puissent communiquer à l'aide d'adresses IP internes. Par exemple, l'organisation producteur peut mettre à jour le réseau VPC producteur afin d'ajouter des routes pour les sous-réseaux consommateur.
Une connexion entre un rattachement de réseau et une interface Private Service Connect est semblable à la connexion entre un point de terminaison Private Service Connect et un rattachement de service, avec toutefois deux différences essentielles :
- Un rattachement de réseau permet à un réseau VPC producteur d'établir des connexions à un réseau VPC consommateur (sortie de service géré). Un point de terminaison fonctionne dans le sens inverse, ce qui permet à un réseau VPC consommateur d'établir des connexions avec un réseau VPC producteur (entrée de service géré).
- Une connexion d'interface Private Service Connect est transitive. Cela signifie que les charges de travail d'un réseau VPC producteur peuvent établir des connexions avec les charges de travail d'autres réseaux VPC connectés au réseau VPC client.
Par exemple, une organisation utilisatrice de services peut souhaiter fournir un accès de service géré aux données utilisateur qui n'est disponible que dans le réseau VPC de l'utilisateur. Le service peut également avoir besoin d'accéder à des données ou à des services disponibles sur site, via une connexion VPN ou Cloud Interconnect, ou à partir d'un service tiers. En outre, le client peut souhaiter que tout trafic Internet utilisant ses données passe par sa propre passerelle de sortie. Cela permet à l'utilisateur de surveiller le trafic et de fournir une sécurité personnalisée.
Une connexion d'interface Private Service Connect peut répondre à toutes ces exigences.
Spécifications
Les rattachements de réseau présentent les spécifications suivantes :
- Un rattachement de réseau est une ressource régionale qui représente le côté utilisateur d'une connexion d'interface Private Service Connect.
- Les rattachements de réseau vous permettent d'accepter explicitement ou automatiquement les connexions des interfaces Private Service Connect.
- Une connexion réseau est associée à un seul sous-réseau. Vous pouvez utiliser des sous-réseaux IPv4 uniquement ou à double pile avec des pièces jointes réseau. Pour en savoir plus, consultez la section Attribution de sous-réseaux.
- Lorsqu'une requête de connexion est acceptée, l'interface Private Service Connect se voit attribuer une adresse IP à partir du sous-réseau du rattachement de réseau.
- Plusieurs interfaces Private Service Connect peuvent se connecter au même rattachement de réseau.
- Les rattachements de réseau sont compatibles avec le VPC partagé. Vous pouvez créer un rattachement réseau dans un projet de service, mais le sous-réseau du rattachement doit se trouver dans un projet hôte.
- Une connexion entre un rattachement de réseau et une interface Private Service Connect est bidirectionnelle.
- Une connexion entre un rattachement de réseau et une interface Private Service Connect est transitive. Les charges de travail du réseau VPC producteur peuvent communiquer avec les charges de travail connectées au réseau VPC consommateur.
Attribution de sous-réseau
Lorsque vous créez un rattachement de réseau, vous devez lui attribuer un seul sous-réseau. Si une requête de connexion provenant d'une interface de producteur est acceptée, soit parce que le rattachement est configuré pour accepter automatiquement les connexions, soit parce que le projet producteur est inclus dans la liste d'acceptation, cette interface se voit attribuer une adresse IP issue de la plage d'adresses IP du sous-réseau.
Ce sous-réseau présente les caractéristiques suivantes :
- Il doit s'agir d'un sous-réseau standard.
- Il peut s'agir d'un sous-réseau IPv4 uniquement ou d'un sous-réseau à double pile avec une plage d'adresses IPv6 interne. Si vous souhaitez envoyer du trafic IPv6 à l'interface Private Service Connect, utilisez un sous-réseau à double pile. Cependant, tous les producteurs de services ne sont pas compatibles avec l'IPv6.
- Les adresses IP du sous-réseau ne sont pas réservées et vous pouvez attribuer d'autres ressources au sous-réseau.
- Vous ne pouvez pas supprimer le sous-réseau tant qu'il est attribué à un rattachement de réseau.
- Vous pouvez remplacer le sous-réseau sans affecter les connexions existantes. Les connexions établies après le remplacement du sous-réseau utilisent le nouveau sous-réseau.
- Vous pouvez étendre la plage CIDR du sous-réseau. Les nouvelles allocations d'adresses utiliseront alors la plage étendue.
Règles de connexion
Les règles de connexion déterminent si un rattachement de réseau accepte une connexion depuis une interface Private Service Connect. Une règle de connexion est composée des trois champs suivants d'un rattachement de réseau :
- Préférence de connexion : il peut s'agir de
ACCEPT_AUTOMATIC
ouACCEPT_MANUAL
.ACCEPT_AUTOMATIC
: les nouvelles connexions sont automatiquement acceptées.ACCEPT_MANUAL
: l'état des nouvelles connexions est déterminé par la liste d'acceptation d'un rattachement de réseau.
- Liste d'acceptation : liste des ID de projet pour les rattachements de réseau ayant la préférence de connexion
ACCEPT_MANUAL
. Les nouvelles connexions provenant des projets de cette liste sont acceptées. Si une interface Private Service Connect demande une connexion et que le projet de l'interface ne figure pas dans cette liste, la création de la VM d'interface Private Service Connect échoue. - Liste de refus : liste des ID de projet pour les rattachements de réseau ayant la préférence de connexion
ACCEPT_MANUAL
. Les nouvelles connexions provenant des projets de cette liste sont explicitement refusées, et la création de la VM d'interface Private Service Connect échoue.
Si un rattachement de réseau est configuré pour accepter manuellement les connexions et que vous ajoutez un projet producteur à la fois à la liste d'acceptation et à la liste de refus, les requêtes de connexion de ce projet sont refusées. La création de la VM d'interface Private Service Connect échoue.
Connexions
Lorsqu'un rattachement de réseau accepte une requête de connexion à partir d'une interface Private Service Connect, une connexion logique est créée. Cette connexion est le tuple composé du rattachement de réseau et de l'interface réseau qui y fait référence. L'interface d'une VM productrice appartient logiquement au réseau VPC consommateur, mais son cycle de vie est géré par le producteur. Par exemple, le rattachement de réseau de la figure 1 dispose de deux connexions.
Vous pouvez afficher les connexions acceptées lorsque vous décrivez un rattachement de réseau.
Limites
- Vous pouvez seulement mettre à jour le sous-réseau, la liste d'acceptation, la liste de rejet et la description d'un rattachement de réseau. Si vous souhaitez mettre à jour d'autres champs, supprimez le rattachement et créez-en un nouveau.
- Vous ne pouvez pas supprimer un rattachement de réseau s'il comporte des connexions ouvertes. Dans ce cas, l'organisation productrice doit d'abord supprimer les interfaces Private Service Connect associées.
- Les interfaces Private Service Connect ne sont pas compatibles avec les adresses IP externes.
Tarifs
La tarification des rattachements de réseau est décrite sur la page des tarifs relatifs aux VPC.
Quota
Le nombre de rattachements de réseau que vous pouvez créer par région dans un seul projet est limité. Pour plus d'informations, vérifiez quels sont les quotas par projet dans la documentation VPC.