Informazioni sui collegamenti di rete
Questa pagina fornisce una panoramica degli allegati di rete.
Un collegamento di rete è una risorsa che consente a una rete Virtual Private Cloud (VPC) producer di avviare connessioni a una rete VPC consumer tramite un'interfaccia Private Service Connect.
Se un collegamento di rete accetta una connessione da un'interfaccia Private Service Connect, Google Cloudalloca all'interfaccia un indirizzo IP interno da una subnet consumer specificata dal collegamento di rete. L'istanza di macchina virtuale (VM) dell'interfaccia Private Service Connect ha almeno un'altra interfaccia di rete normale che si connette a una subnet del produttore.
Questa connessione di interfaccia Private Service Connect consente alle organizzazioni produttrici e consumer di configurare le proprie reti VPC in modo che le due reti siano connesse e possano comunicare utilizzando indirizzi IP interni. Ad esempio, l'organizzazione producer può aggiornare la rete VPC producer per aggiungere route per le subnet consumer.
Una connessione tra un collegamento di rete e un'interfaccia Private Service Connect è simile alla connessione tra un endpoint Private Service Connect e un collegamento al servizio, ma presenta due differenze chiave:
- Un collegamento di rete consente a una rete VPC producer di avviare connessioni a una rete VPC consumer (uscita del servizio gestito). Un endpoint funziona nella direzione opposta, consentendo a una rete VPC consumer di avviare connessioni a una rete VPC producer (ingresso del servizio gestito).
- Una connessione di interfaccia Private Service Connect è transitiva. Ciò significa che i carichi di lavoro in una rete VPC producer possono avviare connessioni ai carichi di lavoro in altre reti VPC connesse alla rete VPC consumer.
Ad esempio, un'organizzazione di consumer di servizi potrebbe voler fornire un accesso al servizio gestito ai dati dei consumatori disponibili solo nella rete VPC del consumatore. Il servizio potrebbe anche richiedere l'accesso a dati o servizi disponibili on-premise, tramite una connessione VPN o Cloud Interconnect oppure da un servizio di terze parti. Inoltre, il consumatore potrebbe voler richiedere che tutto il traffico diretto a internet che utilizza i suoi dati passi attraverso il proprio gateway di uscita. In questo modo, il consumatore può monitorare il traffico e fornire una sicurezza personalizzata.
Una connessione di interfaccia Private Service Connect può soddisfare tutti questi requisiti.
Figura 1. Un collegamento di rete in una rete VPC consumer è connesso a due interfacce Private Service Connect in una rete VPC producer (fai clic per ingrandire).
Specifiche
I collegamenti di rete hanno le seguenti specifiche:
- Un collegamento di rete è una risorsa di regione che rappresenta il lato consumer di una connessione interfaccia Private Service Connect.
- I collegamenti di rete ti consentono di accettare in modo esplicito o automatico le connessioni dalle interfacce Private Service Connect.
Un collegamento di rete è associato a una singola subnet. Puoi utilizzare subnet solo IPv4 o a doppio stack con i collegamenti di rete. Per ulteriori informazioni, consulta la sezione Assegnazione di subnet.
Non puoi utilizzare subnet solo IPv6 (anteprima) con i collegamenti di rete.
Quando una richiesta di connessione viene accettata, all'interfaccia Private Service Connect viene assegnato un indirizzo IP dalla subnet del collegamento di rete.
Più interfacce Private Service Connect possono connettersi allo stesso collegamento di rete.
Gli allegati di rete supportano il VPC condiviso. Puoi creare un collegamento di rete in un progetto di servizio, ma la subnet del collegamento deve trovarsi in un progetto host.
Una connessione tra un collegamento di rete e un'interfaccia Private Service Connect è bidirezionale.
Una connessione tra un collegamento di rete e un'interfaccia Private Service Connect è transitiva. I carichi di lavoro nella rete VPC producer possono comunicare con i carichi di lavoro connessi alla rete VPC consumer.
Un collegamento di rete può connettersi a interfacce Private Service Connect virtuali e dinamiche.
Assegnazione subnet
Quando crei un collegamento di rete, devi assegnargli una singola subnet. Se una richiesta di connessione da un'interfaccia producer viene accettata, perché il collegamento è configurato per accettare automaticamente le connessioni o perché il progetto producer è incluso nell'elenco di accettazione, all'interfaccia viene allocato un indirizzo IP dall'intervallo di indirizzi IP della subnet.
Questa subnet ha le seguenti caratteristiche:
- Deve essere una subnet regolare.
- Può trattarsi di una subnet solo IPv4 o di una subnet a doppio stack con un intervallo di indirizzi IPv6 interni. Se vuoi inviare traffico IPv6 all'interfaccia Private Service Connect, utilizza una subnet dual-stack. Tuttavia, non tutti i produttori di servizi supportano IPv6.
- Gli indirizzi IP nella subnet non sono riservati e puoi assegnare altre risorse alla subnet.
- Non puoi eliminare la subnet mentre è assegnata a un collegamento di rete.
- Puoi sostituire la subnet e le connessioni esistenti non vengono interessate. Le connessioni stabilite dopo la sostituzione della subnet utilizzano la nuova subnet.
- Puoi espandere l'intervallo CIDR della subnet e le nuove allocazioni di indirizzi utilizzeranno l'intervallo espanso.
Criteri di autorizzazione
I criteri di autorizzazione controllano se un collegamento di rete accetta una connessione da un'interfaccia Private Service Connect. Un criterio di autorizzazione è composto dai seguenti tre campi di un collegamento di rete:
- Preferenza di connessione: può essere
ACCEPT_AUTOMATICoACCEPT_MANUAL.ACCEPT_AUTOMATIC: le nuove connessioni vengono accettate automaticamente.ACCEPT_MANUAL: lo stato delle nuove connessioni è determinato dall'elenco di accettazione di un allegato di rete.
- Lista di accettazione: un elenco di ID progetto per i collegamenti di rete
che hanno la preferenza di connessione
ACCEPT_MANUAL. Vengono accettati i nuovi collegamenti dai progetti di questo elenco. Se un'interfaccia Private Service Connect richiede una connessione e il progetto dell'interfaccia non è presente in questo elenco, la creazione della VM dell'interfaccia Private Service Connect non va a buon fine. - Elenco di rifiuto: un elenco di ID progetto per i collegamenti di rete
che hanno la preferenza di connessione
ACCEPT_MANUAL. Le nuove connessioni dai progetti in questo elenco vengono rifiutate in modo esplicito e la creazione della VM dell'interfaccia Private Service Connect non va a buon fine.
Se un collegamento di rete è configurato per accettare manualmente le connessioni e aggiungi un progetto producer agli elenchi di accettazione e rifiuto, le richieste di connessione da quel progetto vengono rifiutate. La creazione della VM dell'interfaccia Private Service Connect non riesce.
Connessioni
Quando un collegamento di rete accetta una richiesta di connessione da un'interfaccia Private Service Connect, viene creata una connessione logica. Questa connessione è la tupla costituita dall'allegato di rete e dall'interfaccia di rete che vi fa riferimento. L'interfaccia di una VM producer appartiene logicamente alla rete VPC consumer, ma il suo ciclo di vita è gestito dal producer. Ad esempio, l'allegato di rete nella figura 1 ha due connessioni.
Puoi visualizzare le connessioni accettate quando Descrivi un allegato di rete.
Limitazioni
- Puoi aggiornare solo la subnet, l'elenco di accettazione, l'elenco di rifiuto e la descrizione di un collegamento di rete. Se vuoi aggiornare altri campi, elimina l'allegato e creane uno nuovo.
- Non puoi eliminare un collegamento di rete se ha connessioni aperte. In questo caso, l'organizzazione producer deve prima eliminare le interfacce Private Service Connect associate.
- Le interfacce Private Service Connect non supportano gli indirizzi IP esterni.
Prezzi
I prezzi degli allegati di rete sono descritti nella pagina dei prezzi di VPC.
Quota
Esiste un limite al numero di collegamenti di rete che puoi creare per regione in un singolo progetto. Per saperne di più, consulta le quote per progetto nella documentazione di VPC.