Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Administra los servicios publicados

En esta página, se describe cómo administrar los servicios publicados, lo que incluye el manejo de solicitudes de acceso a un servicio publicado, la configuración de la conciliación de conexiones y la actualización de una vinculación de servicio para que haga referencia a un nuevo servicio de destino.

Cada adjunto de servicio tiene una preferencia de conexión que controla si las conexiones se aceptan automáticamente.

Aceptar automáticamente todas las conexiones. El adjunto de servicio acepta automáticamente todas las solicitudes de conexión entrantes de cualquier consumidor.
Aceptar explícitamente las conexiones de los consumidores seleccionados El adjunto de servicio solo acepta las solicitudes de conexión entrantes si el consumidor está en la lista de aceptación del consumidor del adjunto de servicio. Puedes especificar consumidores por proyecto, red de VPC o extremo de Private Service Connect individual. No puedes incluir diferentes tipos de consumidores en la misma lista de aceptación o rechazo de consumidores.

Para cualquiera de las preferencias de conexión, las conexiones aceptadas se pueden anular y rechazar con una política de la organización que bloquee las conexiones entrantes.

Te recomendamos que aceptes explícitamente las conexiones para los consumidores seleccionados. Aceptar todas las conexiones automáticamente podría ser apropiado si controlas el acceso de los consumidores a través de otros medios y quieres habilitar el acceso permisivo a tu servicio.

Para obtener más información sobre la publicación de un servicio, consulta Publica un servicio.

Funciones

La siguiente función de IAM proporciona los permisos necesarios para realizar las tareas de esta guía.

Administrador de red de Compute (roles/compute.networkAdmin)

Administra el acceso a un servicio publicado

Si publicaste un servicio con aprobación explícita, puedes aceptar o rechazar conexiones actualizando tus listas de consumidores. Para aceptar una conexión, agrega el proyecto, la red de VPC o el extremo de Private Service Connect individual del consumidor solicitante a la lista de aceptación del consumidor de un servicio. Puedes rechazar conexiones de forma explícita actualizando la lista de rechazo del consumidor de la misma manera.

Puedes agregar proyectos o redes de VPC a las listas de consumidores antes o después de que el consumidor solicite una conexión. Solo puedes agregar extremos después de una solicitud de conexión, ya que el URI de un extremo no se conoce hasta que se crea el extremo.

Todos los valores de las listas de consumidores deben ser del mismo tipo. Por ejemplo, no puedes aceptar algunas conexiones según el proyecto del consumidor y otras según los extremos individuales. Si agregas el mismo valor a la lista de aceptación y a la de rechazo, se rechazan las solicitudes de conexión de ese consumidor.

De forma predeterminada, los cambios en las listas de consumidores solo afectan las conexiones nuevas o pendientes. Las conexiones aceptadas anteriormente no se finalizan, a menos que hayas habilitado la conciliación de conexiones.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.serviceAttachments.update

Funciones

Consulta Roles para obtener información sobre las funciones.

Console

Puedes administrar el acceso a un servicio con aprobación explícita aceptando o rechazando solicitudes de conexión existentes, o bien actualizando las listas de aceptación y rechazo de consumidores. Ambos métodos tienen el mismo resultado y actualizan las mismas listas de consumidores.

Ve detalles de un servicio publicado

En la consola de Google Cloud , ve a la página Private Service Connect.

Ir a Private Service Connect
Haz clic en la pestaña Servicios publicados.
Haz clic en el servicio que deseas gestionar.

Cómo aceptar o rechazar solicitudes de conexión

Si tu servicio está configurado para aceptar conexiones según el proyecto del consumidor, los proyectos que intentaron conectarse a este servicio se enumeran en la sección Proyectos conectados. Marca la casilla de verificación junto a uno o más proyectos y, luego, haz clic en Aceptar proyecto o Rechazar proyecto.
Si tu servicio está configurado para aceptar extremos individuales de Private Service Connect, haz clic en Awaiting approval para ver los extremos que intentaron conectarse a este servicio. Marca la casilla de verificación junto a uno o más extremos y, luego, haz clic en Aceptar extremo o Rechazar extremo.
Si tu servicio está configurado para aceptar consumidores según la red de VPC, solo puedes aceptar o rechazar conexiones actualizando tus listas de aceptación y rechazo de consumidores, como se describe en la siguiente sección.

Actualiza las listas de aceptación y rechazo del consumidor

Haz clic en Editar detalles del servicio.
Opcional: Selecciona una nueva preferencia de conexión.
Completa el siguiente paso aplicable. Puedes repetir este paso para cada consumidor que desees agregar.
- En Aceptar conexiones para los proyectos seleccionados, haz clic en Agregar proyecto aceptado y, luego, ingresa el proyecto y el límite de conexión.
- En Aceptar conexiones para las redes seleccionadas, haz clic en Agregar red aceptada y, luego, ingresa el proyecto, la red de VPC y el límite de conexión.
- En Aceptar conexiones para los extremos seleccionados, haz clic en Agregar extremo aceptado y, luego, ingresa el proyecto y el ID del extremo.
  
  Para encontrar el ID de un extremo, consulta el servicio publicado y verifica el valor de ID de extremo en la sección En espera de aprobación.

gcloud

Para ver las conexiones existentes y pendientes del adjunto del servicio que deseas modificar, usa el comando gcloud compute service-attachments describe.

gcloud compute service-attachments describe ATTACHMENT_NAME \
    --region=REGION

Reemplaza lo siguiente:

ATTACHMENT_NAME: Es el nombre del adjunto de servicio.
REGION: la región del adjunto de servicio.

El resultado es similar al siguiente ejemplo. Si hay conexiones de consumidores pendientes, se enumeran con el estado PENDING. El URI basado en el ID del extremo de Private Service Connect que puedes usar para aceptar o rechazar extremos individuales se muestra en el campo endpointWithId.

En este resultado de ejemplo, el proyecto CONSUMER_PROJECT_1 está en la lista de aceptación, por lo que se acepta ENDPOINT_1 y se puede conectar al servicio. El proyecto CONSUMER_PROJECT_2 no está en la lista de aceptación, por lo que ENDPOINT_2 está pendiente. Después de agregar CONSUMER_PROJECT_2 a la lista de aceptación, el estado de ENDPOINT_2 cambia a ACCEPTED y el extremo puede conectarse al servicio.

connectedEndpoints:
- consumerNetwork: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_1/global/networks/CONSUMER_NETWORK_1
  endpoint: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_1/regions/REGION_1/forwardingRules/ENDPOINT_1
  endpointWithId: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_1/regions/REGION_1/forwardingRules/RESOURCE_ID_1
  pscConnectionId: 'ENDPOINT_1_ID'
  status: ACCEPTED
- consumerNetwork: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_2/global/networks/CONSUMER_NETWORK_2
  endpoint: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/ENDPOINT_2
  endpointWithId: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/RESOURCE_ID_2
  pscConnectionId: 'ENDPOINT_2_ID'
  status: PENDING
connectionPreference: ACCEPT_MANUAL
consumerAcceptLists:
- connectionLimit: LIMIT_1
  projectIdOrNum: CONSUMER_PROJECT_1
creationTimestamp: 'TIMESTAMP'
description: 'DESCRIPTION'
enableProxyProtocol: false
fingerprint: FINGERPRINT
id: 'ID'
kind: compute#serviceAttachment
name: NAME
natSubnets:
- https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/subnetworks/PSC_SUBNET
pscServiceAttachmentId:
  high: 'PSC_ATTACH_ID_HIGH'
  low: 'PSC_ATTACH_ID_LOW'
region: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION
selfLink: https://www.googleapis.com/compute/v1/projects/projects/PRODUCER_PROJECT/regions/REGION/serviceAttachments/ATTACHMENT_NAME
targetService: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/forwardingRules/PRODUCER_FWD_RULE

Para aceptar o rechazar conexiones de consumidores, haz lo siguiente.
- Para aceptar o rechazar consumidores según el proyecto o la red de VPC, usa el comando gcloud compute service-attachments update.
  
  Puedes especificar --consumer-accept-list o --consumer-reject-list, o ambos. Puedes especificar varios valores en --consumer-accept-list y --consumer-reject-list. Puedes incluir proyectos o redes de VPC, pero no una combinación de proyectos y redes.
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --consumer-accept-list=ACCEPTED_PROJECT_OR_NETWORK_1=LIMIT_1,ACCEPTED_PROJECT_OR_NETWORK_2=LIMIT_2 \
    --consumer-reject-list=REJECTED_PROJECT_OR_NETWORK_1,REJECTED_PROJECT_OR_NETWORK_2
```
  Reemplaza lo siguiente:
  - ATTACHMENT_NAME: Es el nombre del adjunto de servicio.
  - REGION: Es la región en la que se encuentra el adjunto de servicio.
  - ACCEPTED_PROJECT_OR_NETWORK_1 y ACCEPTED_PROJECT_OR_NETWORK_2: Son los ID del proyecto, los nombres de los proyectos o las URL de la red que se aceptarán. --consumer-accept-list es opcional y puede contener uno o más proyectos o redes, pero no una combinación de ambos tipos.
  - LIMIT_1 y LIMIT_2: Son los límites de conexión de los proyectos o redes. El límite de conexiones es la cantidad de extremos del consumidor que se pueden conectar a este servicio.
  - REJECTED_PROJECT_OR_NETWORK_1 y REJECTED_PROJECT_OR_NETWORK_2: Son los IDs del proyecto, los nombres de los proyectos o las URLs de la red que se rechazarán. --consumer-reject-list es opcional y puede contener uno o más proyectos o redes, pero no una combinación de ambos tipos.
- Para aceptar o rechazar extremos individuales de Private Service Connect, usa el comando gcloud compute service-attachments update.
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --consumer-accept-list=ACCEPTED_ENDPOINT_URI_1,ACCEPTED_ENDPOINT_URI_2 \
    --consumer-reject-list=REJECTED_ENDPOINT_URI_1,REJECTED_ENDPOINT_URI_2
```
  Reemplaza lo siguiente:
  - ACCEPTED_ENDPOINT_URI_1 y ACCEPTED_ENDPOINT_URI_2: Son los URIs basados en ID de uno o más extremos de Private Service Connect que se aceptarán. Para encontrar el URI basado en el ID de un extremo de Private Service Connect, describe un adjunto de servicio conectado y verifica el campo endpointWithId, o bien describe el extremo de Private Service Connect y verifica el campo selfLinkWithId. --consumer-accept-list es opcional.
    
    Por ejemplo, el URI basado en el ID del extremo de Private Service Connect pendiente en el resultado de ejemplo al comienzo de esta sección es https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/RESOURCE_ID_2.
  - REJECTED_ENDPOINT_URI_1 y REJECTED_ENDPOINT_URI_2: Son los URIs basados en ID de uno o más extremos de Private Service Connect que se rechazarán. --consumer-reject-list es opcional.

API

Para describir el adjunto de servicio que deseas modificar, envía una solicitud al método serviceAttachments.get.

Método HTTP y URL:
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Reemplaza lo siguiente:
- PROJECT_ID: Es el proyecto del adjunto de servicio.
- REGION: Es la región del adjunto del servicio.
- ATTACHMENT_NAME: Es el nombre del adjunto de servicio.
Si hay conexiones de consumidores pendientes, se enumeran con el estado PENDING. El URI basado en el ID del extremo de Private Service Connect que puedes usar para aceptar o rechazar extremos individuales se muestra en el campo endpointWithId.

Toma nota del valor de fingerprint, que usarás en el paso siguiente.
Para aceptar o rechazar proyectos o redes de consumidor, envía una solicitud al método serviceAttachments.patch.

Puedes cambiar entre aceptar y rechazar consumidores por proyecto o red de VPC, pero no puedes incluir una combinación de proyectos y redes en la misma solicitud.
- Para aceptar o rechazar a los consumidores en función del proyecto, envía la siguiente solicitud.
  
  Método HTTP y URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
  Cuerpo JSON de la solicitud:
```
{
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2"
  ],
  "fingerprint" : "FINGERPRINT"
}
```
  Reemplaza lo siguiente:
  - PROJECT_ID: Es el proyecto del adjunto de servicio.
  - REGION: Es la región del adjunto del servicio.
  - ATTACHMENT_NAME: Es el nombre del adjunto de servicio.
  - ACCEPTED_PROJECT_1 y ACCEPTED_PROJECT_2: Los ID o los números de los proyectos que se aceptarán. consumerAcceptList es opcional y puede contener uno o más proyectos.
  - LIMIT_1 y LIMIT_2: Son los límites de conexión de los proyectos. El límite de conexiones es la cantidad de extremos del consumidor que se pueden conectar a este servicio.
  - REJECTED_PROJECT_1 y REJECTED_PROJECT_2: Son los ID o los números de los proyectos que se rechazarán. consumerRejectList es opcional y puede contener uno o más proyectos.
  - FINGERPRINT: Es la huella digital actualizada de la vinculación del servicio que encontraste en el paso anterior.
- Para aceptar o rechazar consumidores según la red de VPC, envía la siguiente solicitud.
  
  Método HTTP y URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
  Cuerpo JSON de la solicitud:
```
{
  "consumerAcceptLists": [
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_1/global/network/ACCEPTED_NETWORK_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_2/global/network/ACCEPTED_NETWORK_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "projects/REJECTED_PROJECT_ID_1/global/networks/REJECTED_NETWORK_1",
    "projects/REJECTED_PROJECT_ID_2/global/network/REJECTED_NETWORK_2"
  ],
  "fingerprint": "FINGERPRINT"
}
```
  Reemplaza lo siguiente:
  - ACCEPTED_PROJECT_ID_1 y ACCEPTED_PROJECT_ID_2: Son los ID de los proyectos superiores de las redes que deseas aceptar. consumerAcceptLists es opcional y puede contener una o más redes.
  - ACCEPTED_NETWORK_1 y ACCEPTED_NETWORK_2: Son los nombres de las redes que deseas aceptar.
  - LIMIT_1 y LIMIT_2: Son los límites de conexión de las redes. El límite de conexiones es la cantidad de extremos del consumidor que se pueden conectar a este servicio.
  - REJECTED_PROJECT_ID_1 y REJECTED_PROJECT_ID_2: son los ID de los proyectos superiores de las redes que deseas rechazar. consumerRejectLists es opcional y puede contener una o más redes.
  - REJECTED_NETWORK_1 y REJECTED_NETWORK_2: Son los nombres de las redes que deseas rechazar.
- Para aceptar o rechazar a los consumidores en función de los extremos individuales de Private Service Connect, envía la siguiente solicitud.
  
  Método HTTP y URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
  Cuerpo JSON de la solicitud:
```
{
  "consumerAcceptLists": [
    {
      "endpointUrl": "ACCEPTED_ENDPOINT_URI_1"
    },
    {
      "endpointUrl": "ACCEPTED_ENDPOINT_URI_2"
    }
  ],
  "consumerRejectLists": [
    "REJECTED_ENDPOINT_URI_1",
    "REJECTED_ENDPOINT_URI_2"
  ],
  "fingerprint": "FINGERPRINT"
}
```
  Reemplaza lo siguiente:
  - ACCEPTED_ENDPOINT_URI_1 y ACCEPTED_ENDPOINT_URI_2: Son los URIs basados en ID de uno o más extremos de Private Service Connect que se aceptarán. Para encontrar el URI basado en el ID de un extremo de Private Service Connect, describe un adjunto de servicio conectado y verifica el campo endpointWithId, o bien describe el extremo y verifica el campo selfLinkWithId. Un ejemplo de URI basado en ID es https://www.googleapis.com/compute/v1/projects/consumer-project/regions/us-central1/forwardingRules/1234567890.
    
    Esta lista es opcional.
  - REJECTED_ENDPOINT_URI_1 y REJECTED_ENDPOINT_URI_2: Son los URIs basados en ID de uno o más extremos de Private Service Connect que se rechazarán. Esta lista es opcional.

Cambia la preferencia de conexión de un servicio publicado

Puedes cambiar entre la aceptación automática y explícita del consumidor para un servicio publicado. El efecto que este cambio tiene en las conexiones existentes depende de si la conciliación de conexiones está habilitada para el adjunto de servicio.

Si la conciliación de conexiones está inhabilitada, cambiar la preferencia de conexión no afecta las conexiones existentes de ACCEPTED o REJECTED:

Cuando cambias de la aceptación automática a la explícita, las conexiones nuevas deben estar en la lista de aceptación del consumidor para ser ACCEPTED.
Cuando cambias de la aceptación explícita a la aceptación automática, todas las conexiones PENDING existentes se ACCEPTED automáticamente.

Si la conciliación de conexiones está habilitada, todas las conexiones existentes se vuelven a evaluar según la nueva preferencia de conexión:

Cuando cambias de la aceptación automática a la explícita, las conexiones existentes de los consumidores que no están en la lista de aceptación del consumidor cambian a PENDING y se finalizan.
Cuando cambias de la aceptación explícita a la automática, todas las conexiones existentes de PENDING y REJECTED cambian a ACCEPTED.

Para obtener más información sobre cómo actualizar la lista de aceptación del consumidor de un servicio, consulta Administra solicitudes de acceso a un servicio publicado.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.serviceAttachments.update

Funciones

Consulta Roles para obtener información sobre las funciones.

Console

En la consola de Google Cloud , ve a la página Private Service Connect.

Ir a Private Service Connect
Haz clic en la pestaña Servicios publicados.
Haz clic en el servicio que deseas actualizar y, luego, en Editar detalles del servicio.
Selecciona la nueva preferencia de conexión que se usará para este servicio.
Opcional: Si cambias a usar la aceptación explícita, puedes agregar consumidores a tu lista de aceptación ahora o más adelante. Para aceptar consumidores, realiza una de las siguientes acciones. Puedes repetir este paso para cada consumidor que desees agregar.
- En Aceptar conexiones para los proyectos seleccionados, haz clic en Agregar proyecto aceptado y, luego, ingresa el proyecto y el límite de conexión.
- En Aceptar conexiones para las redes seleccionadas, haz clic en Agregar red aceptada y, luego, ingresa el proyecto, la red de VPC y el límite de conexión.
- En Aceptar conexiones para los extremos seleccionados, haz clic en Agregar extremo aceptado y, luego, ingresa el proyecto y el ID del extremo.
Haz clic en Guardar.

gcloud

Para cambiar la preferencia de conexión del adjunto de servicio de ACCEPT_AUTOMATIC a ACCEPT_MANUAL, usa el comando gcloud compute service-attachments update.

Puedes controlar qué proyectos pueden conectarse a tu servicio mediante --consumer-accept-list y --consumer-reject-list. Puedes configurar las listas de aceptación y rechazo cuando cambias la preferencia de conexión, o actualizar las listas más tarde.
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_MANUAL \
    [ --consumer-accept-list=ACCEPTED_PROJECT_OR_NETWORK_1=LIMIT_1,ACCEPTED_PROJECT_OR_NETWORK_2=LIMIT_2] \
    [ --consumer-reject-list=REJECTED_PROJECT_OR_NETWORK_1,REJECTED_PROJECT_OR_NETWORK_2 ]
```
Reemplaza lo siguiente:
- ATTACHMENT_NAME: Es el nombre del adjunto de servicio.
- REGION: Es la región en la que se encuentra el adjunto de servicio.
- ACCEPTED_PROJECT_OR_NETWORK_1 y ACCEPTED_PROJECT_OR_NETWORK_2: Son los ID del proyecto, los nombres de los proyectos o las URL de la red que se aceptarán. --consumer-accept-list es opcional y puede contener uno o más proyectos o redes, pero no una combinación de ambos tipos.
- LIMIT_1 y LIMIT_2: Son los límites de conexión de los proyectos. El límite de conexiones es la cantidad de extremos de consumidor que se pueden conectar a este servicio.
- REJECTED_PROJECT_OR_NETWORK_1 y REJECTED_PROJECT_OR_NETWORK_2: Son los IDs del proyecto, los nombres de los proyectos o las URLs de la red que se rechazarán. --consumer-reject-list es opcional y puede contener uno o más proyectos o redes, pero no una combinación de ambos tipos.
Para cambiar la preferencia de conexión del adjunto de servicio de ACCEPT_MANUAL a ACCEPT_AUTOMATIC, usa el siguiente comando.

Si tienes valores en la lista de aceptación o rechazo, configúralos como vacíos cuando cambies la preferencia de conexión ("").
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_AUTOMATIC \
    --consumer-accept-list="" \
    --consumer-reject-list=""
```
Reemplaza lo siguiente:
- ATTACHMENT_NAME: Es el nombre del adjunto de servicio.
- REGION: Es la región en la que se encuentra el adjunto de servicio.

API

Para obtener el fingerprint del adjunto de servicio, envía una solicitud al método serviceAttachments.get.

Método HTTP y URL:
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Reemplaza lo siguiente:
- PROJECT_ID: Es el proyecto del adjunto de servicio.
- REGION: Es la región del adjunto del servicio.
- ATTACHMENT_NAME: Es el nombre del adjunto de servicio.
Toma nota del valor de fingerprint, que usarás en el paso siguiente.
Para cambiar la preferencia de conexión del adjunto de servicio, envía una solicitud al método serviceAttachments.patch.
- Para cambiar la preferencia de conexión de ACCEPT_AUTOMATIC a ACCEPT_MANUAL y actualizar las listas de aceptación y rechazo del consumidor según el proyecto, realiza la siguiente solicitud.
  
  Método HTTP y URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
  Cuerpo JSON de la solicitud:
```
{
  "connectionPreference": "ACCEPT_MANUAL",
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1"
      "connectionLimit": "LIMIT_1",
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2"
      "connectionLimit": "LIMIT_2",
    }
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2",
  ],
  "fingerprint" : "FINGERPRINT"
}
```
  Reemplaza lo siguiente:
  - PROJECT_ID: Es el proyecto del adjunto de servicio.
  - REGION: Es la región del adjunto del servicio.
  - ATTACHMENT_NAME: Es el nombre del adjunto de servicio.
  - ACCEPTED_PROJECT_1 y ACCEPTED_PROJECT_2: Son los ID o los números de los proyectos que se aceptarán. consumerAcceptList es opcional y puede contener uno o más proyectos.
  - LIMIT_1 y LIMIT_2: Son los límites de conexión de los proyectos. El límite de conexiones es la cantidad de extremos del consumidor que se pueden conectar a este servicio.
  - REJECTED_PROJECT_1 y REJECTED_PROJECT_2: Son los ID o los números de los proyectos que se rechazarán. consumerRejectList es opcional y puede contener uno o más proyectos.
  - FINGERPRINT: Es la huella digital actualizada del adjunto de servicio que encontraste en el paso 1.
- Para cambiar la preferencia de conexión de ACCEPT_AUTOMATIC a ACCEPT_MANUAL y actualizar las listas de aceptación y rechazo del consumidor según la red de VPC, realiza la siguiente solicitud.
  
  Método HTTP y URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
  Cuerpo JSON de la solicitud:
```
{
  "connectionPreference": "ACCEPT_MANUAL",
  "consumerAcceptLists": [
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_1/global/networks/ACCEPTED_NETWORK_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_2/global/networks/ACCEPTED_NETWORK_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "projects/REJECTED_PROJECT_ID_1/global/networks/REJECTED_NETWORK_1",
    "projects/REJECTED_PROJECT_ID_2/global/network/REJECTED_NETWORK_2"
  ],
  "fingerprint" : "FINGERPRINT"
}
```
  Reemplaza lo siguiente:
  - ACCEPTED_PROJECT_ID_1 y ACCEPTED_PROJECT_ID_2: Son los ID de los proyectos superiores de las redes que deseas aceptar. consumerAcceptLists es opcional y puede contener una o más redes.
  - ACCEPTED_NETWORK_1 y ACCEPTED_NETWORK_2: Son los nombres de las redes que deseas aceptar.
  - LIMIT_1 y LIMIT_2: Son los límites de conexión de las redes. El límite de conexiones es la cantidad de extremos del consumidor que se pueden conectar a este servicio.
  - REJECTED_PROJECT_ID_1 y REJECTED_PROJECT_ID_2: son los ID de los proyectos superiores de las redes que deseas rechazar. consumerRejectLists es opcional y puede contener una o más redes.
  - REJECTED_NETWORK_1 y REJECTED_NETWORK_2: Son los nombres de las redes que deseas rechazar.
  - FINGERPRINT: Es la huella digital actualizada del adjunto de servicio que encontraste en el paso 1.

Para cambiar la preferencia de conexión del adjunto de servicio de ACCEPT_MANUAL a ACCEPT_AUTOMATIC, realiza la siguiente solicitud.

Si los campos consumerAcceptLists o consumerRejectLists especifican algún consumidor, configúralos como vacíos cuando cambies la preferencia de conexión a ACCEPT_AUTOMATIC.

Método HTTP y URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Cuerpo JSON de la solicitud:
```
{
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "consumerAcceptLists": [ ],
  "consumerRejectLists": [ ],
  "fingerprint" : "FINGERPRINT"
}
```
Reemplaza lo siguiente:
- PROJECT_ID: Es el proyecto del adjunto de servicio.
- REGION: Es la región del adjunto del servicio.
- ATTACHMENT_NAME: Es el nombre del adjunto de servicio.
- FINGERPRINT: Es la huella digital actualizada del adjunto de servicio que encontraste en el paso 1.

Quita los extremos obsoletos de las listas de consumidores

Si tus listas de aceptación y rechazo del consumidor están configuradas para usar extremos individuales, un valor puede permanecer en las listas después de que un consumidor borre el extremo correspondiente. Para simplificar la administración de tus listas de consumidores, puedes usar el comando gcloud compute service-attachments update para quitar los valores de los extremos que ya no existen. Esta función solo se admite en la Google Cloud CLI.

gcloud

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --remove-obsolete-endpoint-accept-reject-entries

Reemplaza lo siguiente:

ATTACHMENT_NAME: Es el nombre del adjunto de servicio que se actualizará.
REGION: Es la región del adjunto del servicio.

Configura la conciliación de la conexión

Puedes habilitar o inhabilitar la conciliación de conexiones para los adjuntos de servicio existentes.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.serviceAttachments.update

Funciones

Consulta Roles para obtener información sobre las funciones.

Console

En la consola de Google Cloud , ve a la página Private Service Connect.

Ir a Private Service Connect
Haz clic en la pestaña Servicios publicados.
Haz clic en el servicio que deseas actualizar y, luego, en Editar detalles del servicio.
Selecciona o desmarca la casilla de verificación Habilitar conciliación de conexiones y, luego, haz clic en Guardar.

gcloud

Para habilitar la conciliación de conexiones, usa el comando service-attachments update.
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --reconcile-connections
```
Reemplaza lo siguiente:
- ATTACHMENT_NAME: Es el nombre del adjunto de servicio.
- REGION: la región del adjunto de servicio.

Para inhabilitar la conciliación de conexiones, usa el siguiente comando:

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --no-reconcile-connections

API

Para obtener el fingerprint del adjunto de servicio, envía una solicitud al método serviceAttachments.get.

Método HTTP y URL:
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Reemplaza lo siguiente:
- PROJECT_ID: Es el proyecto del adjunto de servicio.
- REGION: Es la región del adjunto del servicio.
- ATTACHMENT_NAME: Es el nombre del adjunto de servicio.
Toma nota del valor de fingerprint, que usarás en el paso siguiente.
Envía una solicitud al método serviceAttachments.patch.

Método HTTP y URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Cuerpo JSON de la solicitud:
```
{
  "reconcileConnections": RECONCILIATION,
  "fingerprint": "FINGERPRINT"
}
```
Reemplaza lo siguiente:
- PROJECT_ID: Es el proyecto del adjunto de servicio.
- REGION: Es la región del adjunto del servicio.
- ATTACHMENT_NAME: Es el nombre del adjunto de servicio.
- RECONCILIATION: Indica si se debe habilitar la reconciliación de conexiones. Las opciones son true o false.
- FINGERPRINT: Es la huella digital actualizada de la vinculación del servicio que encontraste en el paso anterior.

Agrega o quita subredes de un servicio publicado

Puedes editar un servicio publicado para agregar subredes de Private Service Connect.

Por ejemplo, es posible que debas hacer que más direcciones IP estén disponibles para un servicio existente. Para agregar más direcciones, realiza una de las siguientes acciones:

Crea otra subred de Private Service Connect y edita el adjunto del servicio para agregar la subred nueva.
Edita la subred para expandir el rango IPv4.

Del mismo modo, puedes editar un servicio publicado para quitar subredes de Private Service Connect. Sin embargo, si alguna de las direcciones IP de la subred se usa para realizar SNAT para Private Service Connect, la eliminación de la subred falla.

Si cambias la configuración de la subred, actualiza tus reglas de firewall para permitir que las solicitudes de las subredes nuevas lleguen a las VMs de backend.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.serviceAttachments.update

Funciones

Consulta Roles para obtener información sobre las funciones.

Console

En la consola de Google Cloud , ve a la página Private Service Connect.

Ir a Private Service Connect
Haz clic en la pestaña Servicios publicados.
Haz clic en el servicio que deseas actualizar y, luego, en Editar detalles del servicio.
Modifica las subredes que se usan para este servicio.

Si deseas agregar una subred nueva, puedes crear una:
1. Haz clic en Reservar subred nueva.
2. Ingresa un Nombre y una Descripción opcional para la subred.
3. Selecciona una Región para la subred.
4. Ingresa el Rango de IP que se usará en la subred y haz clic en Agregar.
Haz clic en Guardar.

gcloud

Para actualizar las subredes de Private Service Connect que se usan para este adjunto de servicio, usa el comando gcloud compute service-attachments update.

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --nat-subnets=PSC_SUBNET_LIST

Reemplaza lo siguiente:

ATTACHMENT_NAME: Es el nombre del adjunto de servicio.
REGION: Es la región en la que se encuentra el adjunto de servicio.
PSC_SUBNET_LIST: Una lista separada por comas de una o más subredes que se usarán con este adjunto de servicio.

API

Para obtener el fingerprint del adjunto de servicio, envía una solicitud al método serviceAttachments.get.

Método HTTP y URL:
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Reemplaza lo siguiente:
- PROJECT_ID: Es el proyecto del adjunto de servicio.
- REGION: Es la región del adjunto del servicio.
- ATTACHMENT_NAME: Es el nombre del adjunto de servicio.
Toma nota del valor de fingerprint, que usarás en el paso siguiente.
Para actualizar las subredes de Private Service Connect que se usan para este adjunto de servicio, envía una solicitud al método serviceAttachments.patch.

Método HTTP y URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Cuerpo JSON de la solicitud:
```
{
  "natSubnets": [
  "PSC_SUBNET1_URI",
  "PSC_SUBNET2_URI"
  ],
  "fingerprint": "FINGERPRINT"
}
```
Reemplaza lo siguiente:
- PROJECT_ID: Es el proyecto del adjunto de servicio.
- REGION: Es la región del adjunto del servicio.
- ATTACHMENT_NAME: Es el nombre del adjunto de servicio.
- PSC_SUBNET1_URI y PSC_SUBNET2_URI: Son los URI de las subredes que deseas usar con este adjunto de servicio. Puedes especificar una subred o más.
- FINGERPRINT: Es la huella digital actualizada de la vinculación del servicio que encontraste en el paso anterior.

Actualiza el servicio de destino

En el caso de las configuraciones compatibles, puedes actualizar un adjunto de servicio para que apunte a un servicio diferente. Para obtener información sobre las limitaciones y las configuraciones compatibles, consulta Mutabilidad del servicio.

Cuando actualizas un servicio de destino, el tráfico se interrumpe por un breve tiempo. Sin embargo, los consumidores no reciben una notificación automática de que el servicio no funciona, y la actualización de un servicio de destino no afecta los estados de conexión de los consumidores conectados.

Prepárate para la actualización

Los pasos que se indican en las siguientes secciones son opcionales. En la mayoría de los casos, puedes ir directamente a la sección Actualiza la vinculación de servicio, a menos que quieras hacer lo siguiente:

Si deseas indicar explícitamente el tiempo de inactividad a los consumidores actualizando los estados de conexión a REJECTED, completa los pasos de la sección Indica el tiempo de inactividad a los consumidores.
Si deseas crear una instancia de prueba para verificar cuándo se restablece la conectividad con el servicio, completa los pasos de la sección Prepara un consumidor de prueba.

Señala el tiempo de inactividad a los consumidores durante una actualización

Para informar de forma explícita a los consumidores que el servicio no está disponible, completa los siguientes pasos opcionales:

Asegúrate de que la conciliación de conexión esté habilitada para el adjunto de servicio.
Agrega todos los consumidores de la lista de aceptación a la lista de rechazo. Esto cambia los estados de conexión a REJECTED.
Una vez que se complete la actualización, quita los consumidores de la lista de rechazo para que los estados de conexión vuelvan a ser ACCEPTED.

Prepara un consumidor de prueba

Para verificar cuándo se restablece la conectividad con el servicio, puedes enviar paquetes de sondeo al servicio desde una instancia de prueba de forma opcional. Para configurar la prueba, haz lo siguiente:

Crea una red de VPC de prueba en tu proyecto.
En la red de VPC de prueba, haz lo siguiente:
- Crea un extremo de Private Service Connect que se conecte a tu adjunto de servicio.
- Crea una instancia de prueba.
Prepara una de las siguientes formas para probar la conexión:
- Configura las pruebas de conectividad para probar la conectividad entre tu VM de prueba y el extremo. Puedes volver a probar la conexión después de la actualización para determinar cuándo se restablece.
- Si deseas enviar paquetes de sondeo de forma manual, conéctate a la instancia de prueba y verifica que puedas acceder a la dirección IP del extremo con una herramienta como curl.

Actualiza el adjunto del servicio

Para actualizar el servicio de destino de la vinculación de servicio, haz lo siguiente:

Para actualizar un servicio de destino de reenvío de protocolos internos o cambiar a uno, debes usar gcloud CLI o enviar una solicitud a la API.

Console

En la consola de Google Cloud , ve a la página Private Service Connect.

Ir a Private Service Connect
Haz clic en la pestaña Servicios publicados.
Haz clic en el servicio que deseas actualizar.
Haz clic en Editar detalles del servicio.
Selecciona el tipo de balanceador de cargas de tu nuevo servicio de destino.
Selecciona la regla de reenvío de tu nuevo servicio de destino.
Haz clic en Guardar.

gcloud

Usa el comando gcloud compute service-attachments update

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --target-service=TARGET_SERVICE

Reemplaza lo siguiente:

ATTACHMENT_NAME: Es el nombre del adjunto de servicio que se actualizará.
REGION: la región del adjunto de servicio.
TARGET_SERVICE: Es el URI del nuevo servicio de destino, con el siguiente formato: projects/PROJECT_ID/regions/RULE_REGION/forwardingRules/RULE_NAME

API

Para obtener el fingerprint del adjunto de servicio, envía una solicitud al método serviceAttachments.get.

Método HTTP y URL:
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Reemplaza lo siguiente:
- PROJECT_ID: Es el proyecto del adjunto de servicio.
- REGION: Es la región del adjunto del servicio.
- ATTACHMENT_NAME: Es el nombre del adjunto de servicio.
Toma nota del valor de fingerprint, que usarás en el paso siguiente.
Envía una solicitud al método serviceAttachments.patch.

Método HTTP y URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Cuerpo JSON de la solicitud:
```
{
  "targetService": "TARGET_SERVICE",
  "fingerprint": "FINGERPRINT"
}
```
Reemplaza lo siguiente:
- TARGET_SERVICE: Es el URI del nuevo servicio de destino, con el siguiente formato: projects/PROJECT_ID/regions/RULE_REGION/forwardingRules/RULE_NAME
- FINGERPRINT: Es la huella digital actualizada de la vinculación del servicio que encontraste en el paso anterior.

Verifica la actualización y restablece el acceso

Si creaste una instancia y una red de VPC de prueba, verifica que la actualización se haya completado y que el servicio esté disponible. Este paso es opcional. Realiza una de las siguientes acciones:

Si creaste una prueba con las Pruebas de conectividad, vuelve a ejecutarla. Cuando el análisis del plano de datos en vivo de una prueba muestra que todos los paquetes se entregaron correctamente, la actualización se completa.
Envía manualmente paquetes de sondeo desde la instancia de prueba al servicio de destino. Cuando la instancia recibe respuestas correctamente, la actualización se completa.

Cuando se restablezca la conectividad, haz lo siguiente:

Si agregaste consumidores a la lista de rechazo, quítalos de la lista para indicar que el servicio está disponible.
Si creaste recursos para verificar cuando se complete la actualización, sigue estos pasos para borrarlos y evitar cargos innecesarios:

Actualiza el límite de conexiones propagadas de un servicio publicado

Puedes actualizar el límite de conexiones propagadas de un adjunto de servicio. Cuando aumentas el límite, Google Cloud verifica automáticamente si puede crearse alguna conexión propagada pendiente. Cuando reduces el límite, las conexiones propagadas existentes no se ven afectadas. Sin embargo, los intentos de restablecer datos o conexiones propagadas rechazadas podrían bloquearse si se alcanza el nuevo límite.

Console

En la consola de Google Cloud , ve a la página Private Service Connect.

Ir a Private Service Connect
Haz clic en la pestaña Servicios publicados.
Haz clic en el servicio que deseas actualizar y, luego, en Editar detalles del servicio.
Haz clic en Configuración avanzada.
Ingresa el nuevo límite de conexiones propagadas de NCC.

gcloud

Usa el comando gcloud compute service-attachments update.

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --propagated-connection-limit=LIMIT

Reemplaza lo siguiente:

ATTACHMENT_NAME: Es el nombre del adjunto de servicio.
REGION: Es la región en la que se encuentra el adjunto de servicio.
LIMIT: el valor nuevo para el límite de conexiones propagadas.

API

Para obtener el fingerprint del adjunto de servicio, envía una solicitud al método serviceAttachments.get.

Método HTTP y URL:
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Reemplaza lo siguiente:
- PROJECT_ID: Es el proyecto del adjunto de servicio.
- REGION: Es la región del adjunto del servicio.
- ATTACHMENT_NAME: Es el nombre del adjunto de servicio.
Toma nota del valor de fingerprint, que usarás en el paso siguiente.
Envía una solicitud al método serviceAttachments.patch.

Método HTTP y URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Cuerpo JSON de la solicitud:
```
{
  "propagatedConnectionLimit": LIMIT,
  "fingerprint": "FINGERPRINT"
}
```
Reemplaza lo siguiente:
- PROJECT_ID: Es el proyecto del adjunto de servicio.
- REGION: Es la región del adjunto del servicio.
- ATTACHMENT_NAME: Es el nombre del adjunto de servicio.
- LIMIT: el valor nuevo para el límite de conexiones propagadas.
- FINGERPRINT: Es la huella digital actualizada de la vinculación del servicio que encontraste en el paso anterior.