Veröffentlichte Dienste verwalten

Auf dieser Seite wird beschrieben, wie Sie Anfragen für den Zugriff auf einen veröffentlichten Dienst verwalten, die Verbindungseinstellung für einen veröffentlichten Dienst ändern und den Verbindungsabgleich konfigurieren.

Jeder Dienstanhang hat eine Verbindungseinstellung, die angibt, ob Verbindungsanfragen automatisch akzeptiert werden. Sie haben drei Möglichkeiten zur Auswahl:

  • Alle Verbindungen automatisch akzeptieren. Der Dienstanhang akzeptiert automatisch alle eingehenden Verbindungsanfragen von jedem Nutzer. Die automatische Annahme kann durch eine Organisationsrichtlinie überschrieben werden, die eingehende Verbindungen blockiert.
  • Verbindungen für ausgewählte Netzwerke akzeptieren. Der Dienstanhang akzeptiert nur eingehende Verbindungsanfragen, wenn das Nutzer-VPC-Netzwerk auf der Nutzerannahmeliste des Dienstanhangs steht.
  • Verbindungen für ausgewählte Projekte akzeptieren Der Dienstanhang akzeptiert nur eingehende Verbindungsanfragen, wenn das Nutzerprojekt auf der Nutzerannahmeliste des Dienstanhangs steht.

Wir empfehlen, Verbindungen für ausgewählte Projekte oder Netzwerke zu akzeptieren. Die automatische Annahme aller Verbindungen ist möglicherweise sinnvoll, wenn Sie den Nutzerzugriff auf andere Weise steuern und einen strikten Zugriff auf Ihren Dienst ermöglichen möchten.

Weitere Informationen zum Veröffentlichen von Diensten finden Sie unter Dienste veröffentlichen.

Rollen

Die folgende IAM-Rolle bietet die Berechtigungen, die zum Ausführen der Aufgaben in dieser Anleitung erforderlich sind.

Anfragen für den Zugriff auf einen veröffentlichten Dienst verwalten

Wenn Sie einen Dienst mit expliziter Genehmigung veröffentlicht haben, können Sie Verbindungsanfragen von Nutzerprojekten oder VPC-Netzwerken akzeptieren oder ablehnen.

Wenn Sie ein Projekt oder Netzwerk sowohl in die Zulassungsliste als auch auf die Ablehnungsliste setzen, werden Verbindungsanfragen von diesem Projekt oder Netzwerk abgelehnt.

Nachdem eine Nutzer-Endpunktverbindung für einen Dienst akzeptiert wurde, kann der Endpunkt eine Verbindung zum Dienst herstellen, bis der Dienstanhang gelöscht wird. Dies gilt unabhängig davon, ob der Nutzer explizit akzeptiert wurde oder weil der Nutzerendpunkt eine Verbindung hergestellt hat, als die Verbindungseinstellung so eingestellt war, dass sie Verbindungen automatisch akzeptiert.

  • Wenn Sie ein Projekt oder Netzwerk aus der Zulassungsliste entfernen, müssen Sie neue Nutzerendpunkte in diesem Projekt akzeptieren, bevor der Endpunkt eine Verbindung herstellen kann. Alle zuvor akzeptierten Nutzerendpunkte in diesem Projekt oder Netzwerk können jedoch weiterhin eine Verbindung zum Dienst herstellen.

  • Wenn Sie der Ablehnungsliste ein Projekt oder Netzwerk hinzufügen, werden Verbindungen von neuen Nutzerendpunkten in diesem Projekt oder Netzwerk abgelehnt und können keine Verbindung zum Dienst herstellen. Alle zuvor akzeptierten Nutzerendpunkte in diesem Projekt oder Netzwerk können jedoch weiterhin eine Verbindung zum Dienst herstellen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Veröffentlichte Dienste.

  3. Klicken Sie auf den Dienst, den Sie verwalten möchten.

  4. Im Abschnitt Verbundene Projekte werden die Projekte aufgelistet, die versucht haben, eine Verbindung zu diesem Dienst herzustellen. Klicken Sie auf das Kästchen neben einem oder mehreren Projekten und klicken Sie auf Projekt akzeptieren oder Projekt ablehnen.

gcloud

  1. Verwenden Sie den Befehl service-attachments describe, um den Dienstanhang zu beschreiben, den Sie ändern möchten.

    gcloud compute service-attachments describe \
    ATTACHMENT_NAME --region=REGION

    Die Ausgabe sieht etwa so aus wie im folgenden Beispiel. Wenn ausstehende Nutzerverbindungen vorhanden sind, werden diese mit dem Status PENDING aufgeführt.

    In dieser Beispielausgabe befindet sich das Projekt CONSUMER_PROJECT_1 in der Liste der Annahmen, sodass ENDPOINT_1 akzeptiert wird und eine Verbindung zum Dienst herstellen kann. Das Projekt CONSUMER_PROJECT_2 ist nicht in der Liste der Annahmen enthalten, sodass ENDPOINT_2 aussteht. Nachdem CONSUMER_PROJECT_2 der Akzeptanzliste hinzugefügt wurde, ändert sich der Status von ENDPOINT_2 in ACCEPTED und der Endpunkt kann eine Verbindung zum Dienst herstellen.

    connectedEndpoints:
- endpoint: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_1/regions/REGION_1/forwardingRules/ENDPOINT_1
  pscConnectionId: 'ENDPOINT_1_ID'
  status: ACCEPTED
- endpoint: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/ENDPOINT_2
  pscConnectionId: 'ENDPOINT_2_ID'
  status: PENDING
connectionPreference: ACCEPT_MANUAL
consumerAcceptLists:
- connectionLimit: LIMIT_1
  projectIdOrNum: CONSUMER_PROJECT_1
creationTimestamp: 'TIMESTAMP'
description: 'DESCRIPTION'
enableProxyProtocol: false
fingerprint: FINGERPRINT
id: 'ID'
kind: compute#serviceAttachment
name: NAME
natSubnets:
- https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/subnetworks/PSC_SUBNET
pscServiceAttachmentId:
  high: 'PSC_ATTACH_ID_HIGH'
  low: 'PSC_ATTACH_ID_LOW'
region: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION
selfLink: https://www.googleapis.com/compute/v1/projects/projects/PRODUCER_PROJECT/regions/REGION/serviceAttachments/ATTACHMENT_NAME
targetService: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/forwardingRules/PRODUCER_FWD_RULE

  2. Verwenden Sie den Befehl service-attachments update, um Nutzerprojekte oder ‑netzwerke anzunehmen oder abzulehnen.

    Sie können --consumer-accept-list oder --consumer-reject-list oder beides angeben. Sie können mehrere Werte in --consumer-accept-list und --consumer-reject-list angeben. Sie können VPC-Projekte oder Netzwerke hinzufügen, aber nicht eine Mischung aus Projekten und Netzwerken.

    gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --consumer-accept-list=ACCEPTED_PROJECT_OR_NETWORK_1=LIMIT_1,ACCEPTED_PROJECT_OR_NETWORK_2=LIMIT_2 \
    --consumer-reject-list=REJECTED_PROJECT_OR_NETWORK_1,REJECTED_PROJECT_OR_NETWORK_2

    Ersetzen Sie Folgendes:

    • ATTACHMENT_NAME: der Name des Dienstanhangs.

    • REGION: die Region, in der sich der Dienstanhang befindet.

    • ACCEPTED_PROJECT_OR_NETWORK_1 und ACCEPTED_PROJECT_OR_NETWORK_2: die Projekt-IDs, Projektnamen oder Netzwerk-URLs, die akzeptiert werden sollen. --consumer-accept-list ist optional und kann ein oder mehrere Projekte oder Netzwerke enthalten, jedoch nicht eine Kombination aus beiden.

    • LIMIT_1 und LIMIT_2: die Verbindungslimits für die Projekte oder Netzwerke. Das Verbindungslimit gibt die Anzahl der Nutzerendpunkte an, die eine Verbindung zu diesem Dienst herstellen können.

    • REJECTED_PROJECT_OR_NETWORK_1 und REJECTED_PROJECT_OR_NETWORK_2: die Projekt-IDs, Projektnamen oder Netzwerk-URLs, die abgelehnt werden sollen. --consumer-reject-list ist optional und kann ein oder mehrere Projekte oder Netzwerke enthalten, jedoch nicht eine Kombination aus beiden Typen.

API

  1. Wenn Sie den Dienstanhang beschreiben möchten, den Sie ändern möchten, senden Sie eine Anfrage an die Methode serviceAttachments.get.

    HTTP-Methode und URL:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    Ersetzen Sie Folgendes:

    • PROJECT_ID: das Projekt für den Dienstanhang.
    • REGION: die Region für den Dienstanhang.
    • ATTACHMENT_NAME: der Name des Dienstanhangs.

    Wenn ausstehende Nutzerverbindungen vorhanden sind, werden diese mit dem Status PENDING aufgeführt.

    Notieren Sie sich den Wert für fingerprint, den Sie im nächsten Schritt verwenden.

  2. Wenn Sie Nutzerprojekte oder ‑netzwerke annehmen oder ablehnen möchten, senden Sie eine Anfrage an die serviceAttachments.patch-Methode.

    Sie können Nutzer je nach Projekt oder VPC-Netzwerk akzeptieren oder ablehnen, aber Sie können nicht sowohl Projekte als auch Netzwerke in derselben Anfrage einbeziehen.

    • Wenn Sie Nutzer basierend auf dem Projekt akzeptieren oder ablehnen möchten, senden Sie die folgende Anfrage:

      HTTP-Methode und URL:

      PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

      JSON-Text anfordern:

      {
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2"
  ],
  "fingerprint" : "FINGERPRINT"
}

      Ersetzen Sie Folgendes:

      • PROJECT_ID: das Projekt für den Dienstanhang.
      • REGION: die Region für den Dienstanhang.
      • ATTACHMENT_NAME: der Name des Dienstanhangs.
      • ACCEPTED_PROJECT_1 und ACCEPTED_PROJECT_2: die Projekt-IDs oder ‑nummern der zu akzeptierenden Projekte. consumerAcceptList ist optional und kann ein oder mehrere Projekte enthalten.
      • LIMIT_1 und LIMIT_2: die Verbindungslimits für die Projekte. Das Verbindungslimit gibt die Anzahl der Nutzerendpunkte an, die eine Verbindung zu diesem Dienst herstellen können.
      • REJECTED_PROJECT_1 und REJECTED_PROJECT_2: die Projekt-IDs oder ‑nummern der Projekte, die abgelehnt werden sollen. consumerRejectList ist optional und kann ein oder mehrere Projekte enthalten.
      • FINGERPRINT: den aktuellen Fingerabdruck für den Dienstanhang, den Sie im vorherigen Schritt gefunden haben.

    • Wenn Sie Nutzer basierend auf dem VPC-Netzwerk akzeptieren oder ablehnen möchten, senden Sie die folgende Anfrage:

      HTTP-Methode und URL:

      PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

      JSON-Text anfordern:

      {
  "consumerAcceptLists": [
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_1/global/network/ACCEPTED_NETWORK_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_2/global/network/ACCEPTED_NETWORK_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "projects/REJECTED_PROJECT_ID_1/global/networks/REJECTED_NETWORK_1",
    "projects/REJECTED_PROJECT_ID_2/global/network/REJECTED_NETWORK_2"
  ],
  "fingerprint": "FINGERPRINT"
}

      Ersetzen Sie Folgendes:

      • ACCEPTED_PROJECT_ID_1 und ACCEPTED_PROJECT_ID_2: die IDs der übergeordneten Projekte der Netzwerke, die Sie akzeptieren möchten. consumerAcceptLists ist optional und kann ein oder mehrere Projekte enthalten.
      • ACCEPTED_NETWORK_1 und ACCEPTED_NETWORK_2: die Namen der Netzwerke, die Sie akzeptieren möchten.
      • LIMIT_1 und LIMIT_2: die Verbindungslimits für die Netzwerke. Das Verbindungslimit gibt die Anzahl der Nutzerendpunkte an, die eine Verbindung zu diesem Dienst herstellen können.
      • REJECTED_PROJECT_ID_1 und REJECTED_PROJECT_ID_2: die IDs der übergeordneten Projekte der Netzwerke, die Sie ablehnen möchten. consumerRejectLists ist optional und kann ein oder mehrere Projekte enthalten.
      • REJECTED_NETWORK_1 und REJECTED_NETWORK_2: die Namen der Netzwerke, die Sie ablehnen möchten.

Verbindungseinstellung für einen veröffentlichten Dienst ändern

Sie können zwischen der automatischen und der expliziten Projektzulassung für einen veröffentlichten Dienst wechseln.

Eine Änderung von der automatischen Zulassung zur expliziten Zulassung wirkt sich nicht auf Nutzerendpunkte aus, die vor dieser Änderung mit dem Dienst verbunden wurden. Vorhandene Nutzerendpunkte können bis zum Löschen des Dienstanhangs eine Verbindung zum veröffentlichten Dienst herstellen. Neue Nutzerendpunkte müssen akzeptiert werden, bevor sie eine Verbindung zum Dienst herstellen können. Weitere Informationen finden Sie unter Anfragen für den Zugriff auf einen veröffentlichten Dienst verwalten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Veröffentlichte Dienste.

  3. Klicken Sie auf den Dienst, den Sie aktualisieren möchten, und dann auf Dienstdetails bearbeiten.

  4. Wählen Sie die gewünschte Verbindungseinstellung aus:

    • Verbindungen für ausgewählte Projekte akzeptieren
    • Verbindungen für ausgewählte Netzwerke akzeptieren
    • Alle Verbindungen automatisch akzeptieren

  5. Optional: Wenn Sie zu Verbindungen für ausgewählte Projekte akzeptieren wechseln, können Sie Details zu den Projekten, die Sie zulassen möchten, angeben oder später hinzufügen.

    1. Klicken Sie auf Akzeptiertes Projekt hinzufügen.
    2. Geben Sie das Projekt und das Verbindungslimit ein.

  6. Optional: Wenn Sie zu Verbindungen für ausgewählte Netzwerke akzeptieren wechseln, können Sie Details zu den Netzwerken angeben, die Sie zulassen möchten, oder diese später hinzufügen.

    1. Klicken Sie auf Akzeptiertes Netzwerk hinzufügen.
    2. Geben Sie das Projekt, das Netzwerk und das Verbindungslimit ein.

  7. Klicken Sie auf Speichern.

gcloud

  • Verwenden Sie den Befehl service-attachments update, um die Verbindungseinstellung für den Dienstanhang von ACCEPT_AUTOMATIC in ACCEPT_MANUAL zu ändern.

    Mit --consumer-accept-list und --consumer-reject-list steuern Sie, welche Projekte sich mit Ihrem Dienst verbinden können. Sie können die Listen zum Zulassen und Ablehnen beim Ändern der Verbindungseinstellung konfigurieren oder die Listen später aktualisieren.

    gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_MANUAL \
    [ --consumer-accept-list=ACCEPTED_PROJECT_OR_NETWORK_1=LIMIT_1,ACCEPTED_PROJECT_OR_NETWORK_2=LIMIT_2] \
    [ --consumer-reject-list=REJECTED_PROJECT_OR_NETWORK_1,REJECTED_PROJECT_OR_NETWORK_2 ]

    Dabei gilt:

    • ATTACHMENT_NAME: der Name des Dienstanhangs.

    • REGION: die Region, in der sich der Dienstanhang befindet.

    • ACCEPTED_PROJECT_OR_NETWORK_1 und ACCEPTED_PROJECT_OR_NETWORK_2: die Projekt-IDs, Projektnamen oder Netzwerk-URLs, die akzeptiert werden sollen. --consumer-accept-list ist optional und kann ein oder mehrere Projekte oder Netzwerke enthalten, jedoch nicht eine Kombination aus beiden.

    • LIMIT_1 und LIMIT_2: die Verbindungslimits für die Projekte. Das Verbindungslimit gibt die Anzahl der Nutzerendpunkte an, die eine Verbindung zu diesem Dienst herstellen können.

    • REJECTED_PROJECT_OR_NETWORK_1 und REJECTED_PROJECT_OR_NETWORK_2: die Projekt-IDs, Projektnamen oder Netzwerk-URLs, die abgelehnt werden sollen. --consumer-reject-list ist optional und kann ein oder mehrere Projekte oder Netzwerke enthalten, jedoch nicht eine Mischung aus beiden Typen.

  • Verwenden Sie den folgenden Befehl, um die Verbindungseinstellung für den Dienstanhang von ACCEPT_MANUAL in ACCEPT_AUTOMATIC zu ändern.

    Wenn Sie Werte in der Zulassungs- oder Ablehnungsliste haben, legen Sie diese als leer fest, wenn Sie die Verbindungseinstellung ändern ("").

    gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_AUTOMATIC \
    --consumer-accept-list="" \
    --consumer-reject-list=""

    Dabei gilt:

    • ATTACHMENT_NAME: der Name des Dienstanhangs.

    • REGION: die Region, in der sich der Dienstanhang befindet.

API

  1. Wenn Sie die fingerprint des Dienst-Anhangs abrufen möchten, senden Sie eine Anfrage an die Methode serviceAttachments.get.

    HTTP-Methode und URL:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    Ersetzen Sie Folgendes:

    • PROJECT_ID: das Projekt für den Dienstanhang.
    • REGION: die Region für den Dienstanhang.
    • ATTACHMENT_NAME: der Name des Dienstanhangs.

    Notieren Sie sich den Wert für fingerprint, den Sie im nächsten Schritt verwenden.

  2. Wenn Sie die Verbindungseinstellung für den Dienstanhang ändern möchten, senden Sie eine Anfrage an die Methode serviceAttachments.patch.

    • Wenn Sie die Verbindungseinstellung von ACCEPT_AUTOMATIC in ACCEPT_MANUAL ändern und Listen der Nutzer akzeptieren und ablehnen möchten, die auf dem Projekt basieren, stellen Sie folgende Anfrage:

      HTTP-Methode und URL:

      PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

      JSON-Text anfordern:

      {
  "connectionPreference": "ACCEPT_MANUAL",
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1"
      "connectionLimit": "LIMIT_1",
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2"
      "connectionLimit": "LIMIT_2",
    }
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2",
  ],
  "fingerprint" : "FINGERPRINT"
}

      Ersetzen Sie Folgendes:

      • PROJECT_ID: das Projekt für den Dienstanhang.
      • REGION: die Region für den Dienstanhang.
      • ATTACHMENT_NAME: der Name des Dienstanhangs.
      • ACCEPTED_PROJECT_1 und ACCEPTED_PROJECT_2: die Projekt-IDs oder ‑nummern der zu akzeptierenden Projekte. consumerAcceptList ist optional und kann ein oder mehrere Projekte enthalten.
      • LIMIT_1 und LIMIT_2: die Verbindungslimits für die Projekte. Das Verbindungslimit gibt die Anzahl der Nutzerendpunkte an, die eine Verbindung zu diesem Dienst herstellen können.
      • REJECTED_PROJECT_1 und REJECTED_PROJECT_2: die Projekt-IDs oder ‑nummern der Projekte, die abgelehnt werden sollen. consumerRejectList ist optional und kann ein oder mehrere Projekte enthalten.
      • FINGERPRINT: der aktuelle Fingerabdruck für den Dienstanhang, den Sie in Schritt 1 gefunden haben.

    • Wenn Sie die Verbindungseinstellung von ACCEPT_AUTOMATIC in ACCEPT_MANUAL ändern und die Listen der Nutzer zum Zulassen und Ablehnen basierend auf dem VPC-Netzwerk aktualisieren möchten, senden Sie die folgende Anfrage:

      HTTP-Methode und URL:

      PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

      JSON-Text anfordern:

      {
  "connectionPreference": "ACCEPT_MANUAL",
  "consumerAcceptLists": [
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_1/global/networks/ACCEPTED_NETWORK_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_2/global/networks/ACCEPTED_NETWORK_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "projects/REJECTED_PROJECT_ID_1/global/networks/REJECTED_NETWORK_1",
    "projects/REJECTED_PROJECT_ID_2/global/network/REJECTED_NETWORK_2"
  ],
  "fingerprint" : "FINGERPRINT"
}

      Ersetzen Sie Folgendes:

      • ACCEPTED_PROJECT_ID_1 und ACCEPTED_PROJECT_ID_2: die IDs der übergeordneten Projekte der Netzwerke, die Sie akzeptieren möchten. consumerAcceptLists ist optional und kann ein oder mehrere Projekte enthalten.
      • ACCEPTED_NETWORK_1 und ACCEPTED_NETWORK_2: die Namen der Netzwerke, die Sie akzeptieren möchten.
      • LIMIT_1 und LIMIT_2: die Verbindungslimits für die Netzwerke. Das Verbindungslimit gibt die Anzahl der Nutzerendpunkte an, die eine Verbindung zu diesem Dienst herstellen können.
      • REJECTED_PROJECT_ID_1 und REJECTED_PROJECT_ID_2: die IDs der übergeordneten Projekte der Netzwerke, die Sie ablehnen möchten. consumerRejectLists ist optional und kann ein oder mehrere Projekte enthalten.
      • REJECTED_NETWORK_1 und REJECTED_NETWORK_2: die Namen der Netzwerke, die Sie ablehnen möchten.
      • FINGERPRINT: Der aktuelle Fingerabdruck für den Dienstanhang, den Sie in Schritt 1 gefunden haben.

  • Wenn Sie die Verbindungseinstellung für den Dienstanhang von ACCEPT_MANUAL in ACCEPT_AUTOMATIC ändern möchten, stellen Sie die folgende Anfrage.

    Wenn die Felder consumerAcceptLists oder consumerRejectLists Verbraucher enthalten, legen Sie diese als leer fest, wenn Sie die Verbindungseinstellung in ACCEPT_AUTOMATIC ändern.

    HTTP-Methode und URL:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    JSON-Text anfordern:

    {
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "consumerAcceptLists": [ ],
  "consumerRejectLists": [ ],
  "fingerprint" : "FINGERPRINT"
}

    Ersetzen Sie Folgendes:

    • PROJECT_ID: das Projekt für den Dienstanhang.

    • REGION: die Region für den Dienstanhang.

    • ATTACHMENT_NAME: der Name des Dienstanhangs.

    • FINGERPRINT: Der aktuelle Fingerabdruck für den Dienstanhang, den Sie in Schritt 1 gefunden haben.

Verbindungsabgleich konfigurieren

Sie können den Verbindungsabgleich für vorhandene Dienstanhänge aktivieren oder deaktivieren.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Veröffentlichte Dienste.

  3. Klicken Sie auf den Dienst, den Sie aktualisieren möchten, und dann auf Dienstdetails bearbeiten.

  4. Klicken Sie das Kästchen Verbindungsabgleich aktivieren an oder entfernen Sie das Häkchen und klicken Sie dann auf Speichern.

gcloud

  • Verwenden Sie den Befehl service-attachments update, um den Verbindungsabgleich zu aktivieren.

    gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --reconcile-connections

    Ersetzen Sie Folgendes:

    • ATTACHMENT_NAME: der Name des Dienstanhangs.
    • REGION: die Region des Dienstanhangs.

  • Verwenden Sie den folgenden Befehl, um den Verbindungsabgleich zu deaktivieren:

    gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --no-reconcile-connections

API

  1. Wenn Sie die fingerprint des Dienst-Anhangs abrufen möchten, senden Sie eine Anfrage an die Methode serviceAttachments.get.

    HTTP-Methode und URL:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    Ersetzen Sie Folgendes:

    • PROJECT_ID: das Projekt für den Dienstanhang.
    • REGION: die Region für den Dienstanhang.
    • ATTACHMENT_NAME: der Name des Dienstanhangs.

    Notieren Sie sich den Wert für fingerprint, den Sie im nächsten Schritt verwenden.

  2. Senden Sie eine Anfrage an die Methode serviceAttachments.patch.

    HTTP-Methode und URL:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    JSON-Text anfordern:

    {
  "reconcileConnections": RECONCILIATION,
  "fingerprint": "FINGERPRINT"
}

    Ersetzen Sie Folgendes:

    • PROJECT_ID: das Projekt für den Dienstanhang.
    • REGION: die Region für den Dienstanhang.
    • ATTACHMENT_NAME: der Name des Dienstanhangs.
    • RECONCILIATION: ob die Verbindungsabgleichsfunktion aktiviert werden soll. Optionen sind true oder false.
    • FINGERPRINT: den aktuellen Fingerabdruck für den Dienstanhang, den Sie im vorherigen Schritt gefunden haben.

Subnetze zu einem veröffentlichten Dienst hinzufügen oder daraus entfernen

Sie können einen veröffentlichten Dienst bearbeiten, um Private Service Connect-Subnetze hinzuzufügen.

Möglicherweise müssen Sie mehr IP-Adressen für einen vorhandenen Dienst verfügbar machen. Führen Sie einen der folgenden Schritte aus, um weitere Adressen hinzuzufügen:

Ebenso können Sie einen veröffentlichten Dienst bearbeiten, um Private Service Connect-Subnetze daraus zu entfernen. Wenn jedoch eine beliebige IP-Adresse des Subnetzes verwendet wird, um SNAT für Private Service Connect auszuführen, schlägt das Entfernen des Subnetzes fehl.

Wenn Sie die Subnetzkonfiguration ändern, aktualisieren Sie Ihre Firewallregeln so, dass Anfragen von den neuen Subnetzen die Backend-VMs erreichen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Veröffentlichte Dienste.

  3. Klicken Sie auf den Dienst, den Sie aktualisieren möchten, und dann auf Dienstdetails bearbeiten.

  4. Ändern Sie die für diesen Dienst verwendeten Subnetze.

    Wenn Sie ein neues Subnetz hinzufügen möchten, können Sie eines erstellen:

    1. Klicken Sie auf Neues Subnetz reservieren.
    2. Geben Sie einen Namen und optional eine Beschreibung für das Subnetz ein.
    3. Wählen Sie eine Region für das Subnetz aus.
    4. Geben Sie den IP-Bereich ein, der für das Subnetz verwendet werden soll, und klicken Sie auf Hinzufügen.

  5. Klicken Sie auf Speichern.

gcloud

Verwenden Sie den Befehl service-attachments update, um die für diesen Dienstanhang verwendeten Private Service Connect-Subnetze zu aktualisieren.

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --nat-subnets=PSC_SUBNET_LIST

Ersetzen Sie Folgendes:

  • ATTACHMENT_NAME: der Name des Dienstanhangs.

  • REGION: die Region, in der sich der Dienstanhang befindet.

  • PSC_SUBNET_LIST: eine durch Kommas getrennte Liste mit einem oder mehreren Subnetzen, die mit diesem Dienstanhang verwendet werden sollen.

API

  1. Wenn Sie die fingerprint des Dienst-Anhangs abrufen möchten, senden Sie eine Anfrage an die Methode serviceAttachments.get.

    HTTP-Methode und URL:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    Ersetzen Sie Folgendes:

    • PROJECT_ID: das Projekt für den Dienstanhang.
    • REGION: die Region für den Dienstanhang.
    • ATTACHMENT_NAME: der Name des Dienstanhangs.

    Notieren Sie sich den Wert für fingerprint, den Sie im nächsten Schritt verwenden.

  2. Wenn Sie die für diesen Dienstanhang verwendeten Private Service Connect-Subnetze aktualisieren möchten, senden Sie eine Anfrage an die serviceAttachments.patch-Methode.

    HTTP-Methode und URL:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    JSON-Text anfordern:

    {
  "natSubnets": [
  "PSC_SUBNET1_URI",
  "PSC_SUBNET2_URI"
  ],
  "fingerprint": "FINGERPRINT"
}

    Ersetzen Sie Folgendes:

    • PROJECT_ID: das Projekt für den Dienstanhang.

    • REGION: die Region für den Dienstanhang.

    • ATTACHMENT_NAME: der Name des Dienstanhangs.

    • PSC_SUBNET1_URI und PSC_SUBNET2_URI: URI der Subnetze, die Sie mit diesem Dienstanhang verwenden möchten. Sie können eine oder mehrere Subnetze angeben.

    • FINGERPRINT: den aktuellen Fingerabdruck für den Dienstanhang, den Sie im vorherigen Schritt gefunden haben.

Limit für weitergegebene Verbindungen eines veröffentlichten Dienstes aktualisieren

Sie können das Limit für weitergegebene Verbindungen eines Dienstanhangs aktualisieren. Wenn Sie das Limit erhöhen, wird in Google Cloud automatisch geprüft, ob ausstehende weitergeleitete Verbindungen erstellt werden können. Wenn Sie das Limit verringern, sind vorhandene weitergeleitete Verbindungen davon nicht betroffen. Versuche, gelöschte oder abgelehnte Verbindungen wiederherzustellen, werden jedoch möglicherweise blockiert, wenn das neue Limit erreicht wird.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Veröffentlichte Dienste.

  3. Klicken Sie auf den Dienst, den Sie aktualisieren möchten, und dann auf Dienstdetails bearbeiten.

  4. Klicken Sie auf Erweiterte Konfiguration.

  5. Geben Sie das neue Limit für von NCC weitergegebene Verbindungen ein.

gcloud

Führen Sie den Befehl service-attachments update aus.

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --propagated-connection-limit=LIMIT

Ersetzen Sie Folgendes:

  • ATTACHMENT_NAME: der Name des Dienstanhangs.

  • REGION: die Region, in der sich der Dienstanhang befindet.

  • LIMIT: Der neue Wert für das propagierte Verbindungslimit.

API

  1. Wenn Sie die fingerprint des Dienst-Anhangs abrufen möchten, senden Sie eine Anfrage an die Methode serviceAttachments.get.

    HTTP-Methode und URL:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    Ersetzen Sie Folgendes:

    • PROJECT_ID: das Projekt für den Dienstanhang.
    • REGION: die Region für den Dienstanhang.
    • ATTACHMENT_NAME: der Name des Dienstanhangs.

    Notieren Sie sich den Wert für fingerprint, den Sie im nächsten Schritt verwenden.

  2. Senden Sie eine Anfrage an die Methode serviceAttachments.patch.

    HTTP-Methode und URL:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    JSON-Text anfordern:

    {
  "propagatedConnectionLimit": LIMIT,
  "fingerprint": "FINGERPRINT"
}

    Ersetzen Sie Folgendes:

    • PROJECT_ID: das Projekt für den Dienstanhang.

    • REGION: die Region für den Dienstanhang.

    • ATTACHMENT_NAME: der Name des Dienstanhangs.

    • LIMIT: Der neue Wert für das propagierte Verbindungslimit.

    • FINGERPRINT: den aktuellen Fingerabdruck für den Dienstanhang, den Sie im vorherigen Schritt gefunden haben.