Informazioni sui collegamenti di rete
Questa pagina fornisce una panoramica degli allegati di rete.
Un collegamento di rete è una risorsa che consente a una rete VPC (Virtual Private Cloud) producer di avviare connessioni a una rete VPC consumer tramite un'interfaccia Private Service Connect.
Se un collegamento di rete accetta una connessione da un'interfaccia Private Service Connect, Google Cloud alloca all'interfaccia un indirizzo IP interno di una sottorete consumer specificata dal collegamento di rete. L'istanza della macchina virtuale (VM) dell'interfaccia Private Service Connect ha almeno un'altra interfaccia di rete normale che si connette a una subnet del produttore.
Questa connessione dell'interfaccia Private Service Connect consente alle organizzazioni di produttori e consumatori di configurare le proprie reti VPC in modo che le due reti siano connesse e possano comunicare utilizzando indirizzi IP interni. Ad esempio, l'organizzazione producer può aggiornare la rete VPC producer per aggiungere route per le subnet consumer.
Una connessione tra un collegamento di rete e un'interfaccia Private Service Connect è simile alla connessione tra un endpoint Private Service Connect e un collegamento di servizio, ma presenta due differenze fondamentali:
- Un collegamento di rete consente a una rete VPC producer di avviare connessioni a una rete VPC consumer (uscita del servizio gestito). Un endpoint funziona in direzione opposta, consentendo a una rete VPC consumer di avviare connessioni a una rete VPC producer (ingresso del servizio gestito).
- Una connessione dell'interfaccia Private Service Connect è transitiva. Ciò significa che i carichi di lavoro in una rete VPC producer possono avviare connessioni ai carichi di lavoro in altre reti VPC connesse alla rete VPC consumer.
Ad esempio, un'organizzazione di consumatori di servizi potrebbe voler fornire un accesso ai dati dei consumatori di servizi gestiti che è disponibile solo nella rete VPC del consumatore. Il servizio potrebbe anche richiedere l'accesso a dati o servizi disponibili on-premise, tramite una connessione VPN o Cloud Interconnect o da un servizio di terze parti. Inoltre, il consumatore potrebbe volere richiedere che qualsiasi traffico diretto a internet che utilizza i suoi dati passi attraverso il suo gateway in uscita. In questo modo, il consumatore può monitorare il traffico e fornire sicurezza personalizzata.
Una connessione dell'interfaccia Private Service Connect può soddisfare tutti questi requisiti.
Figura 1. Un collegamento di rete in una rete VPC consumer è collegato a due interfacce Private Service Connect in una rete VPC producer (fai clic per ingrandire).
Specifiche
I collegamenti di rete hanno le seguenti specifiche:
- Un collegamento di rete è una risorsa di regione che rappresenta il lato consumer di una connessione dell'interfaccia Private Service Connect.
- I collegamenti di rete ti consentono di accettare esplicitamente o automaticamente le connessioni dalle interfacce Private Service Connect.
- Un collegamento di rete è associato a una singola subnet. Puoi utilizzare subnet solo IPv4 o a doppio stack con i collegamenti di rete. Per ulteriori informazioni, consulta la sezione Assegnazione delle sottoreti.
- Quando una richiesta di connessione viene accettata, all'interfaccia Private Service Connect viene allocato un indirizzo IP dalla subnet del collegamento di rete.
- Più interfacce Private Service Connect possono connettersi allo stesso collegamento di rete.
- Gli attacchi di rete supportano il VPC condiviso. Puoi creare un collegamento di rete in un progetto di servizio, ma la subnet del collegamento deve trovarsi in un progetto host.
- Una connessione tra un collegamento di rete e un'interfaccia Private Service Connect è bidirezionale.
- Una connessione tra un collegamento di rete e un'interfaccia Private Service Connect è transitiva. I carichi di lavoro nella rete VPC del producer possono comunicare con i carichi di lavoro connessi alla rete VPC consumer.
Assegnazione della subnet
Quando crei un collegamento di rete, devi assegnargli una singola subnet. Se una richiesta di connessione da un'interfaccia del producer viene accettata perché il collegamento è configurato per accettare automaticamente le connessioni o il progetto del producer è incluso nell'elenco di accettazione, a quell'interfaccia viene allocato un indirizzo IP dall'intervallo di indirizzi IP della subnet.
Questa subnet ha le seguenti caratteristiche:
- Deve essere una subnet regolare.
- Può essere una subnet solo IPv4 o una subnet a doppio stack con un intervallo di indirizzi IPv6 interno. Se vuoi inviare traffico IPv6 all'interfaccia Private Service Connect, utilizza una subnet a doppio stack. Tuttavia, non tutti i produttori di servizi supportano IPv6.
- Gli indirizzi IP nella subnet non sono riservati e puoi assegnare altre risorse alla subnet.
- Non puoi eliminare la subnet mentre è assegnata a un collegamento di rete.
- Puoi sostituire la subnet e le connessioni esistenti non sono interessate. Le connessioni stabilite dopo la sostituzione della subnet utilizzano la nuova subnet.
- Puoi estendere l'intervallo CIDR della subnet e le nuove allocazioni degli indirizzi utilizzeranno l'intervallo espanso.
Policy di connessione
I criteri di connessione controllano se un collegamento di rete accetta una connessione da un'interfaccia Private Service Connect. Un criterio di connessione è costituito dai seguenti tre campi di un aggancio di rete:
- Preferenza di connessione: può essere
ACCEPT_AUTOMATICoACCEPT_MANUAL.ACCEPT_AUTOMATIC: le nuove connessioni vengono accettate automaticamente.ACCEPT_MANUAL: lo stato delle nuove connessioni è determinato dall'elenco di accettazione di un'associazione alla rete.
- Elenco di accettazione: un elenco di ID progetto per i collegamenti di rete con la preferenza di connessione
ACCEPT_MANUAL. I nuovi collegamenti provenienti da progetti in questo elenco sono accettati. Se un'interfaccia Private Service Connect richiede una connessione e il progetto dell'interfaccia non è presente in questo elenco, la creazione della VM dell'interfaccia Private Service Connect non va a buon fine. - Elenco di rifiuto: un elenco di ID progetto per i collegamenti di rete con la preferenza di connessione
ACCEPT_MANUAL. Le nuove connessioni dai progetti in questo elenco vengono rifiutate esplicitamente e la creazione della VM dell'interfaccia Private Service Connect non va a buon fine.
Se un collegamento di rete è configurato per accettare manualmente le connessioni e aggiungi un progetto di produzione sia agli elenchi di accettazione che a quelli di rifiuto, le richieste di connessione provenienti da quel progetto vengono rifiutate. La creazione della VM dell'interfaccia Private Service Connect non riesce.
Connessioni
Quando un collegamento di rete accetta una richiesta di connessione da un'interfaccia Private Service Connect, viene creata una connessione logica. Questa connessione è la tuple costituita dal collegamento di rete e dall'interfaccia di rete che vi fa riferimento. L'interfaccia di una VM producer appartiene logicamente alla rete VPC consumer, ma il suo ciclo di vita è gestito dal producer. Ad esempio, l'attacco di rete nella figura 1 ha due connessioni.
Puoi visualizzare le connessioni accettate quando descrivi un allegato di rete.
Limitazioni
- Puoi aggiornare solo la sottorete, l'elenco di accettazione, l'elenco di rifiuto e la descrizione di un collegamento di rete. Se vuoi aggiornare altri campi, elimina il collegamento e creane uno nuovo.
- Non puoi eliminare un collegamento di rete se sono presenti connessioni aperte. In questo caso, l'organizzazione del produttore deve prima eliminare le interfacce Private Service Connect associate.
- Le interfacce Private Service Connect non supportano gli indirizzi IP esterni.
Prezzi
I prezzi degli attacchi di rete sono descritti nella pagina dei prezzi VPC.
Quota
Esiste un limite al numero di collegamenti di rete che puoi creare per regione in un singolo progetto. Per ulteriori informazioni, consulta le quote per progetto nella documentazione di VPC.