Créer et gérer des rattachements de réseau
Cette page explique comment les administrateurs de réseaux utilisateur peuvent créer et gérer des rattachements de réseau Private Service Connect. Les rattachements de réseau permettent aux réseaux VPC du producteur de services d'établir des connexions aux réseaux VPC utilisateur.
Avant de commencer
- Vous devez activer l'API Compute Engine dans votre projet.
- Si vous souhaitez spécifier manuellement les projets qui peuvent se connecter à un rattachement de réseau, vous devez connaître les ID des projets.
Rôles
Pour obtenir les autorisations nécessaires pour créer, afficher et supprimer des rattachements de réseau, demandez à votre administrateur de vous accorder le rôle IAM d'administrateur réseau Compute . roles/compute.networkAdmin
) sur votre projet.
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Créer un sous-réseau
Lorsque vous créez un rattachement de réseau, vous lui attribuez un seul sous-réseau standard. Ce sous-réseau doit se trouver dans la même région que le rattachement de réseau. Un sous-réseau peut être partagé entre plusieurs rattachements de réseau. Le sous-réseau peut être IPv4 uniquement ou à double pile. Les sous-réseaux à double pile doivent utiliser des plages IPv6 internes.
Pour en savoir plus sur la création de sous-réseaux, consultez la page Créer et gérer des réseaux VPC.
Créer des rattachements de réseau
Les rattachements de réseau sont des ressources régionales qui représentent le côté utilisateur d'une interface Private Service Connect. Pour créer une instance de machine virtuelle (VM), un rattachement de réseau doit se trouver dans la même région que la VM de l'interface Private Service Connect associée.
La règle de connexion du rattachement de réseau détermine si un rattachement de réseau peut accepter une connexion depuis une interface Private Service Connect.
Vous pouvez mettre à jour le sous-réseau, la liste d'acceptation, la liste de rejet et la description d'un rattachement de réseau.
Créer un rattachement de réseau qui accepte les connexions manuellement
Vous pouvez créer un rattachement réseau qui accepte les connexions manuellement. Avant de créer un rattachement de ce type, assurez-vous de connaître les ID des projets que vous souhaitez accepter.
Console
Dans Google Cloud Console, accédez à Private Service Connect.
Cliquez sur Rattachements de réseau.
Cliquez sur Créer un rattachement de réseau.
Saisissez un nom.
Sélectionnez un réseau.
Sélectionnez une Région.
Sélectionnez un sous-réseau.
Cliquez sur Accepter les connexions pour les projets sélectionnés.
Cliquez sur Ajouter un projet accepté, puis saisissez l'ID de chaque projet à partir duquel vous souhaitez accepter les connexions.
Facultatif: Cliquez sur Ajouter un projet refusé, puis saisissez l'ID de chaque projet pour lequel vous souhaitez explicitement refuser les connexions.
Cliquez sur Créer un rattachement de réseau.
gcloud
Utilisez la commande network-attachments create
.
gcloud compute network-attachments create ATTACHMENT_NAME \ --region=REGION \ --connection-preference=ACCEPT_MANUAL \ --producer-accept-list=ACCEPTED_PROJECTS \ --producer-reject-list=REJECTED_PROJECTS \ --subnets=SUBNET_NAME
Remplacez les éléments suivants :
ATTACHMENT_NAME
: nom du rattachement de réseau.REGION
: région du rattachement de réseau.ACCEPTED_PROJECTS
: ID des projets pouvant se connecter à ce rattachement de réseau. Vous pouvez fournir plusieurs valeurs dans une liste séparée par des virgules.REJECTED_PROJECTS
: ID des projets ne pouvant pas se connecter à ce rattachement de réseau. Vous pouvez fournir plusieurs valeurs dans une liste séparée par des virgules.SUBNET_NAME
: nom du sous-réseau à associer à ce rattachement de réseau.
API
Envoyez une requête POST
à la méthode networkAttachments.insert
.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments { "connectionPreference": "ACCEPT_MANUAL", "name": "ATTACHMENT_NAME", "producerAcceptLists": [ "ACCEPTED_PROJECT_LIST" ], "producerRejectLists": [ "REJECTED_PROJECT_LIST" ], "subnetworks": [ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME" ] }
Remplacez les éléments suivants :
PROJECT_ID
: ID du projet dans lequel créer le rattachement de réseau.REGION
: région du rattachement de réseau.ATTACHMENT_NAME
: nom du rattachement de réseau.ACCEPTED_PROJECT_LIST
: ID des projets pouvant se connecter à ce rattachement de réseau. Vous pouvez inclure plusieurs ID au format suivant :"id-one", "id-two"
.REJECTED_PROJECT_LIST
: ID des projets ne pouvant pas se connecter à ce rattachement de réseau. Vous pouvez inclure plusieurs ID au format suivant :"id-one", "id-two"
.SUBNET_NAME
: nom du sous-réseau à associer au rattachement de réseau.
Créer un rattachement de réseau qui accepte les connexions automatiquement
Vous pouvez créer un rattachement de réseau qui accepte automatiquement les connexions de n'importe quelle interface Private Service Connect qui fait référence au rattachement de réseau.
Console
Dans Google Cloud Console, accédez à Private Service Connect.
Cliquez sur Rattachements de réseau.
Cliquez sur Créer un rattachement de réseau.
Saisissez un nom.
Sélectionnez un réseau.
Sélectionnez une Région.
Sélectionnez un sous-réseau.
Cliquez sur Accepter automatiquement les connexions pour tous les projets.
Cliquez sur Créer un rattachement de réseau.
gcloud
Utilisez la commande network-attachments create
.
gcloud compute network-attachments create ATTACHMENT_NAME \ --region=REGION \ --connection-preference=ACCEPT_AUTOMATIC \ --subnets=SUBNET_NAME
Remplacez les éléments suivants :
ATTACHMENT_NAME
: nom du rattachement de réseau.REGION
: région du rattachement de réseau.SUBNET_NAME
: nom du sous-réseau à associer à ce rattachement de réseau.
API
Envoyez une requête POST
à la méthode networkAttachments.insert
.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments { "connectionPreference": "ACCEPT_AUTOMATIC", "name": "ATTACHMENT_NAME", "subnetworks": [ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME" ] }
Remplacez les éléments suivants :
PROJECT_ID
: ID du projet dans lequel créer le rattachement de réseau.REGION
: région du rattachement de réseau.ATTACHMENT_NAME
: nom du rattachement de réseau.SUBNET_NAME
: nom du sous-réseau à associer au rattachement de réseau.
Afficher la liste des rattachements de réseau
Console
Dans Google Cloud Console, accédez à Private Service Connect.
Cliquez sur Rattachements de réseau.
gcloud
Pour répertorier tous les rattachements de réseau d'un projet, exécutez la commande
network-attachments list
.gcloud compute network-attachments list
Pour répertorier les rattachements de réseau dans une ou plusieurs régions données, utilisez la commande
network-attachments list
et spécifiez les régions.gcloud compute network-attachments list --regions=REGIONS
Remplacez
REGIONS
par la ou les régions dans lesquelles répertorier les rattachements de réseau. Vous pouvez fournir plusieurs régions dans une liste séparée par des virgules.
API
Pour répertorier les rattachements de réseau dans une région donnée, envoyez une requête GET
à la méthode networkAttachments.list
.
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments
Remplacez les éléments suivants :
PROJECT_ID
: ID du projetREGION
: région du rattachement de réseau.
Décrire les rattachements de réseau
Vous pouvez décrire un rattachement de réseau pour afficher ses détails, y compris les connexions d'interface Private Service Connect associées. Pour chaque connexion, vous pouvez voir l'adresse IP attribuée à l'interface Private Service Connect.
Console
Dans Google Cloud Console, accédez à Private Service Connect.
Cliquez sur Rattachements de réseau.
Sélectionnez un rattachement de réseau pour afficher ses détails et une liste des projets connectés.
Pour afficher les connexions d'interface Private Service Connect individuelles d'un projet, cliquez sur le nom du projet.
L'état de connexion d'un projet ne détermine pas nécessairement l'état des connexions d'interface Private Service Connect à partir de ce projet. Par exemple, si vous ajoutez un projet à la liste de refus après avoir accepté une connexion à partir de ce projet, l'état du projet est refusé, mais la connexion existante reste ouverte. Les nouvelles connexions provenant de ce projet sont refusées.
gcloud
Utilisez la commande network-attachments describe
.
gcloud compute network-attachments describe ATTACHMENT_NAME \ --region=REGION
Remplacez les éléments suivants :
ATTACHMENT_NAME
: nom du rattachement de réseau à décrire.REGION
: région du rattachement de réseau.
API
Pour décrire un rattachement de réseau et afficher ses détails, envoyez une requête GET
à la méthode networkAttachments.get
.
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME
Remplacez les éléments suivants :
PROJECT_ID
: ID du projetREGION
: région du rattachement de réseau.ATTACHMENT_NAME
: nom du rattachement de réseau.
Mettre à jour les rattachements de réseau
Vous pouvez mettre à jour un rattachement de réseau en remplaçant son sous-réseau, sa description ou, pour les rattachements de réseau créés pour accepter manuellement les connexions, les listes d'acceptation ou de refus. Si vous devez mettre à jour d'autres champs, supprimez le rattachement de réseau, puis recréez-le.
Si vous remplacez le sous-réseau d'un rattachement de réseau, les connexions existantes ne sont pas affectées. Les connexions créées après la mise à jour utilisent les adresses IP du nouveau sous-réseau.
Si vous remplacez la liste d'acceptation ou de rejet d'un rattachement de réseau, les connexions existantes ne sont pas affectées. Les connexions créées après la mise à jour sont acceptées ou refusées en fonction des listes mises à jour.
Console
Dans Google Cloud Console, accédez à Private Service Connect.
Cliquez sur Rattachements de réseau.
Cliquez sur le rattachement de réseau que vous souhaitez mettre à jour, puis sur Modifier.
Pour remplacer le sous-réseau du rattachement de réseau, cliquez sur Sous-réseau, puis sélectionnez le nouveau sous-réseau.
Pour mettre à jour la liste d'acceptation, procédez comme suit :
- Pour ajouter un projet à la liste d'acceptation, cliquez sur Ajouter un projet accepté, puis saisissez l'ID ou le numéro du projet à accepter.
- Pour supprimer un projet de la liste d'acceptation, maintenez le pointeur sur le projet, puis cliquez sur Supprimer le projet accepté.
Pour mettre à jour la liste de refus, procédez comme suit :
- Pour ajouter un projet à la liste de refus, cliquez sur Ajouter un projet refusé, puis saisissez l'ID ou le numéro du projet à rejeter.
- Pour supprimer un projet de la liste de refus, maintenez le pointeur sur le projet, puis cliquez sur Supprimer le projet refusé.
Cliquez sur Mettre à jour le rattachement de réseau.
gcloud
Utilisez la commande network-attachments update
.
Vous pouvez mettre à jour un ou plusieurs des champs répertoriés ici, à l'exception de la région, qui permet d'identifier le rattachement de réseau. Si vous mettez à jour les listes d'acceptation ou de rejet d'un rattachement de réseau, vous devez remplacer la liste entière en une seule mise à jour.
gcloud compute network-attachments update ATTACHMENT_NAME \ --region=REGION \ --subnets=SUBNET \ --producer-accept-list=ACCEPTED_PROJECTS \ --producer-reject-list=REJECTED_PROJECTS \ --description=DESCRIPTION
Remplacez les éléments suivants :
ATTACHMENT_NAME
: nom du rattachement de réseau.REGION
: région du rattachement de réseau. Cette option permet d'identifier le rattachement de réseau. Vous ne pouvez pas mettre à jour la région d'un rattachement de réseau.SUBNET
: nom du sous-réseau à associer à ce rattachement de réseau.ACCEPTED_PROJECTS
: ID des projets pouvant se connecter à ce rattachement de réseau. Vous pouvez fournir plusieurs valeurs dans une liste séparée par des virgules. La liste que vous spécifiez ici remplace la liste d'acceptation existante.REJECTED_PROJECTS
: ID des projets ne pouvant pas se connecter à ce rattachement de réseau. Vous pouvez fournir plusieurs valeurs dans une liste séparée par des virgules. La liste que vous spécifiez ici remplace la liste de rejet existante.DESCRIPTION
: description du rattachement de réseau.
API
- Envoyez une requête API pour décrire le rattachement de réseau que vous souhaitez mettre à jour.
- Notez la valeur du champ
fingerprint
du rattachement de réseau. Envoyez une requête
PATCH
à la méthodenetworkAttachments.patch
. Omettez les champs du corps de la requête que vous ne souhaitez pas remplacer, à l'exception defingerprint
.PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME { "fingerprint": "FINGERPRINT", "producerAcceptLists": [ "ACCEPTED_PROJECT_LIST" ], "producerRejectLists": [ "REJECTED_PROJECT_LIST" ], "subnetworks": [ "https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME" ], "description": "DESCRIPTION" }
Remplacez les éléments suivants :
PROJECT_ID
: ID du projetREGION
: région du rattachement de réseau.ATTACHMENT_NAME
: nom du rattachement de réseau.FINGERPRINT
: valeur du champ d'empreinte que vous avez trouvé à l'étape 2.ACCEPTED_PROJECT_LIST
: ID des projets pouvant se connecter à ce rattachement de réseau. Vous pouvez inclure plusieurs ID au format suivant :"id-one", "id-two"
. Les modifications apportées à cette liste remplacent toute liste de projets acceptés précédente.REJECTED_PROJECT_LIST
: ID des projets ne pouvant pas se connecter à ce rattachement de réseau. Vous pouvez inclure plusieurs ID au format suivant :"id-one", "id-two"
. Les modifications apportées à cette liste remplacent toute liste de projets refusés précédente.SUBNET_NAME
: nom du nouveau sous-réseau à associer au rattachement de réseau.DESCRIPTION
: description mise à jour du rattachement de réseau.
Supprimer des rattachements de réseau
Vous pouvez supprimer un rattachement de réseau s'il ne dispose d'aucune connexion. Si vous souhaitez supprimer un rattachement de réseau disposant de connexions, le producteur doit d'abord supprimer l'interface Private Service Connect associée.
Si vous supprimez un rattachement de réseau, puis en créez un autre portant le même nom, Google Cloud traite les rattachements de réseau comme deux ressources distinctes.
Console
Dans Google Cloud Console, accédez à Private Service Connect.
Cliquez sur Rattachements de réseau.
Sélectionnez un rattachement de réseau, puis cliquez sur Supprimer.
Cliquez à nouveau sur Supprimer pour confirmer votre choix.
gcloud
Exécutez la commande network-attachments delete
.
gcloud compute network-attachments delete ATTACHMENT_NAME \ --region=REGION
Remplacez les éléments suivants :
ATTACHMENT_NAME
: nom du rattachement de réseau à décrire.REGION
: région du rattachement de réseau.
API
Envoyez une requête DELETE
à la méthode networkAttachments.delete
.
DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/networkAttachments/ATTACHMENT_NAME
Remplacez les éléments suivants :
PROJECT_ID
: ID du projetREGION
: région du rattachement de réseau.ATTACHMENT_NAME
: nom du rattachement de réseau.
Étape suivante
- Configurez la sécurité d'un réseau disposant d'un rattachement de réseau.
- Gérez le chevauchement de la destination dans un réseau disposant d'une connexion d'interface Private Service Connect.