Esta página foi traduzida pela API Cloud Translation.

Acerca do controlo do acesso a serviços publicados

Esta página descreve as funcionalidades que pode usar para controlar o acesso aos serviços publicados através do Private Service Connect.

Preferências de ligação

Cada anexo de serviço tem uma preferência de ligação que controla se as ligações são aceites automaticamente.

Aceitar automaticamente todas as ligações. A associação de serviço aceita automaticamente todos os pedidos de ligação de entrada de qualquer consumidor.
Aceitar explicitamente ligações de consumidores selecionados. O anexo de serviço só aceita pedidos de ligação de entrada se o consumidor estiver na lista de aceitação de consumidores do anexo de serviço. Pode especificar consumidores por projeto, rede VPC ou ponto final do Private Service Connect individual (Pré-visualização). Não pode incluir diferentes tipos de consumidores na mesma lista de aceitação ou rejeição de consumidores.

Para qualquer preferência de ligação, as ligações aceites podem ser substituídas e rejeitadas por uma política da organização que bloqueia as ligações recebidas.

Recomendamos que aceite explicitamente as associações para consumidores selecionados. Aceitar automaticamente todas as ligações pode ser adequado se controlar o acesso dos consumidores por outros meios e quiser ativar o acesso permissivo ao seu serviço.

Listas de aceitação e rejeição de consumidores

As listas de aceitação de consumidores e as listas de rejeição de consumidores são uma funcionalidade de segurança dos anexos de serviços. Estas listas permitem que os produtores de serviços especifiquem que consumidores podem estabelecer ligações do Private Service Connect aos respetivos serviços. Quando um anexo de serviço está configurado para aprovação explícita, só é aceite uma nova ligação se o consumidor estiver na lista de aceitação e não na lista de rejeição. As atualizações às listas de consumidores só afetam novas associações, a menos que a opção Conciliação de associações esteja ativada.

As listas de aceitação e rejeição de consumidores permitem-lhe especificar consumidores de uma das seguintes formas:

Projeto
Rede da VPC
Ponto final do Private Service Connect (pré-visualização)

Este método não se aplica a back-ends do Private Service Connect.

Se adicionar o mesmo consumidor às listas de aceitação e rejeição, esse consumidor fica bloqueado e não pode estabelecer ligação ao anexo de serviço. A especificação de consumidores por pasta não é suportada.

Ambas as listas de consumidores de uma associação de serviço têm de conter o mesmo tipo de consumidor. Por exemplo, se adicionar um projeto a uma lista de aceitação, não pode adicionar uma rede VPC nem um URI de ponto final a nenhuma das listas, a menos que substitua o projeto na lista de aceitação pelo novo tipo de consumidor.

Se quiser publicar um serviço que aceite diferentes tipos de consumidores, pode criar vários anexos de serviços que se ligam ao mesmo serviço. Cada anexo de serviço pode ser configurado com a sua própria preferência de ligação e listas de consumidores.

Pode alterar o tipo de consumidor em listas de consumidores sem interromper as associações, mas tem de fazer a alteração numa única atualização. Caso contrário, a operação falha.

Existem limites para o número de consumidores que pode adicionar às listas de aceitação e rejeição:

Pode adicionar um máximo de 5000 valores à lista de aceitação de consumidores.
Pode adicionar um máximo de 64 valores à lista de rejeição de consumidores.

As listas de consumidores controlam se um ponto final ou um back-end pode estabelecer ligação a um serviço publicado, mas não controlam quem pode enviar pedidos para esse ponto final. Por exemplo, suponhamos que um consumidor tem uma rede de VPC partilhada com dois projetos de serviço associados. Se um serviço publicado tiver service-project1 na lista de aceitação de consumidores e service-project2 na lista de rejeição de consumidores, aplica-se o seguinte:

Um consumidor em service-project1 pode criar um ponto final que se liga ao serviço publicado.
Um consumidor em service-project2 não pode criar um ponto final que se ligue ao serviço publicado.
Um cliente em service-project2 pode enviar pedidos para o ponto final em service-project1, se não existirem regras ou políticas de firewall que impeçam esse tráfego.

Para obter informações sobre como as listas de aceitação de consumidores interagem com as políticas da organização, consulte o artigo Interação entre as listas de aceitação de consumidores e as políticas da organização.

Limites da lista de aceitação de consumidores

As listas de aceitação de consumidores têm limites de associação. Estes limites definem o número total de ligações de back-end e de pontos finais do Private Service Connect que uma associação de serviço pode aceitar do projeto consumidor ou da rede VPC especificados. A especificação de limites de ligação para listas de aceitação baseadas em pontos finais do Private Service Connect não tem efeito, porque apenas um ponto final pode corresponder a um determinado URI.

Os produtores podem usar limites de ligação para impedir que os consumidores individuais esgotem os endereços IP ou as quotas de recursos na rede VPC do produtor. Cada ligação do Private Service Connect aceite é subtraída ao limite configurado para um projeto ou uma rede VPC do consumidor. Os limites são definidos quando cria ou atualiza listas de aceitação de consumidores. Pode ver as associações de um anexo de serviço quando descreve um anexo de serviço.

As associações propagadas não contam para estes limites.

Por exemplo, considere um caso em que um anexo de serviço tem uma lista de aceitação de consumidores que inclui project-1 e project-2, ambos com um limite de uma ligação. O projeto project-1 pede duas associações, o projeto project-2 pede uma associação e o projeto project-3 pede uma associação. Uma vez que o project-1 tem um limite de uma ligação, a primeira ligação é aceite e a segunda permanece pendente. A ligação de project-2 é aceite e a ligação de project-3 permanece pendente. A segunda associação de project-1 pode ser aceite aumentando o limite para project-1. Se project-3 for adicionado à lista de aceitação do consumidor, essa associação passa de pendente para aceite.

Conciliação da ligação

A conciliação de ligações determina se as atualizações às listas de aceitação ou rejeição de um anexo de serviço podem afetar as ligações existentes do Private Service Connect. Se a conciliação de associações estiver ativada, a atualização das listas de aceitação ou rejeição pode terminar as associações existentes. As associações que foram rejeitadas anteriormente podem ser aceites. Se a conciliação de associações estiver desativada, a atualização das listas de aceitação ou rejeição só afeta as associações novas e pendentes.

Por exemplo, considere uma associação de serviço que tenha várias ligações aceites de Project-A. Project-A está na lista de aceitação do anexo de serviço. O anexo de serviço é atualizado removendo Project-A da lista de aceitação.

Se a conciliação de ligações estiver ativada, todas as ligações existentes de Project-A transitam para PENDING, o que termina a conetividade de rede entre as duas redes VPC e interrompe imediatamente o tráfego de rede.

Se a conciliação de associações estiver desativada, as associações existentes de Project-A não são afetadas. O tráfego de rede pode continuar a fluir através das ligações do Private Service Connect existentes. No entanto, não são permitidas novas ligações do Private Service Connect.

Para obter informações sobre a configuração da conciliação de ligações para novas associações de serviços, consulte o artigo Publique um serviço com aprovação explícita.

Para ver informações sobre a configuração da conciliação de associações para anexos de serviços existentes, consulte o artigo Configure a conciliação de associações.

Aceite ou rejeite ligações de pontos finais do Private Service Connect

Pode aceitar ou rejeitar ligações individuais de pontos finais do Private Service Connect adicionando o URI baseado no ID do ponto final a uma das listas de consumidores de uma associação de serviço. Esta abordagem, que é recomendada para serviços multi-inquilinos, oferece o controlo mais detalhado para gerir ligações. A aceitação de consumidores por ponto final do Private Service Connect aplica-se apenas a pontos finais do Private Service Connect e não suporta back-ends do Private Service Connect.

Ao contrário dos projetos ou das redes VPC, só pode aceitar ou rejeitar um ponto final do Private Service Connect individual depois de o consumidor criar o ponto final. Isto deve-se ao facto de o URI exclusivo de um ponto final não ser conhecido até o consumidor criar o ponto final. A adição de um ponto final a uma lista de aceitação de consumidores envolve os seguintes passos:

O produtor publica um serviço que requer aprovação explícita, sem adicionar valores à lista de aceitação do consumidor.
Um consumidor cria um ponto final que se liga ao serviço publicado. A associação é visível no anexo de serviço com o estado Pending.
Para encontrar o URI baseado no ID do ponto final pendente, o produtor pode descrever a associação do serviço ou o consumidor pode descrever o ponto final.
O produtor adiciona o URI baseado no ID do ponto final à lista de aceitação do consumidor. A associação é estabelecida e o respetivo estado é alterado para Accepted.

Estados da ligação

Os pontos finais, os back-ends e as associações de serviços do Private Service Connect têm estados de ligação que descrevem o estado das respetivas ligações. Os recursos de consumidor e produtor que formam os dois lados de uma associação têm sempre o mesmo estado. Pode ver os estados da ligação quando vê os detalhes do ponto final, descreve um back-end ou vê os detalhes de um serviço publicado.

A tabela seguinte descreve os estados possíveis.

Estado da ligação	Descrição
Aceite	A ligação do Private Service Connect está estabelecida. As duas redes VPC têm conetividade e a ligação está a funcionar normalmente.
Pendente	A ligação do Private Service Connect não está estabelecida e o tráfego de rede não pode viajar entre as duas redes. Uma associação pode ter este estado pelos seguintes motivos: A associação de serviço requer aprovação explícita, e o consumidor não está na lista de aceitação de consumidores. O número de ligações excede o limite de ligações do anexo de serviço. O número de associações propagadas que estão associadas a um ponto final excede o limite de associações propagadas da associação de serviço. As ligações bloqueadas por estes motivos permanecem no estado pendente indefinidamente até que o problema subjacente seja resolvido.
Rejeitado	A ligação do Private Service Connect não está estabelecida. O tráfego de rede não pode viajar entre as duas redes. Uma associação pode ter este estado pelos seguintes motivos: Uma política da organização do produtor rejeitou a associação. A lista de rejeição de consumidores rejeitou a associação.
Requer atenção	Existe um problema do lado do produtor da ligação. Algum tráfego pode fluir entre as duas redes, mas algumas ligações podem não funcionar. Por exemplo, a sub-rede NAT do produtor pode estar esgotada e não conseguir atribuir endereços IP para novas ligações.
Fechado	A associação do serviço foi eliminada e a ligação do Private Service Connect foi fechada. O tráfego de rede não pode viajar entre as duas redes. Uma ligação fechada é um estado terminal. Para restaurar a ligação, tem de recriar o anexo de serviço e o ponto final ou o back-end.

Ligações propagadas

Os consumidores que se ligam à sua associação de serviços através de pontos finais podem ativar a propagação de ligações. As ligações propagadas permitem que as cargas de trabalho nos raios da VPC do consumidor acedam aos serviços geridos nas redes VPC do produtor como se as duas redes VPC estivessem diretamente ligadas através de pontos finais. Cada ligação propagada consome um endereço IP da sub-rede NAT do anexo de serviço.

Pode ver o número de associações propagadas associadas a um ponto final ligado quando vê os detalhes de um serviço publicado. Esta contagem não inclui associações propagadas que são bloqueadas pelo limite de associações propagadas do produtor.

Limite de associação propagado

As associações de serviços têm um limite de ligações propagado, o que permite aos produtores de serviços limitar o número de ligações propagadas que podem ser estabelecidas à associação de serviços a partir de um único consumidor. Se não for especificado, o limite de ligações propagado predefinido é 250.

Se a preferência de ligação do anexo de serviço for ACCEPT_MANUAL, o limite é aplicado com base no tipo de consumidor na lista de aceitação de consumidores:
- Para listas de aceitação de consumidores baseadas em projetos, o limite aplica-se a cada projeto na lista.
- Para listas de aceitação de consumidores baseadas na rede VPC, o limite aplica-se a cada rede na lista.
- Para as listas de aceitação de consumidores baseadas em pontos finais do Private Service Connect (pré-visualização), o limite aplica-se ao projeto de cada ponto final na lista. Se vários pontos finais do mesmo projeto estiverem na lista, partilham um único limite.
Se a preferência de ligação for ACCEPT_AUTOMATIC, o limite aplica-se a cada projeto que contenha um ponto final ligado.

Se um consumidor exceder o limite de associações propagadas, não são criadas mais associações propagadas. Para permitir a criação de mais pontos finais propagados, pode aumentar o limite de ligações propagadas. Quando aumenta este limite, o Network Connectivity Center cria associações propagadas que foram bloqueadas pelo limite, desde que as novas associações não excedam o limite atualizado. A atualização deste limite não afeta as associações propagadas existentes.

Prevenção do esgotamento da quota

O número total de pontos finais do Private Service Connect e ligações propagadas, de qualquer consumidor, que podem aceder à sua rede VPC de produtor é controlado pela PSC ILB consumer forwarding rules per producer VPC networkquota. Em particular, para os serviços multiinquilinos, é importante proteger contra o esgotamento desta quota.

Pode usar os seguintes limites para se proteger contra o esgotamento da quota:

Os limites de ligação da lista de aceitação de consumidores controlam o número total de pontos finais do Private Service Connect que podem criar ligações a uma associação de serviço a partir de um único projeto ou rede VPC do consumidor. A diminuição destes limites não afeta as associações existentes. Estes limites não se aplicam a associações propagadas.
Os limites de ligações propagadas controlam o número total de ligações propagadas que podem ser estabelecidas a uma associação de serviço a partir de um único consumidor. A diminuição deste limite não afeta as associações propagadas existentes.

Exemplo de limites de quota e de ligação

O exemplo seguinte mostra como os limites de ligação propagados e os limites da lista de aceitação de consumidores funcionam relativamente à quota PSC ILB consumer forwarding rules per producer VPC network.

Considere um caso em que um consumidor criou dois pontos finais numa rede VPC spoke, spoke-vpc-1. Ambos os pontos finais ligam-se a service-attachment-1 em producer-vpc-1. O spoke está ligado a um hub do Network Connectivity Center com a propagação de ligações ativada e não existem outros spokes ligados a esse hub.

O produtor do serviço configurou service-attachment-1 para ter um limite de quatro na lista de aceitação de consumidores para cada projeto na lista de aceitação. O produtor configurou um limite de propagação de duas ligações, especificando que um único projeto pode ter até duas ligações propagadas.

Esta configuração de exemplo contém dois pontos finais e nenhuma associação propagada (clique para aumentar).

A utilização de quotas e limites para esta configuração é a seguinte:

Quota / limite	Utilização	Explicação
Regras de encaminhamento do ILB da PSC por rede VPC do produtor	2	um por ponto final
Limite de ligação da lista de aceitação do consumidor de anexos de serviço para `consumer-project-1`	2	um por ponto final
Limite de ligações propagado da associação do serviço para `consumer-project-1`	0	não existem associações propagadas

Suponhamos que consumer-project-1 liga outro spoke denominado spoke-vpc-2 ao mesmo hub do Network Connectivity Center que spoke-vpc-1. Esta ação cria duas associações propagadas em consumer-project-1, uma para cada ponto final existente.

Esta configuração de exemplo contém dois pontos finais e duas associações propagadas (clique para aumentar).

A utilização de quotas e limites para esta configuração é a seguinte:

Quota / limite	Utilização	Explicação
Regras de encaminhamento do ILB da PSC por rede VPC do produtor	4	Um por ponto final e um por ligação propagada
Limite de ligação da lista de aceitação do consumidor de anexos de serviço para `consumer-project-1`	2	um por ponto final
Limite de ligações propagado da associação do serviço para `consumer-project-1`	2	uma por associação propagada

Consumer-project-1 excedeu o limite de ligações propagadas. Se o consumidor adicionar outro spoke da VPC, o Private Service Connect não cria novas ligações propagadas.

Suponhamos que outro consumidor tem dois raios de VPC em consumer-project-2. Os raios ligam-se a um hub do Network Connectivity Center com ligações propagadas ativadas. Um dos raios da VPC contém um único ponto final que se liga a service-attachment-1.

Esta configuração de exemplo contém três pontos finais e três associações propagadas (clique para aumentar).

A utilização de quotas e limites para esta configuração é a seguinte:

Quota / limite	Utilização	Explicação
Regras de encaminhamento do ILB da PSC por rede VPC do produtor	6	quatro de `consumer-project-1` e dois de `consumer-project-2`
Limite de ligação da lista de aceitação do consumidor de anexos de serviço para `consumer-project-1`	2	um por ponto final em `consumer-project-1`
Limite de ligação da lista de aceitação do consumidor de anexos de serviço para `consumer-project-2`	1	um por ponto final em `consumer-project-2`
Limite de ligações propagado da associação do serviço para `consumer-project-1`	2	um por ligação propagada em `consumer-project-1`
Limite de ligações propagado da associação do serviço para `consumer-project-2`	1	um por ligação propagada em `consumer-project-2`