Crear y gestionar acoplamientos de red
En esta página se describe cómo pueden crear y gestionar los administradores de redes de consumidores los adjuntos de red de Private Service Connect. Los adjuntos de red permiten que las redes de VPC de los productores de servicios inicien conexiones con las redes de VPC de los consumidores.
Antes de empezar
- Debes habilitar la API Compute Engine en tu proyecto.
- Si quieres especificar manualmente qué proyectos pueden conectarse a un acoplamiento de red, debes conocer los IDs de los proyectos.
Roles
Para obtener los permisos que necesitas para crear, ver y eliminar adjuntos de red, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Administrador de red de Compute (roles/compute.networkAdmin) en tu proyecto.
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.
Crear una subred
Cuando creas un adjunto de red, le asignas una sola subred normal. Esta subred debe estar en la misma región que el adjunto de red. Una subred se puede compartir entre varias conexiones de red. La subred puede ser solo IPv4 o de pila dual. Las subredes de doble pila deben usar intervalos IPv6 internos.
No puedes usar subredes solo IPv6 para las conexiones de red.
Para obtener más información sobre cómo crear subredes, consulta el artículo Crear y gestionar redes de VPC.
Crear vinculaciones de red
Las conexiones de red son recursos regionales que representan el lado del consumidor de una conexión de interfaz de Private Service Connect. Para crear correctamente una instancia de máquina virtual (VM), un archivo adjunto de red debe estar en la misma región que la VM de la interfaz de Private Service Connect asociada.
La política de autorización de la vinculación de red determina si una vinculación de red puede aceptar una conexión de una interfaz de Private Service Connect.
Puedes actualizar la subred, la lista de aceptación, la lista de rechazo y la descripción de un adjunto de red.
Crear un adjunto de red que acepte conexiones manualmente
Puedes crear un archivo adjunto de red que acepte conexiones manualmente. Antes de crear un archivo adjunto de este tipo, asegúrate de que conoces los IDs de los proyectos que quieres aceptar.
Consola
En la Google Cloud consola, ve a la página Private Service Connect:
Haz clic en Adjuntos de red.
Haz clic en Crear conexión de red.
Escribe un nombre.
Selecciona una red.
Selecciona una región.
Seleccione una subred.
Haz clic en Aceptar conexiones de los proyectos seleccionados.
Haz clic en Añadir proyecto aceptado y, a continuación, introduce el ID de cada proyecto del que quieras aceptar conexiones.
Opcional: Haz clic en Añadir proyecto rechazado y, a continuación, introduce el ID de cada proyecto del que quieras denegar explícitamente las conexiones.
Haz clic en Crear conexión de red.
gcloud
Usa el comando network-attachments create.
gcloud compute network-attachments create ATTACHMENT_NAME \
--region=REGION \
--connection-preference=ACCEPT_MANUAL \
--producer-accept-list=ACCEPTED_PROJECTS \
--producer-reject-list=REJECTED_PROJECTS \
--subnets=SUBNET_NAME
Haz los cambios siguientes:
ATTACHMENT_NAME: el nombre del archivo adjunto de red.REGION: la región de la vinculación de red.ACCEPTED_PROJECTS: IDs de los proyectos que pueden conectarse a este archivo adjunto de red. Puede incluir varios valores en una lista separada por comas.REJECTED_PROJECTS: IDs de los proyectos que no pueden conectarse a este adjunto de red. Puede incluir varios valores en una lista separada por comas.SUBNET_NAME: el nombre de la subred que se va a asociar a este archivo de red.
API
Realiza una solicitud POST al método networkAttachments.insert.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments
{
"connectionPreference": "ACCEPT_MANUAL",
"name": "ATTACHMENT_NAME",
"producerAcceptLists": [
"ACCEPTED_PROJECT_LIST"
],
"producerRejectLists": [
"REJECTED_PROJECT_LIST"
],
"subnetworks": [
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
]
}
Haz los cambios siguientes:
PROJECT_ID: el ID del proyecto en el que se va a crear el archivo adjunto de red.REGION: la región de la vinculación de redATTACHMENT_NAME: el nombre de la red adjuntaACCEPTED_PROJECT_LIST: IDs de los proyectos que pueden conectarse a este archivo adjunto de red. Puedes incluir varios IDs con el siguiente formato:"id-one", "id-two".REJECTED_PROJECT_LIST: IDs de los proyectos que no pueden conectarse a este adjunto de red. Puedes incluir varios IDs con el siguiente formato:"id-one", "id-two".SUBNET_NAME: el nombre de la subred que se va a asociar con el archivo adjunto de red.
Crear un adjunto de red que acepte conexiones automáticamente
Puedes crear una vinculación de red que acepte automáticamente las conexiones de cualquier interfaz de Private Service Connect que haga referencia a la vinculación de red.
Consola
En la Google Cloud consola, ve a la página Private Service Connect:
Haz clic en Adjuntos de red.
Haz clic en Crear conexión de red.
Escribe un nombre.
Selecciona una red.
Selecciona una región.
Seleccione una subred.
Haz clic en Aceptar conexiones automáticamente para todos los proyectos.
Haz clic en Crear conexión de red.
gcloud
Usa el comando network-attachments create.
gcloud compute network-attachments create ATTACHMENT_NAME \
--region=REGION \
--connection-preference=ACCEPT_AUTOMATIC \
--subnets=SUBNET_NAME
Haz los cambios siguientes:
ATTACHMENT_NAME: el nombre del archivo adjunto de red.REGION: la región de la vinculación de red.SUBNET_NAME: el nombre de la subred que se va a asociar a este archivo de red.
API
Realiza una solicitud POST al método networkAttachments.insert.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments
{
"connectionPreference": "ACCEPT_AUTOMATIC",
"name": "ATTACHMENT_NAME",
"subnetworks": [
"https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
]
}
Haz los cambios siguientes:
PROJECT_ID: el ID del proyecto en el que se va a crear el archivo adjunto de red.REGION: la región de la vinculación de redATTACHMENT_NAME: el nombre de la red adjuntaSUBNET_NAME: el nombre de la subred que se va a asociar con el archivo adjunto de red.
Mostrar archivos adjuntos de red
Consola
En la Google Cloud consola, ve a la página Private Service Connect:
Haz clic en Adjuntos de red.
gcloud
Para mostrar todas las conexiones de red de un proyecto, usa el comando
network-attachments list.gcloud compute network-attachments list
Para enumerar los acoplamientos de red de una o varias regiones, usa el comando
network-attachments listy especifica las regiones.gcloud compute network-attachments list --regions=REGIONS
Sustituye
REGIONSpor la región o las regiones en las que quieras enumerar los adjuntos de red. Puedes incluir varias regiones en una lista separada por comas.
API
Para enumerar los acoplamientos de red de una región determinada, haz una solicitud GET al método networkAttachments.list.
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments
Haz los cambios siguientes:
PROJECT_ID: el ID del proyecto.REGION: la región de la vinculación de red.
Describe los archivos adjuntos de red
Puedes describir un archivo adjunto de red para ver sus detalles, incluidas las conexiones de interfaz de Private Service Connect asociadas. En cada conexión, puedes ver la dirección IP asignada a la interfaz de Private Service Connect.
Consola
En la Google Cloud consola, ve a la página Private Service Connect:
Haz clic en Adjuntos de red.
Selecciona un adjunto de red para ver sus detalles y una lista de proyectos conectados.
Para ver las conexiones de interfaz de Private Service Connect de un proyecto, haga clic en el nombre del proyecto.
El estado de la conexión de un proyecto no determina necesariamente el estado de las conexiones de interfaz de Private Service Connect de ese proyecto. Por ejemplo, si añades un proyecto a la lista de rechazo después de haber aceptado una conexión de ese proyecto, el estado del proyecto será "Rechazado", pero la conexión seguirá abierta. Se rechazan las nuevas conexiones de ese proyecto.
gcloud
Usa el comando network-attachments describe.
gcloud compute network-attachments describe ATTACHMENT_NAME \
--region=REGION
Haz los cambios siguientes:
ATTACHMENT_NAME: el nombre del archivo adjunto de red que se va a describir.REGION: la región de la vinculación de red
Las interfaces Private Service Connect conectadas se muestran con el siguiente formato:
connectionEndpoints:
- ipAddress: 10.6.0.59
projectIdOrNum: '123456789'
status: ACCEPTED
subnetwork: https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet
- ipAddress: 10.6.0.11
projectIdOrNum: '987654321'
status: ACCEPTED
subnetwork: https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet
```
API
Para describir un archivo adjunto de red y ver sus detalles, haz una solicitud al método networkAttachments.getGET.
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME
Haz los cambios siguientes:
PROJECT_ID: el ID del proyecto.REGION: la región de la vinculación de red.ATTACHMENT_NAME: el nombre del archivo adjunto de red.
Las interfaces Private Service Connect conectadas se muestran con el siguiente formato:
"connectionEndpoints": [
{
"status": "ACCEPTED",
"projectIdOrNum": "123456789",
"subnetwork": "https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet-1",
"ipAddress": "10.6.0.11"
},
{
"status": "ACCEPTED",
"projectIdOrNum": "987654321",
"subnetwork": "https://www.googleapis.com/compute/v1/projects/consumer-project-id/regions/us-central1/subnetworks/consumer-subnet-2",
"ipAddress": "10.6.0.59"
}
]
Actualizar archivos adjuntos de red
Para actualizar un adjunto de red, puedes sustituir su subred, su descripción o, en el caso de los adjuntos de red que se hayan creado para aceptar conexiones manualmente, las listas de aceptación o rechazo. Si necesitas actualizar otros campos, elimina la conexión de red y crea otra.
Si sustituyes la subred de un archivo adjunto de red, las conexiones actuales no se verán afectadas. Las conexiones que se creen después de la actualización usarán direcciones IP de la nueva subred.
Si sustituyes la lista de aceptación o rechazo de una conexión de red, no se verán afectadas las conexiones que ya existan. Las conexiones que se creen después de la actualización se aceptarán o rechazarán según las listas actualizadas.
Consola
En la Google Cloud consola, ve a la página Private Service Connect:
Haz clic en Adjuntos de red.
Haga clic en la conexión de red que quiera actualizar y, a continuación, en Editar.
Para sustituir la subred de la conexión de red, haz clic en Subred y, a continuación, selecciona la nueva subred.
Para actualizar la lista de aceptación, sigue estos pasos:
- Para añadir un proyecto a la lista de aceptados, haz clic en Añadir proyecto aceptado y, a continuación, introduce el ID o el número del proyecto que quieras aceptar.
- Para quitar un proyecto de la lista de aceptados, coloca el puntero sobre el proyecto y haz clic en Eliminar proyecto aceptado.
Para actualizar la lista de rechazo, sigue estos pasos:
- Para añadir un proyecto a la lista de rechazados, haz clic en Añadir proyecto rechazado y, a continuación, introduce el ID o el número del proyecto que quieras rechazar.
- Para quitar un proyecto de la lista de rechazados, coloca el puntero sobre el proyecto y haz clic en Eliminar proyecto rechazado.
Haz clic en Actualizar adjunto de red.
gcloud
Usa el comando network-attachments update.
Puedes actualizar uno o varios de los campos que se indican aquí, excepto la región, que se usa para identificar la vinculación de red. Si actualizas las listas de aceptación o rechazo de un archivo adjunto de red, debes sustituir toda la lista en una sola actualización.
gcloud compute network-attachments update ATTACHMENT_NAME \
--region=REGION \
--subnets=SUBNET \
--producer-accept-list=ACCEPTED_PROJECTS \
--producer-reject-list=REJECTED_PROJECTS \
--description=DESCRIPTION
Haz los cambios siguientes:
ATTACHMENT_NAME: el nombre del archivo adjunto de red.REGION: la región de la vinculación de red. Esta marca se usa para identificar el archivo adjunto de red. No puedes actualizar la región de un adjunto de red.SUBNET: el nombre de la subred que se va a asociar a este archivo de red.ACCEPTED_PROJECTS: IDs de los proyectos que pueden conectarse a este archivo adjunto de red. Puede incluir varios valores en una lista separada por comas. La lista que especifiques aquí sustituirá a la lista de aceptación actual.REJECTED_PROJECTS: IDs de los proyectos que no pueden conectarse a este adjunto de red. Puede incluir varios valores en una lista separada por comas. La lista que especifiques aquí sustituirá a la lista de rechazo actual.DESCRIPTION: una descripción de la red adjunta.
API
- Envía una solicitud de API para describir el archivo adjunto de red que quieras actualizar.
- Toma nota del valor del campo
fingerprintdel archivo adjunto de red. Realiza una solicitud
PATCHal métodonetworkAttachments.patch. Omite los campos del cuerpo de la solicitud que no quieras sustituir, exceptofingerprint.PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME { "fingerprint": "FINGERPRINT", "producerAcceptLists": [ "ACCEPTED_PROJECT_LIST" ], "producerRejectLists": [ "REJECTED_PROJECT_LIST" ], "subnetworks": [ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME" ], "description": "DESCRIPTION" }Haz los cambios siguientes:
PROJECT_ID: el ID del proyecto.REGION: la región de la vinculación de red.ATTACHMENT_NAME: el nombre del archivo adjunto de red.FINGERPRINT: el valor del campo de huella digital que has encontrado en el paso 2.ACCEPTED_PROJECT_LIST: IDs de los proyectos que pueden conectarse a este archivo adjunto de red. Puedes incluir varios IDs con el siguiente formato:"id-one", "id-two". Las actualizaciones de esta lista sustituyen a cualquier lista de proyectos aceptados anterior.REJECTED_PROJECT_LIST: IDs de los proyectos que no pueden conectarse a este adjunto de red. Puedes incluir varios IDs con el siguiente formato:"id-one", "id-two". Las actualizaciones de esta lista sustituyen a cualquier lista de proyectos rechazados anterior.SUBNET_NAME: nombre de la nueva subred que se va a asociar al adjunto de red.DESCRIPTION: una descripción actualizada del adjunto de red.
Eliminar archivos adjuntos de la red
Puedes eliminar un archivo adjunto de red si no tiene ninguna conexión. Si quieres eliminar un adjunto de red que tenga conexiones, el productor debe eliminar primero la interfaz de Private Service Connect asociada.
Si eliminas un adjunto de red y creas otro con el mismo nombre,Google Cloud tratará los adjuntos de red como dos recursos independientes.
Consola
En la Google Cloud consola, ve a la página Private Service Connect:
Haz clic en Adjuntos de red.
Seleccione un archivo adjunto de red y, a continuación, haga clic en Eliminar.
Haz clic en Eliminar de nuevo para confirmar la acción.
gcloud
Usa el comando network-attachments delete.
gcloud compute network-attachments delete ATTACHMENT_NAME \
--region=REGION
Haz los cambios siguientes:
ATTACHMENT_NAME: el nombre del archivo adjunto de red que se va a describir.REGION: la región de la vinculación de red
API
Realiza una solicitud DELETE al método networkAttachments.delete.
DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME
Haz los cambios siguientes:
PROJECT_ID: el ID del proyecto.REGION: la región de la vinculación de red.ATTACHMENT_NAME: el nombre del archivo adjunto de red.
Siguientes pasos
- Configurar la seguridad de una red que tenga un archivo adjunto de red.
- Gestionar la superposición de destinos en una red que tenga una conexión de interfaz Private Service Connect.