Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Gérer les services publiés

Cette page explique comment gérer les services publiés, y compris comment traiter les demandes d'accès à un service publié, configurer le rapprochement des connexions et mettre à jour un rattachement de service pour qu'il fasse référence à un nouveau service cible.

Chaque rattachement de service possède une préférence de connexion qui indique si les connexions sont automatiquement acceptées.

Accepter automatiquement toutes les connexions. Le rattachement de service accepte automatiquement toutes les requêtes de connexion entrantes de n'importe quel client.
Acceptez explicitement les connexions des consommateurs sélectionnés. Le rattachement de service n'accepte les requêtes de connexion entrantes que si le client figure sur la liste d'acceptation des rattachements de service. Vous pouvez spécifier les clients par projet, par réseau VPC ou par point de terminaison Private Service Connect individuel. Vous ne pouvez pas inclure différents types de consommateurs dans la même liste d'acceptation ou de refus.

Quelle que soit la préférence de connexion, les connexions acceptées peuvent être remplacées et refusées par une règle d'administration qui bloque les connexions entrantes.

Nous vous recommandons d'accepter explicitement les connexions pour les consommateurs sélectionnés. L'acceptation automatique de toutes les connexions peut être appropriée si vous contrôlez l'accès des clients par d'autres moyens et que vous souhaitez offrir un accès permissif à votre service.

Pour en savoir plus sur la publication d'un service, consultez la section Publier un service.

Rôles

Le rôle IAM suivant fournit les autorisations nécessaires pour effectuer les tâches décrites dans ce guide.

Administrateur de réseaux Compute (roles/compute.networkAdmin)

Gérer l'accès à un service publié

Si vous avez publié un service avec une approbation explicite, vous pouvez accepter ou refuser des connexions en mettant à jour vos listes de clients. Pour accepter une connexion, vous devez ajouter le projet, le réseau VPC ou le point de terminaison Private Service Connect individuel du client qui en fait la demande à la liste d'acceptation des clients d'un service. Vous pouvez refuser explicitement des connexions en mettant à jour la liste de refus des clients de la même manière.

Vous pouvez ajouter des projets ou des réseaux VPC aux listes de clients avant ou après que le client a demandé une connexion. Vous ne pouvez ajouter des points de terminaison qu'après une demande de connexion, car l'URI d'un point de terminaison n'est connu qu'une fois le point de terminaison créé.

Toutes les valeurs des listes de consommateurs doivent être du même type. Par exemple, vous ne pouvez pas accepter certaines connexions en fonction du projet consommateur et d'autres en fonction des points de terminaison individuels. Si vous ajoutez la même valeur à la liste d'acceptation et à la liste de refus, les requêtes de connexion de ce consommateur sont refusées.

Par défaut, les modifications apportées aux listes de consommateurs n'affectent que les connexions nouvelles ou en attente. Les connexions précédemment acceptées ne sont pas interrompues, sauf si vous avez activé le rapprochement des connexions.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.serviceAttachments.update

Rôles

Pour en savoir plus sur les rôles, consultez la section Rôles.

Console

Vous pouvez gérer l'accès à un service avec approbation explicite en acceptant ou en refusant les demandes de connexion existantes, ou en mettant à jour les listes d'acceptation et de refus des utilisateurs. Les deux méthodes ont le même résultat et mettent à jour les mêmes listes de consommateurs.

Afficher les détails d'un service publié

Dans la console Google Cloud , accédez à la page Private Service Connect.

Accéder à Private Service Connect
Cliquez sur l'onglet Services publiés.
Cliquez sur le service que vous souhaitez gérer.

Accepter ou refuser des demandes d'association

Si votre service est configuré pour accepter les connexions en fonction du projet client, les projets qui ont tenté de se connecter à ce service sont listés dans la section Projets connectés. Cochez la case à côté d'un ou de plusieurs projets, puis cliquez sur Accepter le projet ou Refuser le projet.
Si votre service est configuré pour accepter des points de terminaison Private Service Connect individuels, cliquez sur En attente d'approbation pour afficher les points de terminaison qui ont tenté de se connecter à ce service. Cochez la case à côté d'un ou de plusieurs points de terminaison, puis cliquez sur Accepter le point de terminaison ou Refuser le point de terminaison.
Si votre service est configuré pour accepter les clients en fonction du réseau VPC, vous ne pouvez accepter ou refuser les connexions qu'en mettant à jour vos listes d'acceptation et de refus des clients, comme décrit dans la section suivante.

Mettre à jour les listes d'acceptation et de refus des clients

Cliquez sur Modifier les détails du service.
Facultatif : Sélectionnez une nouvelle préférence de connexion.
Suivez l'étape applicable ci-dessous. Vous pouvez répéter cette étape pour chaque consommateur que vous souhaitez ajouter.
- Pour Accepter les connexions pour les projets sélectionnés, cliquez sur Ajouter un projet accepté, puis saisissez le projet et la limite de connexion.
- Pour Accepter les connexions pour les réseaux sélectionnés, cliquez sur Ajouter un réseau accepté, puis saisissez le projet, le réseau VPC et la limite de connexion.
- Pour Accepter les connexions pour les points de terminaison sélectionnés, cliquez sur Ajouter un point de terminaison accepté, puis saisissez l'ID du projet et du point de terminaison.
  
  Pour trouver l'ID d'un point de terminaison, consultez le service publié et recherchez la valeur ID du point de terminaison dans la section En attente d'approbation.

gcloud

Pour afficher les connexions existantes et en attente pour le rattachement de service que vous souhaitez modifier, utilisez la commande gcloud compute service-attachments describe.

gcloud compute service-attachments describe ATTACHMENT_NAME \
    --region=REGION

Remplacez les éléments suivants :

ATTACHMENT_NAME : nom du rattachement de service.
REGION : région du rattachement de service.

Le résultat ressemble à celui de l'exemple ci-dessous. Si des connexions client sont en attente, elles sont répertoriées à l'état PENDING. L'URI basé sur l'ID du point de terminaison Private Service Connect que vous pouvez utiliser pour accepter ou refuser des points de terminaison individuels s'affiche dans le champ endpointWithId.

Dans cet exemple de résultat, le projet CONSUMER_PROJECT_1 figure dans la liste d'acceptation. Par conséquent, ENDPOINT_1 est accepté et peut se connecter au service. Le projet CONSUMER_PROJECT_2 ne figure pas sur la liste d'acceptation. Par conséquent, ENDPOINT_2 est en attente. Une fois que CONSUMER_PROJECT_2 est ajouté à la liste d'acceptation, l'état de ENDPOINT_2 devient ACCEPTED et le point de terminaison peut se connecter au service.

connectedEndpoints:
- consumerNetwork: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_1/global/networks/CONSUMER_NETWORK_1
  endpoint: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_1/regions/REGION_1/forwardingRules/ENDPOINT_1
  endpointWithId: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_1/regions/REGION_1/forwardingRules/RESOURCE_ID_1
  pscConnectionId: 'ENDPOINT_1_ID'
  status: ACCEPTED
- consumerNetwork: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_2/global/networks/CONSUMER_NETWORK_2
  endpoint: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/ENDPOINT_2
  endpointWithId: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/RESOURCE_ID_2
  pscConnectionId: 'ENDPOINT_2_ID'
  status: PENDING
connectionPreference: ACCEPT_MANUAL
consumerAcceptLists:
- connectionLimit: LIMIT_1
  projectIdOrNum: CONSUMER_PROJECT_1
creationTimestamp: 'TIMESTAMP'
description: 'DESCRIPTION'
enableProxyProtocol: false
fingerprint: FINGERPRINT
id: 'ID'
kind: compute#serviceAttachment
name: NAME
natSubnets:
- https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/subnetworks/PSC_SUBNET
pscServiceAttachmentId:
  high: 'PSC_ATTACH_ID_HIGH'
  low: 'PSC_ATTACH_ID_LOW'
region: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION
selfLink: https://www.googleapis.com/compute/v1/projects/projects/PRODUCER_PROJECT/regions/REGION/serviceAttachments/ATTACHMENT_NAME
targetService: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/forwardingRules/PRODUCER_FWD_RULE

Pour accepter ou refuser les connexions client, procédez comme suit.
- Pour accepter ou refuser les clients en fonction du projet ou du réseau VPC, utilisez la commande gcloud compute service-attachments update.
  
  Vous pouvez spécifier --consumer-accept-list, --consumer-reject-list, ou les deux. Vous pouvez spécifier plusieurs valeurs dans les champs --consumer-accept-list et --consumer-reject-list. Vous pouvez inclure des projets ou des réseaux VPC, mais pas une combinaison des deux.
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --consumer-accept-list=ACCEPTED_PROJECT_OR_NETWORK_1=LIMIT_1,ACCEPTED_PROJECT_OR_NETWORK_2=LIMIT_2 \
    --consumer-reject-list=REJECTED_PROJECT_OR_NETWORK_1,REJECTED_PROJECT_OR_NETWORK_2
```
  Remplacez les éléments suivants :
  - ATTACHMENT_NAME : nom du rattachement de service.
  - REGION : région où se trouve le rattachement de service.
  - ACCEPTED_PROJECT_OR_NETWORK_1 et ACCEPTED_PROJECT_OR_NETWORK_2 : ID de projet, noms de projet ou URL réseau à accepter. --consumer-accept-list est facultatif et peut contenir un ou plusieurs projets ou réseaux, mais pas une combinaison des deux types.
  - LIMIT_1 et LIMIT_2 : limites de connexion pour les projets ou les réseaux. La limite de connexion est le nombre de points de terminaison clients pouvant se connecter à ce service.
  - REJECTED_PROJECT_OR_NETWORK_1 et REJECTED_PROJECT_OR_NETWORK_2 : ID de projet, noms de projet ou URL de réseau à rejeter. --consumer-reject-list est facultatif et peut contenir un ou plusieurs projets ou réseaux, mais pas une combinaison des deux types.
- Pour accepter ou refuser des points de terminaison Private Service Connect individuels, utilisez la commande gcloud compute service-attachments update.
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --consumer-accept-list=ACCEPTED_ENDPOINT_URI_1,ACCEPTED_ENDPOINT_URI_2 \
    --consumer-reject-list=REJECTED_ENDPOINT_URI_1,REJECTED_ENDPOINT_URI_2
```
  Remplacez les éléments suivants :
  - ACCEPTED_ENDPOINT_URI_1 et ACCEPTED_ENDPOINT_URI_2 : URI basés sur l'ID d'un ou de plusieurs points de terminaison Private Service Connect à accepter. Pour trouver l'URI basé sur l'ID d'un point de terminaison Private Service Connect, décrivez un rattachement de service connecté et vérifiez le champ endpointWithId, ou décrivez le point de terminaison Private Service Connect et vérifiez le champ selfLinkWithId. --consumer-accept-list est facultatif.
    
    Par exemple, l'URI basé sur l'ID du point de terminaison Private Service Connect en attente dans l'exemple de résultat au début de cette section est https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/RESOURCE_ID_2.
  - REJECTED_ENDPOINT_URI_1 et REJECTED_ENDPOINT_URI_2 : URI basés sur l'ID d'un ou de plusieurs points de terminaison Private Service Connect à refuser. --consumer-reject-list est facultatif.

API

Pour décrire le rattachement de service que vous souhaitez modifier, envoyez une requête à la méthode serviceAttachments.get.

Méthode HTTP et URL :
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Remplacez les éléments suivants :
- PROJECT_ID : projet pour le rattachement de service.
- REGION : région du rattachement de service.
- ATTACHMENT_NAME : nom du rattachement de service.
Si des connexions client sont en attente, elles sont répertoriées à l'état PENDING. L'URI basé sur l'ID du point de terminaison Private Service Connect que vous pouvez utiliser pour accepter ou refuser des points de terminaison individuels s'affiche dans le champ endpointWithId.

Notez la valeur de fingerprint. Vous l'utiliserez à l'étape suivante.
Pour accepter ou refuser des projets ou réseaux de clients, envoyez une requête à la méthode serviceAttachments.patch.

Vous pouvez choisir d'accepter ou de refuser des clients par projet ou par réseau VPC, mais vous ne pouvez pas inclure à la fois des projets et des réseaux dans la même demande.
- Pour accepter ou refuser les clients en fonction du projet, envoyez la requête suivante.
  
  Méthode HTTP et URL :
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
  Corps JSON de la requête :
```
{
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2"
  ],
  "fingerprint" : "FINGERPRINT"
}
```
  Remplacez les éléments suivants :
  - PROJECT_ID : projet pour le rattachement de service.
  - REGION : région du rattachement de service.
  - ATTACHMENT_NAME : nom du rattachement de service.
  - ACCEPTED_PROJECT_1 et ACCEPTED_PROJECT_2 : ID ou numéros des projets à accepter. consumerAcceptList est facultatif et peut contenir un ou plusieurs projets.
  - LIMIT_1 et LIMIT_2 : limites de connexion pour les projets. La limite de connexion est le nombre de points de terminaison clients pouvant se connecter à ce service.
  - REJECTED_PROJECT_1 et REJECTED_PROJECT_2 : ID ou numéros des projets à rejeter. consumerRejectList est facultatif et peut contenir un ou plusieurs projets.
  - FINGERPRINT : empreinte à jour du rattachement de service que vous avez trouvé à l'étape précédente.
- Pour accepter ou refuser les clients en fonction du réseau VPC, envoyez la requête suivante.
  
  Méthode HTTP et URL :
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
  Corps JSON de la requête :
```
{
  "consumerAcceptLists": [
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_1/global/network/ACCEPTED_NETWORK_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_2/global/network/ACCEPTED_NETWORK_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "projects/REJECTED_PROJECT_ID_1/global/networks/REJECTED_NETWORK_1",
    "projects/REJECTED_PROJECT_ID_2/global/network/REJECTED_NETWORK_2"
  ],
  "fingerprint": "FINGERPRINT"
}
```
  Remplacez les éléments suivants :
  - ACCEPTED_PROJECT_ID_1 et ACCEPTED_PROJECT_ID_2 : ID des projets parents des réseaux que vous souhaitez accepter. consumerAcceptLists est facultatif et peut contenir un ou plusieurs réseaux.
  - ACCEPTED_NETWORK_1 et ACCEPTED_NETWORK_2 : noms des réseaux que vous souhaitez accepter.
  - LIMIT_1 et LIMIT_2 : limites de connexion pour les projets. La limite de connexion est le nombre de points de terminaison clients pouvant se connecter à ce service.
  - REJECTED_PROJECT_ID_1 et REJECTED_PROJECT_ID_2 : ID des projets parents des réseaux que vous souhaitez rejeter. consumerRejectLists est facultatif et peut contenir un ou plusieurs réseaux.
  - REJECTED_NETWORK_1 et REJECTED_NETWORK_2 : noms des réseaux que vous souhaitez rejeter.
- Pour accepter ou refuser les clients en fonction des points de terminaison Private Service Connect individuels, envoyez la requête suivante.
  
  Méthode HTTP et URL :
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
  Corps JSON de la requête :
```
{
  "consumerAcceptLists": [
    {
      "endpointUrl": "ACCEPTED_ENDPOINT_URI_1"
    },
    {
      "endpointUrl": "ACCEPTED_ENDPOINT_URI_2"
    }
  ],
  "consumerRejectLists": [
    "REJECTED_ENDPOINT_URI_1",
    "REJECTED_ENDPOINT_URI_2"
  ],
  "fingerprint": "FINGERPRINT"
}
```
  Remplacez les éléments suivants :
  - ACCEPTED_ENDPOINT_URI_1 et ACCEPTED_ENDPOINT_URI_2 : URI basés sur l'ID d'un ou de plusieurs points de terminaison Private Service Connect à accepter. Pour trouver l'URI basé sur l'ID d'un point de terminaison Private Service Connect, décrivez un rattachement de service connecté et vérifiez le champ endpointWithId, ou décrivez le point de terminaison et vérifiez le champ selfLinkWithId. Voici un exemple d'URI basé sur un ID : https://www.googleapis.com/compute/v1/projects/consumer-project/regions/us-central1/forwardingRules/1234567890.
    
    Cette liste est facultative.
  - REJECTED_ENDPOINT_URI_1 et REJECTED_ENDPOINT_URI_2 : URI basés sur l'ID d'un ou de plusieurs points de terminaison Private Service Connect à refuser. Cette liste est facultative.

Modifier la préférence de connexion d'un service publié

Vous pouvez basculer entre l'acceptation automatique et l'acceptation explicite des consommateurs pour un service publié. L'effet de ce changement sur les connexions existantes dépend de l'activation ou non du rapprochement des connexions pour le rattachement de service.

Si le rapprochement des connexions est désactivé, la modification des préférences de connexion n'affecte pas les connexions ACCEPTED ou REJECTED existantes :

Lorsque vous passez de l'acceptation automatique à l'acceptation explicite, les nouvelles connexions doivent figurer dans la liste d'acceptation des clients pour être ACCEPTED.
Lorsque vous passez de l'acceptation explicite à l'acceptation automatique, toutes les connexions PENDING existantes sont automatiquement ACCEPTED.

Si le rapprochement des connexions est activé, toutes les connexions existantes sont réévaluées en fonction de la nouvelle préférence de connexion :

Lorsque vous passez de l'acceptation automatique à l'acceptation explicite, toutes les connexions existantes des consommateurs qui ne figurent pas dans la liste d'acceptation des consommateurs passent à l'état PENDING et sont interrompues.
Lorsque vous passez de l'acceptation explicite à l'acceptation automatique, toutes les connexions PENDING et REJECTED existantes passent à ACCEPTED.

Pour savoir comment mettre à jour la liste d'acceptation des clients d'un service, consultez Gérer les demandes d'accès à un service publié.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.serviceAttachments.update

Rôles

Pour en savoir plus sur les rôles, consultez la section Rôles.

Console

Dans la console Google Cloud , accédez à la page Private Service Connect.

Accéder à Private Service Connect
Cliquez sur l'onglet Services publiés.
Cliquez sur le service que vous souhaitez mettre à jour, puis sur Modifier les détails du service.
Sélectionnez la nouvelle préférence de connexion à utiliser pour ce service.
Facultatif : Si vous passez à l'acceptation explicite, vous pouvez ajouter des consommateurs à votre liste d'acceptation maintenant ou plus tard. Pour accepter des consommateurs, procédez de l'une des manières suivantes. Vous pouvez répéter cette étape pour chaque consommateur que vous souhaitez ajouter.
- Pour Accepter les connexions pour les projets sélectionnés, cliquez sur Ajouter un projet accepté, puis saisissez le projet et la limite de connexion.
- Pour Accepter les connexions pour les réseaux sélectionnés, cliquez sur Ajouter un réseau accepté, puis saisissez le projet, le réseau VPC et la limite de connexion.
- Pour Accepter les connexions pour les points de terminaison sélectionnés, cliquez sur Ajouter un point de terminaison accepté, puis saisissez l'ID du projet et du point de terminaison.
Cliquez sur Enregistrer.

gcloud

Pour modifier la préférence de connexion du rattachement de service de ACCEPT_AUTOMATIC à ACCEPT_MANUAL, utilisez la commande gcloud compute service-attachments update.

Vous pouvez contrôler les projets qui peuvent se connecter à votre service à l'aide de --consumer-accept-list et --consumer-reject-list. Vous pouvez configurer les listes d'acceptation et de rejet lorsque vous modifiez les préférences de connexion, ou bien mettre à jour les listes ultérieurement.
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_MANUAL \
    [ --consumer-accept-list=ACCEPTED_PROJECT_OR_NETWORK_1=LIMIT_1,ACCEPTED_PROJECT_OR_NETWORK_2=LIMIT_2] \
    [ --consumer-reject-list=REJECTED_PROJECT_OR_NETWORK_1,REJECTED_PROJECT_OR_NETWORK_2 ]
```
Remplacez les éléments suivants :
- ATTACHMENT_NAME : nom du rattachement de service.
- REGION : région où se trouve le rattachement de service.
- ACCEPTED_PROJECT_OR_NETWORK_1 et ACCEPTED_PROJECT_OR_NETWORK_2 : ID de projet, noms de projet ou URL réseau à accepter. --consumer-accept-list est facultatif et peut contenir un ou plusieurs projets ou réseaux, mais pas une combinaison des deux types.
- LIMIT_1 et LIMIT_2 : limites de connexion pour les projets. La limite de connexion est le nombre de points de terminaison clients pouvant se connecter à ce service.
- REJECTED_PROJECT_OR_NETWORK_1 et REJECTED_PROJECT_OR_NETWORK_2 : ID de projet, noms de projet ou URL de réseau à rejeter. --consumer-reject-list est facultatif et peut contenir un ou plusieurs projets ou réseaux, mais pas une combinaison des deux types.
Pour remplacer la préférence de connexion du rattachement de service de ACCEPT_MANUAL par ACCEPT_AUTOMATIC, utilisez la commande suivante.

Si la liste d'acceptation ou de rejet comporte des valeurs, laissez-les vides lorsque vous modifiez la préférence de connexion ("").
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_AUTOMATIC \
    --consumer-accept-list="" \
    --consumer-reject-list=""
```
Remplacez les éléments suivants :
- ATTACHMENT_NAME : nom du rattachement de service.
- REGION : région où se trouve le rattachement de service.

API

Pour obtenir le fingerprint de l'association de service, envoyez une requête à la méthode serviceAttachments.get.

Méthode HTTP et URL :
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Remplacez les éléments suivants :
- PROJECT_ID : projet pour le rattachement de service.
- REGION : région du rattachement de service.
- ATTACHMENT_NAME : nom du rattachement de service.
Notez la valeur de fingerprint. Vous l'utiliserez à l'étape suivante.
Pour modifier la préférence de connexion du rattachement de service, envoyez une requête à la méthode serviceAttachments.patch.
- Pour modifier la préférence de connexion de ACCEPT_AUTOMATIC à ACCEPT_MANUAL et mettre à jour les listes d'acceptation et de refus des clients en fonction du projet, envoyez la requête suivante.
  
  Méthode HTTP et URL :
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
  Corps JSON de la requête :
```
{
  "connectionPreference": "ACCEPT_MANUAL",
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1"
      "connectionLimit": "LIMIT_1",
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2"
      "connectionLimit": "LIMIT_2",
    }
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2",
  ],
  "fingerprint" : "FINGERPRINT"
}
```
  Remplacez les éléments suivants :
  - PROJECT_ID : projet pour le rattachement de service.
  - REGION : région du rattachement de service.
  - ATTACHMENT_NAME : nom du rattachement de service.
  - ACCEPTED_PROJECT_1 et ACCEPTED_PROJECT_2 : ID ou numéros des projets à accepter. consumerAcceptList est facultatif et peut contenir un ou plusieurs projets.
  - LIMIT_1 et LIMIT_2 : limites de connexion pour les projets. La limite de connexion est le nombre de points de terminaison clients pouvant se connecter à ce service.
  - REJECTED_PROJECT_1 et REJECTED_PROJECT_2 : ID ou numéros des projets à rejeter. consumerRejectList est facultatif et peut contenir un ou plusieurs projets.
  - FINGERPRINT : empreinte à jour du rattachement de service que vous avez trouvée à l'étape 1.
- Pour modifier la préférence de connexion de ACCEPT_AUTOMATIC à ACCEPT_MANUAL et mettre à jour les listes d'acceptation et de refus des clients en fonction du réseau VPC, envoyez la requête suivante.
  
  Méthode HTTP et URL :
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
  Corps JSON de la requête :
```
{
  "connectionPreference": "ACCEPT_MANUAL",
  "consumerAcceptLists": [
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_1/global/networks/ACCEPTED_NETWORK_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_2/global/networks/ACCEPTED_NETWORK_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "projects/REJECTED_PROJECT_ID_1/global/networks/REJECTED_NETWORK_1",
    "projects/REJECTED_PROJECT_ID_2/global/network/REJECTED_NETWORK_2"
  ],
  "fingerprint" : "FINGERPRINT"
}
```
  Remplacez les éléments suivants :
  - ACCEPTED_PROJECT_ID_1 et ACCEPTED_PROJECT_ID_2 : ID des projets parents des réseaux que vous souhaitez accepter. consumerAcceptLists est facultatif et peut contenir un ou plusieurs réseaux.
  - ACCEPTED_NETWORK_1 et ACCEPTED_NETWORK_2 : noms des réseaux que vous souhaitez accepter.
  - LIMIT_1 et LIMIT_2 : limites de connexion pour les projets. La limite de connexion est le nombre de points de terminaison clients pouvant se connecter à ce service.
  - REJECTED_PROJECT_ID_1 et REJECTED_PROJECT_ID_2 : ID des projets parents des réseaux que vous souhaitez rejeter. consumerRejectLists est facultatif et peut contenir un ou plusieurs réseaux.
  - REJECTED_NETWORK_1 et REJECTED_NETWORK_2 : noms des réseaux que vous souhaitez rejeter.
  - FINGERPRINT : empreinte à jour du rattachement de service que vous avez trouvé à l'étape 1.

Pour modifier la préférence de connexion du rattachement de service de ACCEPT_MANUAL à ACCEPT_AUTOMATIC, envoyez la requête suivante.

Si les champs consumerAcceptLists ou consumerRejectLists spécifient des clients, laissez-les vides lorsque vous changez la préférence de connexion à ACCEPT_AUTOMATIC.

Méthode HTTP et URL :
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Corps JSON de la requête :
```
{
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "consumerAcceptLists": [ ],
  "consumerRejectLists": [ ],
  "fingerprint" : "FINGERPRINT"
}
```
Remplacez les éléments suivants :
- PROJECT_ID : projet pour le rattachement de service.
- REGION : région du rattachement de service.
- ATTACHMENT_NAME : nom du rattachement de service.
- FINGERPRINT : empreinte à jour du rattachement de service que vous avez trouvé à l'étape 1.

Supprimer les points de terminaison obsolètes des listes de clients

Si vos listes d'acceptation et de refus client sont configurées pour utiliser des points de terminaison individuels, une valeur peut rester dans les listes après qu'un client a supprimé le point de terminaison correspondant. Pour simplifier la gestion de vos listes de consommateurs, vous pouvez utiliser la commande gcloud compute service-attachments update pour supprimer les valeurs des points de terminaison qui n'existent plus. Cette fonctionnalité n'est disponible que pour la Google Cloud CLI.

gcloud

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --remove-obsolete-endpoint-accept-reject-entries

Remplacez les éléments suivants :

ATTACHMENT_NAME : nom du rattachement de service à mettre à jour.
REGION : région du rattachement de service.

Configurer le rapprochement des connexions

Vous pouvez activer ou désactiver le rapprochement des connexions pour les rattachements de service existants.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.serviceAttachments.update

Rôles

Pour en savoir plus sur les rôles, consultez la section Rôles.

Console

Dans la console Google Cloud , accédez à la page Private Service Connect.

Accéder à Private Service Connect
Cliquez sur l'onglet Services publiés.
Cliquez sur le service que vous souhaitez mettre à jour, puis sur Modifier les détails du service.
Cochez ou décochez la case Activer le rapprochement des connexions, puis cliquez sur Enregistrer.

gcloud

Pour activer le rapprochement des connexions, utilisez la commande service-attachments update.
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --reconcile-connections
```
Remplacez les éléments suivants :
- ATTACHMENT_NAME : nom du rattachement de service.
- REGION : région du rattachement de service.

Pour désactiver le rapprochement des connexions, utilisez la commande suivante :

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --no-reconcile-connections

API

Pour obtenir le fingerprint de l'association de service, envoyez une requête à la méthode serviceAttachments.get.

Méthode HTTP et URL :
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Remplacez les éléments suivants :
- PROJECT_ID : projet pour le rattachement de service.
- REGION : région du rattachement de service.
- ATTACHMENT_NAME : nom du rattachement de service.
Notez la valeur de fingerprint. Vous l'utiliserez à l'étape suivante.
Envoyez une requête à la méthode serviceAttachments.patch.

Méthode HTTP et URL :
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Corps JSON de la requête :
```
{
  "reconcileConnections": RECONCILIATION,
  "fingerprint": "FINGERPRINT"
}
```
Remplacez les éléments suivants :
- PROJECT_ID : projet pour le rattachement de service.
- REGION : région du rattachement de service.
- ATTACHMENT_NAME : nom du rattachement de service.
- RECONCILIATION : indique s'il faut activer la réconciliation des connexions. Les options sont true ou false.
- FINGERPRINT : empreinte à jour du rattachement de service que vous avez trouvé à l'étape précédente.

Ajouter ou supprimer des sous-réseaux d'un service publié

Vous pouvez modifier un service publié pour ajouter des sous-réseaux Private Service Connect.

Par exemple, vous devrez peut-être rendre davantage d'adresses IP disponibles pour un service existant. Pour ajouter d'autres adresses, effectuez l'une des opérations suivantes :

Créez un autre sous-réseau Private Service Connect et modifiez le rattachement de service pour ajouter le nouveau sous-réseau.
Modifiez le sous-réseau pour étendre la plage IPv4.

De même, vous pouvez modifier un service publié pour supprimer des sous-réseaux Private Service Connect. Toutefois, si l'une des adresses IP du sous-réseau est utilisée pour effectuer la SNAT pour Private Service Connect, la suppression du sous-réseau échoue.

Si vous modifiez la configuration du sous-réseau, mettez à jour vos règles de pare-feu pour permettre aux requêtes des nouveaux sous-réseaux d'atteindre les VM de backend.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

compute.serviceAttachments.update

Rôles

Pour en savoir plus sur les rôles, consultez la section Rôles.

Console

Dans la console Google Cloud , accédez à la page Private Service Connect.

Accéder à Private Service Connect
Cliquez sur l'onglet Services publiés.
Cliquez sur le service que vous souhaitez mettre à jour, puis sur Modifier les informations sur le service.
Modifiez les sous-réseaux utilisés pour ce service.

Si vous souhaitez ajouter un sous-réseau, vous pouvez en créer un :
1. Cliquez sur Réserver un nouveau sous-réseau.
2. Saisissez un nom et une description facultative pour le sous-réseau.
3. Sélectionnez une région pour le sous-réseau.
4. Saisissez la plage d'adresses IP à utiliser pour le sous-réseau, puis cliquez sur Ajouter.
Cliquez sur Enregistrer.

gcloud

Pour mettre à jour les sous-réseaux Private Service Connect utilisés pour ce rattachement de service, utilisez la commande gcloud compute service-attachments update.

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --nat-subnets=PSC_SUBNET_LIST

Remplacez les éléments suivants :

ATTACHMENT_NAME : nom du rattachement de service.
REGION : région où se trouve le rattachement de service.
PSC_SUBNET_LIST : liste d'un ou de plusieurs sous-réseaux à utiliser avec ce rattachement de service, séparés par des virgules.

API

Pour obtenir le fingerprint de l'association de service, envoyez une requête à la méthode serviceAttachments.get.

Méthode HTTP et URL :
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Remplacez les éléments suivants :
- PROJECT_ID : projet pour le rattachement de service.
- REGION : région du rattachement de service.
- ATTACHMENT_NAME : nom du rattachement de service.
Notez la valeur de fingerprint. Vous l'utiliserez à l'étape suivante.
Pour mettre à jour les sous-réseaux Private Service Connect utilisés pour ce rattachement de service, envoyez une requête à la méthode serviceAttachments.patch.

Méthode HTTP et URL :
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Corps JSON de la requête :
```
{
  "natSubnets": [
  "PSC_SUBNET1_URI",
  "PSC_SUBNET2_URI"
  ],
  "fingerprint": "FINGERPRINT"
}
```
Remplacez les éléments suivants :
- PROJECT_ID : projet pour le rattachement de service.
- REGION : région du rattachement de service.
- ATTACHMENT_NAME : nom du rattachement de service.
- PSC_SUBNET1_URI et PSC_SUBNET2_URI : URI des sous-réseaux que vous souhaitez utiliser avec ce rattachement de service. Vous pouvez spécifier un ou plusieurs sous-réseaux.
- FINGERPRINT : empreinte à jour du rattachement de service que vous avez trouvé à l'étape précédente.

Mettre à jour le service cible

Pour les configurations compatibles, vous pouvez mettre à jour un rattachement de service afin de cibler un autre service. Pour en savoir plus sur les configurations et les limites compatibles, consultez Mutabilité des services.

Lorsque vous mettez à jour un service cible, le trafic est interrompu pendant une courte période. Toutefois, les clients ne sont pas automatiquement informés que le service est hors service, et la mise à jour d'un service cible n'affecte pas les états de connexion des clients connectés.

Préparer la mise à jour

Les étapes décrites dans les sections suivantes sont facultatives. Dans la plupart des cas, vous pouvez passer directement à la section Mettre à jour l'association de service, sauf si vous souhaitez effectuer les opérations suivantes :

Si vous souhaitez signaler explicitement un temps d'arrêt aux consommateurs en définissant l'état de la connexion sur REJECTED, suivez les étapes de la section Signaler un temps d'arrêt aux consommateurs.
Si vous souhaitez créer une instance de test pour vérifier quand la connectivité au service est restaurée, suivez les étapes de la section Préparer un consommateur de test.

Signaler aux consommateurs l'indisponibilité du signal lors d'une mise à jour

Pour informer explicitement les consommateurs que le service n'est pas disponible, suivez les étapes facultatives ci-dessous :

Assurez-vous que le rapprochement des connexions est activé pour le rattachement de service.
Ajoutez tous les clients de la liste d'acceptation à la liste de refus. L'état de la connexion passe à REJECTED.
Une fois la mise à jour terminée, supprimez les consommateurs de la liste de refus pour rétablir l'état des connexions sur ACCEPTED.

Préparer un consommateur de test

Pour vérifier quand la connectivité au service est rétablie, vous pouvez éventuellement envoyer des paquets de sonde au service à partir d'une instance de test. Pour configurer le test :

Créez un réseau VPC de test dans votre projet.
Dans le réseau VPC de test, procédez comme suit :
- Créez un point de terminaison Private Service Connect qui se connecte à votre rattachement de service.
- Créez une instance de test.
Préparez-vous à tester la connexion de l'une des manières suivantes :
- Configurez des tests de connectivité pour tester la connectivité entre votre VM de test et le point de terminaison. Vous pouvez réessayer ce test après la mise à jour pour déterminer quand la connectivité est rétablie.
- Si vous souhaitez envoyer des paquets de vérification manuellement, connectez-vous à l'instance de test et vérifiez que vous pouvez accéder à l'adresse IP du point de terminaison à l'aide d'un outil tel que curl.

Mettre à jour le rattachement de service

Pour modifier le service cible du rattachement de service, procédez comme suit.

Pour passer à un service cible de transfert de protocole interne ou en revenir, vous devez utiliser la gcloud CLI ou envoyer une requête API.

Console

Dans la console Google Cloud , accédez à la page Private Service Connect.

Accéder à Private Service Connect
Cliquez sur l'onglet Services publiés.
Cliquez sur le service que vous souhaitez mettre à jour.
Cliquez sur Modifier les détails du service.
Sélectionnez le type d'équilibreur de charge de votre nouveau service cible.
Sélectionnez la règle de transfert de votre nouveau service cible.
Cliquez sur Enregistrer.

gcloud

Utilisez la commande gcloud compute service-attachments update.

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --target-service=TARGET_SERVICE

Remplacez les éléments suivants :

ATTACHMENT_NAME : nom du rattachement de service à mettre à jour.
REGION : région du rattachement de service.
TARGET_SERVICE : URI du nouveau service cible, au format suivant : projects/PROJECT_ID/regions/RULE_REGION/forwardingRules/RULE_NAME

API

Pour obtenir le fingerprint de l'association de service, envoyez une requête à la méthode serviceAttachments.get.

Méthode HTTP et URL :
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Remplacez les éléments suivants :
- PROJECT_ID : projet pour le rattachement de service.
- REGION : région du rattachement de service.
- ATTACHMENT_NAME : nom du rattachement de service.
Notez la valeur de fingerprint. Vous l'utiliserez à l'étape suivante.
Envoyez une requête à la méthode serviceAttachments.patch.

Méthode HTTP et URL :
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Corps JSON de la requête :
```
{
  "targetService": "TARGET_SERVICE",
  "fingerprint": "FINGERPRINT"
}
```
Remplacez les éléments suivants :
- TARGET_SERVICE : URI du nouveau service cible, au format suivant : projects/PROJECT_ID/regions/RULE_REGION/forwardingRules/RULE_NAME
- FINGERPRINT : empreinte à jour du rattachement de service que vous avez trouvé à l'étape précédente.

Vérifier la mise à jour et rétablir l'accès

Si vous avez créé un réseau et une instance VPC de test, vérifiez que la mise à jour est terminée et que le service est disponible. Cette étape est facultative. Effectuez l'une des opérations suivantes :

Si vous avez créé un test avec Tests de connectivité, réexécutez-le. Lorsque l'analyse du plan de données en direct d'un test indique que tous les paquets ont été correctement transmis, la mise à jour est terminée.
Envoyez manuellement des paquets de vérification depuis l'instance de test vers le service cible. Une fois que l'instance a reçu les réponses, la mise à jour est terminée.

Une fois la connectivité rétablie, procédez comme suit :

Si vous avez ajouté des clients à la liste de refus, supprimez-les de cette liste pour indiquer que le service est disponible.
Si vous avez créé des ressources pour vérifier que la mise à jour est terminée, suivez ces étapes pour les supprimer et éviter des frais inutiles :

Mettre à jour la limite de connexions propagées d'un service publié

Vous pouvez mettre à jour la limite de connexions propagées d'un rattachement de service. Lorsque vous augmentez la limite, Google Cloud vérifie automatiquement si des connexions propagées en attente peuvent être créées. Lorsque vous diminuez la limite, les connexions propagées existantes ne sont pas affectées. Toutefois, les tentatives de rétablissement des connexions propagées supprimées ou refusées peuvent être bloquées si la nouvelle limite est atteinte.

Console

Dans la console Google Cloud , accédez à la page Private Service Connect.

Accéder à Private Service Connect
Cliquez sur l'onglet Services publiés.
Cliquez sur le service que vous souhaitez mettre à jour, puis sur Modifier les détails du service.
Cliquez sur Configuration avancée.
Saisissez la nouvelle limite de connexions propagées NCC.

gcloud

Exécutez la commande gcloud compute service-attachments update.

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --propagated-connection-limit=LIMIT

Remplacez les éléments suivants :

ATTACHMENT_NAME : nom du rattachement de service.
REGION : région où se trouve le rattachement de service.
LIMIT : nouvelle valeur de la limite de connexions propagées.

API

Pour obtenir le fingerprint de l'association de service, envoyez une requête à la méthode serviceAttachments.get.

Méthode HTTP et URL :
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Remplacez les éléments suivants :
- PROJECT_ID : projet pour le rattachement de service.
- REGION : région du rattachement de service.
- ATTACHMENT_NAME : nom du rattachement de service.
Notez la valeur de fingerprint. Vous l'utiliserez à l'étape suivante.
Envoyez une requête à la méthode serviceAttachments.patch.

Méthode HTTP et URL :
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Corps JSON de la requête :
```
{
  "propagatedConnectionLimit": LIMIT,
  "fingerprint": "FINGERPRINT"
}
```
Remplacez les éléments suivants :
- PROJECT_ID : projet pour le rattachement de service.
- REGION : région du rattachement de service.
- ATTACHMENT_NAME : nom du rattachement de service.
- LIMIT : nouvelle valeur de la limite de connexions propagées.
- FINGERPRINT : empreinte à jour du rattachement de service que vous avez trouvé à l'étape précédente.