ניהול שירותים שפורסמו

בדף הזה מוסבר איך לנהל בקשות לגישה לשירות שפורסם, איך לשנות את העדפת החיבור לשירות שפורסם ואיך להגדיר את תהליך ההתאמה של החיבור.

לכל קובץ מצורף של שירות יש העדפת חיבור שקובעת אם החיבורים יתקבלו באופן אוטומטי.

  • אישור אוטומטי של כל החיבורים. קובץ השירות מקבל אוטומטית את כל בקשות החיבור הנכנסות מכל צרכן.
  • אישור מפורש של חיבורים מצרכנים נבחרים. החיבור של קובץ השירות יתבצע רק אם הצרכן נמצא ברשימת הצרכנים המורשים של קובץ השירות. אפשר לציין צרכנים לפי פרויקט, רשת VPC או נקודת קצה ספציפית של Private Service Connect (גרסת Preview). אי אפשר לכלול סוגים שונים של צרכנים באותה רשימת צרכנים שהסכימו או דחו את התנאים.

בכל אחת מהעדפות החיבור, אפשר לבטל את החיבורים שאושרו ולדחות אותם באמצעות מדיניות ארגונית שחוסמת חיבורים נכנסים.

מומלץ לאשר באופן מפורש את החיבורים עבור צרכנים נבחרים. יכול להיות שיהיה לכם נוח לאשר אוטומטית את כל החיבורים אם אתם שולטים בגישת הצרכנים באמצעים אחרים ורוצים לאפשר גישה לשירות שלכם.

מידע נוסף על פרסום שירות זמין במאמר פרסום שירות.

תפקידים

תפקיד ה-IAM הבא מספק את ההרשאות שנדרשות לביצוע המשימות במדריך הזה.

ניהול הגישה לשירות שפורסם

אם פרסמתם שירות עם אישור מפורש, אתם יכולים לעדכן את רשימות הצרכנים כדי לאשר או לדחות חיבורים. כדי לאשר חיבור, מוסיפים את הפרויקט, רשת ה-VPC או נקודת הקצה הפרטית של צרכן השירות ששלח את הבקשה לרשימת הצרכנים המורשים של השירות. אפשר לדחות חיבורים באופן מפורש על ידי עדכון רשימת הדחייה של הצרכן באותו אופן.

אפשר להוסיף פרויקטים או רשתות VPC לרשימות הצרכנים לפני או אחרי שהצרכן מבקש חיבור. אפשר להוסיף נקודות קצה רק אחרי בקשת חיבור, כי ה-URI של נקודת הקצה לא ידוע עד אחרי שנקודת הקצה נוצרת.

כל הערכים ברשימות הצרכנים צריכים להיות מאותו סוג. לדוגמה, אי אפשר לאשר חלק מהחיבורים על סמך פרויקט הצרכן וחלק על סמך נקודות קצה נפרדות. אם מוסיפים את אותו ערך גם לרשימת ההסכמה וגם לרשימת הדחייה, בקשות לחיבור מהצרכן הזה נדחות.

כברירת מחדל, שינויים ברשימות של צרכנים משפיעים רק על חיבורים חדשים או על חיבורים בהמתנה. חיבורים שאושרו בעבר לא יסתיימו אלא אם הפעלתם התאמה של חיבורים.

המסוף

כדי לנהל את הגישה לשירות שדורש אישור מפורש, אפשר לאשר או לדחות בקשות חיבור קיימות, או לעדכן את רשימות האישור והדחייה של הלקוח. שתי השיטות מניבות את אותה תוצאה ומעדכנות את אותן רשימות של צרכנים.

הצגת פרטים של שירות שפורסם

  1. נכנסים לדף Private Service Connect במסוף Google Cloud .

    מעבר אל Private Service Connect

  2. לוחצים על הכרטיסייה שירותים שפורסמו.

  3. לוחצים על השירות שרוצים לנהל.

אישור או דחייה של בקשות לחיבור

  • אם השירות שלכם מוגדר לקבל חיבורים על סמך פרויקט הצרכן, הפרויקטים שניסו להתחבר לשירות הזה מפורטים בקטע פרויקטים מחוברים. מסמנים את התיבה לצד פרויקט אחד או יותר, ואז לוחצים על אישור הפרויקט או על דחיית הפרויקט.
  • אם השירות שלכם מוגדר לקבל נקודות קצה פרטיות של Private Service Connect, לוחצים על בהמתנה לאישור כדי לראות את נקודות הקצה שניסו להתחבר לשירות הזה. מסמנים את תיבת הסימון שליד נקודת קצה אחת או יותר, ואז לוחצים על אישור נקודת קצה או על דחיית נקודת קצה.
  • אם השירות שלכם מוגדר לקבל צרכנים על סמך רשת VPC, תוכלו רק לקבל או לדחות חיבורים על ידי עדכון רשימות הצרכנים שאושרו ונדחו, כמו שמתואר בקטע הבא.

עדכון רשימות של צרכנים שהסכימו או דחו את השימוש בנתונים שלהם

  1. לוחצים על עריכת פרטי השירות.
  2. אופציונלי: בוחרים העדפה חדשה לחיבור.

  3. מבצעים את השלב הרלוונטי. אפשר לחזור על השלב הזה לכל צרכן שרוצים להוסיף.

    • בקטע Accept connections for selected projects (אישור חיבורים לפרויקטים נבחרים), לוחצים על Add accepted project (הוספת פרויקט שאושר), ואז מזינים את הפרויקט ואת מכסת החיבורים.
    • בקטע Accept connections for selected networks (קבלת חיבורים לרשתות נבחרות), לוחצים על Add accepted network (הוספת רשת שאפשר לקבל ממנה חיבורים), ואז מזינים את הפרויקט, רשת ה-VPC ומגבלת החיבורים.

    • בקטע קבלת חיבורים לנקודות קצה נבחרות, לוחצים על הוספת נקודת קצה שאושרה, ואז מזינים את הפרויקט ואת המזהה של נקודת הקצה.

      כדי למצוא את המזהה של נקודת קצה, צריך להציג את השירות שפורסם ולבדוק את הערך של מזהה נקודת הקצה בקטע בהמתנה לאישור.

gcloud

  1. כדי לראות את החיבורים הקיימים והממתינים לחיבור ל-Service Attachment שרוצים לשנות, משתמשים בפקודה gcloud beta compute service-attachments describe.

    gcloud beta compute service-attachments describe ATTACHMENT_NAME \
    --region=REGION

    מחליפים את מה שכתוב בשדות הבאים:

    • ATTACHMENT_NAME: השם של קובץ השירות המצורף.
    • REGION: האזור של קובץ השירות המצורף.

    הפלט אמור להיראות כך: אם יש חיבורים בהמתנה של צרכנים, הם מופיעים עם הסטטוס PENDING. ה-URI שמבוסס על מזהה של נקודת הקצה ב-Private Service Connect, שבו אפשר להשתמש כדי לאשר או לדחות נקודות קצה ספציפיות, מוצג בשדה endpointWithId.

    בדוגמת הפלט הזו, הפרויקט CONSUMER_PROJECT_1 נמצא ברשימת ההיתרים, ולכן הפרויקט ENDPOINT_1 מתקבל ויכול להתחבר לשירות. הפרויקט CONSUMER_PROJECT_2 לא נמצא ברשימת ההיתרים, ולכן ENDPOINT_2 נמצא בהמתנה. אחרי שכתובת ה-IP‏ CONSUMER_PROJECT_2 נוספת לרשימת הכתובות המותרות, הסטטוס של ENDPOINT_2 משתנה ל-ACCEPTED, ונקודת הקצה יכולה להתחבר לשירות.

    connectedEndpoints:
- consumerNetwork: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_1/global/networks/CONSUMER_NETWORK_1
  endpoint: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_1/regions/REGION_1/forwardingRules/ENDPOINT_1
  endpointWithId: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_1/regions/REGION_1/forwardingRules/RESOURCE_ID_1
  pscConnectionId: 'ENDPOINT_1_ID'
  status: ACCEPTED
- consumerNetwork: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_2/global/networks/CONSUMER_NETWORK_2
  endpoint: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/ENDPOINT_2
  endpointWithId: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/RESOURCE_ID_2
  pscConnectionId: 'ENDPOINT_2_ID'
  status: PENDING
connectionPreference: ACCEPT_MANUAL
consumerAcceptLists:
- connectionLimit: LIMIT_1
  projectIdOrNum: CONSUMER_PROJECT_1
creationTimestamp: 'TIMESTAMP'
description: 'DESCRIPTION'
enableProxyProtocol: false
fingerprint: FINGERPRINT
id: 'ID'
kind: compute#serviceAttachment
name: NAME
natSubnets:
- https://www.googleapis.com/compute/beta/projects/PRODUCER_PROJECT/regions/REGION/subnetworks/PSC_SUBNET
pscServiceAttachmentId:
  high: 'PSC_ATTACH_ID_HIGH'
  low: 'PSC_ATTACH_ID_LOW'
region: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION
selfLink: https://www.googleapis.com/compute/v1/projects/projects/PRODUCER_PROJECT/regions/REGION/serviceAttachments/ATTACHMENT_NAME
targetService: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/forwardingRules/PRODUCER_FWD_RULE

  2. כדי לאשר או לדחות חיבורים של צרכנים:

    • כדי לאשר או לדחות צרכנים על סמך פרויקט או רשת VPC, משתמשים בפקודה gcloud compute service-attachments update.

      אפשר לציין --consumer-accept-list או --consumer-reject-list, או את שניהם. אפשר לציין כמה ערכים במאפיינים --consumer-accept-list ו---consumer-reject-list. אפשר לכלול פרויקטים או רשתות של VPC, אבל לא שילוב של פרויקטים ורשתות.

      gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --consumer-accept-list=ACCEPTED_PROJECT_OR_NETWORK_1=LIMIT_1,ACCEPTED_PROJECT_OR_NETWORK_2=LIMIT_2 \
    --consumer-reject-list=REJECTED_PROJECT_OR_NETWORK_1,REJECTED_PROJECT_OR_NETWORK_2

      מחליפים את מה שכתוב בשדות הבאים:

      • ATTACHMENT_NAME: השם של קובץ השירות המצורף.

      • REGION: האזור שבו נמצאת ההצמדה לשירות.

      • ACCEPTED_PROJECT_OR_NETWORK_1 ו-ACCEPTED_PROJECT_OR_NETWORK_2: מזהי הפרויקטים, שמות הפרויקטים או כתובות ה-URL של הרשתות שיש לאשר. הפרמטר --consumer-accept-list הוא אופציונלי ויכול להכיל פרויקט אחד או יותר או רשתות, אבל לא שילוב של שני הסוגים.

      • LIMIT_1 ו-LIMIT_2: מגבלות החיבור לפרויקטים או לרשתות. מגבלת החיבור היא מספר נקודות הקצה של הצרכן שיכולות להתחבר לשירות הזה.

      • REJECTED_PROJECT_OR_NETWORK_1 ו-REJECTED_PROJECT_OR_NETWORK_2: מזהי הפרויקטים, שמות הפרויקטים או כתובות ה-URL של הרשת שרוצים לדחות. ‫--consumer-reject-list הוא אופציונלי ויכול להכיל פרויקט אחד או יותר או רשתות, אבל לא שילוב של שני הסוגים.

    • כדי לאשר או לדחות נקודות קצה ספציפיות של Private Service Connect ‏(Preview), משתמשים בפקודה gcloud beta compute service-attachments update.

      gcloud beta compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --consumer-accept-list=ACCEPTED_ENDPOINT_URI_1,ACCEPTED_ENDPOINT_URI_2 \
    --consumer-reject-list=REJECTED_ENDPOINT_URI_1,REJECTED_ENDPOINT_URI_2

      מחליפים את מה שכתוב בשדות הבאים:

      • ACCEPTED_ENDPOINT_URI_1 ו-ACCEPTED_ENDPOINT_URI_2: כתובות ה-URI מבוססות המזהה של נקודות קצה אחת או יותר של Private Service Connect שרוצים לאשר. כדי למצוא את ה-URI שמבוסס על מזהה של נקודת קצה (endpoint) מסוג Private Service Connect, מתארים קובץ מצורף עם שירות מחובר ובודקים את השדה endpointWithId, או מתארים את נקודת הקצה (endpoint) מסוג Private Service Connect ובודקים את השדה selfLinkWithId. הערך --consumer-accept-list הוא אופציונלי.

        לדוגמה, מזהה המשאבים האחיד (URI) שמבוסס על מזהה של נקודת הקצה (endpoint) של Private Service Connect בהמתנה, בדוגמת הפלט שבתחילת הקטע הזה, הוא https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/RESOURCE_ID_2

      • REJECTED_ENDPOINT_URI_1 ו-REJECTED_ENDPOINT_URI_2: מזהי ה-URI מבוססי המזהה של נקודת קצה אחת או יותר מסוג Private Service Connect שצריך לדחות. הערך --consumer-reject-list הוא אופציונלי.

API

  1. כדי לתאר את קובץ השירות שרוצים לשנות, שולחים בקשה ל-method‏ serviceAttachments.get.

    ה-method של ה-HTTP וכתובת ה-URL:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: הפרויקט של קובץ השירות המצורף.
    • REGION: האזור של קובץ השירות המצורף.
    • ATTACHMENT_NAME: השם של קובץ השירות המצורף.

    אם יש חיבורים בהמתנה של צרכנים, הם מופיעים עם הסטטוס PENDING. מזהה נקודת הקצה של Private Service Connect שמבוסס על URI ומוצג בשדה endpointWithId, מאפשר לכם לאשר או לדחות נקודות קצה ספציפיות.

    שימו לב לערך fingerprint, שבו תשתמשו בשלב הבא.

  2. כדי לאשר או לדחות פרויקטים או רשתות של צרכנים, צריך לשלוח בקשה ל-method‏ serviceAttachments.patch.

    אפשר לשנות את ההגדרה של קבלת צרכנים או דחייתם לפי פרויקט או רשת VPC, אבל אי אפשר לכלול באותה בקשה גם פרויקטים וגם רשתות.

    • כדי לאשר או לדחות צרכנים על סמך פרויקט, שולחים את הבקשה הבאה.

      ה-method של ה-HTTP וכתובת ה-URL:

      PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

      תוכן בקשת JSON:

      {
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2"
  ],
  "fingerprint" : "FINGERPRINT"
}

      מחליפים את מה שכתוב בשדות הבאים:

      • PROJECT_ID: הפרויקט של קובץ השירות המצורף.
      • REGION: האזור של קובץ השירות המצורף.
      • ATTACHMENT_NAME: השם של קובץ השירות המצורף.
      • ACCEPTED_PROJECT_1 ו-ACCEPTED_PROJECT_2: מזהי הפרויקטים או מספרי הפרויקטים שרוצים לאשר. consumerAcceptList הוא אופציונלי ויכול לכלול פרויקט אחד או יותר.
      • LIMIT_1 ו-LIMIT_2: מגבלות החיבור לפרויקטים. מגבלת החיבור היא מספר נקודות הקצה של הצרכנים שיכולות להתחבר לשירות הזה.
      • REJECTED_PROJECT_1 ו-REJECTED_PROJECT_2: מזהי הפרויקטים או מספרי הפרויקטים שרוצים לדחות. consumerRejectList הוא אופציונלי ויכול לכלול פרויקט אחד או יותר.
      • FINGERPRINT: טביעת האצבע העדכנית של קובץ השירות שזיהיתם בשלב הקודם.

    • כדי לאשר או לדחות צרכנים על סמך רשת VPC, שולחים את הבקשה הבאה.

      ה-method של ה-HTTP וכתובת ה-URL:

      PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

      תוכן בקשת JSON:

      {
  "consumerAcceptLists": [
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_1/global/network/ACCEPTED_NETWORK_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_2/global/network/ACCEPTED_NETWORK_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "projects/REJECTED_PROJECT_ID_1/global/networks/REJECTED_NETWORK_1",
    "projects/REJECTED_PROJECT_ID_2/global/network/REJECTED_NETWORK_2"
  ],
  "fingerprint": "FINGERPRINT"
}

      מחליפים את מה שכתוב בשדות הבאים:

      • ACCEPTED_PROJECT_ID_1 ו-ACCEPTED_PROJECT_ID_2: המזהים של פרויקטי האב של הרשתות שרוצים לאשר. ‫consumerAcceptLists הוא אופציונלי ויכול להכיל רשת אחת או יותר.
      • ACCEPTED_NETWORK_1 ו-ACCEPTED_NETWORK_2: שמות הרשתות שרוצים לאשר.
      • LIMIT_1 ו-LIMIT_2: מגבלות החיבור לרשתות. מגבלת החיבור היא מספר נקודות הקצה של הצרכנים שיכולות להתחבר לשירות הזה.
      • REJECTED_PROJECT_ID_1 ו-REJECTED_PROJECT_ID_2: המזהים של פרויקטי האב של הרשתות שרוצים לדחות. ‫consumerRejectLists הוא אופציונלי ויכול להכיל רשת אחת או יותר.
      • REJECTED_NETWORK_1 ו-REJECTED_NETWORK_2: שמות הרשתות שרוצים לדחות.

    • כדי לאשר או לדחות צרכנים על סמך נקודות קצה ספציפיות של Private Service Connect ‏(Preview), שולחים את הבקשה הבאה.

      ה-method של ה-HTTP וכתובת ה-URL:

      PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

      תוכן בקשת JSON:

      {
  "consumerAcceptLists": [
    {
      "endpointUrl": "ACCEPTED_ENDPOINT_URI_1"
    },
    {
      "endpointUrl": "ACCEPTED_ENDPOINT_URI_2"
    }
  ],
  "consumerRejectLists": [
    "REJECTED_ENDPOINT_URI_1",
    "REJECTED_ENDPOINT_URI_2"
  ],
  "fingerprint": "FINGERPRINT"
}

      מחליפים את מה שכתוב בשדות הבאים:

      • ACCEPTED_ENDPOINT_URI_1 ו-ACCEPTED_ENDPOINT_URI_2: מזהי ה-URI מבוססי המזהה של נקודת קצה אחת או יותר של Private Service Connect שרוצים לאשר. כדי למצוא URI מבוסס-מזהה של נקודת קצה מסוג Private Service Connect, מתארים את קובץ השירות המצורף המחובר ובודקים את השדה endpointWithId, או מתארים את נקודת הקצה ובודקים את השדה selfLinkWithId. דוגמה ל-URI שמבוסס על מזהה: https://www.googleapis.com/compute/beta/projects/consumer-project/regions/us-central1/forwardingRules/1234567890

        הרשימה הזו היא אופציונלית.

      • REJECTED_ENDPOINT_URI_1 ו-REJECTED_ENDPOINT_URI_2: מזהי ה-URI מבוססי המזהה של נקודת קצה אחת או יותר מסוג Private Service Connect שצריך לדחות. הרשימה הזו היא אופציונלית.

שינוי העדפת החיבור לשירות שפורסם

אפשר לעבור בין אישור אוטומטי לאישור מפורש של צרכן בשירות שפורסם. ההשפעה של השינוי הזה על חיבורים קיימים תלויה בהגדרה של התאמת חיבורים לחיבור לשירות.

אם השבתתם את ההתאמה של החיבורים, שינוי העדפת החיבור לא ישפיע על חיבורים קיימים של ACCEPTED או REJECTED:

  • כשעוברים מאישור אוטומטי לאישור מפורש, חיבורים חדשים צריכים להיות ברשימת האישורים של הצרכן כדי להיות ACCEPTED.
  • כשעוברים מאישור מפורש לאישור אוטומטי, כל החיבורים הקיימים PENDING מאושרים ACCEPTED באופן אוטומטי.

אם הפשרה בין החיבורים מופעלת, כל החיבורים הקיימים מוערכים מחדש על סמך העדפת החיבור החדשה:

  • כשעוברים מאישור אוטומטי לאישור מפורש, כל החיבורים הקיימים של צרכנים שלא נמצאים ברשימת הצרכנים המאושרים משתנים ל-PENDING, והחיבורים האלה מסתיימים.
  • כשעוברים מאישור מפורש לאישור אוטומטי, כל החיבורים הקיימים של PENDING ושל REJECTED משתנים לACCEPTED.

מידע נוסף על עדכון רשימת המשתמשים המורשים של שירות זמין במאמר ניהול בקשות לגישה לשירות שפורסם.

המסוף

  1. נכנסים לדף Private Service Connect במסוף Google Cloud .

    מעבר אל Private Service Connect

  2. לוחצים על הכרטיסייה שירותים שפורסמו.

  3. לוחצים על השירות שרוצים לעדכן ואז על עריכת פרטי השירות.

  4. בוחרים את העדפת החיבור החדשה שרוצים להשתמש בה בשירות הזה.

  5. אופציונלי: אם אתם עוברים לשימוש בהסכמה מפורשת, אתם יכולים להוסיף צרכנים לרשימת המקבלים עכשיו, או להוסיף אותם מאוחר יותר. כדי לאשר את הצרכנים, מבצעים אחת מהפעולות הבאות. אפשר לחזור על השלב הזה לכל צרכן שרוצים להוסיף.

    • בקטע Accept connections for selected projects (אישור חיבורים לפרויקטים נבחרים), לוחצים על Add accepted project (הוספת פרויקט שאושר), ואז מזינים את הפרויקט ואת מכסת החיבורים.
    • בקטע Accept connections for selected networks (קבלת חיבורים לרשתות נבחרות), לוחצים על Add accepted network (הוספת רשת שאפשר לקבל ממנה חיבורים), ואז מזינים את הפרויקט, רשת ה-VPC ומגבלת החיבורים.
    • בקטע קבלת חיבורים לנקודות קצה נבחרות, לוחצים על הוספת נקודת קצה שאושרה, ואז מזינים את הפרויקט ואת המזהה של נקודת הקצה.

  6. לוחצים על Save.

gcloud

  • כדי לשנות את העדפת החיבור של קובץ השירות המצורף מ-ACCEPT_AUTOMATIC ל-ACCEPT_MANUAL, משתמשים בפקודה gcloud compute service-attachments update.

    אתם יכולים לקבוע אילו פרויקטים יוכלו להתחבר לשירות שלכם באמצעות --consumer-accept-list ו---consumer-reject-list. אפשר להגדיר את רשימות האישור והדחייה כשמשנים את העדפת החיבור, או לעדכן את הרשימות מאוחר יותר.

    gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_MANUAL \
    [ --consumer-accept-list=ACCEPTED_PROJECT_OR_NETWORK_1=LIMIT_1,ACCEPTED_PROJECT_OR_NETWORK_2=LIMIT_2] \
    [ --consumer-reject-list=REJECTED_PROJECT_OR_NETWORK_1,REJECTED_PROJECT_OR_NETWORK_2 ]

    מחליפים את מה שכתוב בשדות הבאים:

    • ATTACHMENT_NAME: השם של קובץ השירות המצורף.

    • REGION: האזור שבו נמצאת ההצמדה לשירות.

    • ACCEPTED_PROJECT_OR_NETWORK_1 ו-ACCEPTED_PROJECT_OR_NETWORK_2: מזהי הפרויקטים, שמות הפרויקטים או כתובות ה-URL של הרשתות שיש לאשר. ‫--consumer-accept-list הוא אופציונלי ויכול להכיל פרויקט אחד או יותר או רשתות, אבל לא שילוב של שני הסוגים.

    • LIMIT_1 ו-LIMIT_2: מגבלות החיבור לפרויקטים. מגבלת החיבור היא מספר נקודות הקצה של הצרכנים שיכולות להתחבר לשירות הזה.

    • REJECTED_PROJECT_OR_NETWORK_1 ו-REJECTED_PROJECT_OR_NETWORK_2: מזהי הפרויקטים, שמות הפרויקטים או כתובות ה-URL של הרשת שרוצים לדחות. ‫--consumer-reject-list הוא אופציונלי ויכול להכיל פרויקט אחד או יותר או רשתות, אבל לא שילוב של שני הסוגים.

  • כדי לשנות את העדפת החיבור של קובץ השירות מ-ACCEPT_MANUAL ל-ACCEPT_AUTOMATIC, משתמשים בפקודה הבאה.

    אם יש לכם ערכים ברשימת ההסכמה או ברשימת הדחייה, צריך להגדיר אותם כריקים כשמשנים את העדפת החיבור ("").

    gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_AUTOMATIC \
    --consumer-accept-list="" \
    --consumer-reject-list=""

    מחליפים את מה שכתוב בשדות הבאים:

    • ATTACHMENT_NAME: השם של קובץ השירות המצורף.

    • REGION: האזור שבו נמצאת ההצמדה לשירות.

API

  1. כדי לקבל את fingerprint של קובץ השירות המצורף, שולחים בקשה ל-method‏ serviceAttachments.get.

    ה-method של ה-HTTP וכתובת ה-URL:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: הפרויקט של קובץ השירות המצורף.
    • REGION: האזור של קובץ השירות המצורף.
    • ATTACHMENT_NAME: השם של קובץ השירות המצורף.

    שימו לב לערך fingerprint, שבו תשתמשו בשלב הבא.

  2. כדי לשנות את העדפת החיבור ל-Service Attachment, שולחים בקשה ל-method‏ serviceAttachments.patch.

    • כדי לשנות את העדפת החיבור מ-ACCEPT_AUTOMATIC ל-ACCEPT_MANUAL ולעדכן את רשימות הצרכנים שאושרו ונדחו על סמך הפרויקט, שולחים את הבקשה הבאה.

      ה-method של ה-HTTP וכתובת ה-URL:

      PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

      תוכן בקשת JSON:

      {
  "connectionPreference": "ACCEPT_MANUAL",
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1"
      "connectionLimit": "LIMIT_1",
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2"
      "connectionLimit": "LIMIT_2",
    }
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2",
  ],
  "fingerprint" : "FINGERPRINT"
}

      מחליפים את מה שכתוב בשדות הבאים:

      • PROJECT_ID: הפרויקט של קובץ השירות המצורף.
      • REGION: האזור של קובץ השירות המצורף.
      • ATTACHMENT_NAME: השם של קובץ השירות המצורף.
      • ACCEPTED_PROJECT_1 ו-ACCEPTED_PROJECT_2: מזהי הפרויקטים או מספרי הפרויקטים שרוצים לאשר. consumerAcceptList הוא אופציונלי ויכול לכלול פרויקט אחד או יותר.
      • LIMIT_1 ו-LIMIT_2: מגבלות החיבור לפרויקטים. מגבלת החיבור היא מספר נקודות הקצה של הצרכנים שיכולות להתחבר לשירות הזה.
      • REJECTED_PROJECT_1 ו-REJECTED_PROJECT_2: מזהי הפרויקטים או מספרי הפרויקטים שרוצים לדחות. consumerRejectList הוא אופציונלי ויכול לכלול פרויקט אחד או יותר.
      • FINGERPRINT: טביעת האצבע העדכנית של קובץ השירות שזיהיתם בשלב 1.

    • כדי לשנות את העדפת החיבור מ-ACCEPT_AUTOMATIC ל-ACCEPT_MANUAL ולעדכן את רשימות האישור והדחייה של הצרכנים על סמך רשת VPC, שולחים את הבקשה הבאה.

      ה-method של ה-HTTP וכתובת ה-URL:

      PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

      תוכן בקשת JSON:

      {
  "connectionPreference": "ACCEPT_MANUAL",
  "consumerAcceptLists": [
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_1/global/networks/ACCEPTED_NETWORK_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_2/global/networks/ACCEPTED_NETWORK_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "projects/REJECTED_PROJECT_ID_1/global/networks/REJECTED_NETWORK_1",
    "projects/REJECTED_PROJECT_ID_2/global/network/REJECTED_NETWORK_2"
  ],
  "fingerprint" : "FINGERPRINT"
}

      מחליפים את מה שכתוב בשדות הבאים:

      • ACCEPTED_PROJECT_ID_1 ו-ACCEPTED_PROJECT_ID_2: המזהים של פרויקטי האב של הרשתות שרוצים לאשר. ‫consumerAcceptLists הוא אופציונלי ויכול להכיל רשת אחת או יותר.
      • ACCEPTED_NETWORK_1 ו-ACCEPTED_NETWORK_2: השמות של הרשתות שרוצים לאשר.
      • LIMIT_1 ו-LIMIT_2: מגבלות החיבור לרשתות. מגבלת החיבור היא מספר נקודות הקצה של הצרכנים שיכולות להתחבר לשירות הזה.
      • REJECTED_PROJECT_ID_1 ו-REJECTED_PROJECT_ID_2: המזהים של פרויקטי האב של הרשתות שרוצים לדחות. ‫consumerRejectLists הוא אופציונלי ויכול להכיל רשת אחת או יותר.
      • REJECTED_NETWORK_1 ו-REJECTED_NETWORK_2: שמות הרשתות שרוצים לדחות.
      • FINGERPRINT: טביעת האצבע העדכנית של קובץ השירות שזיהיתם בשלב 1.

  • כדי לשנות את העדפת החיבור של קובץ השירות מ-ACCEPT_MANUAL ל-ACCEPT_AUTOMATIC, שולחים את הבקשה הבאה.

    אם השדות consumerAcceptLists או consumerRejectLists מציינים צרכנים כלשהם, צריך להגדיר אותם כריקים כשמשנים את העדפת החיבור ל-ACCEPT_AUTOMATIC.

    ה-method של ה-HTTP וכתובת ה-URL:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    תוכן בקשת JSON:

    {
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "consumerAcceptLists": [ ],
  "consumerRejectLists": [ ],
  "fingerprint" : "FINGERPRINT"
}

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: הפרויקט של קובץ השירות המצורף.

    • REGION: האזור של קובץ השירות המצורף.

    • ATTACHMENT_NAME: השם של קובץ השירות המצורף.

    • FINGERPRINT: טביעת האצבע העדכנית של קובץ השירות שזיהיתם בשלב 1.

הגדרת תהליך השוואה בין חיבורים

אתם יכולים להפעיל או להשבית התאמה של חיבורים לצירופי שירות קיימים.

המסוף

  1. נכנסים לדף Private Service Connect במסוף Google Cloud .

    מעבר אל Private Service Connect

  2. לוחצים על הכרטיסייה שירותים שפורסמו.

  3. לוחצים על השירות שרוצים לעדכן ואז על עריכת פרטי השירות.

  4. מסמנים את תיבת הסימון הפעלת תיאום חיבורים או מבטלים את הסימון שלה, ואז לוחצים על שמירה.

gcloud

  • כדי להפעיל את תהליך ההתאמה של החיבורים, משתמשים בפקודה service-attachments update.

    gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --reconcile-connections

    מחליפים את מה שכתוב בשדות הבאים:

    • ATTACHMENT_NAME: השם של קובץ השירות המצורף.
    • REGION: האזור של קובץ השירות המצורף.

  • כדי להשבית את תהליך ההתאמה של החיבור, משתמשים בפקודה הבאה:

    gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --no-reconcile-connections

API

  1. כדי לקבל את fingerprint של קובץ השירות המצורף, שולחים בקשה ל-method‏ serviceAttachments.get.

    ה-method של ה-HTTP וכתובת ה-URL:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: הפרויקט של קובץ השירות המצורף.
    • REGION: האזור של קובץ השירות המצורף.
    • ATTACHMENT_NAME: השם של קובץ השירות המצורף.

    שימו לב לערך fingerprint, שבו תשתמשו בשלב הבא.

  2. שליחת בקשה ל-method‏ serviceAttachments.patch.

    ה-method של ה-HTTP וכתובת ה-URL:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    תוכן בקשת JSON:

    {
  "reconcileConnections": RECONCILIATION,
  "fingerprint": "FINGERPRINT"
}

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: הפרויקט של קובץ השירות המצורף.
    • REGION: האזור של קובץ השירות המצורף.
    • ATTACHMENT_NAME: השם של קובץ השירות המצורף.
    • RECONCILIATION: האם להפעיל את תהליך ההתאמה של החיבור. האפשרויות הן true או false.
    • FINGERPRINT: טביעת האצבע העדכנית של קובץ השירות שזיהיתם בשלב הקודם.

הוספה או הסרה של רשתות משנה משירות שפורסם

אפשר לערוך שירות שפורסם כדי להוסיף לו רשתות משנה של Private Service Connect.

לדוגמה, יכול להיות שתצטרכו להקצות עוד כתובות IP לשירות קיים. כדי להוסיף עוד כתובות, מבצעים אחת מהפעולות הבאות:

באופן דומה, אפשר לערוך שירות שפורסם כדי להסיר ממנו רשתות משנה של Private Service Connect. עם זאת, אם נעשה שימוש באחת מכתובות ה-IP של רשת המשנה כדי לבצע SNAT עבור Private Service Connect, לא ניתן להסיר את רשת המשנה.

אם משנים את הגדרות רשת המשנה, צריך לעדכן את כללי חומת האש כדי לאפשר לבקשות מרשתות המשנה החדשות להגיע למכונות הווירטואליות של ה-backend.

המסוף

  1. נכנסים לדף Private Service Connect במסוף Google Cloud .

    מעבר אל Private Service Connect

  2. לוחצים על הכרטיסייה שירותים שפורסמו.

  3. לוחצים על השירות שרוצים לעדכן ואז על עריכת פרטי השירות.

  4. שינוי של רשתות המשנה שמשמשות לשירות הזה.

    אם רוצים להוסיף רשת משנה חדשה, אפשר ליצור אחת:

    1. לוחצים על שמירת רשת משנה חדשה.
    2. מזינים שם ותיאור (אופציונלי) לרשת המשנה.
    3. בוחרים אזור לרשת המשנה.
    4. מזינים את טווח כתובות ה-IP שרוצים להשתמש בו עבור רשת המשנה ולוחצים על הוספה.

  5. לוחצים על Save.

gcloud

כדי לעדכן את רשתות המשנה של Private Service Connect שמשמשות לחיבור השירות הזה, משתמשים בפקודה gcloud compute service-attachments update.

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --nat-subnets=PSC_SUBNET_LIST

מחליפים את מה שכתוב בשדות הבאים:

  • ATTACHMENT_NAME: השם של קובץ השירות המצורף.

  • REGION: האזור שבו נמצאת ההצמדה לשירות.

  • PSC_SUBNET_LIST: רשימה מופרדת בפסיקים של רשתות משנה אחת או יותר לשימוש עם קובץ השירות המצורף הזה.

API

  1. כדי לקבל את fingerprint של קובץ השירות המצורף, שולחים בקשה ל-method‏ serviceAttachments.get.

    ה-method של ה-HTTP וכתובת ה-URL:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: הפרויקט של קובץ השירות המצורף.
    • REGION: האזור של קובץ השירות המצורף.
    • ATTACHMENT_NAME: השם של קובץ השירות המצורף.

    שימו לב לערך fingerprint, שבו תשתמשו בשלב הבא.

  2. כדי לעדכן את רשתות המשנה של Private Service Connect שמשמשות לצירוף השירות הזה, שולחים בקשה ל-method‏ serviceAttachments.patch.

    ה-method של ה-HTTP וכתובת ה-URL:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    תוכן בקשת JSON:

    {
  "natSubnets": [
  "PSC_SUBNET1_URI",
  "PSC_SUBNET2_URI"
  ],
  "fingerprint": "FINGERPRINT"
}

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: הפרויקט של קובץ השירות המצורף.

    • REGION: האזור של קובץ השירות המצורף.

    • ATTACHMENT_NAME: השם של קובץ השירות המצורף.

    • PSC_SUBNET1_URI ו-PSC_SUBNET2_URI: כתובות URI של רשתות המשנה שרוצים להשתמש בהן עם קובץ השירות הזה. אפשר לציין תת-רשת אחת או יותר.

    • FINGERPRINT: טביעת האצבע העדכנית של קובץ השירות שזיהיתם בשלב הקודם.

עדכון מגבלת החיבור שהועברה של שירות שפורסם

אפשר לעדכן את מגבלת החיבור שהועברה של קובץ מצורף לשירות. כשמגדילים את המגבלה, Google Cloud בודק באופן אוטומטי אם אפשר ליצור חיבורים ממתינים שהועברו. כשמורידים את המגבלה, החיבורים הקיימים שהועברו לא מושפעים. עם זאת, יכול להיות שניסיונות ליצור מחדש חיבורים שהועברו ונמחקו או נדחו ייחסמו אם תגיעו למגבלה החדשה.

המסוף

  1. נכנסים לדף Private Service Connect במסוף Google Cloud .

    מעבר אל Private Service Connect

  2. לוחצים על הכרטיסייה שירותים שפורסמו.

  3. לוחצים על השירות שרוצים לעדכן ואז על עריכת פרטי השירות.

  4. לוחצים על הגדרות מתקדמות.

  5. מזינים את מגבלת החיבורים החדשה שהועברה מ-NCC.

gcloud

משתמשים בפקודה gcloud compute service-attachments update.

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --propagated-connection-limit=LIMIT

מחליפים את מה שכתוב בשדות הבאים:

  • ATTACHMENT_NAME: השם של קובץ השירות המצורף.

  • REGION: האזור שבו נמצאת ההצמדה לשירות.

  • LIMIT: הערך החדש של מגבלת החיבור שהועברה.

API

  1. כדי לקבל את fingerprint של קובץ השירות המצורף, שולחים בקשה ל-method‏ serviceAttachments.get.

    ה-method של ה-HTTP וכתובת ה-URL:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: הפרויקט של קובץ השירות המצורף.
    • REGION: האזור של קובץ השירות המצורף.
    • ATTACHMENT_NAME: השם של קובץ השירות המצורף.

    שימו לב לערך fingerprint, שבו תשתמשו בשלב הבא.

  2. שליחת בקשה ל-method‏ serviceAttachments.patch.

    ה-method של ה-HTTP וכתובת ה-URL:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    תוכן בקשת JSON:

    {
  "propagatedConnectionLimit": LIMIT,
  "fingerprint": "FINGERPRINT"
}

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: הפרויקט של קובץ השירות המצורף.

    • REGION: האזור של קובץ השירות המצורף.

    • ATTACHMENT_NAME: השם של קובץ השירות המצורף.

    • LIMIT: הערך החדש של מגבלת החיבור שהועברה.

    • FINGERPRINT: טביעת האצבע העדכנית של קובץ השירות שזיהיתם בשלב הקודם.