Diese Seite wurde von der Cloud Translation API übersetzt.

Netzwerkanhänge erstellen und verwalten

Auf dieser Seite wird beschrieben, wie Administratoren von Nutzernetzwerken Private Service Connect-Netzwerkanhänge erstellen und verwalten. Mit Netzwerkanhängen können VPC-Netzwerke von Diensterstellern Verbindungen zu Nutzer-VPC-Netzwerken initiieren.

Vorbereitung

Sie müssen in Ihrem Projekt die Compute Engine API aktivieren.
Wenn Sie manuell angeben möchten, welche Projekte eine Verbindung zu einem Netzwerkanhang herstellen können, benötigen Sie die IDs der Projekte.

Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Compute-Netzwerkadministrator (roles/compute.networkAdmin) für Ihr Projekt zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Erstellen, Aufrufen und Löschen von Netzwerkanhängen benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Subnetz erstellen

Wenn Sie eine Netzwerkverbindung erstellen, weisen Sie ihr ein einzelnes reguläres Subnetz zu. Dieses Subnetz muss sich in derselben Region wie der Netzwerkanhang befinden. Ein Subnetz kann von mehreren Netzwerkverbindungen gemeinsam genutzt werden. Das Subnetz kann nur IPv4 oder Dual-Stack sein. Für Dual-Stack-Subnetze müssen interne IPv6-Bereiche verwendet werden.

Sie können keine reinen IPv6-Subnetze (Vorschau) für Netzwerkverbindungen verwenden.

Weitere Informationen zum Erstellen von Subnetzen finden Sie unter VPC-Netzwerke erstellen und verwalten.

Netzwerkanhänge erstellen

Netzwerkanhänge sind regionale Ressourcen, die die Nutzerseite der Verbindung einer Private Service Connect-Schnittstelle darstellen. Damit eine VM-Instanz erfolgreich erstellt werden kann, muss sich ein Netzwerkanhang in derselben Region wie die VM der zugehörigen Private Service Connect-Schnittstelle befinden.

Die Autorisierungsrichtlinie des Netzwerkanhangs bestimmt, ob ein Netzwerkanhang eine Verbindung von einer Private Service Connect-Schnittstelle akzeptieren kann.

Sie können das Subnetz, die Zulassungsliste, die Ablehnungsliste und die Beschreibung eines Netzwerkanhangs aktualisieren.

Netzwerkanhang erstellen, der Verbindungen manuell akzeptiert

Sie können einen Netzwerkanhang erstellen, der Verbindungen manuell akzeptiert. Bevor Sie einen Anhang dieses Typs erstellen, müssen Sie die IDs der Projekte kennen, die Sie akzeptieren möchten.

Console

Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf:

Zu Private Service Connect
Klicken Sie auf Netzwerkverbindungen.
Klicken Sie auf Netzwerkanhang erstellen.
Geben Sie einen Namen ein.
Wählen Sie ein Netzwerk.
Wählen Sie eine Region aus.
Wählen Sie ein Subnetzwerk.
Klicken Sie auf Verbindungen für ausgewählte Projekte akzeptieren.
Klicken Sie auf Angenommenes Projekt hinzufügen und geben Sie dann die ID der einzelnen Projekte ein, von denen Sie Verbindungen akzeptieren möchten.
Optional: Klicken Sie auf Abgelehntes Projekt hinzufügen und geben Sie dann die ID der Projekte ein, von denen Sie Verbindungen explizit ablehnen möchten.
Klicken Sie auf Netzwerkanhang erstellen.

gcloud

Führen Sie den Befehl network-attachments create aus.

gcloud compute network-attachments create ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_MANUAL \
    --producer-accept-list=ACCEPTED_PROJECTS \
    --producer-reject-list=REJECTED_PROJECTS \
    --subnets=SUBNET_NAME

Ersetzen Sie dabei Folgendes:

ATTACHMENT_NAME ist der Name des Netzwerkanhangs.
REGION ist die Region des Netzwerkanhangs.
ACCEPTED_PROJECTS sind die IDs der Projekte, die eine Verbindung zu diesem Netzwerkanhang herstellen können. Sie können mehrere Werte in einer kommagetrennten Liste angeben.
REJECTED_PROJECTS sind die IDs der Projekte, die keine Verbindung zu diesem Netzwerkanhang herstellen können. Sie können mehrere Werte in einer kommagetrennten Liste angeben.
SUBNET_NAME ist der Name des Subnetzes, das diesem Netzwerkanhang zugeordnet werden soll.

API

Stellen Sie eine POST-Anfrage an die Methode networkAttachments.insert.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments
{
  "connectionPreference": "ACCEPT_MANUAL",
  "name": "ATTACHMENT_NAME",
  "producerAcceptLists": [
    "ACCEPTED_PROJECT_LIST"
  ],
  "producerRejectLists": [
    "REJECTED_PROJECT_LIST"
  ],
  "subnetworks": [
    "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
  ]
}

Ersetzen Sie dabei Folgendes:

PROJECT_ID: die ID des Projekts, in dem die Netzwerkverbindung erstellt werden soll.
REGION ist die Region des Netzwerkanhangs
ATTACHMENT_NAME ist der Name des Netzwerkanhangs
ACCEPTED_PROJECT_LIST sind die IDs der Projekte, die eine Verbindung zu diesem Netzwerkanhang herstellen können. Sie können mehrere IDs im folgenden Format angeben: "id-one", "id-two".
REJECTED_PROJECT_LIST sind die IDs der Projekte, die keine Verbindung zu diesem Netzwerkanhang herstellen können. Sie können mehrere IDs im folgenden Format angeben: "id-one", "id-two".
SUBNET_NAME ist der Name des Subnetzes, das dem Netzwerkanhang zugeordnet werden soll.

Netzwerkanhang erstellen, der Verbindungen automatisch akzeptiert

Sie können einen Netzwerkanhang erstellen, der automatisch Verbindungen von jeder Private Service Connect-Schnittstelle akzeptiert, die auf den Netzwerkanhang verweist.

Console

Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf:

Zu Private Service Connect
Klicken Sie auf Netzwerkverbindungen.
Klicken Sie auf Netzwerkanhang erstellen.
Geben Sie einen Namen ein.
Wählen Sie ein Netzwerk.
Wählen Sie eine Region aus.
Wählen Sie ein Subnetzwerk.
Klicken Sie auf Verbindungen für alle Projekte automatisch akzeptieren.
Klicken Sie auf Netzwerkanhang erstellen.

gcloud

Führen Sie den Befehl network-attachments create aus.

gcloud compute network-attachments create ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_AUTOMATIC \
    --subnets=SUBNET_NAME

Ersetzen Sie dabei Folgendes:

ATTACHMENT_NAME ist der Name des Netzwerkanhangs.
REGION ist die Region des Netzwerkanhangs.
SUBNET_NAME ist der Name des Subnetzes, das diesem Netzwerkanhang zugeordnet werden soll.

API

Stellen Sie eine POST-Anfrage an die Methode networkAttachments.insert.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments
{
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "name": "ATTACHMENT_NAME",
  "subnetworks": [
    "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
  ]
}

Ersetzen Sie dabei Folgendes:

PROJECT_ID: die ID des Projekts, in dem die Netzwerkverbindung erstellt werden soll.
REGION ist die Region des Netzwerkanhangs
ATTACHMENT_NAME ist der Name des Netzwerkanhangs
SUBNET_NAME ist der Name des Subnetzes, das dem Netzwerkanhang zugeordnet werden soll.

Netzwerkanhänge auflisten

Console

Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf:

Zu Private Service Connect
Klicken Sie auf Netzwerkverbindungen.

gcloud

Verwenden Sie den Befehl network-attachments list, um alle Netzwerkverbindungen in einem Projekt aufzulisten.
```
gcloud compute network-attachments list
```
Verwenden Sie den Befehl network-attachments list und geben Sie die Regionen an, um Netzwerkanhänge in einer bestimmten Region oder bestimmten Regionen aufzulisten.
```
gcloud compute network-attachments list
   --regions=REGIONS
```
Ersetzen Sie REGIONS durch die Region oder die Regionen, für die Netzwerkanhänge aufgelistet werden sollen. Sie können mehrere Regionen in einer durch Kommas getrennten Liste angeben.

API

Wenn Sie Netzwerkanhänge in einer bestimmten Region auflisten möchten, senden Sie eine GET-Anfrage an die Methode networkAttachments.list.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments

Ersetzen Sie dabei Folgendes:

PROJECT_ID ist die ID des Projekts.
REGION ist die Region des Netzwerkanhangs.

Netzwerkanhänge beschreiben

Sie können einen Netzwerkanhang beschreiben, um dessen Details aufzurufen, einschließlich der zugehörigen Verbindungen zu Private Service Connect-Schnittstellen. Pro Verbindung sehen Sie die der Private Service Connect-Schnittstelle zugewiesene IP-Adresse.

Console

Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf:

Zu Private Service Connect
Klicken Sie auf Netzwerkverbindungen.
Wählen Sie einen Netzwerkanhang aus, um seine Details und eine Liste der verbundenen Projekte aufzurufen.
Wenn Sie sich die einzelnen Private Service Connect-Schnittstellenverbindungen für ein Projekt ansehen möchten, klicken Sie auf den Namen des Projekts.

Der Verbindungsstatus eines Projekts bestimmt nicht unbedingt den Status der Private Service Connect-Schnittstellenverbindungen von diesem Projekt. Wenn Sie beispielsweise ein Projekt auf die Ablehnungsliste setzen, nachdem Sie eine Verbindung von diesem Projekt akzeptiert haben, wird der Projektstatus auf „Abgelehnt“ gesetzt, die bestehende Verbindung bleibt jedoch offen. Neue Verbindungen aus diesem Projekt werden abgelehnt.

gcloud

Führen Sie den Befehl network-attachments describe aus.

gcloud compute network-attachments describe ATTACHMENT_NAME \
    --region=REGION

Ersetzen Sie dabei Folgendes:

ATTACHMENT_NAME ist der Name des zu beschreibenden Netzwerkanhangs.
REGION ist die Region des Netzwerkanhangs

Verbundene Private Service Connect-Schnittstellen werden im folgenden Format angezeigt:

connectionEndpoints:
- ipAddress: 10.6.0.59
  projectIdOrNum: '123456789'
  status: ACCEPTED
  subnetwork: https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet
- ipAddress: 10.6.0.11
  projectIdOrNum: '987654321'
  status: ACCEPTED
  subnetwork: https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet
  ```

API

Um einen Netzwerkanhang zu beschreiben und dessen Details aufzurufen, senden Sie eine GET-Anfrage an die Methode networkAttachments.get.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME

Ersetzen Sie dabei Folgendes:

PROJECT_ID ist die ID des Projekts.
REGION ist die Region des Netzwerkanhangs.
ATTACHMENT_NAME ist der Name des Netzwerkanhangs.

Verbundene Private Service Connect-Schnittstellen werden im folgenden Format angezeigt:

"connectionEndpoints": [
  {
    "status": "ACCEPTED",
    "projectIdOrNum": "123456789",
    "subnetwork": "https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet-1",
    "ipAddress": "10.6.0.11"
  },
  {
    "status": "ACCEPTED",
    "projectIdOrNum": "987654321",
    "subnetwork": "https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet-2",
    "ipAddress": "10.6.0.59"
  }
]

Netzwerkanhänge aktualisieren

Zum Aktualisieren eines Netzwerkanhangs können Sie dessen Subnetz, Beschreibung oder (im Fall von Netzwerkanhängen, die zum manuellen Akzeptieren von Verbindungen erstellt wurden) die Listen zum Zulassen oder Ablehnen ersetzen. Wenn Sie andere Felder aktualisieren möchten, löschen Sie den Netzwerkanhang und erstellen Sie einen neuen.

Wenn Sie das Subnetz eines Netzwerkanhangs ersetzen, sind vorhandene Verbindungen nicht betroffen. Für Verbindungen, die nach der Aktualisierung erstellt werden, werden IP-Adressen aus dem neuen Subnetz verwendet.

Wenn Sie die Annahme- oder Ablehnungsliste eines Netzwerkanhangs ersetzen, sind vorhandene Verbindungen nicht betroffen. Nach einer Aktualisierung erstellte Verbindungen werden gemäß den aktualisierten Listen akzeptiert oder abgelehnt.

Console

Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf:

Zu Private Service Connect
Klicken Sie auf Netzwerkverbindungen.
Klicken Sie auf die Netzwerkverbindung, die Sie aktualisieren möchten, und dann auf Bearbeiten.
Wenn Sie das Subnetzwerk der Netzwerkverbindung ersetzen möchten, klicken Sie auf Subnetzwerk und wählen Sie das neue Subnetzwerk aus.
So aktualisieren Sie die Annahmeliste:
1. Wenn Sie der Zulassungsliste ein Projekt hinzufügen möchten, klicken Sie auf Angenommenes Projekt hinzufügen und geben die Projekt-ID oder Projektnummer des zuzulassenden Projekts ein.
2. Wenn Sie ein Projekt aus der Zulassungsliste entfernen möchten, halten Sie den Mauszeiger über das Projekt und klicken dann auf Angenommenes Projekt löschen.
So aktualisieren Sie die Ablehnungsliste:
1. Wenn Sie der Ablehnungsliste ein Projekt hinzufügen möchten, klicken Sie auf Abgelehntes Projekt hinzufügen und geben die Projekt-ID oder Projektnummer des abzulehnenden Projekts ein.
2. Wenn Sie ein Projekt aus der Ablehnungsliste entfernen möchten, halten Sie den Mauszeiger über das Projekt und klicken dann auf Abgelehntes Projekt löschen.
Klicken Sie auf Netzwerkverbindung aktualisieren.

gcloud

Führen Sie den Befehl network-attachments update aus. Sie können eines oder mehrere der hier aufgeführten Felder aktualisieren, mit Ausnahme der Region, die zur Identifizierung der Netzwerkverbindung verwendet wird. Wenn Sie die Annahme- oder Ablehnungsliste eines Netzwerkanhangs aktualisieren, müssen Sie die gesamte Liste in einer Aktualisierung ersetzen.

gcloud compute network-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --subnets=SUBNET \
    --producer-accept-list=ACCEPTED_PROJECTS \
    --producer-reject-list=REJECTED_PROJECTS \
    --description=DESCRIPTION

Ersetzen Sie dabei Folgendes:

ATTACHMENT_NAME ist der Name des Netzwerkanhangs.
REGION ist die Region des Netzwerkanhangs. Mit diesem Flag wird der Netzwerkanhang identifiziert. Sie können die Region eines Netzwerkanhangs nicht aktualisieren.
SUBNET ist der Name des Subnetzes, das diesem Netzwerkanhang zugeordnet werden soll.
ACCEPTED_PROJECTS sind die IDs der Projekte, die eine Verbindung zu diesem Netzwerkanhang herstellen können. Sie können mehrere Werte in einer kommagetrennten Liste angeben. Die hier angegebene Liste ersetzt die vorhandene Annahmeliste.
REJECTED_PROJECTS sind die IDs der Projekte, die keine Verbindung zu diesem Netzwerkanhang herstellen können. Sie können mehrere Werte in einer kommagetrennten Liste angeben. Die hier angegebene Liste ersetzt die vorhandene Ablehnungsliste.
DESCRIPTION: Eine Beschreibung des Netzwerkanhangs.

API

Senden Sie eine API-Anfrage, um den zu aktualisierenden Netzwerkanhang zu beschreiben.
Notieren Sie sich den Wert für das Feld fingerprint der Netzwerkverbindung.
Stellen Sie eine PATCH-Anfrage an die Methode networkAttachments.patch. Lassen Sie alle Felder im Anfragetext weg, die Sie nicht ersetzen möchten, mit Ausnahme von fingerprint.
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME
{
  "fingerprint": "FINGERPRINT",
  "producerAcceptLists": [
    "ACCEPTED_PROJECT_LIST"
  ],
  "producerRejectLists": [
    "REJECTED_PROJECT_LIST"
  ],
  "subnetworks": [
    "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
  ],
  "description": "DESCRIPTION"
}
```
Ersetzen Sie dabei Folgendes:
- PROJECT_ID ist die ID des Projekts.
- REGION ist die Region des Netzwerkanhangs.
- ATTACHMENT_NAME ist der Name des Netzwerkanhangs.
- FINGERPRINT ist der Wert für das Fingerabdruckfeld, das Sie in Schritt 2 gefunden haben.
- ACCEPTED_PROJECT_LIST sind die IDs der Projekte, die eine Verbindung zu diesem Netzwerkanhang herstellen können. Sie können mehrere IDs im folgenden Format angeben: "id-one", "id-two". Durch Aktualisierungen an dieser Liste werden alle zuvor akzeptierten Projektlisten ersetzt.
- REJECTED_PROJECT_LIST sind die IDs der Projekte, die keine Verbindung zu diesem Netzwerkanhang herstellen können. Sie können mehrere IDs im folgenden Format angeben: "id-one", "id-two". Durch Aktualisierungen dieser Liste werden alle vorherigen Listen abgelehnter Projekte ersetzt.
- SUBNET_NAME: der Name des neuen Subnetzes, das dem Netzwerkanhang zugeordnet werden soll.
- DESCRIPTION ist eine aktualisierte Beschreibung des Netzwerkanhangs.

Netzwerkanhänge löschen

Sie können einen Netzwerkanhang löschen, wenn er keine Verbindungen hat. Wenn Sie einen Netzwerkanhang mit Verbindungen löschen möchten, muss der Ersteller zuerst die zugehörige Private Service Connect-Schnittstelle löschen.

Wenn Sie eine Netzwerkverbindung löschen und dann eine neue mit demselben Namen erstellen, behandeltGoogle Cloud die Netzwerkverbindungen als zwei separate Ressourcen.

Console

Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf:

Zu Private Service Connect
Klicken Sie auf Netzwerkverbindungen.
Wählen Sie eine Netzwerkverbindung aus und klicken Sie dann auf Löschen.
Klicken Sie zum Bestätigen noch einmal auf Löschen.

gcloud

Führen Sie den Befehl network-attachments delete aus.

gcloud compute network-attachments delete ATTACHMENT_NAME \
    --region=REGION

Ersetzen Sie dabei Folgendes:

ATTACHMENT_NAME ist der Name des zu beschreibenden Netzwerkanhangs.
REGION ist die Region des Netzwerkanhangs

API

Stellen Sie eine DELETE-Anfrage an die Methode networkAttachments.delete.

DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME

Ersetzen Sie dabei Folgendes:

PROJECT_ID ist die ID des Projekts.
REGION ist die Region des Netzwerkanhangs.
ATTACHMENT_NAME ist der Name des Netzwerkanhangs.

Nächste Schritte

Konfigurieren der Sicherheit für ein Netzwerk mit einem Netzwerkanhang.
Verwalten Sie Zielüberschneidungen in einem Netzwerk mit einer Verbindung zur Private Service Connect-Schnittstelle.