Veröffentlichte Dienste verwalten

Auf dieser Seite wird beschrieben, wie Sie Anfragen für den Zugriff auf einen veröffentlichten Dienst verwalten, die Verbindungseinstellung für einen veröffentlichten Dienst ändern und den Verbindungsabgleich konfigurieren.

Jeder Dienstanhang hat eine Verbindungseinstellung, die steuert, ob Verbindungen automatisch akzeptiert werden.

  • Alle Verbindungen automatisch akzeptieren. Der Dienstanhang akzeptiert automatisch alle eingehenden Verbindungsanfragen von jedem Nutzer.
  • Verbindungen von ausgewählten Nutzern explizit akzeptieren Der Dienstanhang akzeptiert nur eingehende Verbindungsanfragen, wenn der Nutzer auf der Nutzerannahmeliste des Dienstanhangs steht. Sie können Nutzer nach Projekt, VPC-Netzwerk oder einzelnem Private Service Connect-Endpunkt angeben (Vorschau). Sie können nicht verschiedene Arten von Nutzern in dieselbe Zulassungs- oder Ablehnungsliste aufnehmen.

Bei beiden Verbindungseinstellungen können angenommene Verbindungen durch eine Organisationsrichtlinie überschrieben und abgelehnt werden, die eingehende Verbindungen blockiert.

Wir empfehlen, Verbindungen für ausgewählte Nutzer explizit zu akzeptieren. Die automatische Annahme aller Verbindungen ist möglicherweise sinnvoll, wenn Sie den Nutzerzugriff auf andere Weise steuern und einen strikten Zugriff auf Ihren Dienst ermöglichen möchten.

Weitere Informationen zum Veröffentlichen von Diensten finden Sie unter Dienste veröffentlichen.

Rollen

Die folgende IAM-Rolle bietet die Berechtigungen, die zum Ausführen der Aufgaben in dieser Anleitung erforderlich sind.

Zugriff auf einen veröffentlichten Dienst verwalten

Wenn Sie einen Dienst mit expliziter Genehmigung veröffentlicht haben, können Sie Verbindungen annehmen oder ablehnen, indem Sie Ihre Nutzerlisten aktualisieren. Wenn Sie eine Verbindung akzeptieren möchten, fügen Sie das Projekt, das VPC-Netzwerk oder den einzelnen Private Service Connect-Endpunkt des anfragenden Nutzers der Nutzerannahmeliste eines Dienstes hinzu. Sie können Verbindungen explizit ablehnen, indem Sie die Ablehnungsliste auf dieselbe Weise aktualisieren.

Sie können Nutzerlisten Projekte oder VPC-Netzwerke hinzufügen, bevor oder nachdem der Nutzer eine Verbindung anfordert. Sie können Endpunkte erst nach einer Verbindungsanfrage hinzufügen, da der URI eines Endpunkts erst nach der Erstellung des Endpunkts bekannt ist.

Alle Werte in den Verbraucherlisten müssen vom selben Typ sein. Sie können beispielsweise nicht einige Verbindungen basierend auf dem Kundenprojekt und andere basierend auf einzelnen Endpunkten akzeptieren. Wenn Sie denselben Wert sowohl der Annahmeliste als auch der Ablehnungsliste hinzufügen, werden Verbindungsanfragen von diesem Nutzer abgelehnt.

Standardmäßig wirken sich Änderungen an Nutzerlisten nur auf neue oder ausstehende Verbindungen aus. Zuvor akzeptierte Verbindungen werden nicht beendet, sofern Sie den Verbindungsabgleich nicht aktiviert haben.

Console

Sie können den Zugriff auf einen Dienst mit expliziter Genehmigung verwalten, indem Sie entweder vorhandene Verbindungsanfragen annehmen oder ablehnen oder die Annahme- und Ablehnungslisten von Nutzern aktualisieren. Beide Methoden haben dasselbe Ergebnis und aktualisieren dieselben Verbraucherlisten.

Details für einen veröffentlichten Dienst ansehen

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Veröffentlichte Dienste.

  3. Klicken Sie auf den Dienst, den Sie verwalten möchten.

Verbindungsanfragen annehmen oder ablehnen

  • Wenn Ihr Dienst so konfiguriert ist, dass Verbindungen basierend auf dem Nutzerprojekt akzeptiert werden, werden die Projekte, die versucht haben, eine Verbindung zu diesem Dienst herzustellen, im Abschnitt Verbundene Projekte aufgeführt. Klicken Sie auf das Kästchen neben einem oder mehreren Projekten und dann auf Projekt akzeptieren oder Projekt ablehnen.
  • Wenn Ihr Dienst so konfiguriert ist, dass er einzelne Private Service Connect-Endpunkte akzeptiert, klicken Sie auf Wartet auf Genehmigung, um die Endpunkte aufzurufen, die versucht haben, eine Verbindung zu diesem Dienst herzustellen. Klicken Sie auf das Kästchen neben einem oder mehreren Endpunkten und dann auf Endpunkt akzeptieren oder Endpunkt ablehnen.
  • Wenn Ihr Dienst so konfiguriert ist, dass er Nutzer basierend auf dem VPC-Netzwerk akzeptiert, können Sie Verbindungen nur akzeptieren oder ablehnen, indem Sie Ihre Annahme- und Ablehnungslisten für Nutzer aktualisieren, wie im folgenden Abschnitt beschrieben.

Nutzerannahmelisten und ‑ablehnungslisten aktualisieren

  1. Klicken Sie auf Dienstdetails bearbeiten.
  2. Optional: Wählen Sie eine neue Verbindungseinstellung aus.

  3. Führen Sie den entsprechenden Schritt aus. Sie können diesen Schritt für jeden Verbraucher wiederholen, den Sie hinzufügen möchten.

    • Klicken Sie für Verbindungen für ausgewählte Projekte akzeptieren auf Akzeptiertes Projekt hinzufügen und geben Sie das Projekt und das Verbindungslimit ein.
    • Klicken Sie für Verbindungen für ausgewählte Netzwerke akzeptieren auf Akzeptiertes Netzwerk hinzufügen und geben Sie dann das Projekt, das VPC-Netzwerk und das Verbindungslimit ein.

    • Klicken Sie für Verbindungen für ausgewählte Endpunkte akzeptieren auf Akzeptierten Endpunkt hinzufügen und geben Sie dann die ID des Projekts und des Endpunkts ein.

      Die ID eines Endpunkts finden Sie, indem Sie sich den veröffentlichten Dienst ansehen und im Abschnitt Awaiting approval (Wartet auf Genehmigung) nach dem Wert von Endpoint ID (Endpunkt-ID) suchen.

gcloud

  1. Verwenden Sie den Befehl gcloud beta compute service-attachments describe, um vorhandene und ausstehende Verbindungen für den Dienstanhang aufzurufen, den Sie ändern möchten.

    gcloud beta compute service-attachments describe ATTACHMENT_NAME \
    --region=REGION

    Ersetzen Sie Folgendes:

    • ATTACHMENT_NAME: der Name des Dienstanhangs.
    • REGION: die Region des Dienstanhangs.

    Die Ausgabe sieht etwa so aus wie im folgenden Beispiel. Wenn ausstehende Nutzerverbindungen vorhanden sind, werden diese mit dem Status PENDING aufgeführt. Der ID-basierte URI des Private Service Connect-Endpunkts, den Sie zum Annehmen oder Ablehnen einzelner Endpunkte verwenden können, wird im Feld endpointWithId angezeigt.

    In dieser Beispielausgabe befindet sich das Projekt CONSUMER_PROJECT_1 in der Liste der Annahmen, sodass ENDPOINT_1 akzeptiert wird und eine Verbindung zum Dienst herstellen kann. Das Projekt CONSUMER_PROJECT_2 ist nicht in der Liste der Annahmen enthalten, sodass ENDPOINT_2 aussteht. Nachdem CONSUMER_PROJECT_2 der Akzeptanzliste hinzugefügt wurde, ändert sich der Status von ENDPOINT_2 in ACCEPTED und der Endpunkt kann eine Verbindung zum Dienst herstellen.

    connectedEndpoints:
- consumerNetwork: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_1/global/networks/CONSUMER_NETWORK_1
  endpoint: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_1/regions/REGION_1/forwardingRules/ENDPOINT_1
  endpointWithId: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_1/regions/REGION_1/forwardingRules/RESOURCE_ID_1
  pscConnectionId: 'ENDPOINT_1_ID'
  status: ACCEPTED
- consumerNetwork: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_2/global/networks/CONSUMER_NETWORK_2
  endpoint: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/ENDPOINT_2
  endpointWithId: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/RESOURCE_ID_2
  pscConnectionId: 'ENDPOINT_2_ID'
  status: PENDING
connectionPreference: ACCEPT_MANUAL
consumerAcceptLists:
- connectionLimit: LIMIT_1
  projectIdOrNum: CONSUMER_PROJECT_1
creationTimestamp: 'TIMESTAMP'
description: 'DESCRIPTION'
enableProxyProtocol: false
fingerprint: FINGERPRINT
id: 'ID'
kind: compute#serviceAttachment
name: NAME
natSubnets:
- https://www.googleapis.com/compute/beta/projects/PRODUCER_PROJECT/regions/REGION/subnetworks/PSC_SUBNET
pscServiceAttachmentId:
  high: 'PSC_ATTACH_ID_HIGH'
  low: 'PSC_ATTACH_ID_LOW'
region: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION
selfLink: https://www.googleapis.com/compute/v1/projects/projects/PRODUCER_PROJECT/regions/REGION/serviceAttachments/ATTACHMENT_NAME
targetService: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/forwardingRules/PRODUCER_FWD_RULE

  2. So akzeptieren oder lehnen Sie Nutzerverbindungen ab:

    • Wenn Sie Nutzer basierend auf dem Projekt oder VPC-Netzwerk akzeptieren oder ablehnen möchten, verwenden Sie den Befehl gcloud compute service-attachments update.

      Sie können --consumer-accept-list oder --consumer-reject-list oder beides angeben. Sie können mehrere Werte in --consumer-accept-list und --consumer-reject-list angeben. Sie können VPC-Projekte oder Netzwerke hinzufügen, aber nicht eine Mischung aus Projekten und Netzwerken.

      gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --consumer-accept-list=ACCEPTED_PROJECT_OR_NETWORK_1=LIMIT_1,ACCEPTED_PROJECT_OR_NETWORK_2=LIMIT_2 \
    --consumer-reject-list=REJECTED_PROJECT_OR_NETWORK_1,REJECTED_PROJECT_OR_NETWORK_2

      Ersetzen Sie Folgendes:

      • ATTACHMENT_NAME: der Name des Dienstanhangs.

      • REGION: die Region, in der sich der Dienstanhang befindet.

      • ACCEPTED_PROJECT_OR_NETWORK_1 und ACCEPTED_PROJECT_OR_NETWORK_2: die Projekt-IDs, Projektnamen oder Netzwerk-URLs, die akzeptiert werden sollen. --consumer-accept-list ist optional und kann ein oder mehrere Projekte oder Netzwerke enthalten, jedoch nicht eine Kombination aus beiden.

      • LIMIT_1 und LIMIT_2: die Verbindungslimits für die Projekte oder Netzwerke. Das Verbindungslimit gibt die Anzahl der Nutzerendpunkte an, die eine Verbindung zu diesem Dienst herstellen können.

      • REJECTED_PROJECT_OR_NETWORK_1 und REJECTED_PROJECT_OR_NETWORK_2: die Projekt-IDs, Projektnamen oder Netzwerk-URLs, die abgelehnt werden sollen. --consumer-reject-list ist optional und kann ein oder mehrere Projekte oder Netzwerke enthalten, jedoch nicht eine Kombination aus beiden Typen.

    • Verwenden Sie den Befehl gcloud beta compute service-attachments update, um einzelne Private Service Connect-Endpunkte (Vorschau) anzunehmen oder abzulehnen.

      gcloud beta compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --consumer-accept-list=ACCEPTED_ENDPOINT_URI_1,ACCEPTED_ENDPOINT_URI_2 \
    --consumer-reject-list=REJECTED_ENDPOINT_URI_1,REJECTED_ENDPOINT_URI_2

      Ersetzen Sie Folgendes:

      • ACCEPTED_ENDPOINT_URI_1 und ACCEPTED_ENDPOINT_URI_2: Die ID-basierten URIs von einem oder mehreren Private Service Connect-Endpunkten, die akzeptiert werden sollen. Wenn Sie den ID-basierten URI eines Private Service Connect-Endpunkts suchen möchten, beschreiben Sie einen verbundenen Dienstanhang und prüfen Sie das Feld endpointWithId. Alternativ können Sie den Private Service Connect-Endpunkt beschreiben und das Feld selfLinkWithId prüfen. --consumer-accept-list ist optional.

        Der ID-basierte URI des ausstehenden Private Service Connect-Endpunkts in der Beispielausgabe am Anfang dieses Abschnitts ist beispielsweise https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/RESOURCE_ID_2.

      • REJECTED_ENDPOINT_URI_1 und REJECTED_ENDPOINT_URI_2: Die ID-basierten URIs von einem oder mehreren Private Service Connect-Endpunkten, die abgelehnt werden sollen. --consumer-reject-list ist optional.

API

  1. Wenn Sie den Dienstanhang beschreiben möchten, den Sie ändern möchten, senden Sie eine Anfrage an die Methode serviceAttachments.get.

    HTTP-Methode und URL:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    Ersetzen Sie Folgendes:

    • PROJECT_ID: das Projekt für den Dienstanhang.
    • REGION: die Region für den Dienstanhang.
    • ATTACHMENT_NAME: der Name des Dienstanhangs.

    Wenn ausstehende Nutzerverbindungen vorhanden sind, werden diese mit dem Status PENDING aufgeführt. Der ID-basierte URI des Private Service Connect-Endpunkts, den Sie zum Annehmen oder Ablehnen einzelner Endpunkte verwenden können, wird im Feld endpointWithId angezeigt.

    Notieren Sie sich den Wert fingerprint, den Sie im nächsten Schritt verwenden.

  2. Wenn Sie Nutzerprojekte oder -netzwerke annehmen oder ablehnen möchten, senden Sie eine Anfrage an die Methode serviceAttachments.patch.

    Sie können Nutzer je nach Projekt oder VPC-Netzwerk akzeptieren oder ablehnen, aber Sie können nicht sowohl Projekte als auch Netzwerke in derselben Anfrage einbeziehen.

    • Wenn Sie Nutzer basierend auf dem Projekt akzeptieren oder ablehnen möchten, senden Sie die folgende Anfrage.

      HTTP-Methode und URL:

      PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

      JSON-Text der Anfrage:

      {
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2"
  ],
  "fingerprint" : "FINGERPRINT"
}

      Ersetzen Sie Folgendes:

      • PROJECT_ID: das Projekt für den Dienstanhang.
      • REGION: die Region für den Dienstanhang.
      • ATTACHMENT_NAME: der Name des Dienstanhangs.
      • ACCEPTED_PROJECT_1 und ACCEPTED_PROJECT_2: die Projekt-IDs oder ‑nummern der zu akzeptierenden Projekte. consumerAcceptList ist optional und kann ein oder mehrere Projekte enthalten.
      • LIMIT_1 und LIMIT_2: die Verbindungslimits für die Projekte. Das Verbindungslimit gibt die Anzahl der Nutzerendpunkte an, die eine Verbindung zu diesem Dienst herstellen können.
      • REJECTED_PROJECT_1 und REJECTED_PROJECT_2: die Projekt-IDs oder ‑nummern der Projekte, die abgelehnt werden sollen. consumerRejectList ist optional und kann ein oder mehrere Projekte enthalten.
      • FINGERPRINT: Der aktuelle Fingerabdruck für die Service-Anhängung, die Sie im vorherigen Schritt gefunden haben.

    • Wenn Sie Nutzer basierend auf dem VPC-Netzwerk akzeptieren oder ablehnen möchten, senden Sie die folgende Anfrage.

      HTTP-Methode und URL:

      PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

      JSON-Text der Anfrage:

      {
  "consumerAcceptLists": [
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_1/global/network/ACCEPTED_NETWORK_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_2/global/network/ACCEPTED_NETWORK_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "projects/REJECTED_PROJECT_ID_1/global/networks/REJECTED_NETWORK_1",
    "projects/REJECTED_PROJECT_ID_2/global/network/REJECTED_NETWORK_2"
  ],
  "fingerprint": "FINGERPRINT"
}

      Ersetzen Sie Folgendes:

      • ACCEPTED_PROJECT_ID_1 und ACCEPTED_PROJECT_ID_2: die IDs der übergeordneten Projekte der Netzwerke, die Sie akzeptieren möchten. consumerAcceptLists ist optional und kann ein oder mehrere Projekte enthalten.
      • ACCEPTED_NETWORK_1 und ACCEPTED_NETWORK_2: die Namen der Netzwerke, die Sie akzeptieren möchten.
      • LIMIT_1 und LIMIT_2: die Verbindungslimits für die Netzwerke. Das Verbindungslimit gibt die Anzahl der Nutzerendpunkte an, die eine Verbindung zu diesem Dienst herstellen können.
      • REJECTED_PROJECT_ID_1 und REJECTED_PROJECT_ID_2: die IDs der übergeordneten Projekte der Netzwerke, die Sie ablehnen möchten. consumerRejectLists ist optional und kann ein oder mehrere Projekte enthalten.
      • REJECTED_NETWORK_1 und REJECTED_NETWORK_2: die Namen der Netzwerke, die Sie ablehnen möchten.

    • Wenn Sie Nutzer basierend auf einzelnen Private Service Connect-Endpunkten (Vorschau) akzeptieren oder ablehnen möchten, senden Sie die folgende Anfrage.

      HTTP-Methode und URL:

      PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

      JSON-Text der Anfrage:

      {
  "consumerAcceptLists": [
    {
      "endpointUrl": "ACCEPTED_ENDPOINT_URI_1"
    },
    {
      "endpointUrl": "ACCEPTED_ENDPOINT_URI_2"
    }
  ],
  "consumerRejectLists": [
    "REJECTED_ENDPOINT_URI_1",
    "REJECTED_ENDPOINT_URI_2"
  ],
  "fingerprint": "FINGERPRINT"
}

      Ersetzen Sie Folgendes:

      • ACCEPTED_ENDPOINT_URI_1 und ACCEPTED_ENDPOINT_URI_2: die ID-basierten URIs von einem oder mehreren zu akzeptierenden Private Service Connect-Endpunkten. Wenn Sie den ID-basierten URI eines Private Service Connect-Endpunkts ermitteln möchten, beschreiben Sie einen verbundenen Dienstanhang und prüfen Sie das Feld endpointWithId oder beschreiben Sie den Endpunkt und prüfen Sie das Feld selfLinkWithId. Ein Beispiel für einen ID-basierten URI ist https://www.googleapis.com/compute/beta/projects/consumer-project/regions/us-central1/forwardingRules/1234567890.

        Diese Liste ist optional.

      • REJECTED_ENDPOINT_URI_1 und REJECTED_ENDPOINT_URI_2: Die ID-basierten URIs von einem oder mehreren Private Service Connect-Endpunkten, die abgelehnt werden sollen. Diese Liste ist optional.

Verbindungseinstellung für einen veröffentlichten Dienst ändern

Sie können zwischen der automatischen und der expliziten Nutzerzulassung für einen veröffentlichten Dienst wechseln. Die Auswirkungen dieser Änderung auf bestehende Verbindungen hängen davon ab, ob der Verbindungsabgleich für den Dienstanhang aktiviert ist.

Wenn der Verbindungsabgleich deaktiviert ist, wirkt sich das Ändern der Verbindungseinstellung nicht auf vorhandene ACCEPTED- oder REJECTED-Verbindungen aus:

  • Wenn Sie von der automatischen Annahme zur expliziten Annahme wechseln, müssen neue Verbindungen in der Annahmeliste für Nutzer enthalten sein, damit sie ACCEPTED werden.
  • Wenn Sie von der expliziten zur automatischen Annahme wechseln, werden alle bestehenden PENDING-Verbindungen automatisch ACCEPTED.

Wenn der Verbindungsabgleich aktiviert ist, werden alle vorhandenen Verbindungen anhand der neuen Verbindungseinstellung neu bewertet:

  • Wenn Sie von der automatischen zur expliziten Zulassung wechseln, werden alle vorhandenen Verbindungen von Nutzern, die nicht in der Annahmeliste für Nutzer enthalten sind, in PENDING geändert und beendet.
  • Wenn Sie von der expliziten zur automatischen Annahme wechseln, werden alle vorhandenen PENDING- und REJECTED-Verbindungen in ACCEPTED geändert.

Weitere Informationen zum Aktualisieren der Annahmeliste für Nutzer eines Dienstes finden Sie unter Anfragen für den Zugriff auf einen veröffentlichten Dienst verwalten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Veröffentlichte Dienste.

  3. Klicken Sie auf den Dienst, den Sie aktualisieren möchten, und dann auf Dienstdetails bearbeiten.

  4. Wählen Sie die neue Verbindungseinstellung aus, die für diesen Dienst verwendet werden soll.

  5. Optional: Wenn Sie auf die explizite Annahme umstellen, können Sie jetzt oder später Verbraucher auf Ihre Liste zum Zulassen setzen. Führen Sie einen der folgenden Schritte aus, um Verbraucher zu akzeptieren. Sie können diesen Schritt für jeden Verbraucher wiederholen, den Sie hinzufügen möchten.

    • Klicken Sie für Verbindungen für ausgewählte Projekte akzeptieren auf Akzeptiertes Projekt hinzufügen und geben Sie das Projekt und das Verbindungslimit ein.
    • Klicken Sie für Verbindungen für ausgewählte Netzwerke akzeptieren auf Akzeptiertes Netzwerk hinzufügen und geben Sie dann das Projekt, das VPC-Netzwerk und das Verbindungslimit ein.
    • Klicken Sie für Verbindungen für ausgewählte Endpunkte akzeptieren auf Akzeptierten Endpunkt hinzufügen und geben Sie dann die ID des Projekts und des Endpunkts ein.

  6. Klicken Sie auf Speichern.

gcloud

  • Verwenden Sie den Befehl gcloud compute service-attachments update, um die Verbindungseinstellung für den Dienstanhang von ACCEPT_AUTOMATIC in ACCEPT_MANUAL zu ändern.

    Mit --consumer-accept-list und --consumer-reject-list steuern Sie, welche Projekte sich mit Ihrem Dienst verbinden können. Sie können die Listen zum Zulassen und Ablehnen beim Ändern der Verbindungseinstellung konfigurieren oder die Listen später aktualisieren.

    gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_MANUAL \
    [ --consumer-accept-list=ACCEPTED_PROJECT_OR_NETWORK_1=LIMIT_1,ACCEPTED_PROJECT_OR_NETWORK_2=LIMIT_2] \
    [ --consumer-reject-list=REJECTED_PROJECT_OR_NETWORK_1,REJECTED_PROJECT_OR_NETWORK_2 ]

    Dabei gilt:

    • ATTACHMENT_NAME: der Name des Dienstanhangs.

    • REGION: die Region, in der sich der Dienstanhang befindet.

    • ACCEPTED_PROJECT_OR_NETWORK_1 und ACCEPTED_PROJECT_OR_NETWORK_2: die Projekt-IDs, Projektnamen oder Netzwerk-URLs, die akzeptiert werden sollen. --consumer-accept-list ist optional und kann ein oder mehrere Projekte oder Netzwerke enthalten, jedoch nicht eine Kombination aus beiden.

    • LIMIT_1 und LIMIT_2: die Verbindungslimits für die Projekte. Das Verbindungslimit gibt die Anzahl der Nutzerendpunkte an, die eine Verbindung zu diesem Dienst herstellen können.

    • REJECTED_PROJECT_OR_NETWORK_1 und REJECTED_PROJECT_OR_NETWORK_2: die Projekt-IDs, Projektnamen oder Netzwerk-URLs, die abgelehnt werden sollen. --consumer-reject-list ist optional und kann ein oder mehrere Projekte oder Netzwerke enthalten, jedoch nicht eine Mischung aus beiden Typen.

  • Verwenden Sie den folgenden Befehl, um die Verbindungseinstellung für den Dienstanhang von ACCEPT_MANUAL in ACCEPT_AUTOMATIC zu ändern.

    Wenn Sie Werte in der Zulassungs- oder Ablehnungsliste haben, legen Sie diese als leer fest, wenn Sie die Verbindungseinstellung ändern ("").

    gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_AUTOMATIC \
    --consumer-accept-list="" \
    --consumer-reject-list=""

    Dabei gilt:

    • ATTACHMENT_NAME: der Name des Dienstanhangs.

    • REGION: die Region, in der sich der Dienstanhang befindet.

API

  1. Wenn Sie die fingerprint der Dienstanhänge abrufen möchten, senden Sie eine Anfrage an die Methode serviceAttachments.get.

    HTTP-Methode und URL:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    Ersetzen Sie Folgendes:

    • PROJECT_ID: das Projekt für den Dienstanhang.
    • REGION: die Region für den Dienstanhang.
    • ATTACHMENT_NAME: der Name des Dienstanhangs.

    Notieren Sie sich den Wert fingerprint, den Sie im nächsten Schritt verwenden.

  2. Wenn Sie die Verbindungseinstellung für den Dienstanhang ändern möchten, senden Sie eine Anfrage an die Methode serviceAttachments.patch.

    • Wenn Sie die Verbindungseinstellung von ACCEPT_AUTOMATIC in ACCEPT_MANUAL ändern und Listen der Nutzer akzeptieren und ablehnen möchten, die auf dem Projekt basieren, stellen Sie folgende Anfrage:

      HTTP-Methode und URL:

      PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

      JSON-Text der Anfrage:

      {
  "connectionPreference": "ACCEPT_MANUAL",
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1"
      "connectionLimit": "LIMIT_1",
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2"
      "connectionLimit": "LIMIT_2",
    }
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2",
  ],
  "fingerprint" : "FINGERPRINT"
}

      Ersetzen Sie Folgendes:

      • PROJECT_ID: das Projekt für den Dienstanhang.
      • REGION: die Region für den Dienstanhang.
      • ATTACHMENT_NAME: der Name des Dienstanhangs.
      • ACCEPTED_PROJECT_1 und ACCEPTED_PROJECT_2: die Projekt-IDs oder ‑nummern der zu akzeptierenden Projekte. consumerAcceptList ist optional und kann ein oder mehrere Projekte enthalten.
      • LIMIT_1 und LIMIT_2: die Verbindungslimits für die Projekte. Das Verbindungslimit gibt die Anzahl der Nutzerendpunkte an, die eine Verbindung zu diesem Dienst herstellen können.
      • REJECTED_PROJECT_1 und REJECTED_PROJECT_2: die Projekt-IDs oder ‑nummern der Projekte, die abgelehnt werden sollen. consumerRejectList ist optional und kann ein oder mehrere Projekte enthalten.
      • FINGERPRINT: Der aktuelle Fingerabdruck für den Dienstanhang, den Sie in Schritt 1 gefunden haben.

    • Wenn Sie die Verbindungseinstellung von ACCEPT_AUTOMATIC in ACCEPT_MANUAL ändern und die Listen zum Zulassen und Ablehnen von Nutzern basierend auf dem VPC-Netzwerk aktualisieren möchten, stellen Sie die folgende Anfrage.

      HTTP-Methode und URL:

      PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

      JSON-Text der Anfrage:

      {
  "connectionPreference": "ACCEPT_MANUAL",
  "consumerAcceptLists": [
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_1/global/networks/ACCEPTED_NETWORK_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_2/global/networks/ACCEPTED_NETWORK_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "projects/REJECTED_PROJECT_ID_1/global/networks/REJECTED_NETWORK_1",
    "projects/REJECTED_PROJECT_ID_2/global/network/REJECTED_NETWORK_2"
  ],
  "fingerprint" : "FINGERPRINT"
}

      Ersetzen Sie Folgendes:

      • ACCEPTED_PROJECT_ID_1 und ACCEPTED_PROJECT_ID_2: die IDs der übergeordneten Projekte der Netzwerke, die Sie akzeptieren möchten. consumerAcceptLists ist optional und kann ein oder mehrere Projekte enthalten.
      • ACCEPTED_NETWORK_1 und ACCEPTED_NETWORK_2: die Namen der Netzwerke, die Sie akzeptieren möchten.
      • LIMIT_1 und LIMIT_2: die Verbindungslimits für die Netzwerke. Das Verbindungslimit gibt die Anzahl der Nutzerendpunkte an, die eine Verbindung zu diesem Dienst herstellen können.
      • REJECTED_PROJECT_ID_1 und REJECTED_PROJECT_ID_2: die IDs der übergeordneten Projekte der Netzwerke, die Sie ablehnen möchten. consumerRejectLists ist optional und kann ein oder mehrere Projekte enthalten.
      • REJECTED_NETWORK_1 und REJECTED_NETWORK_2: die Namen der Netzwerke, die Sie ablehnen möchten.
      • FINGERPRINT: Der aktuelle Fingerabdruck für den Dienstanhang, den Sie in Schritt 1 gefunden haben.

  • Wenn Sie die Verbindungseinstellung für den Dienstanhang von ACCEPT_MANUAL in ACCEPT_AUTOMATIC ändern möchten, stellen Sie die folgende Anfrage.

    Wenn die Felder consumerAcceptLists oder consumerRejectLists Verbraucher enthalten, legen Sie diese als leer fest, wenn Sie die Verbindungseinstellung in ACCEPT_AUTOMATIC ändern.

    HTTP-Methode und URL:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    JSON-Text der Anfrage:

    {
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "consumerAcceptLists": [ ],
  "consumerRejectLists": [ ],
  "fingerprint" : "FINGERPRINT"
}

    Ersetzen Sie Folgendes:

    • PROJECT_ID: das Projekt für den Dienstanhang.

    • REGION: die Region für den Dienstanhang.

    • ATTACHMENT_NAME: der Name des Dienstanhangs.

    • FINGERPRINT: Der aktuelle Fingerabdruck für den Dienstanhang, den Sie in Schritt 1 gefunden haben.

Verbindungsabgleich konfigurieren

Sie können den Verbindungsabgleich für vorhandene Dienstanhänge aktivieren oder deaktivieren.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Veröffentlichte Dienste.

  3. Klicken Sie auf den Dienst, den Sie aktualisieren möchten, und dann auf Dienstdetails bearbeiten.

  4. Klicken Sie das Kästchen Verbindungsabgleich aktivieren an oder entfernen Sie das Häkchen und klicken Sie dann auf Speichern.

gcloud

  • Verwenden Sie den service-attachments update-Befehl, um den Verbindungsabgleich zu aktivieren.

    gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --reconcile-connections

    Ersetzen Sie Folgendes:

    • ATTACHMENT_NAME: der Name des Dienstanhangs.
    • REGION: die Region des Dienstanhangs.

  • Verwenden Sie den folgenden Befehl, um den Verbindungsabgleich zu deaktivieren:

    gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --no-reconcile-connections

API

  1. Wenn Sie die fingerprint der Dienstanhänge abrufen möchten, senden Sie eine Anfrage an die Methode serviceAttachments.get.

    HTTP-Methode und URL:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    Ersetzen Sie Folgendes:

    • PROJECT_ID: das Projekt für den Dienstanhang.
    • REGION: die Region für den Dienstanhang.
    • ATTACHMENT_NAME: der Name des Dienstanhangs.

    Notieren Sie sich den Wert fingerprint, den Sie im nächsten Schritt verwenden.

  2. Senden Sie eine Anfrage an die Methode serviceAttachments.patch.

    HTTP-Methode und URL:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    JSON-Text der Anfrage:

    {
  "reconcileConnections": RECONCILIATION,
  "fingerprint": "FINGERPRINT"
}

    Ersetzen Sie Folgendes:

    • PROJECT_ID: das Projekt für den Dienstanhang.
    • REGION: die Region für den Dienstanhang.
    • ATTACHMENT_NAME: der Name des Dienstanhangs.
    • RECONCILIATION: Gibt an, ob die Abstimmung von Verbindungen aktiviert werden soll. Optionen sind true oder false.
    • FINGERPRINT: Der aktuelle Fingerabdruck für die Service-Anhängung, die Sie im vorherigen Schritt gefunden haben.

Subnetze zu einem veröffentlichten Dienst hinzufügen oder daraus entfernen

Sie können einen veröffentlichten Dienst bearbeiten, um Private Service Connect-Subnetze hinzuzufügen.

Möglicherweise müssen Sie mehr IP-Adressen für einen vorhandenen Dienst verfügbar machen. Führen Sie einen der folgenden Schritte aus, um weitere Adressen hinzuzufügen:

Ebenso können Sie einen veröffentlichten Dienst bearbeiten, um Private Service Connect-Subnetze daraus zu entfernen. Wenn jedoch eine beliebige IP-Adresse des Subnetzes verwendet wird, um SNAT für Private Service Connect auszuführen, schlägt das Entfernen des Subnetzes fehl.

Wenn Sie die Subnetzkonfiguration ändern, aktualisieren Sie Ihre Firewallregeln so, dass Anfragen von den neuen Subnetzen die Backend-VMs erreichen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Veröffentlichte Dienste.

  3. Klicken Sie auf den Dienst, den Sie aktualisieren möchten, und dann auf Dienstdetails bearbeiten.

  4. Ändern Sie die für diesen Dienst verwendeten Subnetze.

    Wenn Sie ein neues Subnetz hinzufügen möchten, können Sie eines erstellen:

    1. Klicken Sie auf Neues Subnetz reservieren.
    2. Geben Sie einen Namen und optional eine Beschreibung für das Subnetz ein.
    3. Wählen Sie eine Region für das Subnetz aus.
    4. Geben Sie den IP-Bereich ein, der für das Subnetz verwendet werden soll, und klicken Sie auf Hinzufügen.

  5. Klicken Sie auf Speichern.

gcloud

Verwenden Sie den Befehl gcloud compute service-attachments update, um die für diesen Dienstanhang verwendeten Private Service Connect-Subnetze zu aktualisieren.

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --nat-subnets=PSC_SUBNET_LIST

Ersetzen Sie Folgendes:

  • ATTACHMENT_NAME: der Name des Dienstanhangs.

  • REGION: die Region, in der sich der Dienstanhang befindet.

  • PSC_SUBNET_LIST: eine durch Kommas getrennte Liste mit einem oder mehreren Subnetzen, die mit diesem Dienstanhang verwendet werden sollen.

API

  1. Wenn Sie die fingerprint der Dienstanhänge abrufen möchten, senden Sie eine Anfrage an die Methode serviceAttachments.get.

    HTTP-Methode und URL:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    Ersetzen Sie Folgendes:

    • PROJECT_ID: das Projekt für den Dienstanhang.
    • REGION: die Region für den Dienstanhang.
    • ATTACHMENT_NAME: der Name des Dienstanhangs.

    Notieren Sie sich den Wert fingerprint, den Sie im nächsten Schritt verwenden.

  2. Wenn Sie die für diesen Dienstanhang verwendeten Private Service Connect-Subnetze aktualisieren möchten, senden Sie eine Anfrage an die serviceAttachments.patch-Methode.

    HTTP-Methode und URL:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    JSON-Text der Anfrage:

    {
  "natSubnets": [
  "PSC_SUBNET1_URI",
  "PSC_SUBNET2_URI"
  ],
  "fingerprint": "FINGERPRINT"
}

    Ersetzen Sie Folgendes:

    • PROJECT_ID: das Projekt für den Dienstanhang.

    • REGION: die Region für den Dienstanhang.

    • ATTACHMENT_NAME: der Name des Dienstanhangs.

    • PSC_SUBNET1_URI und PSC_SUBNET2_URI: URI der Subnetze, die Sie mit diesem Dienstanhang verwenden möchten. Sie können eine oder mehrere Subnetze angeben.

    • FINGERPRINT: Der aktuelle Fingerabdruck für die Service-Anhängung, die Sie im vorherigen Schritt gefunden haben.

Limit für weitergegebene Verbindungen eines veröffentlichten Dienstes aktualisieren

Sie können das Limit für weitergegebene Verbindungen eines Dienstanhangs aktualisieren. Wenn Sie das Limit erhöhen, wird in Google Cloud automatisch geprüft, ob ausstehende weitergeleitete Verbindungen erstellt werden können. Wenn Sie das Limit verringern, sind vorhandene weitergeleitete Verbindungen davon nicht betroffen. Versuche, gelöschte oder abgelehnte Verbindungen wiederherzustellen, werden jedoch möglicherweise blockiert, wenn das neue Limit erreicht wird.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Veröffentlichte Dienste.

  3. Klicken Sie auf den Dienst, den Sie aktualisieren möchten, und dann auf Dienstdetails bearbeiten.

  4. Klicken Sie auf Erweiterte Konfiguration.

  5. Geben Sie das neue Limit für von NCC weitergegebene Verbindungen ein.

gcloud

Führen Sie den Befehl gcloud compute service-attachments update aus.

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --propagated-connection-limit=LIMIT

Ersetzen Sie Folgendes:

  • ATTACHMENT_NAME: der Name des Dienstanhangs.

  • REGION: die Region, in der sich der Dienstanhang befindet.

  • LIMIT: Der neue Wert für das propagierte Verbindungslimit.

API

  1. Wenn Sie die fingerprint der Dienstanhänge abrufen möchten, senden Sie eine Anfrage an die Methode serviceAttachments.get.

    HTTP-Methode und URL:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    Ersetzen Sie Folgendes:

    • PROJECT_ID: das Projekt für den Dienstanhang.
    • REGION: die Region für den Dienstanhang.
    • ATTACHMENT_NAME: der Name des Dienstanhangs.

    Notieren Sie sich den Wert fingerprint, den Sie im nächsten Schritt verwenden.

  2. Senden Sie eine Anfrage an die Methode serviceAttachments.patch.

    HTTP-Methode und URL:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    JSON-Text der Anfrage:

    {
  "propagatedConnectionLimit": LIMIT,
  "fingerprint": "FINGERPRINT"
}

    Ersetzen Sie Folgendes:

    • PROJECT_ID: das Projekt für den Dienstanhang.

    • REGION: die Region für den Dienstanhang.

    • ATTACHMENT_NAME: der Name des Dienstanhangs.

    • LIMIT: Der neue Wert für das propagierte Verbindungslimit.

    • FINGERPRINT: Der aktuelle Fingerabdruck für die Service-Anhängung, die Sie im vorherigen Schritt gefunden haben.