Esta página se ha traducido con Cloud Translation API.

Gestionar servicios publicados

En esta página se describe cómo gestionar las solicitudes de acceso a un servicio publicado, cómo cambiar la preferencia de conexión de un servicio publicado y cómo configurar la conciliación de conexiones.

Cada adjunto de servicio tiene una preferencia de conexión que controla si las conexiones se aceptan automáticamente.

Aceptar todas las conexiones automáticamente. El adjunto de servicio acepta automáticamente todas las solicitudes de conexión entrantes de cualquier consumidor.
Aceptar explícitamente las conexiones de los consumidores seleccionados. El adjunto de servicio solo acepta solicitudes de conexión entrantes si el consumidor está en la lista de consumidores aceptados del adjunto de servicio. Puedes especificar consumidores por proyecto, red de VPC o punto final de Private Service Connect individual (vista previa). No puedes incluir diferentes tipos de consumidores en la misma lista de aceptación o rechazo de consumidores.

En ambos casos, las conexiones aceptadas se pueden anular y rechazar mediante una política de organización que bloquee las conexiones entrantes.

Te recomendamos que aceptes explícitamente las conexiones de los consumidores seleccionados. Aceptar automáticamente todas las conexiones puede ser adecuado si controlas el acceso de los consumidores por otros medios y quieres habilitar el acceso permisivo a tu servicio.

Para obtener más información sobre cómo publicar un servicio, consulta el artículo Publicar un servicio.

Roles

El siguiente rol de gestión de identidades y accesos proporciona los permisos necesarios para realizar las tareas de esta guía.

Administrador de red de Compute (roles/compute.networkAdmin)

Gestionar el acceso a un servicio publicado

Si has publicado un servicio con aprobación explícita, puedes aceptar o rechazar conexiones actualizando tus listas de consumidores. Para aceptar una conexión, añade el proyecto, la red de VPC o el punto final de Private Service Connect del consumidor que envía la solicitud a la lista de consumidores aceptados de un servicio. Puedes rechazar explícitamente las conexiones actualizando la lista de rechazo del consumidor de la misma forma.

Puede añadir proyectos o redes VPC a las listas de consumidores antes o después de que el consumidor solicite una conexión. Solo puedes añadir endpoints después de una solicitud de conexión, ya que el URI de un endpoint no se conoce hasta que se crea el endpoint.

Todos los valores de las listas de consumidores deben ser del mismo tipo. Por ejemplo, no puedes aceptar algunas conexiones basadas en proyectos de consumidor y otras basadas en endpoints individuales. Si añades el mismo valor a la lista de aceptados y a la de rechazados, se rechazarán las solicitudes de conexión de ese consumidor.

De forma predeterminada, los cambios en las listas de consumidores solo afectan a las conexiones nuevas o pendientes. Las conexiones aceptadas anteriormente no se terminan a menos que hayas habilitado la conciliación de conexiones.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.serviceAttachments.update

Roles

Consulta Roles para obtener información sobre los roles.

Consola

Para gestionar el acceso a un servicio con aprobación explícita, puedes aceptar o rechazar las solicitudes de conexión que ya haya, o bien actualizar las listas de aceptación y rechazo de consumidores. Ambos métodos tienen el mismo resultado y actualizan las mismas listas de consumidores.

Ver los detalles de un servicio publicado

En la Google Cloud consola, ve a la página Private Service Connect.

Ir a Private Service Connect
Haz clic en la pestaña Servicios publicados.
Haz clic en el servicio que quieras gestionar.

Aceptar o rechazar solicitudes de conexión

Si tu servicio está configurado para aceptar conexiones basadas en el proyecto de consumidor, los proyectos que hayan intentado conectarse a este servicio se mostrarán en la sección Proyectos conectados. Marca la casilla situada junto a uno o varios proyectos y, a continuación, haz clic en Aceptar proyecto o Rechazar proyecto.
Si tu servicio está configurado para aceptar endpoints de Private Service Connect individuales, haz clic en Esperando aprobación para ver los endpoints que han intentado conectarse a este servicio. Seleccione la casilla situada junto a uno o varios endpoints y, a continuación, haga clic en Aceptar endpoint o Rechazar endpoint.
Si tu servicio está configurado para aceptar consumidores en función de la red VPC, solo puedes aceptar o rechazar conexiones actualizando tus listas de aceptación y rechazo de consumidores, tal como se describe en la siguiente sección.

Actualizar las listas de aceptación y rechazo de consumidores

Haz clic en Editar detalles del servicio.
Opcional: Selecciona una nueva preferencia de conexión.
Sigue el paso que corresponda. Puede repetir este paso con cada consumidor que quiera añadir.
- En Aceptar conexiones de los proyectos seleccionados, haz clic en Añadir proyecto aceptado y, a continuación, introduce el proyecto y el límite de conexiones.
- En Aceptar conexiones de redes seleccionadas, haz clic en Añadir red aceptada y, a continuación, introduce el proyecto, la red de VPC y el límite de conexión.
- En Aceptar conexiones para los endpoints seleccionados, haga clic en Añadir endpoint aceptado y, a continuación, introduzca el proyecto y el ID del endpoint.
  
  Para encontrar el ID de un endpoint, consulta el servicio publicado y busca el valor de Endpoint ID en la sección Awaiting approval (Pendiente de aprobación).

gcloud

Para ver las conexiones actuales y pendientes del adjunto de servicio que quieras modificar, usa el comando gcloud beta compute service-attachments describe.

gcloud beta compute service-attachments describe ATTACHMENT_NAME \
    --region=REGION

Haz los cambios siguientes:

ATTACHMENT_NAME: el nombre de la vinculación de servicio.
REGION: la región de la vinculación de servicio.

La salida es similar al siguiente ejemplo. Si hay alguna conexión de consumidor pendiente, se mostrará con el estado PENDING. El URI basado en ID del endpoint de Private Service Connect que puedes usar para aceptar o rechazar endpoints individuales se muestra en el campo endpointWithId.

En este ejemplo, el proyecto CONSUMER_PROJECT_1 está en la lista de aceptación, por lo que ENDPOINT_1 se acepta y puede conectarse al servicio. El proyecto CONSUMER_PROJECT_2 no está en la lista de aceptados, por lo que ENDPOINT_2 está pendiente. Una vez que se añade CONSUMER_PROJECT_2 a la lista de elementos aceptados, el estado de ENDPOINT_2 cambia a ACCEPTED y el endpoint puede conectarse al servicio.

connectedEndpoints:
- consumerNetwork: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_1/global/networks/CONSUMER_NETWORK_1
  endpoint: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_1/regions/REGION_1/forwardingRules/ENDPOINT_1
  endpointWithId: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_1/regions/REGION_1/forwardingRules/RESOURCE_ID_1
  pscConnectionId: 'ENDPOINT_1_ID'
  status: ACCEPTED
- consumerNetwork: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_2/global/networks/CONSUMER_NETWORK_2
  endpoint: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/ENDPOINT_2
  endpointWithId: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/RESOURCE_ID_2
  pscConnectionId: 'ENDPOINT_2_ID'
  status: PENDING
connectionPreference: ACCEPT_MANUAL
consumerAcceptLists:
- connectionLimit: LIMIT_1
  projectIdOrNum: CONSUMER_PROJECT_1
creationTimestamp: 'TIMESTAMP'
description: 'DESCRIPTION'
enableProxyProtocol: false
fingerprint: FINGERPRINT
id: 'ID'
kind: compute#serviceAttachment
name: NAME
natSubnets:
- https://www.googleapis.com/compute/beta/projects/PRODUCER_PROJECT/regions/REGION/subnetworks/PSC_SUBNET
pscServiceAttachmentId:
  high: 'PSC_ATTACH_ID_HIGH'
  low: 'PSC_ATTACH_ID_LOW'
region: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION
selfLink: https://www.googleapis.com/compute/v1/projects/projects/PRODUCER_PROJECT/regions/REGION/serviceAttachments/ATTACHMENT_NAME
targetService: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/forwardingRules/PRODUCER_FWD_RULE

Para aceptar o rechazar las conexiones de consumidores, sigue estos pasos.
- Para aceptar o rechazar consumidores en función del proyecto o de la red VPC, usa el comando gcloud compute service-attachments update.
  
  Puede especificar --consumer-accept-list o --consumer-reject-list, o ambos. Puedes especificar varios valores en --consumer-accept-list y --consumer-reject-list. Puedes incluir proyectos o redes de VPC, pero no una combinación de ambos.
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --consumer-accept-list=ACCEPTED_PROJECT_OR_NETWORK_1=LIMIT_1,ACCEPTED_PROJECT_OR_NETWORK_2=LIMIT_2 \
    --consumer-reject-list=REJECTED_PROJECT_OR_NETWORK_1,REJECTED_PROJECT_OR_NETWORK_2
```
  Haz los cambios siguientes:
  - ATTACHMENT_NAME: el nombre del archivo adjunto de servicio.
  - REGION: la región en la que se encuentra el archivo adjunto del servicio.
  - ACCEPTED_PROJECT_OR_NETWORK_1 y ACCEPTED_PROJECT_OR_NETWORK_2: los IDs de proyecto, los nombres de proyecto o las URLs de red que se van a aceptar. --consumer-accept-list es opcional y puede contener uno o varios proyectos o redes, pero no una combinación de ambos tipos.
  - LIMIT_1 y LIMIT_2: los límites de conexión de los proyectos o las redes. El límite de conexiones es el número de endpoints de consumidor que pueden conectarse a este servicio.
  - REJECTED_PROJECT_OR_NETWORK_1 y REJECTED_PROJECT_OR_NETWORK_2: los IDs de proyecto, los nombres de proyecto o las URLs de red que se rechazarán. --consumer-reject-list es opcional y puede contener uno o varios proyectos o redes, pero no una combinación de ambos tipos.
- Para aceptar o rechazar puntos finales de Private Service Connect (vista previa) de forma individual, usa el comando gcloud beta compute service-attachments update.
```
gcloud beta compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --consumer-accept-list=ACCEPTED_ENDPOINT_URI_1,ACCEPTED_ENDPOINT_URI_2 \
    --consumer-reject-list=REJECTED_ENDPOINT_URI_1,REJECTED_ENDPOINT_URI_2
```
  Haz los cambios siguientes:
  - ACCEPTED_ENDPOINT_URI_1 y ACCEPTED_ENDPOINT_URI_2: los URIs basados en ID de uno o varios endpoints de Private Service Connect que se van a aceptar. Para encontrar el URI basado en el ID de un punto final de Private Service Connect, describe un archivo adjunto de servicio conectado y consulta el campo endpointWithId o describe el punto final de Private Service Connect y consulta el campo selfLinkWithId. --consumer-accept-list es opcional.
    
    Por ejemplo, el URI basado en ID del punto final de Private Service Connect pendiente en el ejemplo de salida al principio de esta sección es https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/RESOURCE_ID_2
  - REJECTED_ENDPOINT_URI_1 y REJECTED_ENDPOINT_URI_2: los URIs basados en ID de uno o varios endpoints de Private Service Connect que se van a rechazar. --consumer-reject-list es opcional.

API

Para describir el archivo adjunto de servicio que quieras modificar, envía una solicitud al método serviceAttachments.get.

Método HTTP y URL:
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Haz los cambios siguientes:
- PROJECT_ID: el proyecto del archivo adjunto de servicio.
- REGION: la región del archivo adjunto de servicio.
- ATTACHMENT_NAME: el nombre de la vinculación de servicio.
Si hay alguna conexión de consumidor pendiente, se mostrará con el estado PENDING. El URI basado en ID del punto final de Private Service Connect que puedes usar para aceptar o rechazar puntos finales individuales se muestra en el campo endpointWithId.

Anota el valor de fingerprint, que usarás en el siguiente paso.
Para aceptar o rechazar proyectos o redes de clientes, envíe una solicitud al método serviceAttachments.patch.

Puedes cambiar entre aceptar y rechazar consumidores por proyecto o por red de VPC, pero no puedes incluir una combinación de proyectos y redes en la misma solicitud.
- Para aceptar o rechazar consumidores en función del proyecto, envía la siguiente solicitud.
  
  Método HTTP y URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
  Cuerpo JSON de la solicitud:
```
{
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2"
  ],
  "fingerprint" : "FINGERPRINT"
}
```
  Haz los cambios siguientes:
  - PROJECT_ID: el proyecto del archivo adjunto de servicio.
  - REGION: la región del archivo adjunto de servicio.
  - ATTACHMENT_NAME: el nombre del archivo adjunto de servicio.
  - ACCEPTED_PROJECT_1 y ACCEPTED_PROJECT_2: los IDs o números de los proyectos que se van a aceptar. consumerAcceptList es opcional y puede contener uno o varios proyectos.
  - LIMIT_1 y LIMIT_2: los límites de conexión de los proyectos. El límite de conexiones es el número de endpoints de consumidor que pueden conectarse a este servicio.
  - REJECTED_PROJECT_1 y REJECTED_PROJECT_2: los IDs o números de los proyectos que se van a rechazar. consumerRejectList es opcional y puede contener uno o varios proyectos.
  - FINGERPRINT: la huella digital actualizada del adjunto de servicio que has encontrado en el paso anterior.
- Para aceptar o rechazar consumidores en función de la red de VPC, envía la siguiente solicitud.
  
  Método HTTP y URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
  Cuerpo JSON de la solicitud:
```
{
  "consumerAcceptLists": [
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_1/global/network/ACCEPTED_NETWORK_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_2/global/network/ACCEPTED_NETWORK_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "projects/REJECTED_PROJECT_ID_1/global/networks/REJECTED_NETWORK_1",
    "projects/REJECTED_PROJECT_ID_2/global/network/REJECTED_NETWORK_2"
  ],
  "fingerprint": "FINGERPRINT"
}
```
  Haz los cambios siguientes:
  - ACCEPTED_PROJECT_ID_1 y ACCEPTED_PROJECT_ID_2: los IDs de los proyectos principales de las redes que quieras aceptar. consumerAcceptLists es opcional y puede contener una o varias redes.
  - ACCEPTED_NETWORK_1 y ACCEPTED_NETWORK_2: los nombres de las redes que quieres aceptar.
  - LIMIT_1 y LIMIT_2: los límites de conexión de las redes. El límite de conexiones es el número de endpoints de consumidor que pueden conectarse a este servicio.
  - REJECTED_PROJECT_ID_1 y REJECTED_PROJECT_ID_2: los IDs de los proyectos principales de las cadenas que quieras rechazar. consumerRejectLists es opcional y puede contener una o varias redes.
  - REJECTED_NETWORK_1 y REJECTED_NETWORK_2: los nombres de las redes que quieras rechazar.
- Para aceptar o rechazar consumidores en función de los puntos finales de Private Service Connect (vista previa), envía la siguiente solicitud.
  
  Método HTTP y URL:
```
PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
  Cuerpo JSON de la solicitud:
```
{
  "consumerAcceptLists": [
    {
      "endpointUrl": "ACCEPTED_ENDPOINT_URI_1"
    },
    {
      "endpointUrl": "ACCEPTED_ENDPOINT_URI_2"
    }
  ],
  "consumerRejectLists": [
    "REJECTED_ENDPOINT_URI_1",
    "REJECTED_ENDPOINT_URI_2"
  ],
  "fingerprint": "FINGERPRINT"
}
```
  Haz los cambios siguientes:
  - ACCEPTED_ENDPOINT_URI_1 y ACCEPTED_ENDPOINT_URI_2: los URIs basados en ID de uno o varios puntos finales de Private Service Connect que se van a aceptar. Para encontrar el URI basado en el ID de un punto final de Private Service Connect, describe un adjunto de servicio conectado y consulta el campo endpointWithId o describe el punto final y consulta el campo selfLinkWithId. Un ejemplo de URI basado en ID es https://www.googleapis.com/compute/beta/projects/consumer-project/regions/us-central1/forwardingRules/1234567890
    
    Esta lista es opcional.
  - REJECTED_ENDPOINT_URI_1 y REJECTED_ENDPOINT_URI_2: los URIs basados en ID de uno o varios endpoints de Private Service Connect que se van a rechazar. Esta lista es opcional.

Cambiar la preferencia de conexión de un servicio publicado

Puedes cambiar entre la aceptación automática y la explícita de los consumidores para un servicio publicado. El efecto que tiene este cambio en las conexiones existentes depende de si la conciliación de conexiones está habilitada en el adjunto de servicio.

Si la conciliación de conexiones está inhabilitada, cambiar la preferencia de conexión no afecta a las conexiones ACCEPTED o REJECTED ya existentes:

Cuando cambias de la aceptación automática a la explícita, las nuevas conexiones deben estar en la lista de aceptación del consumidor para poder ACCEPTED.
Cuando cambies de la aceptación explícita a la automática, las conexiones PENDING que ya tengas se ACCEPTED automáticamente.

Si la conciliación de conexiones está habilitada, todas las conexiones se volverán a evaluar en función de la nueva preferencia de conexión:

Cuando cambias de la aceptación automática a la explícita, las conexiones de los consumidores que no estén en la lista de consumidores aceptados cambian a PENDING y se terminan.
Si cambias de la aceptación explícita a la automática, todas las conexiones PENDING y REJECTED se convertirán en ACCEPTED.

Para obtener más información sobre cómo actualizar la lista de aceptación de consumidores de un servicio, consulta el artículo Gestionar solicitudes de acceso a un servicio publicado.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.serviceAttachments.update

Roles

Consulta Roles para obtener información sobre los roles.

Consola

En la Google Cloud consola, ve a la página Private Service Connect.

Ir a Private Service Connect
Haz clic en la pestaña Servicios publicados.
Haga clic en el servicio que quiera actualizar y, a continuación, en Editar detalles del servicio.
Selecciona la nueva preferencia de conexión que quieras usar para este servicio.
Opcional: Si vas a usar la aceptación explícita, puedes añadir consumidores a tu lista de aceptación ahora o más adelante. Para aceptar consumidores, haz una de las siguientes acciones. Puedes repetir este paso con cada consumidor que quieras añadir.
- En Aceptar conexiones de los proyectos seleccionados, haz clic en Añadir proyecto aceptado y, a continuación, introduce el proyecto y el límite de conexiones.
- En Aceptar conexiones de redes seleccionadas, haz clic en Añadir red aceptada y, a continuación, introduce el proyecto, la red de VPC y el límite de conexión.
- En Aceptar conexiones para los endpoints seleccionados, haga clic en Añadir endpoint aceptado y, a continuación, introduzca el proyecto y el ID del endpoint.
Haz clic en Guardar.

gcloud

Para cambiar la preferencia de conexión de la vinculación de servicio de ACCEPT_AUTOMATIC a ACCEPT_MANUAL, usa el comando gcloud compute service-attachments update.

Puedes controlar qué proyectos pueden conectarse a tu servicio mediante --consumer-accept-list y --consumer-reject-list. Puedes configurar las listas de aceptación y rechazo cuando cambies la preferencia de conexión o actualizar las listas más adelante.
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_MANUAL \
    [ --consumer-accept-list=ACCEPTED_PROJECT_OR_NETWORK_1=LIMIT_1,ACCEPTED_PROJECT_OR_NETWORK_2=LIMIT_2] \
    [ --consumer-reject-list=REJECTED_PROJECT_OR_NETWORK_1,REJECTED_PROJECT_OR_NETWORK_2 ]
```
Haz los cambios siguientes:
- ATTACHMENT_NAME: el nombre del servicio adjunto.
- REGION: la región en la que se encuentra el archivo adjunto del servicio.
- ACCEPTED_PROJECT_OR_NETWORK_1 y ACCEPTED_PROJECT_OR_NETWORK_2: los IDs de proyecto, los nombres de proyecto o las URLs de red que se van a aceptar. --consumer-accept-list es opcional y puede contener uno o varios proyectos o redes, pero no una combinación de ambos tipos.
- LIMIT_1 y LIMIT_2: los límites de conexión de los proyectos. El límite de conexiones es el número de endpoints de consumidor que pueden conectarse a este servicio.
- REJECTED_PROJECT_OR_NETWORK_1 y REJECTED_PROJECT_OR_NETWORK_2: los IDs de proyecto, los nombres de proyecto o las URLs de red que se rechazarán. --consumer-reject-list es opcional y puede contener uno o varios proyectos o redes, pero no una combinación de ambos tipos.
Para cambiar la preferencia de conexión del adjunto de servicio de ACCEPT_MANUAL a ACCEPT_AUTOMATIC, usa el siguiente comando.

Si tienes valores en la lista de aceptación o en la de rechazo, déjalos vacíos cuando cambies la preferencia de conexión ("").
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_AUTOMATIC \
    --consumer-accept-list="" \
    --consumer-reject-list=""
```
Haz los cambios siguientes:
- ATTACHMENT_NAME: el nombre del servicio adjunto.
- REGION: la región en la que se encuentra el archivo adjunto del servicio.

API

Para obtener el fingerprint del adjunto de servicio, envía una solicitud al método serviceAttachments.get.

Método HTTP y URL:
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Haz los cambios siguientes:
- PROJECT_ID: el proyecto del archivo adjunto de servicio.
- REGION: la región del archivo adjunto de servicio.
- ATTACHMENT_NAME: el nombre de la vinculación de servicio.
Anota el valor de fingerprint, que usarás en el siguiente paso.
Para cambiar la preferencia de conexión de la vinculación de servicio, envía una solicitud al método serviceAttachments.patch.
- Para cambiar la preferencia de conexión de ACCEPT_AUTOMATIC a ACCEPT_MANUAL y actualizar las listas de aceptación y rechazo de consumidores en función del proyecto, haz la siguiente solicitud.
  
  Método HTTP y URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
  Cuerpo JSON de la solicitud:
```
{
  "connectionPreference": "ACCEPT_MANUAL",
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1"
      "connectionLimit": "LIMIT_1",
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2"
      "connectionLimit": "LIMIT_2",
    }
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2",
  ],
  "fingerprint" : "FINGERPRINT"
}
```
  Haz los cambios siguientes:
  - PROJECT_ID: el proyecto del archivo adjunto de servicio.
  - REGION: la región del archivo adjunto de servicio.
  - ATTACHMENT_NAME: el nombre del archivo adjunto de servicio.
  - ACCEPTED_PROJECT_1 y ACCEPTED_PROJECT_2: los IDs o números de los proyectos que se van a aceptar. consumerAcceptList es opcional y puede contener uno o varios proyectos.
  - LIMIT_1 y LIMIT_2: los límites de conexión de los proyectos. El límite de conexiones es el número de endpoints de consumidor que pueden conectarse a este servicio.
  - REJECTED_PROJECT_1 y REJECTED_PROJECT_2: los IDs o números de los proyectos que se van a rechazar. consumerRejectList es opcional y puede contener uno o varios proyectos.
  - FINGERPRINT: la huella digital actualizada del adjunto de servicio que has encontrado en el paso 1.
- Para cambiar la preferencia de conexión de ACCEPT_AUTOMATIC a ACCEPT_MANUAL y actualizar las listas de aceptación y rechazo de consumidores en función de la red VPC, haz la siguiente solicitud.
  
  Método HTTP y URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
  Cuerpo JSON de la solicitud:
```
{
  "connectionPreference": "ACCEPT_MANUAL",
  "consumerAcceptLists": [
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_1/global/networks/ACCEPTED_NETWORK_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_2/global/networks/ACCEPTED_NETWORK_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "projects/REJECTED_PROJECT_ID_1/global/networks/REJECTED_NETWORK_1",
    "projects/REJECTED_PROJECT_ID_2/global/network/REJECTED_NETWORK_2"
  ],
  "fingerprint" : "FINGERPRINT"
}
```
  Haz los cambios siguientes:
  - ACCEPTED_PROJECT_ID_1 y ACCEPTED_PROJECT_ID_2: los IDs de los proyectos principales de las redes que quieras aceptar. consumerAcceptLists es opcional y puede contener una o varias redes.
  - ACCEPTED_NETWORK_1 y ACCEPTED_NETWORK_2: los nombres de las redes que quieres aceptar.
  - LIMIT_1 y LIMIT_2: los límites de conexión de las redes. El límite de conexiones es el número de endpoints de consumidor que pueden conectarse a este servicio.
  - REJECTED_PROJECT_ID_1 y REJECTED_PROJECT_ID_2: los IDs de los proyectos principales de las redes que quieras rechazar. consumerRejectLists es opcional y puede contener una o varias redes.
  - REJECTED_NETWORK_1 y REJECTED_NETWORK_2: los nombres de las redes que quieres rechazar.
  - FINGERPRINT: la huella digital actualizada del adjunto de servicio que has encontrado en el paso 1.

Para cambiar la preferencia de conexión del adjunto de servicio de ACCEPT_MANUAL a ACCEPT_AUTOMATIC, haz la siguiente solicitud.

Si los campos consumerAcceptLists o consumerRejectLists especifican algún consumidor, déjalos vacíos cuando cambies la preferencia de conexión a ACCEPT_AUTOMATIC.

Método HTTP y URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Cuerpo JSON de la solicitud:
```
{
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "consumerAcceptLists": [ ],
  "consumerRejectLists": [ ],
  "fingerprint" : "FINGERPRINT"
}
```
Haz los cambios siguientes:
- PROJECT_ID: el proyecto del archivo adjunto de servicio.
- REGION: la región del archivo adjunto de servicio.
- ATTACHMENT_NAME: el nombre de la vinculación de servicio.
- FINGERPRINT: la huella digital actualizada del adjunto de servicio que has encontrado en el paso 1.

Configurar la conciliación de conexiones

Puedes habilitar o inhabilitar la conciliación de conexiones en los adjuntos de servicio que ya tengas.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.serviceAttachments.update

Roles

Consulta Roles para obtener información sobre los roles.

Consola

En la Google Cloud consola, ve a la página Private Service Connect.

Ir a Private Service Connect
Haz clic en la pestaña Servicios publicados.
Haga clic en el servicio que quiera actualizar y, a continuación, en Editar detalles del servicio.
Marca o desmarca la casilla Habilitar conciliación de conexiones y, a continuación, haz clic en Guardar.

gcloud

Para habilitar la conciliación de conexiones, usa el comando service-attachments update.
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --reconcile-connections
```
Haz los cambios siguientes:
- ATTACHMENT_NAME: el nombre del servicio adjunto.
- REGION: la región de la vinculación de servicio.

Para inhabilitar la conciliación de conexiones, usa el siguiente comando:

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --no-reconcile-connections

API

Para obtener el fingerprint del adjunto de servicio, envía una solicitud al método serviceAttachments.get.

Método HTTP y URL:
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Haz los cambios siguientes:
- PROJECT_ID: el proyecto del archivo adjunto de servicio.
- REGION: la región del archivo adjunto de servicio.
- ATTACHMENT_NAME: el nombre de la vinculación de servicio.
Anota el valor de fingerprint, que usarás en el siguiente paso.
Envía una solicitud al método serviceAttachments.patch.

Método HTTP y URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Cuerpo JSON de la solicitud:
```
{
  "reconcileConnections": RECONCILIATION,
  "fingerprint": "FINGERPRINT"
}
```
Haz los cambios siguientes:
- PROJECT_ID: el proyecto del archivo adjunto de servicio.
- REGION: la región del archivo adjunto de servicio.
- ATTACHMENT_NAME: el nombre de la vinculación de servicio.
- RECONCILIATION: si se debe habilitar la reconciliación de conexiones. Las opciones son true o false.
- FINGERPRINT: la huella digital actualizada del adjunto de servicio que has encontrado en el paso anterior.

Añadir o quitar subredes de un servicio publicado

Puedes editar un servicio publicado para añadir subredes de Private Service Connect.

Por ejemplo, puede que necesites que haya más direcciones IP disponibles para un servicio. Para añadir más direcciones, sigue uno de estos procedimientos:

Crea otra subred de Private Service Connect y edita el archivo adjunto de servicio para añadir la nueva subred.
Edita la subred para ampliar el intervalo de IPv4.

Del mismo modo, puedes editar un servicio publicado para quitar subredes de Private Service Connect. Sin embargo, si alguna de las direcciones IP de la subred se usa para realizar SNAT en Private Service Connect, no se podrá eliminar la subred.

Si cambia la configuración de la subred, actualice las reglas del cortafuegos para permitir que las solicitudes de las nuevas subredes lleguen a las VMs backend.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

compute.serviceAttachments.update

Roles

Consulta Roles para obtener información sobre los roles.

Consola

En la Google Cloud consola, ve a la página Private Service Connect.

Ir a Private Service Connect
Haz clic en la pestaña Servicios publicados.
Haga clic en el servicio que quiera actualizar y, a continuación, en Editar detalles del servicio.
Modifica las subredes que se usan en este servicio.

Si quieres añadir una nueva subred, puedes crearla siguiendo estos pasos:
1. Haz clic en Reservar nueva subred.
2. Escribe un nombre para la subred y, si quieres, una descripción.
3. Selecciona la región de la subred.
4. Introduce el intervalo de IP que quieras usar para la subred y haz clic en Añadir.
Haz clic en Guardar.

gcloud

Para actualizar las subredes de Private Service Connect que se usan en este archivo adjunto de servicio, usa el comando gcloud compute service-attachments update.

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --nat-subnets=PSC_SUBNET_LIST

Haz los cambios siguientes:

ATTACHMENT_NAME: el nombre del servicio adjunto.
REGION: la región en la que se encuentra el archivo adjunto del servicio.
PSC_SUBNET_LIST: lista separada por comas de una o varias subredes que se van a usar con este adjunto de servicio.

API

Para obtener el fingerprint del adjunto de servicio, envía una solicitud al método serviceAttachments.get.

Método HTTP y URL:
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Haz los cambios siguientes:
- PROJECT_ID: el proyecto del archivo adjunto de servicio.
- REGION: la región del archivo adjunto de servicio.
- ATTACHMENT_NAME: el nombre de la vinculación de servicio.
Anota el valor de fingerprint, que usarás en el siguiente paso.
Para actualizar las subredes de Private Service Connect que se usan en esta vinculación de servicio, envía una solicitud al método serviceAttachments.patch.

Método HTTP y URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Cuerpo JSON de la solicitud:
```
{
  "natSubnets": [
  "PSC_SUBNET1_URI",
  "PSC_SUBNET2_URI"
  ],
  "fingerprint": "FINGERPRINT"
}
```
Haz los cambios siguientes:
- PROJECT_ID: el proyecto del archivo adjunto de servicio.
- REGION: la región del archivo adjunto de servicio.
- ATTACHMENT_NAME: el nombre del archivo adjunto de servicio.
- PSC_SUBNET1_URI y PSC_SUBNET2_URI: URIs de las subredes que quieras usar con esta vinculación de servicio. Puedes especificar una o varias subredes.
- FINGERPRINT: la huella digital actualizada del adjunto de servicio que has encontrado en el paso anterior.

Actualizar el límite de conexiones propagadas de un servicio publicado

Puedes actualizar el límite de conexiones propagadas de un adjunto de servicio. Cuando aumentas el límite, Google Cloud comprueba automáticamente si se pueden crear conexiones propagadas pendientes. Si reduces el límite, las conexiones propagadas no se verán afectadas. Sin embargo, los intentos de restablecer las conexiones propagadas eliminadas o rechazadas se pueden bloquear si se alcanza el nuevo límite.

Consola

En la Google Cloud consola, ve a la página Private Service Connect.

Ir a Private Service Connect
Haz clic en la pestaña Servicios publicados.
Haga clic en el servicio que quiera actualizar y, a continuación, en Editar detalles del servicio.
Haz clic en Configuración avanzada.
Introduce el nuevo límite de conexiones propagadas de NCC.

gcloud

Usa el comando gcloud compute service-attachments update.

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --propagated-connection-limit=LIMIT

Haz los cambios siguientes:

ATTACHMENT_NAME: el nombre del servicio adjunto.
REGION: la región en la que se encuentra el archivo adjunto del servicio.
LIMIT: el nuevo valor del límite de conexión propagado.

API

Para obtener el fingerprint del adjunto de servicio, envía una solicitud al método serviceAttachments.get.

Método HTTP y URL:
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Haz los cambios siguientes:
- PROJECT_ID: el proyecto del archivo adjunto de servicio.
- REGION: la región del archivo adjunto de servicio.
- ATTACHMENT_NAME: el nombre de la vinculación de servicio.
Anota el valor de fingerprint, que usarás en el siguiente paso.
Envía una solicitud al método serviceAttachments.patch.

Método HTTP y URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Cuerpo JSON de la solicitud:
```
{
  "propagatedConnectionLimit": LIMIT,
  "fingerprint": "FINGERPRINT"
}
```
Haz los cambios siguientes:
- PROJECT_ID: el proyecto del archivo adjunto de servicio.
- REGION: la región del archivo adjunto de servicio.
- ATTACHMENT_NAME: el nombre del archivo adjunto de servicio.
- LIMIT: el nuevo valor del límite de conexión propagado.
- FINGERPRINT: la huella digital actualizada del adjunto de servicio que has encontrado en el paso anterior.