Diese Seite wurde von der Cloud Translation API übersetzt.

Zugriff auf veröffentlichte Dienste steuern

Auf dieser Seite werden die Funktionen beschrieben, mit denen Sie den Zugriff auf Dienste steuern können, die mit Private Service Connect veröffentlicht werden.

Verbindungseinstellungen

Jeder Dienstanhang hat eine Verbindungseinstellung, die steuert, ob Verbindungen automatisch akzeptiert werden.

Alle Verbindungen automatisch akzeptieren. Der Dienstanhang akzeptiert automatisch alle eingehenden Verbindungsanfragen von jedem Nutzer.
Verbindungen von ausgewählten Nutzern explizit akzeptieren Der Dienstanhang akzeptiert nur eingehende Verbindungsanfragen, wenn der Nutzer auf der Nutzerannahmeliste des Dienstanhangs steht. Sie können Nutzer nach Projekt, VPC-Netzwerk oder einzelnem Private Service Connect-Endpunkt angeben (Vorschau). Sie können nicht verschiedene Arten von Nutzern in dieselbe Zulassungs- oder Ablehnungsliste aufnehmen.

Bei beiden Verbindungseinstellungen können angenommene Verbindungen durch eine Organisationsrichtlinie überschrieben und abgelehnt werden, die eingehende Verbindungen blockiert.

Wir empfehlen, Verbindungen für ausgewählte Nutzer explizit zu akzeptieren. Die automatische Annahme aller Verbindungen ist möglicherweise sinnvoll, wenn Sie den Nutzerzugriff auf andere Weise steuern und einen strikten Zugriff auf Ihren Dienst ermöglichen möchten.

Nutzerannahmelisten und Nutzerablehnungslisten

Nutzerannahmelisten und Nutzerablehnungslisten sind eine Sicherheitsfunktion von Dienstanhängen. Mit diesen Listen können Dienstersteller angeben, welche Nutzer Private Service Connect-Verbindungen zu ihren Diensten herstellen können. Wenn ein Dienstanhang für die explizite Genehmigung konfiguriert ist, wird eine neue Verbindung nur akzeptiert, wenn der Nutzer auf der Annahmeliste und nicht auf der Ablehnungsliste steht. Aktualisierungen von Nutzerlisten wirken sich nur auf neue Verbindungen aus, sofern der Verbindungsabgleich nicht aktiviert ist.

Mit den Nutzerannahmelisten und Nutzerablehnungslisten können Sie Nutzer auf eine der folgenden Arten angeben:

Projekt
VPC-Netzwerk
Private Service Connect-Endpunkt (Vorabversion)

Diese Methode gilt nicht für Private Service Connect-Back-Ends.

Wenn Sie denselben Nutzer sowohl der Annahme- als auch der Ablehnungsliste hinzufügen, wird dieser Nutzer daran gehindert, eine Verbindung zum Dienstanhang herzustellen. Die Angabe von Nutzern nach Ordner wird nicht unterstützt.

Beide Consumer-Listen eines Dienstanhangs müssen denselben Consumertyp enthalten. Wenn Sie beispielsweise ein Projekt einer Annahmeliste hinzufügen, können Sie dieser Liste kein VPC-Netzwerk oder keine Endpunkt-URI hinzufügen, es sei denn, Sie ersetzen das Projekt in der Annahmeliste durch den neuen Nutzertyp.

Wenn Sie einen Dienst veröffentlichen möchten, der verschiedene Arten von Nutzern akzeptiert, können Sie mehrere Dienstanhänge erstellen, die mit demselben Dienst verbunden sind. Jeder Dienstanhang kann mit einer eigenen Verbindungseinstellung und Nutzerlisten konfiguriert werden.

Sie können den Typ von Nutzern in Nutzerlisten ändern, ohne die Verbindungen zu unterbrechen. Sie müssen die Änderung jedoch in einer einzelnen Aktualisierung vornehmen. Andernfalls schlägt der Vorgang fehl.

Es gibt Limits für die Anzahl der Nutzer, die Sie den Annahme- und Ablehnungslisten hinzufügen können:

Sie können der Liste mit akzeptierten Verbrauchern maximal 5.000 Werte hinzufügen.
Sie können der Liste der abgelehnten Nutzer maximal 64 Werte hinzufügen.

Mit Nutzerlisten wird gesteuert, ob ein Endpunkt oder Backend eine Verbindung zu einem veröffentlichten Dienst herstellen kann. Sie legen jedoch nicht fest, wer Anfragen an diesen Endpunkt senden kann. Angenommen, ein Kunde hat ein freigegebenes VPC-Netzwerk, an das zwei Dienstprojekte angehängt sind. Wenn ein veröffentlichter Dienst service-project1 in der Annahmeliste für Nutzer und service-project2 in der Ablehnungsliste für Nutzer hat, gilt Folgendes:

Ein Nutzer in service-project1 kann einen Endpunkt erstellen, der eine Verbindung zum veröffentlichten Dienst herstellt.
Ein Nutzer in service-project2 kann keinen Endpunkt erstellen, der eine Verbindung zum veröffentlichten Dienst herstellt.
Ein Client in service-project2 kann Anfragen an den Endpunkt in service-project1 senden, sofern keine Firewallregeln oder Richtlinien diesen Traffic verhindern.

Informationen zur Interaktion von Nutzerlisten mit Organisationsrichtlinien finden Sie unter Interaktion zwischen Nutzerannahmelisten und Organisationsrichtlinien.

Limits für Nutzerannahmelisten

Für Nutzerannahmelisten gelten Verbindungslimits. Mit diesen Limits wird die Gesamtzahl der Private Service Connect-Endpunkt- und Backend-Verbindungen festgelegt, die ein Dienstanhang vom angegebenen Nutzerprojekt oder VPC-Netzwerk akzeptieren kann. Die Angabe von Verbindungslimits für auf Private Service Connect-Endpunkten basierende Akzeptanzlisten hat keine Auswirkungen, da nur ein Endpunkt mit einem bestimmten URI übereinstimmen kann.

Ersteller können diese Limits verwenden, um zu verhindern, dass einzelne Nutzer IP-Adressen oder Ressourcenkontingente im Ersteller-VPC-Netzwerk erschöpfen. Jede akzeptierte Private Service Connect-Verbindung wird vom konfigurierten Limit für ein Nutzerprojekt oder ein VPC-Netzwerk abgezogen. Die Limits werden beim Erstellen oder Aktualisieren von Nutzerannahmelisten festgelegt. Sie können die Verbindungen eines Dienstanhangs aufrufen, indem Sie ihn beschreiben.

Weitergeleitete Verbindungen werden auf diese Limits nicht angerechnet.

Angenommen, ein Dienstanhang hat eine Nutzerannahmeliste, die project-1 und project-2 mit jeweils einem Limit von einer Verbindung enthält. Das Projekt project-1 fordert zwei Verbindungen an, project-2 fordert eine Verbindung an und project-3 fordert eine Verbindung an. Da project-1 auf eine Verbindung beschränkt ist, wird die erste Verbindung akzeptiert und die zweite bleibt ausstehend. Die Verbindung von project-2 wird akzeptiert und die Verbindung von project-3 bleibt ausstehend. Die zweite Verbindung von project-1 kann akzeptiert werden, indem Sie das Limit für project-1 erhöhen. Wenn project-3 der Annahmeliste hinzugefügt wird, wechselt diese Verbindung von "Ausstehend" zu "Akzeptiert".

Verbindungsabgleich

Mit dem Verbindungsabgleich wird festgelegt, ob sich Aktualisierungen der Zulassungs- oder Ablehnungslisten eines Dienstanhangs auf bestehende Private Service Connect-Verbindungen auswirken können. Wenn der Verbindungsabgleich aktiviert ist, können vorhandene Verbindungen durch das Aktualisieren der Zulassungs- oder Ablehnungslisten beendet werden. Verbindungen, die zuvor abgelehnt wurden, können angenommen werden. Wenn der Verbindungsabgleich deaktiviert ist, wirkt sich die Aktualisierung der Zulassungs- oder Ablehnungslisten nur auf neue und ausstehende Verbindungen aus.

Angenommen, ein Dienstanhang hat mehrere akzeptierte Verbindungen von Project-A. Project-A ist in der Zulassungsliste des Dienstanhangs enthalten. Der Dienstanhang wird aktualisiert. Dazu wird Project-A aus der Zulassungsliste entfernt.

Wenn der Verbindungsabgleich aktiviert ist, werden alle vorhandenen Verbindungen von Project-A zu PENDING übertragen, wodurch die Netzwerkverbindung zwischen den beiden VPC-Netzwerken beendet und der Netzwerktraffic sofort beendet wird.

Wenn der Verbindungsabgleich deaktiviert ist, sind vorhandene Verbindungen von Project-A nicht betroffen. Der Netzwerkverkehr kann weiterhin über die vorhandenen Private Service Connect-Verbindungen fließen. Neue Private Service Connect-Verbindungen sind jedoch nicht zulässig.

Informationen zum Konfigurieren der Verbindungsabgleichung für neue Dienstanhänge finden Sie unter Dienst mit expliziter Genehmigung veröffentlichen.

Informationen zum Konfigurieren des Verbindungsabgleichs für vorhandene Dienstanhänge finden Sie unter Verbindungsabgleich konfigurieren.

Private Service Connect-Endpunktverbindungen akzeptieren oder ablehnen

Sie können einzelne Private Service Connect-Endpunktverbindungen annehmen oder ablehnen, indem Sie den ID-basierten URI des Endpunkts einer der Nutzerlisten eines Dienstanhangs hinzufügen. Dieser Ansatz, der für Multi-Tenant-Dienste empfohlen wird, bietet die detaillierteste Kontrolle für die Verwaltung von Verbindungen. Das Akzeptieren von Nutzern über Private Service Connect-Endpunkte gilt nur für Private Service Connect-Endpunkte und wird für Private Service Connect-Back-Ends nicht unterstützt.

Im Gegensatz zu Projekten oder VPC-Netzwerken können Sie einen einzelnen Private Service Connect-Endpunkt erst akzeptieren oder ablehnen, nachdem der Nutzer den Endpunkt erstellt hat. Das liegt daran, dass der eindeutige URI eines Endpunkts erst bekannt ist, nachdem der Kunde den Endpunkt erstellt hat. So fügen Sie einen Endpunkt einer Nutzerakzeptanzliste hinzu:

Der Ersteller veröffentlicht einen Dienst, der eine explizite Genehmigung erfordert, ohne der Annahmeliste für Nutzer Werte hinzuzufügen.
Ein Nutzer erstellt einen Endpunkt, der eine Verbindung zum veröffentlichten Dienst herstellt. Die Verbindung ist im Dienstanhang mit dem Status Pending sichtbar.
Um den ID-basierten URI des ausstehenden Endpunkts zu finden, kann der Ersteller den Dienstanhang oder der Nutzer den Endpunkt beschreiben.
Der Ersteller fügt den ID-basierten URI des Endpunkts der Liste der Nutzerannahmen hinzu. Die Verbindung wird hergestellt und ihr Status ändert sich in Accepted.

Verbindungsstatus

Endpunkte, Back-Ends und Dienstanhänge von Private Service Connect haben Verbindungsstatus, die den Status ihrer Verbindungen beschreiben. Die Nutzer- und Erstellerressourcen, die die beiden Seiten einer Verbindung bilden, haben immer denselben Status. Sie können Verbindungsstatus aufrufen, wenn Sie Endpunktdetails aufrufen, ein Backend beschreiben oder Details zu einem veröffentlichten Dienst ansehen.

In der folgenden Tabelle werden die möglichen Status beschrieben.

Verbindungsstatus	Beschreibung
Angenommen	Die Private Service Connect-Verbindung wird hergestellt. Die beiden VPC-Netzwerke haben eine Verbindung und funktionieren ordnungsgemäß.
Ausstehend	Die Private Service Connect-Verbindung wird nicht hergestellt und Netzwerk-Traffic kann zwischen den beiden Netzwerken nicht übertragen werden. Eine Verbindung kann diesen Status aus den folgenden Gründen haben: Der Dienstanhang erfordert eine explizite Genehmigung und der Nutzer ist nicht in der Annahmeliste für Nutzer enthalten. Die Anzahl der Verbindungen überschreitet das Verbindungslimit des Dienstanhangs. Die Anzahl der weitergegebenen Verbindungen, die einem Endpunkt zugeordnet sind, überschreitet das Limit für weitergegebene Verbindungen des Dienstanhangs. Verbindungen, die aus diesen Gründen blockiert werden, bleiben auf unbestimmte Zeit im Status „Ausstehend“, bis das zugrunde liegende Problem behoben ist.
Abgelehnt	Die Private Service Connect-Verbindung wird nicht hergestellt. Netzwerk-Traffic kann nicht zwischen den beiden Netzwerken übertragen werden. Eine Verbindung kann diesen Status aus den folgenden Gründen haben: Eine Organisationsrichtlinie für den Ersteller hat die Verbindung abgelehnt. Eine Ablehnungsliste für Nutzer hat die Verbindung abgelehnt.
Prüfung erforderlich	Es gibt ein Problem auf der Producer-Seite der Verbindung. Einiger Traffic kann möglicherweise zwischen den beiden Netzwerken fließen, aber einige Verbindungen funktionieren möglicherweise nicht. Beispielsweise ist das NAT-Subnetz des Erstellers möglicherweise erschöpft und kann neuen Verbindungen keine IP-Adressen zuweisen.
Beschränkt	Der Dienstanhang wurde gelöscht und die Verbindung zu Private Service Connect wird geschlossen. Netzwerk-Traffic kann nicht zwischen den beiden Netzwerken übertragen werden. Eine geschlossene Verbindung ist ein Terminalstatus. Wenn Sie die Verbindung wiederherstellen möchten, müssen Sie sowohl den Dienstanhang als auch den Endpunkt oder das Backend neu erstellen.

Weitergegebene Verbindungen

Nutzer, die über Endpunkte eine Verbindung zu Ihrem Dienstanhang herstellen, können die Verbindungsweitergabe aktivieren. Über weitergegebene Verbindungen können Arbeitslasten in VPC-Spokes von Nutzern auf verwaltete Dienste in VPC-Netzwerken von Erstellern zugreifen, als wären die beiden VPC-Netzwerke direkt über Endpunkte verbunden. Jede weitergegebene Verbindung belegt eine IP-Adresse aus dem NAT-Subnetz des Dienstanhangs.

Die Anzahl der weitergegebenen Verbindungen, die einem verbundenen Endpunkt zugeordnet sind, sehen Sie in den Details zu einem veröffentlichten Dienst. Diese Anzahl umfasst keine weitergegebenen Verbindungen, die durch das Limit für weitergegebene Verbindungen des Erstellers blockiert werden.

Limit für weitergegebene Verbindungen

Für Dienstanhänge gilt ein Limit für weitergegebene Verbindungen. So können Dienstersteller einschränken, wie viele weitergegebene Verbindungen von einem einzelnen Nutzer zum Dienstanhang hergestellt werden können. Wenn nichts angegeben ist, ist die Anzahl der weitergegebenen Verbindungen standardmäßig auf 250 begrenzt.

Wenn die Verbindungseinstellung des Dienstanhangs ACCEPT_MANUAL ist, wird das Limit basierend auf dem Typ des Nutzers in der Annahmeliste des Nutzers angewendet:
- Bei projektbasierten Zulassungslisten für Nutzer gilt das Limit für jedes Projekt in der Liste.
- Bei VPC-Netzwerk-basierten Nutzerannahmelisten gilt das Limit für jedes Netzwerk in der Liste.
- Bei auf Private Service Connect-Endpunkten basierenden Nutzerzulassungslisten (Vorabversion) gilt das Limit für das Projekt jedes Endpunkts in der Liste. Wenn mehrere Endpunkte aus demselben Projekt in der Liste enthalten sind, gilt für sie ein gemeinsames Limit.
Wenn die Verbindungseinstellung ACCEPT_AUTOMATIC ist, gilt das Limit für alle Projekte, die einen verbundenen Endpunkt enthalten.

Wenn ein Verbraucher das Limit für weitergegebene Verbindungen überschreitet, werden keine weiteren weitergegebenen Verbindungen erstellt. Wenn Sie mehr weitergegebene Endpunkte erstellen möchten, können Sie das Limit für weitergegebene Verbindungen erhöhen. Wenn Sie dieses Limit erhöhen, erstellt das Network Connectivity Center fortgeleitete Verbindungen, die durch das Limit blockiert wurden, sofern die neuen Verbindungen das aktualisierte Limit nicht überschreiten. Das Aktualisieren dieses Limits hat keine Auswirkungen auf vorhandene weitergegebene Verbindungen.

Ausschöpfung des Kontingents verhindern

Die Gesamtzahl der Private Service Connect-Endpunkte und weitergegebenen Verbindungen von allen Nutzern, die auf Ihr VPC-Netzwerk des Diensterstellers zugreifen können, wird durch das PSC ILB consumer forwarding rules per producer VPC network-Kontingent gesteuert. Insbesondere bei mehrmandantenfähigen Diensten ist es wichtig, zu verhindern, dass dieses Kontingent ausgeschöpft wird.

Mit den folgenden Limits können Sie das Aufbrauchen des Kontingents verhindern:

Mit den Verbindungslimits in der Nutzerakzeptanzliste wird die Gesamtzahl der Private Service Connect-Endpunkte gesteuert, die Verbindungen zu einem Dienstanhang aus einem einzelnen VPC-Netzwerk oder Projekt eines Nutzers herstellen können. Das Senken dieser Limits hat keine Auswirkungen auf bestehende Verbindungen. Diese Limits gelten nicht für weitergeleitete Verbindungen.
Mit Limits für weitergegebene Verbindungen wird die Gesamtzahl der weitergegebenen Verbindungen festgelegt, die von einem einzelnen Nutzer zu einem Dienstanhang hergestellt werden können. Das Herabsetzen dieses Limits wirkt sich nicht auf vorhandene weitergeleitete Verbindungen aus.

Beispiel für Kontingent- und Verbindungslimits

Das folgende Beispiel zeigt, wie sich weitergegebene Verbindungslimits und Limits für die Zulassungsliste von Verbrauchern auf das PSC ILB consumer forwarding rules per producer VPC network-Kontingent auswirken.

Angenommen, ein Nutzer hat zwei Endpunkte in einem Spoke-VPC-Netzwerk (spoke-vpc-1) erstellt. Beide Endpunkte sind mit service-attachment-1 in producer-vpc-1 verbunden. Der Spoke ist mit einem Network Connectivity Center-Hub verbunden, für den die Verbindungsweitergabe aktiviert ist, und es sind keine anderen Spokes mit diesem Hub verbunden.

Der Dienstersteller hat service-attachment-1 so konfiguriert, dass für jedes Projekt in der Zulassungsliste ein Nutzerzulassungslistenlimit von vier festgelegt ist. Der Ersteller hat ein Limit von zwei weitergegebenen Verbindungen konfiguriert, sodass ein einzelnes Projekt bis zu zwei weitergegebene Verbindungen haben kann.

Diese Beispielkonfiguration enthält zwei Endpunkte und keine weitergegebenen Verbindungen (zum Vergrößern klicken).

Die Kontingent- und Limitsnutzung für diese Konfiguration ist:

Kontingent/Limit	Nutzung	Erklärung
PSC-ILB-Nutzerweiterleitungsregeln pro Ersteller-VPC-Netzwerk	2	eins pro Endpunkt
Verbindungslimit der Nutzerannahmeliste für Dienstanhänge für `consumer-project-1`	2	eins pro Endpunkt
Limit für weitergegebene Verbindungen des Dienstanhangs für `consumer-project-1`	0	keine weitergeleiteten Verbindungen

Angenommen, consumer-project-1 verbindet einen anderen Spoke namens spoke-vpc-2 mit demselben Network Connectivity Center-Hub wie spoke-vpc-1. Dadurch werden zwei weitergeleitete Verbindungen in consumer-project-1 erstellt, eine für jeden vorhandenen Endpunkt.

Diese Beispielkonfiguration enthält zwei Endpunkte und zwei weitergegebene Verbindungen (zum Vergrößern klicken).

Die Kontingent- und Limitsnutzung für diese Konfiguration ist:

Kontingent/Limit	Nutzung	Erklärung
PSC-ILB-Nutzerweiterleitungsregeln pro Ersteller-VPC-Netzwerk	4	eins pro Endpunkt und eins pro weitergegebene Verbindung
Verbindungslimit der Nutzerannahmeliste für Dienstanhänge für `consumer-project-1`	2	eins pro Endpunkt
Limit für weitergegebene Verbindungen des Dienstanhangs für `consumer-project-1`	2	eine pro weitergeleitete Verbindung

Consumer-project-1 hat das Limit für weitergegebene Verbindungen erreicht. Wenn der Verbraucher einen weiteren VPC-Spoke hinzufügt, werden über Private Service Connect keine neuen übertragenen Verbindungen erstellt.

Angenommen, ein anderer Kunde hat zwei VPC-Spokes in consumer-project-2. Die Spokes sind mit einem Network Connectivity Center-Hub verbunden, für den weitergegebene Verbindungen aktiviert sind. Einer der VPC-Spokes enthält einen einzelnen Endpunkt, der mit service-attachment-1 verbunden ist.

Diese Beispielkonfiguration enthält drei Endpunkte und drei propagierte Verbindungen (zum Vergrößern anklicken).

Die Kontingent- und Limitsnutzung für diese Konfiguration ist:

Kontingent/Limit	Nutzung	Erklärung
PSC-ILB-Nutzerweiterleitungsregeln pro Ersteller-VPC-Netzwerk	6	vier von `consumer-project-1` und zwei von `consumer-project-2`
Verbindungslimit der Nutzerannahmeliste für Dienstanhänge für `consumer-project-1`	2	eins pro Endpunkt in `consumer-project-1`
Verbindungslimit der Nutzerannahmeliste für Dienstanhänge für `consumer-project-2`	1	eins pro Endpunkt in `consumer-project-2`
Limit für weitergegebene Verbindungen des Dienstanhangs für `consumer-project-1`	2	eine pro weitergeleitete Verbindung in `consumer-project-1`
Limit für weitergegebene Verbindungen des Dienstanhangs für `consumer-project-2`	1	eine pro weitergeleitete Verbindung in `consumer-project-2`