Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Gestire i servizi pubblicati

Questa pagina descrive come gestire i servizi pubblicati, inclusa la gestione delle richieste di accesso a un servizio pubblicato, la configurazione della riconciliazione delle connessioni e l'aggiornamento di un collegamento al servizio in modo che faccia riferimento a un nuovo servizio di destinazione.

Ogni collegamento al servizio ha una preferenza di connessione che controlla se le connessioni vengono accettate automaticamente.

Accetta automaticamente tutte le connessioni. L'allegato di servizio accetta automaticamente tutte le richieste di connessione in entrata da qualsiasi consumer.
Accetta esplicitamente le connessioni dai consumatori selezionati. L'allegato di servizio accetta richieste di connessione in entrata solo se il consumer si trova nell'elenco di accettazione dei consumer dell'allegato di servizio. Puoi specificare i consumer per progetto, rete VPC o singolo endpoint Private Service Connect. Non puoi includere diversi tipi di consumatori nello stesso elenco di accettazione o rifiuto dei consumatori.

Per entrambe le preferenze di connessione, le connessioni accettate possono essere sostituite e rifiutate da un criterio dell'organizzazione che blocca le connessioni in entrata.

Ti consigliamo di accettare esplicitamente le connessioni per i consumatori selezionati. L'accettazione automatica di tutte le connessioni potrebbe essere appropriata se controlli l'accesso dei consumatori con altri mezzi e vuoi attivare l'accesso permissivo al tuo servizio.

Per saperne di più sulla pubblicazione di un servizio, consulta Pubblicare un servizio.

Ruoli

Il seguente ruolo IAM fornisce le autorizzazioni necessarie per eseguire le attività descritte in questa guida.

Compute Network Admin (roles/compute.networkAdmin)

Gestire l'accesso a un servizio pubblicato

Se hai pubblicato un servizio con approvazione esplicita, puoi accettare o rifiutare le connessioni aggiornando gli elenchi di consumatori. Per accettare una connessione, aggiungi il progetto, la rete VPC o l'endpoint Private Service Connect individuale del consumer richiedente a un elenco di accettazione dei consumer di un servizio. Puoi rifiutare esplicitamente le connessioni aggiornando l'elenco di rifiuto dei consumatori nello stesso modo.

Puoi aggiungere progetti o reti VPC agli elenchi consumer prima o dopo che il consumer richiede una connessione. Puoi aggiungere endpoint solo dopo una richiesta di connessione, perché l'URI di un endpoint non è noto finché non viene creato.

Tutti i valori negli elenchi dei consumatori devono essere dello stesso tipo. Ad esempio, non puoi accettare alcune connessioni in base al progetto consumer e altre in base ai singoli endpoint. Se aggiungi lo stesso valore sia all'elenco di accettazione sia all'elenco di rifiuto, le richieste di connessione di quel consumatore vengono rifiutate.

Per impostazione predefinita, le modifiche agli elenchi di consumatori influiscono solo sulle connessioni nuove o in attesa. Le connessioni accettate in precedenza non vengono terminate a meno che tu non abbia attivato la riconciliazione delle connessioni.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.serviceAttachments.update

Ruoli

Per informazioni sui ruoli, consulta la sezione Ruoli.

Console

Puoi gestire l'accesso per un servizio con approvazione esplicita accettando o rifiutando le richieste di connessione esistenti oppure aggiornando gli elenchi di accettazione e rifiuto dei consumatori. Entrambi i metodi hanno lo stesso risultato e aggiornano gli stessi elenchi di consumatori.

Visualizzare i dettagli di un servizio pubblicato

Nella console Google Cloud , vai alla pagina Private Service Connect.

Vai a Private Service Connect
Fai clic sulla scheda Servizi pubblicati.
Fai clic sul servizio che vuoi gestire.

Accettare o rifiutare le richieste di collegamento

Se il tuo servizio è configurato per accettare connessioni in base al progetto consumer, i progetti che hanno tentato di connettersi a questo servizio sono elencati nella sezione Progetti connessi. Seleziona la casella di controllo accanto a uno o più progetti, quindi fai clic su Accetta progetto o Rifiuta progetto.
Se il tuo servizio è configurato per accettare singoli endpoint Private Service Connect, fai clic su In attesa di approvazione per visualizzare gli endpoint che hanno tentato di connettersi a questo servizio. Seleziona la casella di controllo accanto a uno o più endpoint, quindi fai clic su Accetta endpoint o Rifiuta endpoint.
Se il tuo servizio è configurato per accettare i consumer in base alla rete VPC, puoi accettare o rifiutare le connessioni solo aggiornando gli elenchi di accettazione e rifiuto dei consumer, come descritto nella sezione seguente.

Aggiornare gli elenchi di accettazione e rifiuto dei consumatori

Fai clic su Modifica dettagli servizio.
(Facoltativo) Seleziona una nuova preferenza di connessione.
Completa il seguente passaggio applicabile. Puoi ripetere questo passaggio per ogni consumatore che vuoi aggiungere.
- Per Accetta connessioni per i progetti selezionati, fai clic su Aggiungi progetto accettato, quindi inserisci il progetto e il limite di connessioni.
- Per Accetta connessioni per le reti selezionate, fai clic su Aggiungi rete accettata e poi inserisci il progetto, la rete VPC e il limite di connessione.
- Per Accetta connessioni per gli endpoint selezionati, fai clic su Aggiungi endpoint accettato, quindi inserisci l'ID del progetto e dell'endpoint.
  
  Puoi trovare l'ID di un endpoint visualizzando il servizio pubblicato e controllando la sezione In attesa di approvazione per il valore di ID endpoint.

gcloud

Per visualizzare le connessioni esistenti e in attesa per il collegamento del servizio che vuoi modificare, utilizza il comando gcloud compute service-attachments describe.

gcloud compute service-attachments describe ATTACHMENT_NAME \
    --region=REGION

Sostituisci quanto segue:

ATTACHMENT_NAME: il nome del collegamento del servizio.
REGION: la regione del collegamento del servizio.

L'output è simile al seguente esempio. Se sono presenti connessioni con i consumatori in attesa, vengono elencate con lo stato PENDING. L'URI basato sull'ID dell'endpoint Private Service Connect che puoi utilizzare per accettare o rifiutare singoli endpoint viene visualizzato nel campo endpointWithId.

In questo output di esempio, il progetto CONSUMER_PROJECT_1 è nell'elenco di accettazione, quindi ENDPOINT_1 viene accettato e può connettersi al servizio. Il progetto CONSUMER_PROJECT_2 non è presente nell'elenco di accettazione, pertanto ENDPOINT_2 è in attesa. Dopo che CONSUMER_PROJECT_2 viene aggiunto all'elenco di accettazione, lo stato di ENDPOINT_2 cambia in ACCEPTED e l'endpoint può connettersi al servizio.

connectedEndpoints:
- consumerNetwork: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_1/global/networks/CONSUMER_NETWORK_1
  endpoint: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_1/regions/REGION_1/forwardingRules/ENDPOINT_1
  endpointWithId: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_1/regions/REGION_1/forwardingRules/RESOURCE_ID_1
  pscConnectionId: 'ENDPOINT_1_ID'
  status: ACCEPTED
- consumerNetwork: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_2/global/networks/CONSUMER_NETWORK_2
  endpoint: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/ENDPOINT_2
  endpointWithId: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/RESOURCE_ID_2
  pscConnectionId: 'ENDPOINT_2_ID'
  status: PENDING
connectionPreference: ACCEPT_MANUAL
consumerAcceptLists:
- connectionLimit: LIMIT_1
  projectIdOrNum: CONSUMER_PROJECT_1
creationTimestamp: 'TIMESTAMP'
description: 'DESCRIPTION'
enableProxyProtocol: false
fingerprint: FINGERPRINT
id: 'ID'
kind: compute#serviceAttachment
name: NAME
natSubnets:
- https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/subnetworks/PSC_SUBNET
pscServiceAttachmentId:
  high: 'PSC_ATTACH_ID_HIGH'
  low: 'PSC_ATTACH_ID_LOW'
region: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION
selfLink: https://www.googleapis.com/compute/v1/projects/projects/PRODUCER_PROJECT/regions/REGION/serviceAttachments/ATTACHMENT_NAME
targetService: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/forwardingRules/PRODUCER_FWD_RULE

Per accettare o rifiutare i collegamenti dei consumatori:
- Per accettare o rifiutare i consumer in base al progetto o alla rete VPC, utilizza il comando gcloud compute service-attachments update.
  
  Puoi specificare --consumer-accept-list o --consumer-reject-list oppure entrambi. Puoi specificare più valori in --consumer-accept-list e --consumer-reject-list. Puoi includere progetti o reti VPC, ma non un mix di progetti e reti.
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --consumer-accept-list=ACCEPTED_PROJECT_OR_NETWORK_1=LIMIT_1,ACCEPTED_PROJECT_OR_NETWORK_2=LIMIT_2 \
    --consumer-reject-list=REJECTED_PROJECT_OR_NETWORK_1,REJECTED_PROJECT_OR_NETWORK_2
```
  Sostituisci quanto segue:
  - ATTACHMENT_NAME: il nome dell'allegato del servizio.
  - REGION: la regione in cui si trova l'allegato di servizio.
  - ACCEPTED_PROJECT_OR_NETWORK_1 e ACCEPTED_PROJECT_OR_NETWORK_2: gli ID progetto, i nomi dei progetti o gli URL di rete da accettare. --consumer-accept-list è facoltativo e può contenere uno o più progetti o reti, ma non un mix di entrambi i tipi.
  - LIMIT_1 e LIMIT_2: i limiti di connessione per i progetti o le reti. Il limite di connessione è il numero di endpoint consumer che possono connettersi a questo servizio.
  - REJECTED_PROJECT_OR_NETWORK_1 e REJECTED_PROJECT_OR_NETWORK_2: gli ID progetto, i nomi dei progetti o gli URL di rete da rifiutare. --consumer-reject-list è facoltativo e può contenere uno o più progetti o reti, ma non un mix di entrambi i tipi.
- Per accettare o rifiutare singoli endpoint Private Service Connect, utilizza il comando gcloud compute service-attachments update.
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --consumer-accept-list=ACCEPTED_ENDPOINT_URI_1,ACCEPTED_ENDPOINT_URI_2 \
    --consumer-reject-list=REJECTED_ENDPOINT_URI_1,REJECTED_ENDPOINT_URI_2
```
  Sostituisci quanto segue:
  - ACCEPTED_ENDPOINT_URI_1 e ACCEPTED_ENDPOINT_URI_2: gli URI basati sull'ID di uno o più endpoint Private Service Connect da accettare. Per trovare l'URI basato sull'ID di un endpoint Private Service Connect, descrivi un collegamento al servizio connesso e controlla il campo endpointWithId oppure descrivi l'endpoint Private Service Connect e controlla il campo selfLinkWithId. --consumer-accept-list è facoltativo.
    
    Ad esempio, l'URI basato sull'ID dell'endpoint Private Service Connect in attesa nell'output di esempio all'inizio di questa sezione è https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/RESOURCE_ID_2.
  - REJECTED_ENDPOINT_URI_1 e REJECTED_ENDPOINT_URI_2: gli URI basati sull'ID di uno o più endpoint Private Service Connect da rifiutare. --consumer-reject-list è facoltativo.

API

Per descrivere il service attachment che vuoi modificare, invia una richiesta al metodo serviceAttachments.get.

Metodo HTTP e URL:
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Sostituisci quanto segue:
- PROJECT_ID: il progetto per l'allegato del servizio.
- REGION: la regione per il collegamento del servizio.
- ATTACHMENT_NAME: il nome del collegamento del servizio.
Se sono presenti connessioni consumer in attesa, queste vengono elencate con lo stato PENDING. L'URI basato sull'ID dell'endpoint Private Service Connect che puoi utilizzare per accettare o rifiutare singoli endpoint viene visualizzato nel campo endpointWithId.

Prendi nota del valore fingerprint, che utilizzerai nel passaggio successivo.
Per accettare o rifiutare progetti o reti consumer, invia una richiesta al metodo serviceAttachments.patch.

Puoi passare dall'accettazione al rifiuto dei consumer per progetto o rete VPC, ma non puoi includere un mix di progetti e reti nella stessa richiesta.
- Per accettare o rifiutare i consumatori in base al progetto, invia la seguente richiesta.
  
  Metodo HTTP e URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
  Corpo JSON della richiesta:
```
{
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2"
  ],
  "fingerprint" : "FINGERPRINT"
}
```
  Sostituisci quanto segue:
  - PROJECT_ID: il progetto per l'allegato del servizio.
  - REGION: la regione per il collegamento del servizio.
  - ATTACHMENT_NAME: il nome dell'allegato del servizio.
  - ACCEPTED_PROJECT_1 e ACCEPTED_PROJECT_2: gli ID o i numeri dei progetti da accettare. consumerAcceptList è facoltativo e può contenere uno o più progetti.
  - LIMIT_1 e LIMIT_2: i limiti di connessione per i progetti. Il limite di connessioni è il numero di endpoint consumer che possono connettersi a questo servizio.
  - REJECTED_PROJECT_1 e REJECTED_PROJECT_2: gli ID o i numeri di progetto dei progetti da rifiutare. consumerRejectList è facoltativo e può contenere uno o più progetti.
  - FINGERPRINT: l'impronta aggiornata dell'allegato di servizio che hai trovato nel passaggio precedente.
- Per accettare o rifiutare i consumer in base alla rete VPC, invia la seguente richiesta.
  
  Metodo HTTP e URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
  Corpo JSON della richiesta:
```
{
  "consumerAcceptLists": [
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_1/global/network/ACCEPTED_NETWORK_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_2/global/network/ACCEPTED_NETWORK_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "projects/REJECTED_PROJECT_ID_1/global/networks/REJECTED_NETWORK_1",
    "projects/REJECTED_PROJECT_ID_2/global/network/REJECTED_NETWORK_2"
  ],
  "fingerprint": "FINGERPRINT"
}
```
  Sostituisci quanto segue:
  - ACCEPTED_PROJECT_ID_1 e ACCEPTED_PROJECT_ID_2: gli ID dei progetti principali delle reti che vuoi accettare. consumerAcceptLists è facoltativo e può contenere una o più emittenti.
  - ACCEPTED_NETWORK_1 e ACCEPTED_NETWORK_2: i nomi delle reti che vuoi accettare.
  - LIMIT_1 e LIMIT_2: i limiti di connessione per le reti. Il limite di connessioni è il numero di endpoint consumer che possono connettersi a questo servizio.
  - REJECTED_PROJECT_ID_1 e REJECTED_PROJECT_ID_2: gli ID dei progetti principali delle emittenti che vuoi rifiutare. consumerRejectLists è facoltativo e può contenere una o più emittenti.
  - REJECTED_NETWORK_1 e REJECTED_NETWORK_2: i nomi delle reti che vuoi rifiutare.
- Per accettare o rifiutare i consumer in base ai singoli endpoint Private Service Connect, invia la seguente richiesta.
  
  Metodo HTTP e URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
  Corpo JSON della richiesta:
```
{
  "consumerAcceptLists": [
    {
      "endpointUrl": "ACCEPTED_ENDPOINT_URI_1"
    },
    {
      "endpointUrl": "ACCEPTED_ENDPOINT_URI_2"
    }
  ],
  "consumerRejectLists": [
    "REJECTED_ENDPOINT_URI_1",
    "REJECTED_ENDPOINT_URI_2"
  ],
  "fingerprint": "FINGERPRINT"
}
```
  Sostituisci quanto segue:
  - ACCEPTED_ENDPOINT_URI_1 e ACCEPTED_ENDPOINT_URI_2: gli URI basati sull'ID di uno o più endpoint Private Service Connect da accettare. Per trovare l'URI basato sull'ID di un endpoint Private Service Connect, descrivi un collegamento di servizio connesso e controlla il campo endpointWithId oppure descrivi l'endpoint e controlla il campo selfLinkWithId. Un esempio di URI basato sull'ID è https://www.googleapis.com/compute/v1/projects/consumer-project/regions/us-central1/forwardingRules/1234567890
    
    Questo elenco è facoltativo.
  - REJECTED_ENDPOINT_URI_1 e REJECTED_ENDPOINT_URI_2: gli URI basati sull'ID di uno o più endpoint Private Service Connect da rifiutare. Questo elenco è facoltativo.

Modificare la preferenza di connessione per un servizio pubblicato

Puoi passare dall'accettazione automatica a quella esplicita per un servizio pubblicato. L'effetto di questa modifica sulle connessioni esistenti dipende dal fatto che la riconciliazione delle connessioni sia abilitata per il collegamento al servizio.

Se la riconciliazione delle connessioni è disattivata, la modifica della preferenza di connessione non influisce sulle connessioni ACCEPTED o REJECTED esistenti:

Quando passi dall'accettazione automatica all'accettazione esplicita, le nuove connessioni devono essere presenti nell'elenco di accettazione del consumer per essere ACCEPTED.
Quando passi dall'accettazione esplicita all'accettazione automatica, tutte le connessioni PENDING esistenti vengono ACCEPTED automaticamente.

Se la riconciliazione delle connessioni è abilitata, tutte le connessioni esistenti vengono rivalutate in base alla nuova preferenza di connessione:

Quando passi dall'accettazione automatica a quella esplicita, tutte le connessioni esistenti dei consumatori che non sono presenti nell'elenco di accettazione dei consumatori diventano PENDING e vengono terminate.
Quando passi dall'accettazione esplicita a quella automatica, tutte le connessioni PENDING e REJECTED esistenti vengono modificate in ACCEPTED.

Per saperne di più sull'aggiornamento dell'elenco di accettazione dei consumer di un servizio, consulta Gestire le richieste di accesso a un servizio pubblicato.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.serviceAttachments.update

Ruoli

Per informazioni sui ruoli, consulta la sezione Ruoli.

Console

Nella console Google Cloud , vai alla pagina Private Service Connect.

Vai a Private Service Connect
Fai clic sulla scheda Servizi pubblicati.
Fai clic sul servizio da aggiornare e poi su Modifica dettagli del servizio.
Seleziona la nuova preferenza di connessione da utilizzare per questo servizio.
(Facoltativo) Se passi all'utilizzo dell'accettazione esplicita, puoi aggiungere i consumatori all'elenco di accettazione ora o in un secondo momento. Per accettare i consumatori, esegui una delle seguenti operazioni. Puoi ripetere questo passaggio per ogni consumatore che vuoi aggiungere.
- Per Accetta connessioni per i progetti selezionati, fai clic su Aggiungi progetto accettato, quindi inserisci il progetto e il limite di connessioni.
- Per Accetta connessioni per le reti selezionate, fai clic su Aggiungi rete accettata e poi inserisci il progetto, la rete VPC e il limite di connessione.
- Per Accetta connessioni per gli endpoint selezionati, fai clic su Aggiungi endpoint accettato, quindi inserisci l'ID del progetto e dell'endpoint.
Fai clic su Salva.

gcloud

Per modificare la preferenza di connessione per l'allegato di servizio da ACCEPT_AUTOMATIC a ACCEPT_MANUAL, utilizza il comando gcloud compute service-attachments update.

Puoi controllare quali progetti possono connettersi al tuo servizio utilizzando --consumer-accept-list e --consumer-reject-list. Puoi configurare gli elenchi di accettazione e rifiuto quando modifichi la preferenza di connessione o aggiornare gli elenchi in un secondo momento.
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_MANUAL \
    [ --consumer-accept-list=ACCEPTED_PROJECT_OR_NETWORK_1=LIMIT_1,ACCEPTED_PROJECT_OR_NETWORK_2=LIMIT_2] \
    [ --consumer-reject-list=REJECTED_PROJECT_OR_NETWORK_1,REJECTED_PROJECT_OR_NETWORK_2 ]
```
Sostituisci quanto segue:
- ATTACHMENT_NAME: il nome dell'allegato del servizio.
- REGION: la regione in cui si trova l'allegato di servizio.
- ACCEPTED_PROJECT_OR_NETWORK_1 e ACCEPTED_PROJECT_OR_NETWORK_2: gli ID progetto, i nomi dei progetti o gli URL di rete da accettare. --consumer-accept-list è facoltativo e può contenere uno o più progetti o reti, ma non un mix di entrambi i tipi.
- LIMIT_1 e LIMIT_2: i limiti di connessione per i progetti. Il limite di connessioni è il numero di endpoint consumer che possono connettersi a questo servizio.
- REJECTED_PROJECT_OR_NETWORK_1 e REJECTED_PROJECT_OR_NETWORK_2: gli ID progetto, i nomi dei progetti o gli URL di rete da rifiutare. --consumer-reject-list è facoltativo e può contenere uno o più progetti o reti, ma non un mix di entrambi i tipi.
Per modificare la preferenza di connessione per il collegamento al servizio da ACCEPT_MANUAL a ACCEPT_AUTOMATIC, utilizza il seguente comando.

Se hai valori nell'elenco di accettazione o nell'elenco di rifiuto, impostali su vuoto quando modifichi la preferenza di connessione ("").
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_AUTOMATIC \
    --consumer-accept-list="" \
    --consumer-reject-list=""
```
Sostituisci quanto segue:
- ATTACHMENT_NAME: il nome dell'allegato del servizio.
- REGION: la regione in cui si trova l'allegato di servizio.

API

Per ottenere fingerprint del collegamento del servizio, invia una richiesta al metodo serviceAttachments.get.

Metodo HTTP e URL:
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Sostituisci quanto segue:
- PROJECT_ID: il progetto per l'allegato del servizio.
- REGION: la regione per il collegamento del servizio.
- ATTACHMENT_NAME: il nome del collegamento del servizio.
Prendi nota del valore fingerprint, che utilizzerai nel passaggio successivo.
Per modificare la preferenza di connessione per l'allegato del servizio, invia una richiesta al metodo serviceAttachments.patch.
- Per modificare la preferenza di connessione da ACCEPT_AUTOMATIC a ACCEPT_MANUAL e aggiornare gli elenchi di accettazione e rifiuto dei consumer in base al progetto, invia la seguente richiesta.
  
  Metodo HTTP e URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
  Corpo JSON della richiesta:
```
{
  "connectionPreference": "ACCEPT_MANUAL",
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1"
      "connectionLimit": "LIMIT_1",
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2"
      "connectionLimit": "LIMIT_2",
    }
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2",
  ],
  "fingerprint" : "FINGERPRINT"
}
```
  Sostituisci quanto segue:
  - PROJECT_ID: il progetto per l'allegato del servizio.
  - REGION: la regione per il collegamento del servizio.
  - ATTACHMENT_NAME: il nome dell'allegato del servizio.
  - ACCEPTED_PROJECT_1 e ACCEPTED_PROJECT_2: gli ID o i numeri dei progetti da accettare. consumerAcceptList è facoltativo e può contenere uno o più progetti.
  - LIMIT_1 e LIMIT_2: i limiti di connessione per i progetti. Il limite di connessioni è il numero di endpoint consumer che possono connettersi a questo servizio.
  - REJECTED_PROJECT_1 e REJECTED_PROJECT_2: gli ID o i numeri di progetto dei progetti da rifiutare. consumerRejectList è facoltativo e può contenere uno o più progetti.
  - FINGERPRINT: l'impronta aggiornata dell'allegato di servizio che hai trovato nel passaggio 1.
- Per modificare la preferenza di connessione da ACCEPT_AUTOMATIC a ACCEPT_MANUAL e aggiornare gli elenchi di accettazione e rifiuto dei consumer in base alla rete VPC, effettua la seguente richiesta.
  
  Metodo HTTP e URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
  Corpo JSON della richiesta:
```
{
  "connectionPreference": "ACCEPT_MANUAL",
  "consumerAcceptLists": [
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_1/global/networks/ACCEPTED_NETWORK_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_2/global/networks/ACCEPTED_NETWORK_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "projects/REJECTED_PROJECT_ID_1/global/networks/REJECTED_NETWORK_1",
    "projects/REJECTED_PROJECT_ID_2/global/network/REJECTED_NETWORK_2"
  ],
  "fingerprint" : "FINGERPRINT"
}
```
  Sostituisci quanto segue:
  - ACCEPTED_PROJECT_ID_1 e ACCEPTED_PROJECT_ID_2: gli ID dei progetti principali delle reti che vuoi accettare. consumerAcceptLists è facoltativo e può contenere una o più emittenti.
  - ACCEPTED_NETWORK_1 e ACCEPTED_NETWORK_2: i nomi delle reti che vuoi accettare.
  - LIMIT_1 e LIMIT_2: i limiti di connessione per le reti. Il limite di connessioni è il numero di endpoint consumer che possono connettersi a questo servizio.
  - REJECTED_PROJECT_ID_1 e REJECTED_PROJECT_ID_2: gli ID dei progetti principali delle emittenti che vuoi rifiutare. consumerRejectLists è facoltativo e può contenere una o più emittenti.
  - REJECTED_NETWORK_1 e REJECTED_NETWORK_2: i nomi delle reti che vuoi rifiutare.
  - FINGERPRINT: l'impronta aggiornata dell'allegato di servizio che hai trovato nel passaggio 1.

Per modificare la preferenza di connessione per l'allegato di servizio da ACCEPT_MANUAL a ACCEPT_AUTOMATIC, effettua la seguente richiesta.

Se i campi consumerAcceptLists o consumerRejectLists specificano dei consumatori, impostali su vuoto quando modifichi la preferenza di connessione su ACCEPT_AUTOMATIC.

Metodo HTTP e URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Corpo JSON della richiesta:
```
{
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "consumerAcceptLists": [ ],
  "consumerRejectLists": [ ],
  "fingerprint" : "FINGERPRINT"
}
```
Sostituisci quanto segue:
- PROJECT_ID: il progetto per l'allegato del servizio.
- REGION: la regione per il collegamento del servizio.
- ATTACHMENT_NAME: il nome del collegamento del servizio.
- FINGERPRINT: l'impronta aggiornata dell'allegato di servizio che hai trovato nel passaggio 1.

Rimuovere gli endpoint obsoleti dagli elenchi consumer

Se gli elenchi di accettazione e rifiuto dei consumatori sono configurati per utilizzare endpoint individuali, un valore può rimanere negli elenchi anche dopo l'eliminazione dell'endpoint corrispondente da parte di un consumatore. Per semplificare la gestione delle tue liste di consumatori, puoi utilizzare il comando gcloud compute service-attachments update per rimuovere i valori per gli endpoint che non esistono più. Questa funzionalità è supportata solo per Google Cloud CLI.

gcloud

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --remove-obsolete-endpoint-accept-reject-entries

Sostituisci quanto segue:

ATTACHMENT_NAME: il nome del collegamento del servizio da aggiornare.
REGION: la regione per il collegamento del servizio.

Configura la riconciliazione delle connessioni

Puoi abilitare o disabilitare la riconciliazione della connessione per i service attachment esistenti.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.serviceAttachments.update

Ruoli

Per informazioni sui ruoli, consulta la sezione Ruoli.

Console

Nella console Google Cloud , vai alla pagina Private Service Connect.

Vai a Private Service Connect
Fai clic sulla scheda Servizi pubblicati.
Fai clic sul servizio da aggiornare e poi su Modifica dettagli del servizio.
Seleziona o deseleziona la casella di controllo Abilita riconciliazione connessioni e fai clic su Salva.

gcloud

Per attivare la riconciliazione delle connessioni, utilizza il comando service-attachments update.
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --reconcile-connections
```
Sostituisci quanto segue:
- ATTACHMENT_NAME: il nome dell'allegato del servizio.
- REGION: la regione del collegamento del servizio.

Per disattivare la riconciliazione delle connessioni, utilizza il seguente comando:

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --no-reconcile-connections

API

Per ottenere fingerprint del collegamento del servizio, invia una richiesta al metodo serviceAttachments.get.

Metodo HTTP e URL:
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Sostituisci quanto segue:
- PROJECT_ID: il progetto per l'allegato del servizio.
- REGION: la regione per il collegamento del servizio.
- ATTACHMENT_NAME: il nome del collegamento del servizio.
Prendi nota del valore fingerprint, che utilizzerai nel passaggio successivo.
Invia una richiesta al metodo serviceAttachments.patch.

Metodo HTTP e URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Corpo JSON della richiesta:
```
{
  "reconcileConnections": RECONCILIATION,
  "fingerprint": "FINGERPRINT"
}
```
Sostituisci quanto segue:
- PROJECT_ID: il progetto per l'allegato del servizio.
- REGION: la regione per il collegamento del servizio.
- ATTACHMENT_NAME: il nome del collegamento del servizio.
- RECONCILIATION: se abilitare la riconciliazione delle connessioni. Le opzioni sono true o false.
- FINGERPRINT: l'impronta aggiornata dell'allegato di servizio che hai trovato nel passaggio precedente.

Aggiungere o rimuovere subnet da un servizio pubblicato

Puoi modificare un servizio pubblicato per aggiungere subnet Private Service Connect.

Ad esempio, potresti dover rendere disponibili più indirizzi IP per un servizio esistente. Per aggiungere altri indirizzi, procedi in uno dei seguenti modi:

Crea un'altra subnet Private Service Connect ed edita il collegamento di servizio per aggiungere la nuova subnet.
Modifica la subnet per espandere l'intervallo IPv4.

Allo stesso modo, puoi modificare un servizio pubblicato per rimuovere le subnet Private Service Connect. Tuttavia, se uno degli indirizzi IP della subnet viene utilizzato per eseguire SNAT per Private Service Connect, la rimozione della subnet non va a buon fine.

Se modifichi la configurazione della subnet, aggiorna le regole firewall per consentire alle richieste delle nuove subnet di raggiungere le VM di backend.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni

compute.serviceAttachments.update

Ruoli

Per informazioni sui ruoli, consulta la sezione Ruoli.

Console

Nella console Google Cloud , vai alla pagina Private Service Connect.

Vai a Private Service Connect
Fai clic sulla scheda Servizi pubblicati.
Fai clic sul servizio da aggiornare e poi su Modifica dettagli del servizio.
Modifica le subnet utilizzate per questo servizio.

Se vuoi aggiungere una nuova subnet, puoi crearne una:
1. Fai clic su Riserva nuova subnet.
2. Inserisci un nome e una descrizione facoltativa per la subnet.
3. Seleziona una regione per la subnet.
4. Inserisci l'intervallo IP da utilizzare per la subnet e fai clic su Aggiungi.
Fai clic su Salva.

gcloud

Per aggiornare le subnet Private Service Connect utilizzate per questo collegamento al servizio, utilizza il comando gcloud compute service-attachments update.

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --nat-subnets=PSC_SUBNET_LIST

Sostituisci quanto segue:

ATTACHMENT_NAME: il nome dell'allegato del servizio.
REGION: la regione in cui si trova l'allegato di servizio.
PSC_SUBNET_LIST: un elenco separato da virgole di una o più subnet da utilizzare con questo collegamento del servizio.

API

Per ottenere fingerprint del collegamento del servizio, invia una richiesta al metodo serviceAttachments.get.

Metodo HTTP e URL:
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Sostituisci quanto segue:
- PROJECT_ID: il progetto per l'allegato del servizio.
- REGION: la regione per il collegamento del servizio.
- ATTACHMENT_NAME: il nome del collegamento del servizio.
Prendi nota del valore fingerprint, che utilizzerai nel passaggio successivo.
Per aggiornare le subnet Private Service Connect utilizzate per questo collegamento di servizio, invia una richiesta al metodo serviceAttachments.patch.

Metodo HTTP e URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Corpo JSON della richiesta:
```
{
  "natSubnets": [
  "PSC_SUBNET1_URI",
  "PSC_SUBNET2_URI"
  ],
  "fingerprint": "FINGERPRINT"
}
```
Sostituisci quanto segue:
- PROJECT_ID: il progetto per l'allegato del servizio.
- REGION: la regione per il collegamento del servizio.
- ATTACHMENT_NAME: il nome dell'allegato del servizio.
- PSC_SUBNET1_URI e PSC_SUBNET2_URI: URI delle subnet che vuoi utilizzare con questo collegamento di servizio. Puoi specificare una o più subnet.
- FINGERPRINT: l'impronta aggiornata dell'allegato di servizio che hai trovato nel passaggio precedente.

Aggiorna il servizio di destinazione

Per le configurazioni supportate, puoi aggiornare un collegamento del servizio in modo che faccia riferimento a un servizio diverso. Per informazioni sulle configurazioni supportate e sulle limitazioni, consulta Modificabilità del servizio.

Quando aggiorni un servizio di destinazione, il traffico viene interrotto per un breve periodo di tempo. Tuttavia, i consumatori non vengono avvisati automaticamente che il servizio non è disponibile e l'aggiornamento di un servizio di destinazione non influisce sugli stati di connessione dei consumatori connessi.

Prepararsi per l'aggiornamento

I passaggi nelle sezioni seguenti sono facoltativi. Nella maggior parte dei casi, puoi passare direttamente alla sezione Aggiornare l'allegato del servizio, a meno che tu non voglia eseguire le seguenti operazioni:

Se vuoi segnalare esplicitamente il tempo di inattività ai consumatori aggiornando gli stati di connessione a REJECTED, completa i passaggi nella sezione Segnala il tempo di inattività ai consumatori.
Se vuoi creare un'istanza di test per verificare quando viene ripristinata la connettività al servizio, completa i passaggi descritti nella sezione Prepara un consumatore di test.

Segnala ai consumatori i tempi di inattività durante un aggiornamento

Per comunicare esplicitamente ai consumatori che il servizio non è disponibile, completa i seguenti passaggi facoltativi:

Assicurati che la riconciliazione della connessione sia abilitata per il collegamento del servizio.
Aggiungi tutti i consumatori dell'elenco di accettazione all'elenco di rifiuto. In questo modo, gli stati della connessione diventano REJECTED.
Una volta completato l'aggiornamento, rimuovi i consumatori dall'elenco dei rifiuti per ripristinare lo stato delle connessioni su ACCEPTED.

Prepara un consumatore di test

Per verificare quando viene ripristinata la connettività al servizio, puoi facoltativamente inviare pacchetti probe al servizio da un'istanza di test. Per configurare il test:

Crea una rete VPC di test nel tuo progetto.
Nella rete VPC di test, esegui le seguenti operazioni:
- Crea un endpoint Private Service Connect che si connette al collegamento di servizio.
- Crea un'istanza di test.
Prepara uno dei seguenti modi per testare la connessione:
- Configura i Connectivity Tests per testare la connettività tra la VM di test e l'endpoint. Puoi riprovare questo test dopo l'aggiornamento per determinare quando viene ripristinata la connettività.
- Se vuoi inviare manualmente pacchetti di probe, connettiti all'istanza di test e verifica di poter raggiungere l'indirizzo IP dell'endpoint utilizzando uno strumento come curl.

Aggiorna il collegamento al servizio

Per aggiornare il servizio di destinazione dell'allegato di servizio:

Per eseguire l'aggiornamento a o da un servizio di destinazione di forwarding del protocollo interno, devi utilizzare gcloud CLI o inviare una richiesta API.

Console

Nella console Google Cloud , vai alla pagina Private Service Connect.

Vai a Private Service Connect
Fai clic sulla scheda Servizi pubblicati.
Fai clic sul servizio che vuoi aggiornare.
Fai clic su Modifica dettagli servizio.
Seleziona il tipo di bilanciatore del carico del nuovo servizio di destinazione.
Seleziona la regola di forwarding del nuovo servizio di destinazione.
Fai clic su Salva.

gcloud

Utilizza il comando gcloud compute service-attachments update.

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --target-service=TARGET_SERVICE

Sostituisci quanto segue:

ATTACHMENT_NAME: il nome del collegamento di servizio da aggiornare.
REGION: la regione del collegamento del servizio.
TARGET_SERVICE: l'URI del nuovo servizio di destinazione, nel seguente formato: projects/PROJECT_ID/regions/RULE_REGION/forwardingRules/RULE_NAME

API

Per ottenere fingerprint del collegamento del servizio, invia una richiesta al metodo serviceAttachments.get.

Metodo HTTP e URL:
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Sostituisci quanto segue:
- PROJECT_ID: il progetto per l'allegato del servizio.
- REGION: la regione per il collegamento del servizio.
- ATTACHMENT_NAME: il nome del collegamento del servizio.
Prendi nota del valore fingerprint, che utilizzerai nel passaggio successivo.
Invia una richiesta al metodo serviceAttachments.patch.

Metodo HTTP e URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Corpo JSON della richiesta:
```
{
  "targetService": "TARGET_SERVICE",
  "fingerprint": "FINGERPRINT"
}
```
Sostituisci quanto segue:
- TARGET_SERVICE: l'URI del nuovo servizio di destinazione, nel seguente formato: projects/PROJECT_ID/regions/RULE_REGION/forwardingRules/RULE_NAME
- FINGERPRINT: l'impronta aggiornata dell'allegato di servizio che hai trovato nel passaggio precedente.

Verifica l'aggiornamento e ripristina l'accesso

Se hai creato una rete VPC e un'istanza di test, verifica che l'aggiornamento sia completato e che il servizio sia disponibile. Questo passaggio è facoltativo. Esegui una delle seguenti operazioni:

Se hai creato un test con Connectivity Tests, esegui di nuovo il test. Quando l'analisi del piano dati live per un test mostra che tutti i pacchetti sono stati consegnati correttamente, l'aggiornamento è completato.
Invia manualmente pacchetti di probe dall'istanza di test al servizio di destinazione. Quando l'istanza riceve correttamente le risposte, l'aggiornamento è completato.

Quando la connettività viene ripristinata:

Se hai aggiunto consumatori all'elenco di rifiuto, rimuovili dall'elenco di rifiuto per segnalare che il servizio è disponibile.
Se hai creato risorse per verificare il completamento dell'aggiornamento, segui questi passaggi per eliminarle ed evitare addebiti non necessari:

Aggiorna il limite di connessioni propagate di un servizio pubblicato

Puoi aggiornare il limite delle connessioni propagate di un collegamento al servizio. Quando aumenti il limite, Google Cloud viene controllato automaticamente se è possibile creare connessioni propagate in attesa. Quando diminuisci il limite, le connessioni propagate esistenti non vengono interessate. Tuttavia, i tentativi di ristabilire le connessioni propagate eliminate o rifiutate potrebbero essere bloccati se viene raggiunto il nuovo limite.

Console

Nella console Google Cloud , vai alla pagina Private Service Connect.

Vai a Private Service Connect
Fai clic sulla scheda Servizi pubblicati.
Fai clic sul servizio da aggiornare e poi su Modifica dettagli del servizio.
Fai clic su Configurazione avanzata.
Inserisci il nuovo limite connessioni NCC propagate.

gcloud

Utilizza il comando gcloud compute service-attachments update.

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --propagated-connection-limit=LIMIT

Sostituisci quanto segue:

ATTACHMENT_NAME: il nome dell'allegato del servizio.
REGION: la regione in cui si trova l'allegato di servizio.
LIMIT: il nuovo valore per il limite di connessione propagato.

API

Per ottenere fingerprint del collegamento del servizio, invia una richiesta al metodo serviceAttachments.get.

Metodo HTTP e URL:
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Sostituisci quanto segue:
- PROJECT_ID: il progetto per l'allegato del servizio.
- REGION: la regione per il collegamento del servizio.
- ATTACHMENT_NAME: il nome del collegamento del servizio.
Prendi nota del valore fingerprint, che utilizzerai nel passaggio successivo.
Invia una richiesta al metodo serviceAttachments.patch.

Metodo HTTP e URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Corpo JSON della richiesta:
```
{
  "propagatedConnectionLimit": LIMIT,
  "fingerprint": "FINGERPRINT"
}
```
Sostituisci quanto segue:
- PROJECT_ID: il progetto per l'allegato del servizio.
- REGION: la regione per il collegamento del servizio.
- ATTACHMENT_NAME: il nome dell'allegato del servizio.
- LIMIT: il nuovo valore per il limite di connessione propagato.
- FINGERPRINT: l'impronta aggiornata dell'allegato di servizio che hai trovato nel passaggio precedente.