Netzwerkanhänge (original) (raw)

Auf dieser Seite erhalten Sie einen Überblick über Netzwerkverbindungen.

Ein Netzwerkanhang ist eine Ressource, die es VPC-Netzwerken (Virtual Private Cloud) von Erstellern erlaubt, Verbindungen zu einem Nutzer-VPC-Netzwerk über eine Private Service Connect-Schnittstelle zu initiieren.

Wenn ein Netzwerkanhang eine Verbindung von einer Private Service Connect-Schnittstelle akzeptiert,weist Google Cloudder Schnittstelle eine interne IP-Adresse aus einem vom Netzwerkanhang angegebenen Nutzersubnetz zu. Die VM-Instanz der Private Service Connect-Schnittstelle hat mindestens eine weitere reguläre Netzwerkschnittstelle, die mit einem Ersteller-Subnetz verbunden ist.

Mit dieser Private Service Connect-Schnittstellenverbindung können Ersteller- und Nutzerorganisationen ihre VPC-Netzwerke so konfigurieren, dass die beiden Netzwerke verbunden sind und über interne IP-Adressen kommunizieren können. Die Organisation des Diensterstellers kann beispielsweise das VPC-Netzwerk des Diensterstellers aktualisieren, um Routen für Dienstnutzersubnetze hinzuzufügen.

Eine Verbindung zwischen einem Netzwerkanhang und einer Private Service Connect-Schnittstelle ähnelt der Verbindung zwischen einem Private Service Connect-Endpunkt und einem Dienstanhang. Es gibt dabei zwei wichtige Unterschiede:

• Mit einem Netzwerkanhang kann ein Ersteller-VPC-Netzwerk Verbindungen zu einem Nutzer-VPC-Netzwerk initiieren (verwalteter ausgehender Dienst). Ein Endpunkt funktioniert in umgekehrter Richtung, sodass ein Nutzer-VPC-Netzwerk Verbindungen zu einem Ersteller-VPC-Netzwerk initiieren kann (verwalteter Dienst-Ingress).
• Private Service Connect-Schnittstellenverbindungen sind transitiv. Das bedeutet, dass Arbeitslasten in einem Ersteller-VPC-Netzwerk Verbindungen zu Arbeitslasten in anderen VPC-Netzwerken, die mit dem Nutzer-VPC-Netzwerk verbunden sind, initiieren können.

Beispiel: Eine Dienstnutzerorganisation kann einem verwalteten Dienst Zugriff auf Nutzerdaten gewähren, die nur im VPC-Netzwerk des Nutzers verfügbar sind. Der Dienst benötigt möglicherweise auch Zugriff auf Daten oder Dienste, die lokal, über ein VPN, über Cloud Interconnect oder von einem Drittanbieterdienst verfügbar sind. Außerdem möchte der Nutzer vielleicht, dass der gesamte Internet-Traffic, der seine Daten verwendet, über sein eigenes Ausgangsgateway geleitet wird. Dadurch kann der Nutzer den Traffic überwachen und benutzerdefinierte Sicherheitsmaßnahmen bereitstellen.

Eine Private Service Connect-Schnittstellenverbindung kann alle diese Anforderungen erfüllen.

Abbildung 1. Ein Netzwerkanhang in einem Nutzer-VPC-Netzwerk ist mit zwei Private Service Connect-Schnittstellen in einem Ersteller-VPC-Netzwerk verbunden (zum Vergrößern klicken).

Spezifikationen

Netzwerkanhänge haben folgende Spezifikationen:

• Ein Netzwerkanhang ist eine regionale Ressource, die die Nutzerseite der Verbindung einer Private Service Connect-Schnittstelle darstellt.
• Mit Netzwerkanhängen können Sie Verbindungen von Private Service Connect-Schnittstellen explizit oder automatisch akzeptieren.
• Ein Netzwerkanhang ist einem einzelnen Subnetz zugeordnet. Sie können reine IPv4-, Dual-Stack- oder reine IPv6-Subnetze mit Netzwerkverbindungen verwenden. Weitere Informationen finden Sie unter Subnetzzuweisung.
• Wird eine Verbindungsanfrage akzeptiert, wird der Private Service Connect-Schnittstelle eine IP-Adresse aus dem Subnetz des Netzwerkanhangs zugewiesen.
• Mehrere Private Service Connect-Schnittstellen können mit demselben Netzwerkanhang verbunden werden.
• Netzwerkanhänge unterstützen freigegebene VPCs. Sie können einen Netzwerkanhang in einem Dienstprojekt erstellen, das Subnetz des Anhangs muss sich jedoch in einem Hostprojekt befinden.
• Verbindungen zwischen einem Netzwerkanhang und einer Private Service Connect-Schnittstelle sind bidirektional.
• Verbindungen zwischen einem Netzwerkanhang und einer Private Service Connect-Schnittstelle sind transitiv. Arbeitslasten im VPC-Netzwerk des Erstellers können mit Arbeitslasten kommunizieren, die mit dem VPC-Netzwerk des Nutzers verbunden sind.
• Ein Netzwerkanhang kann sowohl mit virtuellen als auch mit dynamischen Private Service Connect-Schnittstellen verbunden werden.

Subnetzzuweisung

Wenn Sie einen Netzwerk-Anhang erstellen, müssen Sie ihm ein einzelnes Subnetz zuweisen. Wird eine Verbindungsanfrage von einer Erstellerschnittstelle akzeptiert, entweder weil der Anhang so konfiguriert ist, dass Verbindungen automatisch akzeptiert werden, oder wenn das Erstellerprojekt in der entsprechenden Annahmeliste enthalten ist, wird dieser Schnittstelle eine IP-Adresse aus dem IP-Adressbereich des Subnetzes zugewiesen.

Dieses Subnetz hat folgende Eigenschaften:

• Es muss sich um ein reguläres Subnetz handeln.
• Der Stacktyp des Subnetzes kann nur IPv4, Dual-Stack oder nur IPv6 sein. Dual-Stack- und reine IPv6-Subnetze müssen interne IPv6-Adressbereiche haben.
• IP-Adressen im Subnetz sind nicht reserviert und können dem Subnetz andere Ressourcen zuweisen.
• Sie können das Subnetz nicht löschen, während es einem Netzwerkanhang zugewiesen ist.
• Sie können das Subnetz ersetzen. Vorhandene Verbindungen sind davon nicht betroffen. Verbindungen, die nach dem Ersetzen des Subnetzes hergestellt werden, verwenden das neue Subnetz.
• Sie können den CIDR-Bereich des Subnetzes erweitern. Neue Adressenzuweisungen verwenden dann den erweiterten Bereich.

Autorisierungsrichtlinien

Mit Autorisierungsrichtlinien wird gesteuert, ob ein Netzwerkanhang eine Verbindung von einer Private Service Connect-Schnittstelle akzeptiert. Eine Autorisierungsrichtlinie besteht aus folgenden drei Feldern eines Netzwerkanhangs:

• Verbindungseinstellungen: Können ACCEPT_AUTOMATIC oder ACCEPT_MANUAL sein.
  • ACCEPT_AUTOMATIC: Neue Verbindungen werden automatisch akzeptiert.
  • ACCEPT_MANUAL: Der Status neuer Verbindungen wird durch die Annahmeliste eines Netzwerkanhangs bestimmt.
• Annahmeliste: Liste mit Projekt-IDs für Netzwerkanhänge mit der Verbindungseinstellung ACCEPT_MANUAL. Neue Verbindungen von Projekten in dieser Liste werden akzeptiert. Wenn eine Private Service Connect-Schnittstelle eine Verbindung anfordert und das Projekt der Schnittstelle nicht in dieser Liste enthalten ist, schlägt das Erstellen der VM der Private Service Connect-Schnittstelle fehl.
• Ablehnungsliste: Eine Liste von Projekt-IDs für Netzwerk-Attachments mit der Verbindungseinstellung ACCEPT_MANUAL. Neue Verbindungen von Projekten in dieser Liste werden explizit abgelehnt und das Erstellen der VM der Private Service Connect-Schnittstelle schlägt fehl.

Wenn ein Netzwerkanhang für das manuelle Akzeptieren von Verbindungen konfiguriert ist und Sie ein Erstellerprojekt sowohl in die Zulassungs- als auch in die Ablehnungsliste aufnehmen, werden Verbindungsanfragen von diesem Projekt abgelehnt. Das Erstellen der VM der Private Service Connect-Schnittstelle schlägt fehl.

Verbindungen

Wenn ein Netzwerkanhang eine Verbindungsanfrage von einer Private Service Connect-Schnittstelle akzeptiert, wird eine logische Verbindung hergestellt. Diese Verbindung besteht aus dem Netzwerkanhang und der zugehörigen Netzwerkschnittstelle. Die Schnittstelle einer Ersteller-VM gehört logisch zum Nutzer-VPC-Netzwerk, der Lebenszyklus wird jedoch vom Ersteller verwaltet. Beispiel: Der Netzwerkanhang in Abbildung 1 zwei Verbindungen.

Sie können angenommene Verbindungen aufrufen, indem Sie einen Netzwerkanhang beschreiben.

Beschränkungen

• Sie können nur das Subnetz, die Zulassungsliste, die Ablehnungsliste und die Beschreibung eines Netzwerkanhangs aktualisieren. Wenn Sie andere Felder aktualisieren möchten, löschen Sie die Richtlinie und erstellen Sie eine neue Richtlinie.
• Sie können Netzwerkanhänge mit offenen Verbindungen nicht löschen,. In diesem Fall muss die Erstellerorganisation zuerst die zugehörige Private Service Connect-Schnittstelle löschen.
• Sie können Private Service Connect-Schnittstellen keine externen (öffentlich beworbenen) IP-Adressen zuweisen.

Preise

Die Preise für Netzwerkanhänge werden auf der Seite der VPC-Preise beschrieben.

Kontingent

Es gibt ein Limit dafür, wie viele Netzwerkanhänge pro Region in einem einzelnen Projekt erstellt werden können. Weitere Informationen erhalten Sie im Abschnitt zu projektbasierten Kontingenten in der VPC-Dokumentation.

Nächste Schritte

• Netzwerkanhänge erstellen und verwalten