Diese Seite wurde von der Cloud Translation API übersetzt.

Dienste mit Private Service Connect veröffentlichen

Als Dienstersteller können Sie Private Service Connect verwenden, um Dienste mithilfe interner IP-Adressen in Ihrem VPC-Netzwerk zu veröffentlichen. Ihre veröffentlichten Dienste sind für Dienstnutzer über interne IP-Adressen in den VPC-Netzwerken der Nutzer zugänglich.

In dieser Anleitung wird beschrieben, wie Sie Private Service Connect verwenden, um einen Dienst zu veröffentlichen. So veröffentlichen Sie einen Dienst:

Erstellen Sie einen Zieldienst, der einer der folgenden sein kann:
- Die Weiterleitungsregel eines unterstützten Load-Balancers mit einer unterstützten Konfiguration
- Eine Secure Web Proxy-Instanz
Erstellen Sie einen Dienstanhang, der auf den Zieldienst verweist.

Private Service Connect bietet zwei Methoden, um eine Verbindung zu veröffentlichten Diensten herzustellen:

Diese Endpunkttypen erfordern etwas unterschiedliche Erstellerkonfigurationen. Weitere Informationen finden Sie unter Features und Kompatibilität.

Rollen

Die folgende IAM-Rolle bietet die Berechtigungen, die zum Ausführen der Aufgaben in dieser Anleitung erforderlich sind.

Compute-Netzwerkadministrator (roles/compute.networkAdmin)

Hinweise

Weitere Informationen zum Veröffentlichen von Diensten, einschließlich Einschränkungen, finden Sie unter Veröffentlichte Dienste.
Entscheiden Sie, ob der Dienst von allen Projekten aus zugänglich sein soll oder ob Sie steuern möchten, welche Projekte auf Ihren Dienst zugreifen können.
Entscheiden Sie, ob dieser Dienst Endpunkte, Back-Ends oder beides unterstützen soll. Weitere Informationen zu Endpunkten und Back-Ends finden Sie unter Private Service Connect-Typen.

Weitere Informationen zu den Anforderungen an die Dienstkonfiguration finden Sie unter Features und Kompatibilität.
Entscheiden Sie, ob Sie einen Domainnamen für den Dienst konfigurieren möchten. Dadurch wird die DNS-Konfiguration für Dienstnutzerendpunkte automatisiert. Wenn Sie einen Domainnamen konfigurieren, muss dasselbe IAM-Hauptkonto, das den Dienst veröffentlicht, bestätigen, dass es Inhaberberechtigungen für die Domain in der Google Search Console hat. Wenn Sie einen Domainnamen konfigurieren, aber nicht der Inhaber der Domain sind, schlägt die Veröffentlichung des Dienstes fehl. Rufen Sie die Google Search Console auf, um die Inhaberschaft zu bestätigen.

Der Domainname, den Sie im Dienstanhang angeben, kann eine Subdomain der von Ihnen bestätigten Domain sein. Sie können beispielsweise example.com bestätigen und dann einen Dienstanhang mit dem Domainnamen us-west1.p.example.com erstellen.
Entscheiden Sie, ob Ihr Dienst das PROXY-Protokoll verwenden soll, um Details zu den Verbindungen der Nutzer bereitzustellen. Wenn Sie das PROXY-Protokoll verwenden möchten, muss es sowohl von Ihrem Ziel-Diensttyp als auch von der Backend-Webserversoftware des Dienstes unterstützt werden. Informationen zu den Arten von Zieldiensten, die das PROXY-Protokoll unterstützen, finden Sie unter Funktionen und Kompatibilität.

Zieldienst erstellen

Erstellen Sie zum Hosten des Dienstes einen der folgenden Zieldienste in einem VPC-Netzwerk des Diensterstellers:

Informationen zu unterstützten Konfigurationen für jeden Zieldienst finden Sie unter Features und Kompatibilität.

Ein Dienstanhang kann nur einen Zieldienst haben. Mehrere Dienstanhänge können jedoch denselben Zieldienst verwenden.

Die IP-Version Ihres Zieldienstes (IPv4 oder IPv6) wirkt sich darauf aus, welche Nutzer eine Verbindung zu Ihrem veröffentlichten Dienst herstellen können. Weitere Informationen finden Sie unter Übersetzung von IP-Versionen.

Bei regionalen internen Proxy-Network Load Balancern können sich die Back-Ends inGoogle Cloud, in anderen Clouds, in einer lokalen Umgebung oder in einer beliebigen Kombination dieser Standorte befinden.

Sie können auch einen Dienst veröffentlichen, der in einem internen Passthrough Network Load Balancer in Google Kubernetes Engine gehostet wird. Diese Konfiguration, einschließlich des Load Balancers und der Konfiguration des Dienstanhangs, wird unter Internen Passthrough Network Load Balancer mit Private Service Connect erstellen in der GKE-Dokumentation beschrieben.

Subnetz für Private Service Connect erstellen

Erstellen Sie ein oder mehrere dedizierte Subnetze für die Verwendung von Private Service Connect. Sie müssen das Subnetz in derselben Region wie den Load-Balancer des Dienstes erstellen.

Wenn Sie die Google Cloud Console zum Veröffentlichen eines Dienstes verwenden, können Sie die Subnetze während dieses Verfahrens erstellen.

Sie können ein Private Service Connect-Subnetz in einem freigegebenen VPC-Hostprojekt erstellen.

Sie können ein reguläres Subnetz nicht in ein Private Service Connect-Subnetz umwandeln.

Der IP-Stacktyp des Subnetzes, das Sie erstellen, muss mit der IP-Version der Weiterleitungsregel Ihres Load-Balancers kompatibel sein:

Erstellen Sie für IPv4-Weiterleitungsregeln ein Nur-IPv4- oder Dual-Stack-Subnetz.
Erstellen Sie für IPv6-Weiterleitungsregeln ein reines IPv6- oder Dual-Stack-Subnetz mit einem internen IPv6-Adressbereich.
Wenn Sie ein Dual-Stack-Subnetz verwenden, wird entweder der IPv4- oder der IPv6-Adressbereich verwendet, aber nicht beide.

Weitere Informationen zum Hinzufügen weiterer IP-Adressen zu einem vorhandenen Dienst finden Sie unter Subnetze zu einem veröffentlichten Dienst hinzufügen oder daraus entfernen.

Erforderliche Berechtigungen für diese Aufgabe

Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Berechtigungen oder eine der folgenden IAM-Rollen.

Berechtigungen

compute.subnetworks.create

Rollen

Informationen finden Sie unter Rollen.

Console

Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

Zur Seite VPC-Netzwerke
Klicken Sie auf den Namen eines VPC-Netzwerks, um die zugehörige Seite VPC-Netzwerkdetails aufzurufen.
Klicken Sie auf Subnetze.
Klicken Sie auf Subnetz hinzufügen. Führen Sie im angezeigten Steuerfeld die folgenden Schritte aus:
1. Geben Sie einen Namen an.
2. Wählen Sie eine Region aus.
3. Wählen Sie im Abschnitt Zweck die Option Private Service Connect aus.
4. Wählen Sie im Bereich IP-Stacktyp einen IP-Stacktyp aus.
5. Wenn Sie ein reines IPv4- oder ein Dual-Stack-Subnetz erstellen, geben Sie einen IPv4-Adressbereich ein, z. B. 10.10.10.0/24.
6. Wenn Sie ein reines IPv6- oder Dual-Stack-Subnetz erstellen, klicken Sie auf IPv6-Zugriffstyp und wählen Sie Intern aus.
7. Klicken Sie auf Hinzufügen.

gcloud

Führen Sie den Befehl gcloud compute networks subnets create aus.

So erstellen Sie ein Nur-IPv4-Subnetz für Private Service Connect:

gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK_NAME \
    --region=REGION \
    --range=SUBNET_RANGE \
    --purpose=PRIVATE_SERVICE_CONNECT

So erstellen Sie ein Dual-Stack-Private Service Connect-Subnetz:

gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK_NAME \
    --region=REGION \
    --stack-type=IPV4_IPV6 \
    --ipv6-access-type=INTERNAL \
    --range=SUBNET_RANGE \
    --purpose=PRIVATE_SERVICE_CONNECT

So erstellen Sie ein reines IPv6-Subnetz für Private Service Connect:

gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK_NAME \
    --region=REGION \
    --stack-type=IPV6_ONLY \
    --ipv6-access-type=INTERNAL \
    --purpose=PRIVATE_SERVICE_CONNECT

Ersetzen Sie Folgendes:

SUBNET_NAME: der Name, der dem Subnetz zugewiesen werden soll.
NETWORK_NAME: der Name der VPC für das neue Subnetz.
REGION: die Region für das neue Subnetz. Dies muss dieselbe Region sein wie der Dienst, den Sie veröffentlichen.
SUBNET_RANGE: der IPv4-Adressbereich, der für das Subnetz verwendet werden soll, z. B. 10.10.10.0/24.

API

Senden Sie eine POST-Anfrage an die Methode subnetworks.insert.

So erstellen Sie ein Nur-IPv4-Subnetz für Private Service Connect:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks

{
  "ipCidrRange": "SUBNET_RANGE",
  "name": "SUBNET_NAME",
  "network": "projects/PROJECT_ID/global/networks/NETWORK_NAME",
  "purpose": "PRIVATE_SERVICE_CONNECT"
}

So erstellen Sie ein Dual-Stack-Private Service Connect-Subnetz:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks

{
  "ipCidrRange": "SUBNET_RANGE",
  "name": "SUBNET_NAME",
  "network": "projects/PROJECT_ID/global/networks/NETWORK_NAME",
  "purpose": "PRIVATE_SERVICE_CONNECT",
  "stackType": "IPV4_IPV6",
  "ipv6AccessType": "INTERNAL"
}

So erstellen Sie ein reines IPv6-Subnetz für Private Service Connect:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks

{
  "name": "SUBNET_NAME",
  "network": "projects/PROJECT_ID/global/networks/NETWORK_NAME",
  "purpose": "PRIVATE_SERVICE_CONNECT",
  "stackType": "IPV6_ONLY",
  "ipv6AccessType": "INTERNAL"
}

Ersetzen Sie Folgendes:

PROJECT_ID: das Projekt für das Subnetz.
REGION: die Region für das neue Subnetz. Dies muss dieselbe Region sein wie der Dienst, den Sie veröffentlichen.
SUBNET_RANGE: der IPv4-Adressbereich, der für das Subnetz verwendet werden soll. Beispiel: 10.10.10.0/24.
SUBNET_NAME: der Name, der dem Subnetz zugewiesen werden soll.
NETWORK_NAME: der Name des VPC-Netzwerks für das neue Subnetz.

Firewallregeln konfigurieren

Ihre Netzwerkkonfiguration muss Traffic von entsprechenden Quell-IP-Adressbereichen zu den Instanzen oder Netzwerkendpunkten zulassen, die als Back-Ends für Ihre Back-End-Dienste konfiguriert sind. Wenn Ihr Dienst Systemdiagnosen verwendet, müssen Sie auch Traffic von den Systemdiagnoseprüfungen zu Ihren Back-Ends zulassen.

Sie müssen keine Maßnahmen ergreifen, um Traffic zwischen einem Private Service Connect-Endpunkt oder einem Private Service Connect-Backend und dem zugehörigen Dienstanhang oder zwischen einem Dienstanhang und dem zugehörigen Load Balancer zuzulassen. Endpunkte, Back-Ends und Dienstanhänge sind logische Komponenten, die nicht am Trafficfluss beteiligt sind.

Wenn sich Ihre Back-Ends in einem VPC-Netzwerk befinden, können Sie VPC-Firewallregeln für eingehenden Traffic oder Firewallrichtlinien verwenden, um diesen Traffic zuzulassen. Konfigurieren Sie für Back-Ends, die lokal oder in einer anderen Cloud gehostet werden, die Umgebung so, dass Traffic zu den Back-Ends zugelassen wird.

Wenn Sie Firewallregeln für eingehenden Traffic für Backend-Dienste konfigurieren, hängt die Quelle des Traffics vom Typ des Load-Balancers ab, den Ihr Dienst verwendet:

Kategorie	Quelle des Traffics zu Back-Ends
Passthrough-Load-Balancer: Interner Passthrough-Network Load Balancer Interne Protokollweiterleitung Portzuordnungsdienst	Die IP-Adressbereiche der Private Service Connect-Subnetze (NAT), die mit dem Dienst verknüpft sind
Proxy-Load-Balancer: Regionsübergreifender interner Application Load Balancer Regionaler interner Application Load Balancer Regionaler interner Proxy-Network Load Balancer Sicherer Web-Proxy	Die IP-Adressbereiche der zugehörigen Nur-Proxy-Subnetze
Dienste mit Systemdiagnosen	IP-Adressbereiche für Prüfungen für Ihren Load-Balancer-Typ

Dienst veröffentlichen

Zum Veröffentlichen eines Dienstes erstellen Sie einen Dienstanhang. Sie können den Dienst auf zwei Arten verfügbar machen:

Sie können einen Dienst mit automatischer Genehmigung veröffentlichen.
Sie können einen Dienst mit expliziter Genehmigung veröffentlichen.

Erstellen Sie den Dienstanhang in derselben Region wie den Load-Balancer des Dienstes.

Jeder Dienstanhang kann auf ein oder mehrere Private Service Connect-Subnetze verweisen. Ein Private Service Connect-Subnetz kann jedoch nicht in mehr als einem Dienstanhang verwendet werden.

Wenn Sie die Informationen zur Nutzerverbindung lesen möchten, können Sie das PROXY-Protokoll für unterstützte Dienste aktivieren. Aktivieren Sie das PROXY-Protokoll nur, wenn es sowohl von Ihrem Ziel-Diensttyp (bekanntes Problem) als auch von der Backend-Webserversoftware des Dienstes unterstützt wird. Informationen zu den Arten von Zieldiensten, die das PROXY-Protokoll unterstützen, finden Sie unter Features und Kompatibilität. Weitere Informationen zum PROXY-Protokoll finden Sie unter Informationen zur Nutzerverbindung aufrufen.

In den folgenden Abschnitten finden Sie eine Anleitung zum Veröffentlichen eines Dienstes, der auf einem Load Balancer basiert. Informationen zum Erstellen einer Dienstanhängevorrichtung, die auf eine Secure Web Proxy-Instanz verweist, finden Sie unter Secure Web Proxy als Private Service Connect-Dienstanhängevorrichtung bereitstellen.

Dienst mit automatischer Genehmigung veröffentlichen

Folgen Sie dieser Anleitung, um einen Dienst zu veröffentlichen und allen Nutzern automatisch die Verbindung zu diesem Dienst zu ermöglichen. Wenn Sie Nutzerverbindungen explizit genehmigen möchten, lesen Sie die Informationen unter Dienst mit expliziter Genehmigung veröffentlichen.

Wenn Sie einen Dienst veröffentlichen, erstellen Sie einen Dienstanhang. Dienstnutzer verwenden die Details des Dienstanhangs, um eine Verbindung zu Ihrem Dienst herzustellen.

Wenn Sie einen Dienst mit automatischer Genehmigung veröffentlichen, gilt das Limit für weitergegebene Verbindungen für jedes Nutzerprojekt, das eine Verbindung zu Ihrem Dienstanhang herstellt.

Erforderliche Berechtigungen für diese Aufgabe

Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Berechtigungen oder eine der folgenden IAM-Rollen.

Berechtigungen

compute.subnetworks.use
compute.serviceAttachments.create

Rollen

Informationen finden Sie unter Rollen.

Console

Dienst konfigurieren

Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

Zu Private Service Connect
Klicken Sie auf den Tab Veröffentlichte Dienste.
Klicken Sie auf Dienst veröffentlichen.
Wählen Sie im Bereich Zieldetails die Option Load Balancer aus.
Wählen Sie einen Load-Balancer-Typ aus.
Wählen Sie den internen Load-Balancer aus, der den Dienst hostet, den Sie veröffentlichen möchten. Die Felder für Netzwerk und Region werden mit den Details für den ausgewählten internen Load-Balancer ausgefüllt.

Dienstprojektadministratoren können einen internen Load Balancer auswählen, der eine IP-Adresse aus einem freigegebenen VPC-Netzwerk hat. Weitere Informationen finden Sie unter Freigegebene VPC.
Wenn Sie dazu aufgefordert werden, wählen Sie die Weiterleitungsregel aus, die dem Dienst zugeordnet ist, den Sie veröffentlichen möchten.
Geben Sie unter Dienstname einen Namen für den Dienstanhang ein.

Private Service Connect-Subnetz auswählen

Wählen Sie ein oder mehrere Private Service Connect-Subnetze für den Dienst aus. Die Liste enthält Subnetze aus dem VPC-Netzwerk des ausgewählten internen Load Balancers, einschließlich Subnetzen, die über freigegebene VPC für ein Dienstprojekt freigegeben sind.

Wenn Ihr Dienstanhang einen internen Load Balancer mit einer IP-Adresse aus einem freigegebene VPC-Netzwerk verwendet, müssen Sie ein freigegebenes Subnetz aus demselben freigegebene VPC-Netzwerk auswählen.

Wenn Sie ein neues Subnetz hinzufügen möchten, können Sie eines erstellen:

Klicken Sie auf Subnetze und dann auf Neues Subnetz reservieren.
Geben Sie einen Namen und optional eine Beschreibung für das Subnetz ein.
Wählen Sie eine Region für das Subnetz aus.
Wählen Sie einen IP-Stacktyp aus.
Wenn Sie ein reines IPv4- oder ein Dual-Stack-Subnetz erstellen, geben Sie einen IPv4-Adressbereich für das Subnetz ein.
Klicken Sie auf Hinzufügen.

Konfiguration abschließen

Wenn Sie Informationen zu Nutzerverbindungen aufrufen möchten, wählen Sie Proxyprotokoll verwenden aus.
Wählen Sie Alle Verbindungen automatisch akzeptieren aus.
Wenn Sie den Verbindungsabgleich deaktivieren möchten, entfernen Sie das Häkchen aus dem Kästchen Verbindungsabgleich aktivieren.
Optional: Klicken Sie auf Erweiterte Konfiguration und gehen Sie dann so vor:
1. Wenn Sie einen Domainnamen konfigurieren möchten, geben Sie einen Domainnamen mit einem nachgestellten Punkt ein.
  
  Das empfohlene Format für den Domainnamen ist REGION.p.DOMAIN..
  
  Sie müssen Inhaber des Domainnamens sein. Weitere Informationen finden Sie unter DNS-Konfiguration.
2. Geben Sie ein Limit für weitergegebene Verbindungen ein. Wenn nicht angegeben, ist der Standardwert 250.
Klicken Sie auf Dienst hinzufügen.

gcloud

Führen Sie den Befehl gcloud compute service-attachments create aus.

gcloud compute service-attachments create ATTACHMENT_NAME \
    --region=ATTACHMENT_REGION \
    --target-service=TARGET_SERVICE \
    --connection-preference=ACCEPT_AUTOMATIC \
    --nat-subnets=PSC_SUBNET_LIST \
    [ --propagated-connection-limit=PROPAGATED_CONNECTION_LIMIT ] \
    [ --enable-proxy-protocol ] \
    [ --domain-names=DOMAIN_NAME ]

Ersetzen Sie Folgendes:

ATTACHMENT_NAME: der Name, der dem Dienstanhang zugewiesen werden soll.
ATTACHMENT_REGION: die Region für den neuen Dienstanhang. Das muss dieselbe Region wie die IP-Adresse der Zielweiterleitungsregel sein.
TARGET_SERVICE: der URI der Weiterleitungsregel, die dem Dienst zugeordnet ist, den Sie veröffentlichen.
- Verwenden Sie für regionenübergreifende interne Application Load Balancer das folgende Format: projects/PROJECT_ID/global/forwardingRules/RULE_NAME
- Verwende für alle anderen Weiterleitungsregeln für Creator das folgende Format: projects/PROJECT_ID/regions/RULE_REGION/forwardingRules/RULE_NAME
Dienstprojektadministratoren können die Weiterleitungsregel eines internen Load-Balancers mit einer IP-Adresse aus einem freigegebenen VPC-Netzwerk angeben. Weitere Informationen finden Sie unter Freigegebene VPC.
PSC_SUBNET_LIST: eine durch Kommas getrennte Liste mit einem oder mehreren Subnetznamen, die mit diesem Dienstanhang verwendet werden sollen.

Wenn Sie eine Dienstanhängevorrichtung mit einer Weiterleitungsregel erstellen, die eine IP-Adresse aus einem freigegebene VPC-Netzwerk hat, verwenden Sie freigegebene Subnetze aus demselben freigegebene VPC-Netzwerk. Geben Sie für jedes freigegebene Subnetz den vollständigen Ressourcen-URI an, z. B. --nat-subnets=projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET.
PROPAGATED_CONNECTION_LIMIT: Das propagierte Verbindungslimit pro Projekt. Der Standardwert ist 250.
DOMAIN_NAME: ein DNS-Domainname für den Dienst, einschließlich eines abschließenden Punkts. Empfohlenes Format:REGION.p.DOMAIN.

Weitere Informationen finden Sie unter DNS-Konfiguration.

API

Senden Sie eine POST-Anfrage an die Methode serviceAttachments.insert.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/ATTACHMENT_REGION/serviceAttachments
{
  "name": "ATTACHMENT_NAME",
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "targetService": "TARGET_SERVICE",
  "enableProxyProtocol": false,
  "natSubnets": [
    "PSC_SUBNET_1_URI",
    "PSC_SUBNET_2_URI"
  ],
  "propagatedConnectionLimit": "PROPAGATED_CONNECTION_LIMIT",
  "domainNames": [
    "DOMAIN_NAME"
  ]
}

Ersetzen Sie Folgendes:

PROJECT_ID: das Projekt für den Dienstanhang.
ATTACHMENT_REGION: die Region für den neuen Dienstanhang. Das muss dieselbe Region wie die IP-Adresse der Zielweiterleitungsregel sein.
ATTACHMENT_NAME: der Name, der dem Dienstanhang zugewiesen werden soll.
TARGET_SERVICE: der URI der Weiterleitungsregel, die dem Dienst zugeordnet ist, den Sie veröffentlichen.
- Verwenden Sie für regionenübergreifende interne Application Load Balancer das folgende Format: projects/PROJECT_ID/global/forwardingRules/RULE_NAME
- Verwende für alle anderen Weiterleitungsregeln für Creator das folgende Format: projects/PROJECT_ID/regions/RULE_REGION/forwardingRules/RULE_NAME
Dienstprojektadministratoren können die Weiterleitungsregel eines internen Load-Balancers mit einer IP-Adresse aus einem freigegebenen VPC-Netzwerk angeben. Weitere Informationen finden Sie unter Freigegebene VPC.
PSC_SUBNET_1_URI und PSC_SUBNET_2_URI: die für diesen Dienstanhang zu verwendenden Subnetz-URIs. Sie können ein oder mehrere Subnetze anhand des URI angeben.

Wenn Sie eine Dienstanhängevorrichtung mit einer Weiterleitungsregel erstellen, die eine IP-Adresse aus einem freigegebene VPC-Netzwerk hat, verwenden Sie freigegebene Subnetze aus demselben freigegebene VPC-Netzwerk.
DOMAIN_NAME: ein DNS-Domainname für den Dienst, einschließlich eines abschließenden Punkts. Empfohlenes Format:REGION.p.DOMAIN.

Weitere Informationen finden Sie unter DNS-Konfiguration.
PROPAGATED_CONNECTION_LIMIT: Das propagierte Verbindungslimit pro Projekt. Der Standardwert ist 250.

Dienst mit expliziter Genehmigung veröffentlichen

Folgen Sie dieser Anleitung, um einen Dienst zu veröffentlichen, wenn Sie Nutzer explizit genehmigen möchten, bevor sie eine Verbindung zu diesem Dienst herstellen können. Wenn Sie Nutzerverbindungen automatisch genehmigen möchten, lesen Sie die Informationen unter Dienst mit automatischer Genehmigung veröffentlichen.

Wenn Sie einen Dienst veröffentlichen, erstellen Sie einen Dienstanhang. Dienstnutzer verwenden die Details des Dienstanhangs, um eine Verbindung zu Ihrem Dienst herzustellen.

Jeder Dienstanhang hat eine Annahmeliste und eine Ablehnungsliste. Anhand der Nutzerlisten wird festgelegt, welche Endpunkte eine Verbindung zum Dienst herstellen können. Eine bestimmte Dienstanhänge kann Nutzer basierend auf einem der folgenden Typen akzeptieren oder ablehnen:

Projekt
VPC-Netzwerk
Private Service Connect-Endpunkt (Vorabversion)

Jeder Eintrag in den Nutzerlisten muss vom selben Typ sein. Beispielsweise kann ein bestimmter Dienstanhang einige Nutzer basierend auf dem Projekt und einige basierend auf dem VPC-Netzwerk ablehnen. Außerdem wird die Angabe von Nutzern nach Ordner nicht unterstützt.

Wenn Sie einen Wert sowohl auf die Annahmeliste als auch auf die Ablehnungsliste setzen, werden Verbindungsanfragen von diesem Nutzer abgelehnt.

Wenn Sie Nutzer basierend auf einzelnen Private Service Connect-Endpunkten akzeptieren möchten, veröffentlichen Sie einen Dienst mit ausdrücklicher Genehmigung, fügen Sie den Nutzerlisten aber keine Werte hinzu. Nachdem ein Nutzer eine Verbindung zu Ihrem Dienstanhang hergestellt hat, können Sie den ID-basierten URI des Endpunkts abrufen, indem Sie den Dienstanhang beschreiben oder den Nutzer bitten, den Endpunkt zu beschreiben. Um die Verbindung zu akzeptieren, fügen Sie der Liste der akzeptierten Nutzer Ihres Dienstes den ID-basierten URI des Private Service Connect-Endpunkts hinzu.

Wenn sich Ihre Nutzerannahme- und ‑ablehnungslisten auf Projekte oder einzelne Endpunkte beziehen, gilt das übertragene Verbindungslimit für Nutzerprojekte. Wenn sich Ihre Annahme- und Ablehnungslisten des Nutzers auf VPC-Netzwerke beziehen, gilt das weitergegebene Verbindungslimit für Nutzer-VPC-Netzwerke.

Erforderliche Berechtigungen für diese Aufgabe

Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Berechtigungen oder eine der folgenden IAM-Rollen.

Berechtigungen

compute.subnetworks.use
compute.serviceAttachments.create

Rollen

Informationen finden Sie unter Rollen.

Console

Dienst konfigurieren

Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

Zu Private Service Connect
Klicken Sie auf den Tab Veröffentlichte Dienste.
Klicken Sie auf Dienst veröffentlichen.
Wählen Sie im Bereich Zieldetails die Option Load Balancer aus.
Wählen Sie einen Load-Balancer-Typ aus.
Wählen Sie den internen Load-Balancer aus, der den Dienst hostet, den Sie veröffentlichen möchten. Die Felder für Netzwerk und Region werden mit den Details für den ausgewählten internen Load-Balancer ausgefüllt.

Dienstprojektadministratoren können einen internen Load Balancer auswählen, der eine IP-Adresse aus einem freigegebenen VPC-Netzwerk hat. Weitere Informationen finden Sie unter Freigegebene VPC.
Wenn Sie dazu aufgefordert werden, wählen Sie die Weiterleitungsregel des Dienstes aus, den Sie veröffentlichen möchten.
Geben Sie unter Dienstname einen Namen für den Dienstanhang ein.

Private Service Connect-Subnetz auswählen

Wenn Sie ein neues Subnetz hinzufügen möchten, können Sie eines erstellen:

Klicken Sie auf Subnetze und dann auf Neues Subnetz reservieren.
Geben Sie einen Namen und optional eine Beschreibung für das Subnetz ein.
Wählen Sie eine Region für das Subnetz aus.
Wählen Sie einen IP-Stacktyp aus.
Wenn Sie ein reines IPv4- oder ein Dual-Stack-Subnetz erstellen, geben Sie einen IPv4-Adressbereich für das Subnetz ein.
Klicken Sie auf Hinzufügen.

Zugriff für Nutzer konfigurieren

Wenn Sie Informationen zu Nutzerverbindungen aufrufen möchten, wählen Sie Proxyprotokoll verwenden aus.
Führen Sie einen der folgenden Schritte aus, um Ihre Nutzerannahme- und ‑ablehnungslisten zu konfigurieren.
- Wenn Sie Verbindungen für ausgewählte Projekte akzeptieren möchten, wählen Sie Verbindungen für ausgewählte Projekte akzeptieren aus und gehen Sie dann so vor:
  1. Klicken Sie für jedes Projekt, von dem Sie Verbindungen akzeptieren möchten, auf Angenommenes Projekt hinzufügen und geben Sie Folgendes ein:
    - Die Projekt-ID oder Projektnummer des Projekts, von dem Sie Verbindungen akzeptieren möchten.
    - Ein Verbindungslimit, um die maximale Anzahl von Endpunkten aus dem angegebenen Projekt anzugeben, die eine Verbindung herstellen können.
  2. Optional: Klicken Sie für jedes Projekt, von dem Sie Verbindungen explizit ablehnen möchten, auf Abgelehntes Projekt hinzufügen und geben Sie dann die Projekt-ID oder Projektnummer ein.
- Wenn Sie Verbindungen für ausgewählte Netzwerke akzeptieren möchten, wählen Sie Verbindungen für ausgewählte Netzwerke akzeptieren aus und gehen Sie dann so vor:
  1. Klicken Sie für jedes VPC-Netzwerk, aus dem Sie Verbindungen akzeptieren möchten, auf Akzeptiertes Netzwerk hinzufügen und geben Sie Folgendes ein:
    - Die Projekt-ID oder Projektnummer des übergeordneten Projekts des Netzwerks, von dem Sie Verbindungen akzeptieren möchten.
    - Der Name des Netzwerks, von dem Sie Verbindungen akzeptieren möchten.
    - Ein Verbindungslimit, um die maximale Anzahl von Endpunkten aus dem angegebenen Netzwerk anzugeben, die eine Verbindung herstellen können.
  2. Optional: Klicken Sie für jedes Netzwerk, von dem Sie Verbindungen explizit ablehnen möchten, auf Abgelehntes Netzwerk hinzufügen und geben Sie die ID oder die Projektnummer des übergeordneten Projekts des Netzwerks und den Namen des Netzwerks ein.
- Wenn Sie Verbindungen für einzelne Private Service Connect-Endpunkte akzeptieren möchten, wählen Sie Verbindungen für ausgewählte Projekte akzeptieren aus. Fügen Sie der Liste der Verbraucherakzeptanz derzeit keine Werte hinzu. Nachdem ein Nutzer eine Verbindung zu Ihrem Dienst angefordert hat, können Sie den Endpunkt zu Ihrer Nutzerannahmeliste hinzufügen.

Konfiguration abschließen

Optional: Wenn Sie den Verbindungsabgleich deaktivieren möchten, entfernen Sie das Häkchen bei Verbindungsabgleich aktivieren.
Optional: Klicken Sie auf Erweiterte Konfiguration und gehen Sie dann so vor:
1. Wenn Sie einen Domainnamen konfigurieren möchten, geben Sie einen Domainnamen mit einem nachgestellten Punkt ein.
  
  Das empfohlene Format für den Domainnamen ist REGION.p.DOMAIN..
  
  Sie müssen Inhaber des Domainnamens sein. Weitere Informationen finden Sie unter DNS-Konfiguration.
2. Geben Sie ein Limit für weitergegebene Verbindungen ein. Wenn nicht angegeben, ist der Standardwert 250.
Klicken Sie auf Dienst hinzufügen.

gcloud

Führen Sie den Befehl gcloud compute service-attachments create aus.

gcloud compute service-attachments create ATTACHMENT_NAME \
    --region=ATTACHMENT_REGION \
    --target-service=TARGET_SERVICE \
    --connection-preference=ACCEPT_MANUAL \
    --consumer-accept-list=ACCEPTED_PROJECT_OR_NETWORK_1=LIMIT_1,ACCEPTED_PROJECT_OR_NETWORK_2=LIMIT_2 \
    --consumer-reject-list=REJECTED_PROJECT_OR_NETWORK_1,REJECTED_PROJECT_OR_NETWORK_2 \
    --nat-subnets=PSC_SUBNET_LIST \
    [ --propagated-connection-limit=PROPAGATED_CONNECTION_LIMIT ] \
    [ --enable-proxy-protocol ] \
    [ --domain-names=DOMAIN_NAME ] \
    [ --reconcile-connections ]

Ersetzen Sie Folgendes:

ATTACHMENT_NAME: der Name, der dem Dienstanhang zugewiesen werden soll.
ATTACHMENT_REGION: die Region für den neuen Dienstanhang. Das muss dieselbe Region wie die IP-Adresse der Zielweiterleitungsregel sein.
TARGET_SERVICE: der URI der Weiterleitungsregel, die dem Dienst zugeordnet ist, den Sie veröffentlichen.
- Verwenden Sie für regionenübergreifende interne Application Load Balancer das folgende Format: projects/PROJECT_ID/global/forwardingRules/RULE_NAME
- Verwende für alle anderen Weiterleitungsregeln für Creator das folgende Format: projects/PROJECT_ID/regions/RULE_REGION/forwardingRules/RULE_NAME
Dienstprojektadministratoren können die Weiterleitungsregel eines internen Load-Balancers mit einer IP-Adresse aus einem freigegebenen VPC-Netzwerk angeben. Weitere Informationen finden Sie unter Freigegebene VPC.
ACCEPTED_PROJECT_OR_NETWORK_1 und ACCEPTED_PROJECT_OR_NETWORK_2: die Projekt-IDs, Projektnamen oder Netzwerk-URIs, die akzeptiert werden sollen. --consumer-accept-list ist optional und kann ein oder mehrere Projekte oder Netzwerke enthalten, jedoch nicht eine Kombination aus beiden.
LIMIT_1 und LIMIT_2: die Verbindungslimits für die Projekte oder Netzwerke. Das Verbindungslimit gibt die Anzahl der Nutzerendpunkte oder -Back-Ends an, die eine Verbindung zu diesem Dienst herstellen können. Für jedes akzeptierte Projekt oder Netzwerk muss ein Verbindungslimit konfiguriert sein.
REJECTED_PROJECT_OR_NETWORK_1 und REJECTED_PROJECT_OR_NETWORK_2: die Projekt-IDs, Projektnamen oder Netzwerk-URIs, die abgelehnt werden sollen. --consumer-reject-list ist optional und kann ein oder mehrere Projekte oder Netzwerke enthalten, jedoch nicht eine Kombination aus beiden.
PSC_SUBNET_LIST: eine durch Kommas getrennte Liste mit einem oder mehreren Subnetznamen, die mit diesem Dienstanhang verwendet werden sollen.

Wenn Sie eine Dienstanhängevorrichtung mit einer Weiterleitungsregel erstellen, die eine IP-Adresse aus einem freigegebene VPC-Netzwerk hat, verwenden Sie freigegebene Subnetze aus demselben freigegebene VPC-Netzwerk. Geben Sie für jedes freigegebene Subnetz den vollständigen Ressourcen-URI an, z. B. --nat-subnets=projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET.
PROPAGATED_CONNECTION_LIMIT: das propagierte Verbindungslimit. Der Standardwert ist 250.
DOMAIN_NAME: ein DNS-Domainname für den Dienst, einschließlich eines abschließenden Punkts. Empfohlenes Format:REGION.p.DOMAIN.

Weitere Informationen finden Sie unter DNS-Konfiguration.

API

Senden Sie eine POST-Anfrage an die Methode serviceAttachments.insert.

Wenn Sie einen Dienst veröffentlichen und Nutzer basierend auf dem Projekt explizit genehmigen möchten, senden Sie die folgende Anfrage:
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/ATTACHMENT_REGION/serviceAttachments
{
  "name": "ATTACHMENT_NAME",
  "region": "ATTACHMENT_REGION",
  "connectionPreference": "ACCEPT_MANUAL",
  "targetService": "TARGET_SERVICE",
  "enableProxyProtocol": false,
  "natSubnets": [
    "PSC_SUBNET_1_URI",
    "PSC_SUBNET_2_URI"
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2"
  ],
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "propagatedConnectionLimit": "PROPAGATED_CONNECTION_LIMIT",
  "domainNames": [
    "DOMAIN_NAME"
  ]
}
```
Ersetzen Sie Folgendes:
- PROJECT_ID: das Projekt für den Dienstanhang.
- ATTACHMENT_REGION: die Region für den neuen Dienstanhang. Das muss dieselbe Region wie die IP-Adresse der Zielweiterleitungsregel sein.
- ATTACHMENT_NAME: der Name, der dem Dienstanhang zugewiesen werden soll.
- TARGET_SERVICE: der URI der Weiterleitungsregel, die dem Dienst zugeordnet ist, den Sie veröffentlichen.
  - Verwenden Sie für regionenübergreifende interne Application Load Balancer das folgende Format: projects/PROJECT_ID/global/forwardingRules/RULE_NAME
  - Verwende für alle anderen Weiterleitungsregeln für Creator das folgende Format: projects/PROJECT_ID/regions/RULE_REGION/forwardingRules/RULE_NAME
  Dienstprojektadministratoren können die Weiterleitungsregel eines internen Load-Balancers mit einer IP-Adresse aus einem freigegebenen VPC-Netzwerk angeben. Weitere Informationen finden Sie unter Freigegebene VPC.
- PSC_SUBNET_1_URI und PSC_SUBNET_2_URI: die für diesen Dienstanhang zu verwendenden Subnetz-URIs. Sie können ein oder mehrere Subnetze anhand des URI angeben.
  
  Wenn Sie eine Dienstanhängevorrichtung mit einer Weiterleitungsregel erstellen, die eine IP-Adresse aus einem freigegebene VPC-Netzwerk hat, verwenden Sie freigegebene Subnetze aus demselben freigegebene VPC-Netzwerk.
- REJECTED_PROJECT_1 und REJECTED_PROJECT_2: die Projekt-IDs oder ‑nummern der Projekte, die abgelehnt werden sollen. consumerRejectLists ist optional und kann ein oder mehrere Projekte enthalten.
- ACCEPTED_PROJECT_1 und ACCEPTED_PROJECT_2: die Projekt-IDs oder ‑nummern der zu akzeptierenden Projekte. consumerAcceptLists ist optional und kann ein oder mehrere Projekte enthalten.
- LIMIT_1 und LIMIT_2: die Verbindungslimits für die Projekte. Das Verbindungslimit gibt die Anzahl der Nutzerendpunkte oder -Back-Ends an, die eine Verbindung zu diesem Dienst herstellen können. Für jedes akzeptierte Projekt muss ein Verbindungslimit konfiguriert sein.
- PROPAGATED_CONNECTION_LIMIT: das propagierte Verbindungslimit. Der Standardwert ist 250.
- DOMAIN_NAME: ein DNS-Domainname für den Dienst, einschließlich eines abschließenden Punkts. Empfohlenes Format: REGION.p.DOMAIN. Weitere Informationen finden Sie unter DNS-Konfiguration.
Wenn Sie einen Dienst veröffentlichen und Nutzer basierend auf dem VPC-Netzwerk explizit genehmigen möchten, senden Sie die folgende Anfrage:
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/ATTACHMENT_REGION/serviceAttachments
{
  "name": "ATTACHMENT_NAME",
  "region": "ATTACHMENT_REGION",
  "connectionPreference": "ACCEPT_MANUAL",
  "targetService": "TARGET_SERVICE",
  "enableProxyProtocol": false,
  "natSubnets": [
    "PSC_SUBNET_1_URI",
    "PSC_SUBNET_2_URI"
  ],
  "consumerRejectLists": [
    "projects/REJECTED_PROJECT_ID_1/global/networks/REJECTED_NETWORK_1",
    "projects/REJECTED_PROJECT_ID_2/global/networks/REJECTED_NETWORK_2"
  ],
  "consumerAcceptLists": [
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_1/global/networks/ACCEPTED_NETWORK_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_2/global/networks/ACCEPTED_NETWORK_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "propagatedConnectionLimit": PROPAGATED_CONNECTION_LIMIT,
  "domainNames": [
    "DOMAIN_NAME"
  ]
}
```
Ersetzen Sie Folgendes:
- REJECTED_PROJECT_ID_1 und REJECTED_PROJECT_ID_2: die IDs der übergeordneten Projekte der Netzwerke, die Sie ablehnen möchten. consumerRejectLists ist optional und kann ein oder mehrere Projekte enthalten.
- REJECTED_NETWORK_1 und REJECTED_NETWORK_2: die Namen der Netzwerke, die Sie ablehnen möchten.
- ACCEPTED_PROJECT_ID_1 und ACCEPTED_PROJECT_ID_2: die IDs der übergeordneten Projekte der Netzwerke, die Sie akzeptieren möchten. consumerAcceptLists ist optional und kann ein oder mehrere Projekte enthalten.
- ACCEPTED_NETWORK_1 und ACCEPTED_NETWORK_2: die Namen der Netzwerke, die Sie akzeptieren möchten.
- LIMIT_1 und LIMIT_2: die Verbindungslimits für die Netzwerke. Das Verbindungslimit gibt die Anzahl der Nutzerendpunkte oder -Back-Ends an, die eine Verbindung zu diesem Dienst herstellen können. Für jedes akzeptierte Projekt muss ein Verbindungslimit konfiguriert sein.
- PROPAGATED_CONNECTION_LIMIT: das propagierte Verbindungslimit. Der Standardwert ist 250.
- DOMAIN_NAME: ein DNS-Domainname für den Dienst, einschließlich eines abschließenden Punkts. Empfohlenes Format: REGION.p.DOMAIN. Weitere Informationen finden Sie unter DNS-Konfiguration.
Damit Sie einen Dienst mit aktiviertem Verbindungsabgleich veröffentlichen können, senden Sie eine Anfrage, die den vorherigen Anfragen ähnelt, aber fügen Sie das folgende Feld hinzu:
```
{
  ...
  "reconcileConnections": true
  ...
}
```

Informationen zur Nutzerverbindung ansehen

Informationen zum Aufrufen von Informationen zur Nutzerverbindung mithilfe des PROXY-Protokolls finden Sie unter Informationen zur Nutzerverbindung aufrufen.

Anfragen für den Zugriff auf einen veröffentlichten Dienst verwalten

Wenn Sie einen veröffentlichten Dienst mit expliziter Genehmigung haben, können Sie Verbindungsanfragen von Nutzerprojekten oder Netzwerken akzeptieren oder ablehnen. Weitere Informationen finden Sie unter Anfragen für den Zugriff auf einen veröffentlichten Dienst verwalten.

Sie können auch zwischen der automatischen und der expliziten Projektzulassung für einen veröffentlichten Dienst wechseln. Weitere Informationen finden Sie unter Verbindungseinstellung für einen veröffentlichten Dienst ändern.

Subnetze zu einem veröffentlichten Dienst hinzufügen oder daraus entfernen

Sie können Subnetze zu einem veröffentlichten Dienst hinzufügen oder daraus entfernen. Weitere Informationen finden Sie unter Subnetze zu einem veröffentlichten Dienst hinzufügen oder daraus entfernen.

Veröffentlichte Dienste auflisten

Sie können alle Dienste auflisten.

Erforderliche Berechtigungen für diese Aufgabe

Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Berechtigungen oder eine der folgenden IAM-Rollen.

Berechtigungen

compute.serviceAttachments.list

Rollen

Informationen finden Sie unter Rollen.

Console

Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

Zu Private Service Connect
Klicken Sie auf den Tab Veröffentlichte Dienste.

Die Anhänge für Private Service Connect-Dienste werden angezeigt.

gcloud

Führen Sie den Befehl gcloud compute service-attachments list aus.

gcloud compute service-attachments list [--regions=REGION_LIST]

Ersetzen Sie REGION_LIST durch eine durch Kommas getrennte Liste mit einer oder mehreren Regionen, für die Sie Dienstanhänge aufrufen möchten. Beispiel: us-central1oder us-west1,us-central1.

API

Wenn Sie alle Dienstanhänge in einer bestimmten Region oder in allen Regionen aufrufen möchten, senden Sie eine GET-Anfrage an die Methode serviceAttachments.list.

So rufen Sie alle Dienstanhänge in einer Region auf:

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments

Alle Dienstanhänge in allen Regionen anzeigen:
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/serviceAttachments
```
Ersetzen Sie Folgendes:
- PROJECT_ID: das Projekt für den Dienstanhang.
- REGION: die Region für den Dienstanhang.
- ATTACHMENT_NAME: der Name des Dienstanhangs.

Details für einen veröffentlichten Dienst ansehen

Sie können die Konfigurationsdetails eines veröffentlichten Dienstes aufrufen. Sie können sich einige Konfigurationsdetails in der Google Cloud -Konsole ansehen, z. B. den URI des Dienstanhangs, den Dienstnutzer benötigen, um eine Verbindung zu Ihrem Dienst herzustellen. Wenn Sie alle Details ansehen möchten, einschließlich der pscConnectionId- und der ID-basierten Endpunkt-URI-Werte (endpointWithId) für die Nutzer des Dienstanhangs, verwenden Sie die Google Cloud CLI oder senden Sie eine API-Anfrage.

Erforderliche Berechtigungen für diese Aufgabe

Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Berechtigungen oder eine der folgenden IAM-Rollen.

Berechtigungen

compute.serviceAttachments.get

Rollen

Informationen finden Sie unter Rollen.

Console

Sie können Details zu einem veröffentlichten Dienst aufrufen. Das Feld Dienstanhang enthält den URI des Dienstanhangs.

Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

Zu Private Service Connect
Klicken Sie auf den Tab Veröffentlichte Dienste.
Klicken Sie auf den Dienst, den Sie aufrufen möchten.

gcloud

Wenn Sie Details zu einem veröffentlichten Dienst aufrufen möchten, verwenden Sie den Befehl gcloud compute service-attachments describe. Das Feld selfLink enthält den URI des Dienstanhangs.
```
gcloud compute service-attachments describe \
    ATTACHMENT_NAME --region=REGION
```
Ersetzen Sie Folgendes:
- ATTACHMENT_NAME: der Name des Dienstanhangs.
- REGION: die Region für den Dienstanhang.
Verwenden Sie den gcloud beta compute service-attachments describe-Befehl, um Details zu einem veröffentlichten Dienst aufzurufen, einschließlich der ID-basierten Endpunkt-URIs, mit denen Sie einzelne Endpunkte akzeptieren können. Für jeden Endpunkt in der Liste der verbundenen Endpunkte enthält das Feld endpointWithId den ID-basierten URI des Endpunkts.
```
gcloud beta compute service-attachments describe \
    ATTACHMENT_NAME --region=REGION
```

API

Wenn Sie Details zu einem veröffentlichten Dienst aufrufen möchten, senden Sie eine GET-Anfrage an die Methode serviceAttachments.get. Das Feld selfLink enthält den URI des Dienstanhangs.
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Ersetzen Sie Folgendes:
- PROJECT_ID: das Projekt für den Dienstanhang.
- REGION: die Region für den Dienstanhang.
- ATTACHMENT_NAME: der Name des Dienstanhangs.
Wenn Sie Details zu einem veröffentlichten Dienst aufrufen möchten, einschließlich der ID-basierten Endpunkt-URIs, die Sie zum Akzeptieren einzelner Endpunkte verwenden können, senden Sie eine GET-Anfrage an die Betaversion der Methode serviceAttachments.get. Für jeden Endpunkt in der Liste der verbundenen Endpunkte enthält das Feld endpointWithId den ID-basierten URI des Endpunkts.
```
 GET https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
 
```

Veröffentlichten Dienst löschen

Sie können einen veröffentlichten Dienst löschen, auch wenn Nutzerverbindungen mit dem Dienstanhang bestehen. Wenn Sie den veröffentlichten Dienst löschen, wird nur der Dienstanhang entfernt. Der zugehörige Load-Balancer wird nicht gelöscht. Wenn Sie einen veröffentlichten Dienst löschen, gilt Folgendes:

Traffic von Endpunkten (basierend auf Weiterleitungsregeln) wird nicht mehr an den Load Balancer gesendet.
Traffic von Back-Ends (basierend auf globalen Application Load Balancern) wird an den Load Balancer gesendet, bis er gelöscht wurde.

Erforderliche Berechtigungen für diese Aufgabe

Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Berechtigungen oder eine der folgenden IAM-Rollen.

Berechtigungen

compute.serviceAttachments.delete

Rollen

Informationen finden Sie unter Rollen.

Console

Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

Zu Private Service Connect
Klicken Sie auf den Tab Veröffentlichte Dienste.
Klicken Sie auf den Dienst, den Sie löschen möchten.
Klicken Sie auf Löschen.

gcloud

Führen Sie den Befehl gcloud compute service-attachments delete aus.

gcloud compute service-attachments delete \
    ATTACHMENT_NAME --region=REGION

API

Senden Sie eine DELETE-Anfrage an die Methode serviceAttachments.delete.

DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

Ersetzen Sie Folgendes:

PROJECT_ID: das Projekt für den Dienstanhang.
REGION: die Region für den Dienstanhang.
ATTACHMENT_NAME: der Name des Dienstanhangs.

Bekannte Probleme

Fehler bei Systemdiagnosen mit Consumer-Endpunkten mit globalem Zugriff

Nutzer können einen Endpunkt mit globalem Zugriff mit einem veröffentlichten Dienst verbinden, der nicht für globalen Zugriff konfiguriert ist. In dieser Konfiguration funktionieren Systemdiagnosen jedoch nicht richtig. Infolgedessen kann Traffic an fehlerhafte Backends gesendet und verworfen werden.

Wenn Sie einen Dienst mit einem internen Passthrough-Network Load Balancer oder mit interner Protokollweiterleitung (Zielinstanz) veröffentlichen und Ihr Dienst von diesem Problem betroffen ist, gehen Sie so vor:

Wenn Sie den globalen Zugriff verwenden möchten, gehen Sie so vor:
1. Globalen Zugriff für die Weiterleitungsregel des Load-Balancers aktivieren
2. Wenn der Load Balancer von Google Kubernetes Engine verwaltet wird, müssen Sie auch das entsprechende Dienstmanifest aktualisieren und auf Ihren Cluster anwenden. Weitere Informationen zu dieser GKE-spezifischen Konfiguration finden Sie unter Globaler Zugriff.
3. Aktualisieren Sie alle Automatisierungen so, dass neue Ersteller-Load-Balancer, die Private Service Connect-Endpunkte mit globalem Zugriff unterstützen, für den globalen Zugriff konfiguriert werden.
Wenn Sie den globalen Zugriff nicht verwenden möchten, bitten Sie den Nutzer, den globalen Zugriff für den Endpunkt zu deaktivieren.

Das Aktivieren des globalen Zugriffs für einen veröffentlichten Dienst unterbricht den Netzwerkverkehr nicht.

Fehler bei Systemdiagnosen mit globalen Private Service Connect-NEGs

Es gibt ein bekanntes Problem mit Private Service Connect-NEGs für Nutzer, die für den globalen Zugriff konfiguriert sind. Eine Private Service Connect-NEG ist für den globalen Zugriff konfiguriert, wenn sie einem globalen Backend-Dienst zugeordnet ist.

Wenn ein Nutzer ein Private Service Connect-NEG, das für den globalen Zugriff konfiguriert ist, mit einem Ersteller-Load-Balancer verbindet und der Dienstanbieter den globalen Zugriff für diesen Load Balancer deaktiviert, funktionieren Systemdiagnosen nicht richtig. Daher wird Traffic möglicherweise an fehlerhafte Back-Ends gesendet und verworfen.

Wenn Sie einen Dienst mit einem internen Load Balancer veröffentlichen, der globalen Zugriff unterstützt, und Ihr Dienst von diesem Problem betroffen ist, gehen Sie so vor:

Wenn Sie den globalen Zugriff verwenden möchten, gehen Sie so vor:
1. Aktivieren Sie den globalen Zugriff für die Weiterleitungsregel des Load Balancers.
2. Wenn der Load Balancer von Google Kubernetes Engine verwaltet wird, müssen Sie auch das entsprechende Dienstmanifest aktualisieren und auf Ihren Cluster anwenden. Weitere Informationen zu dieser GKE-spezifischen Konfiguration finden Sie unter Globaler Zugriff.
3. Aktualisieren Sie alle Automatisierungen so, dass neue Producer-Load-Balancer, die globale Private Service Connect-NEGs unterstützen, für den globalen Zugriff konfiguriert werden.
Wenn Sie keinen globalen Zugriff verwenden möchten, bitten Sie den Kunden, die Private Service Connect-NEG für den regionalen Zugriff neu zu konfigurieren. Dazu muss der Nutzer seine Private Service Connect-NEG aus dem globalen Backend-Dienst entfernen und die NEG dann an einen regionalen Backend-Dienst anhängen.

Das Aktivieren des globalen Zugriffs für einen veröffentlichten Dienst unterbricht den Netzwerkverkehr nicht.

Verbindungstrennungen nach dem Upgrade des Google-Anbieters für Terraform

Wenn Sie den Google-Anbieter für Terraform mit Versionen vor 4.76.0 verwendet haben, um Dienstanhänge zu erstellen, führen Sie kein Upgrade auf Version 4.76.0 bis 4.81.x durch. Wenn Sie terraform apply nach einem Upgrade auf die Versionen 4.76.0 bis 4.81.x ausführen, kann es sein, dass Terraform unbeabsichtigt die Dienstanhänge löscht und neu erstellt und bestehende Private Service Connect-Verbindungen schließt. Durch neu erstellte Dienstanhänge werden Private Service Connect-Verbindungen nicht automatisch wiederhergestellt.

Wenn Sie ein Upgrade auf Version 4.82.0 durchführen und dann terraform apply ausführen, werden Ihre Dienstanhänge nicht gelöscht, aber die Einstellung Verbindungen abgleichen wird auf „true“ gesetzt. Wenn die Einstellung zuvor auf „false“ gesetzt war, werden einige Private Service Connect-Verbindungen möglicherweise geschlossen.

Upgrade auf Google-Anbieterversionen 4.76.0 bis 4.81.x In diesem Szenario enthält die Ausgabe von terraform plan Folgendes:
```
-/+ resource "google_compute_service_attachment" "SERVICE_NAME" {
  ...
        ~ reconcile_connections = false -> true # forces replacement
  ...
```
Achtung: Wenn Sie diese Warnung ignorieren und die Änderungen anwenden, löscht Terraform den Dienstanhang und erstellt ihn neu. Alle vorhandenen Private Service Connect-Verbindungen werden geschlossen und neue Verbindungen werden nicht automatisch wiederhergestellt.

Verwenden Sie die Problemumgehung, um dieses Problem zu vermeiden.
Upgrade auf Google-Anbieterversionen 4.82.0. In diesem Szenario enthält die Ausgabe von terraform plan Folgendes:
```
~ reconcile_connections = false -> true
```
Wenn Sie diese Warnung ignorieren und die Änderungen anwenden, aktualisiert Terraform den Dienstanhang, um den Verbindungsabgleich zu aktivieren. Je nach Verbindungsstatus werden durch das Ändern von false in true möglicherweise einige vorhandene Verbindungen geschlossen. Weitere Informationen finden Sie unter Verbindungsabgleich.

Verwenden Sie die Problemumgehung, um dieses Problem zu vermeiden.

Problemumgehung

Wir empfehlen ein Upgrade des Google-Anbieters für Terraform auf Version 4.82.0 oder höher. Diese Version verhindert das versehentliche Löschen und Neuerstellen von Dienstanhängen.

Wenn Sie nicht sofort ein Upgrade durchführen können oder ein Upgrade durchführen können, aber auch verhindern möchten, dass Terraform die Verbindungsabgleichseinstellung ändert, aktualisieren Sie Ihre Terraform-Konfiguration so, dass die Einstellung für den Verbindungsabgleich explizit festgelegt wird.

Sehen Sie sich die detaillierte Konfiguration für den Dienstanhang an und notieren Sie sich die Einstellung reconcileConnections.
```
gcloud compute service-attachments describe SERVICE_NAME --region=REGION
```
Die Ausgabe enthält das Feld reconcileConnections, das „true“ oder „false“ sein kann.
```
reconcileConnections: false
```
Aktualisieren Sie Ihre Terraform-Konfigurationsdatei explizit, um dieselbe Einstellung zu verwenden, die für den Dienstanhang verwendet wird.
```
resource "google_compute_service_attachment" "SERVICE_NAME" {
  ...
  reconcile_connections    = false
}
```
Eine Beispielkonfiguration finden Sie unter Abgleich von Verbindungen eines Dienstanhangs auf GitHub.

TLS-Fehler mit dem PROXY-Protokoll

Wenn Sie einen Dienst mit aktiviertem PROXY-Protokoll veröffentlichen, Ihr Zieldiensttyp das PROXY-Protokoll aber nicht unterstützt, können Nutzer über Endpunkte eine Verbindung zu Ihrem Dienst herstellen. Der Traffic fließt jedoch nicht über die Verbindung und Arbeitslasten erhalten Fehler im Zusammenhang mit TLS.

Aktualisieren Sie den Dienstanhang, um das PROXY-Protokoll zu deaktivieren, um dieses Problem zu beheben.

Informationen zu den Arten von Zieldiensten, die das PROXY-Protokoll unterstützen, finden Sie unter Funktionen und Kompatibilität.

Fehlerbehebung

Fehler beim Aktualisieren eines Dienstanhangs

Wenn beim Aktualisieren eines Dienstanhangs die folgende Fehlermeldung angezeigt wird, enthält die Annahmeliste oder die Ablehnungsliste möglicherweise gelöschte Projekte: The resource PROJECT was not found.

Entfernen Sie die gelöschten Projekte aus der Konfiguration des Dienstanhangs, um das Problem zu beheben.

Verwenden Sie den Befehl gcloud compute service-attachments describe, um die Konfiguration des Dienstanhangs aufzurufen, den Sie ändern möchten.

So geben Sie die Annahmeliste in einem Format aus, das Sie später zum Aktualisieren des Dienstanhangs verwenden können:

gcloud compute service-attachments describe ATTACHMENT_NAME \
    --region=REGION --flatten="consumerAcceptLists[]" \
    --format="csv[no-heading,separator='='](consumerAcceptLists.projectIdOrNum,consumerAcceptLists.connectionLimit)" \
    | xargs | sed -e 's/ /,/g'

Die Ausgabe der Annahmeliste sieht in etwa so aus:

PROJECT_1=LIMIT_1,PROJECT_2=LIMIT_2,PROJECT_3=LIMIT_3

So geben Sie die Ablehnungsliste in einem Format aus, das Sie später zum Aktualisieren des Dienstanhangs verwenden können:

gcloud compute service-attachments describe ATTACHMENT_NAME \
    --region=REGION \
    --format="value[delimiter=','](consumerRejectLists[])"

Die Ausgabe der Ablehnungsliste sieht in etwa so aus:

PROJECT_1,PROJECT_2,PROJECT_3

Bearbeiten Sie die Befehlsausgabe, um alle gelöschten Projekte aus der Annahmeliste und aus der Ablehnungsliste zu entfernen.

Aktualisieren Sie den Dienstanhang, um die gelöschten Projekte zu entfernen.

So aktualisieren Sie die Annahmeliste:

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --consumer-accept-list=UPDATED_ACCEPT_LIST

So aktualisieren Sie die Ablehnungsliste:

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --consumer-reject-list=UPDATED_REJECT_LIST

Es wurde keine Verbindung hergestellt

Wenn ein Nutzer einen Endpunkt oder ein Backend erstellt hat, der auf Ihren Dienstanhang verweist, aber keine Verbindung hergestellt wird, prüfen Sie den Verbindungsstatus des Dienstanhangs. Der Verbindungsstatus kann möglicherweise auf Schritte hinweisen, mit denen Sie das Problem beheben können.

Zeitüberschreitung bei Nutzerverbindungen

Wenn die Verbindungen von Nutzern unterbrochen werden, prüfen Sie, ob Ihr Dienst lang andauernde Verbindungen erfordert. Das Zeitlimit für Inaktivität hergestellter TCP-Verbindungen für Private Service Connect-NAT beträgt 20 Minuten. Wenn Ihr Dienst ein längeres Zeitlimit benötigt, müssen Sie möglicherweise einige Konfigurationsänderungen vornehmen, damit die Verbindungen nicht das Zeitlimit überschreiten. Weitere Informationen finden Sie unter NAT-Spezifikationen.

Weitergegebene Verbindungsfehler

Informationen zur Fehlerbehebung bei weitergegebenen Verbindungen finden Sie unter Fehlerbehebung bei der Weitergabe von Private Service Connect-Verbindungen.

Veröffentlichter Dienst hat Leistungsprobleme oder Verbindungszeitüberschreitungen

Wenn bei Ihrem veröffentlichten Dienst Leistungsprobleme oder zeitweilige Verbindungszeitüberschreitungen auftreten, kann das an verworfenen Paketen liegen. Sie können verlorene Pakete untersuchen, indem Sie die in den folgenden Abschnitten beschriebenen Messwerte prüfen.

Verworfene Pakete von Nutzern

Mit der Messwert private_service_connect/producer/dropped_received_packets_count werden Pakete von einem Endpunkt oder Backend zu einem veröffentlichten Dienst erfasst, die verworfen werden, weil der Endpunkt oder das Backend das maximale Limit für Verbindungen zum Dienst überschritten hat.

Wenn ein veröffentlichter Dienst Werte für diesen Messwert meldet, sollten Sie die folgenden Lösungen in Betracht ziehen:

Erhöhen Sie die Kapazität Ihres veröffentlichten Dienstes, z. B. durch Hinzufügen weiterer VM-Instanzen oder Netzwerkendpunkte.
Bitten Sie den Dienstnutzer, zusätzliche Endpunkte oder Back-Ends zu erstellen, die eine Verbindung zum veröffentlichten Dienst herstellen.
Bitten Sie den Dienstnutzer, die Anzahl der Verbindungen über seinen Endpunkt oder sein Backend zu verringern.

Verlorene Pakete an Verbraucher

Mit der Messwert private_service_connect/producer/dropped_sent_packets_count werden Pakete erfasst, die von einem veröffentlichten Dienst an einen Endpunkt oder ein Backend gesendet und verworfen werden, weil Private Service Connect keine passende Verbindung für Antwortpakete finden kann.

Private Service Connect lässt nur Verbindungen zu, die vom VPC-Netzwerk des Nutzers initiiert werden. Wenn ein Nutzer eine Verbindung herstellt, wird die Verbindung verfolgt, um Antwortpakete vom veröffentlichten Dienst einer vorhandenen Verbindung zuzuordnen. Wenn Private Service Connect keine Übereinstimmung für ein Antwortpaket findet, wird das Paket verworfen.

Dies kann passieren, wenn ein veröffentlichter Dienst Antwortpakete sendet, nachdem für eine Verbindung ein Zeitlimit überschritten wurde. Informationen zur Vermeidung von Problemen mit Zeitüberschreitungen bei Verbindungen finden Sie unter NAT-Spezifikationen.