Gestire i servizi pubblicati

Questa pagina descrive come gestire le richieste di accesso a un servizio pubblicato, come modificare la preferenza di connessione per un servizio pubblicato e come configurare la riconciliazione delle connessioni.

Ogni collegamento al servizio ha una preferenza di connessione che controlla se le connessioni vengono accettate automaticamente.

  • Accetta automaticamente tutte le connessioni. L'allegato di servizio accetta automaticamente tutte le richieste di connessione in entrata da qualsiasi consumer.
  • Accetta esplicitamente le connessioni dai consumatori selezionati. L'allegato di servizio accetta richieste di connessione in entrata solo se il consumer si trova nell'elenco di accettazione dei consumer dell'allegato di servizio. Puoi specificare i consumer per progetto, rete VPC o singolo endpoint Private Service Connect (anteprima). Non puoi includere diversi tipi di consumatori nello stesso elenco di accettazione o rifiuto dei consumatori.

Per entrambe le preferenze di connessione, le connessioni accettate possono essere sostituite e rifiutate da un criterio dell'organizzazione che blocca le connessioni in entrata.

Ti consigliamo di accettare esplicitamente le connessioni per i consumatori selezionati. L'accettazione automatica di tutte le connessioni potrebbe essere appropriata se controlli l'accesso dei consumatori con altri mezzi e vuoi abilitare l'accesso permissivo al tuo servizio.

Per saperne di più sulla pubblicazione di un servizio, consulta Pubblicare un servizio.

Ruoli

Il seguente ruolo IAM fornisce le autorizzazioni necessarie per eseguire le attività descritte in questa guida.

Gestire l'accesso a un servizio pubblicato

Se hai pubblicato un servizio con approvazione esplicita, puoi accettare o rifiutare le connessioni aggiornando gli elenchi di consumatori. Per accettare una connessione, aggiungi il progetto, la rete VPC o l'endpoint Private Service Connect individuale del consumer richiedente a un elenco di accettazione dei consumer di un servizio. Puoi rifiutare esplicitamente le connessioni aggiornando l'elenco di rifiuto dei consumatori nello stesso modo.

Puoi aggiungere progetti o reti VPC agli elenchi consumer prima o dopo che il consumer richiede una connessione. Puoi aggiungere endpoint solo dopo una richiesta di connessione, perché l'URI di un endpoint non è noto finché non viene creato.

Tutti i valori negli elenchi dei consumatori devono essere dello stesso tipo. Ad esempio, non puoi accettare alcune connessioni in base al progetto consumer e altre in base ai singoli endpoint. Se aggiungi lo stesso valore sia all'elenco di accettazione che all'elenco di rifiuto, le richieste di connessione di quel consumatore vengono rifiutate.

Per impostazione predefinita, le modifiche agli elenchi di consumatori influiscono solo sulle connessioni nuove o in attesa. Le connessioni accettate in precedenza non vengono terminate a meno che tu non abbia attivato la riconciliazione delle connessioni.

Console

Puoi gestire l'accesso per un servizio con approvazione esplicita accettando o rifiutando le richieste di connessione esistenti oppure aggiornando gli elenchi di accettazione e rifiuto dei consumatori. Entrambi i metodi hanno lo stesso risultato e aggiornano gli stessi elenchi di consumatori.

Visualizzare i dettagli di un servizio pubblicato

  1. Nella console Google Cloud , vai alla pagina Private Service Connect.

    Vai a Private Service Connect

  2. Fai clic sulla scheda Servizi pubblicati.

  3. Fai clic sul servizio che vuoi gestire.

Accettare o rifiutare le richieste di collegamento

  • Se il tuo servizio è configurato per accettare connessioni in base al progetto consumer, i progetti che hanno tentato di connettersi a questo servizio sono elencati nella sezione Progetti connessi. Seleziona la casella di controllo accanto a uno o più progetti, quindi fai clic su Accetta progetto o Rifiuta progetto.
  • Se il tuo servizio è configurato per accettare singoli endpoint Private Service Connect, fai clic su In attesa di approvazione per visualizzare gli endpoint che hanno tentato di connettersi a questo servizio. Seleziona la casella di controllo accanto a uno o più endpoint, quindi fai clic su Accetta endpoint o Rifiuta endpoint.
  • Se il tuo servizio è configurato per accettare i consumer in base alla rete VPC, puoi accettare o rifiutare le connessioni solo aggiornando gli elenchi di accettazione e rifiuto dei consumer, come descritto nella sezione seguente.

Aggiornare gli elenchi di accettazione e rifiuto dei consumatori

  1. Fai clic su Modifica dettagli servizio.
  2. (Facoltativo) Seleziona una nuova preferenza di connessione.

  3. Completa il seguente passaggio applicabile. Puoi ripetere questo passaggio per ogni consumatore che vuoi aggiungere.

    • Per Accetta connessioni per i progetti selezionati, fai clic su Aggiungi progetto accettato, quindi inserisci il progetto e il limite di connessioni.
    • Per Accetta connessioni per le reti selezionate, fai clic su Aggiungi rete accettata e poi inserisci il progetto, la rete VPC e il limite di connessione.

    • Per Accetta connessioni per gli endpoint selezionati, fai clic su Aggiungi endpoint accettato, quindi inserisci l'ID del progetto e dell'endpoint.

      Puoi trovare l'ID di un endpoint visualizzando il servizio pubblicato e controllando la sezione In attesa di approvazione per il valore di ID endpoint.

gcloud

  1. Per visualizzare le connessioni esistenti e in attesa per il collegamento del servizio che vuoi modificare, utilizza il comando gcloud beta compute service-attachments describe.

    gcloud beta compute service-attachments describe ATTACHMENT_NAME \
    --region=REGION

    Sostituisci quanto segue:

    • ATTACHMENT_NAME: il nome del collegamento del servizio.
    • REGION: la regione del collegamento del servizio.

    L'output è simile al seguente esempio. Se sono presenti connessioni con i consumatori in attesa, queste vengono elencate con lo stato PENDING. L'URI basato sull'ID dell'endpoint Private Service Connect che puoi utilizzare per accettare o rifiutare singoli endpoint viene visualizzato nel campo endpointWithId.

    In questo output di esempio, il progetto CONSUMER_PROJECT_1 è nell'elenco di accettazione, quindi ENDPOINT_1 viene accettato e può connettersi al servizio. Il progetto CONSUMER_PROJECT_2 non è presente nell'elenco di accettazione, pertanto ENDPOINT_2 è in attesa. Dopo che CONSUMER_PROJECT_2 viene aggiunto all'elenco di accettazione, lo stato di ENDPOINT_2 cambia in ACCEPTED e l'endpoint può connettersi al servizio.

    connectedEndpoints:
- consumerNetwork: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_1/global/networks/CONSUMER_NETWORK_1
  endpoint: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_1/regions/REGION_1/forwardingRules/ENDPOINT_1
  endpointWithId: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_1/regions/REGION_1/forwardingRules/RESOURCE_ID_1
  pscConnectionId: 'ENDPOINT_1_ID'
  status: ACCEPTED
- consumerNetwork: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_2/global/networks/CONSUMER_NETWORK_2
  endpoint: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/ENDPOINT_2
  endpointWithId: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/RESOURCE_ID_2
  pscConnectionId: 'ENDPOINT_2_ID'
  status: PENDING
connectionPreference: ACCEPT_MANUAL
consumerAcceptLists:
- connectionLimit: LIMIT_1
  projectIdOrNum: CONSUMER_PROJECT_1
creationTimestamp: 'TIMESTAMP'
description: 'DESCRIPTION'
enableProxyProtocol: false
fingerprint: FINGERPRINT
id: 'ID'
kind: compute#serviceAttachment
name: NAME
natSubnets:
- https://www.googleapis.com/compute/beta/projects/PRODUCER_PROJECT/regions/REGION/subnetworks/PSC_SUBNET
pscServiceAttachmentId:
  high: 'PSC_ATTACH_ID_HIGH'
  low: 'PSC_ATTACH_ID_LOW'
region: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION
selfLink: https://www.googleapis.com/compute/v1/projects/projects/PRODUCER_PROJECT/regions/REGION/serviceAttachments/ATTACHMENT_NAME
targetService: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/forwardingRules/PRODUCER_FWD_RULE

  2. Per accettare o rifiutare i collegamenti dei consumatori:

    • Per accettare o rifiutare i consumer in base al progetto o alla rete VPC, utilizza il comando gcloud compute service-attachments update.

      Puoi specificare --consumer-accept-list o --consumer-reject-list oppure entrambi. Puoi specificare più valori in --consumer-accept-list e --consumer-reject-list. Puoi includere progetti o reti VPC, ma non un mix di progetti e reti.

      gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --consumer-accept-list=ACCEPTED_PROJECT_OR_NETWORK_1=LIMIT_1,ACCEPTED_PROJECT_OR_NETWORK_2=LIMIT_2 \
    --consumer-reject-list=REJECTED_PROJECT_OR_NETWORK_1,REJECTED_PROJECT_OR_NETWORK_2

      Sostituisci quanto segue:

      • ATTACHMENT_NAME: il nome dell'allegato di servizio.

      • REGION: la regione in cui si trova il collegamento del servizio.

      • ACCEPTED_PROJECT_OR_NETWORK_1 e ACCEPTED_PROJECT_OR_NETWORK_2: gli ID progetto, i nomi dei progetti o gli URL di rete da accettare. --consumer-accept-list è facoltativo e può contenere uno o più progetti o reti, ma non un mix di entrambi i tipi.

      • LIMIT_1 e LIMIT_2: i limiti di connessione per i progetti o le reti. Il limite di connessione è il numero di endpoint consumer che possono connettersi a questo servizio.

      • REJECTED_PROJECT_OR_NETWORK_1 e REJECTED_PROJECT_OR_NETWORK_2: gli ID progetto, i nomi dei progetti o gli URL di rete da rifiutare. --consumer-reject-list è facoltativo e può contenere uno o più progetti o reti, ma non un mix di entrambi i tipi.

    • Per accettare o rifiutare singoli endpoint Private Service Connect (anteprima), utilizza il comando gcloud beta compute service-attachments update.

      gcloud beta compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --consumer-accept-list=ACCEPTED_ENDPOINT_URI_1,ACCEPTED_ENDPOINT_URI_2 \
    --consumer-reject-list=REJECTED_ENDPOINT_URI_1,REJECTED_ENDPOINT_URI_2

      Sostituisci quanto segue:

      • ACCEPTED_ENDPOINT_URI_1 e ACCEPTED_ENDPOINT_URI_2: gli URI basati sull'ID di uno o più endpoint Private Service Connect da accettare. Per trovare l'URI basato sull'ID di un endpoint Private Service Connect, descrivi un collegamento al servizio connesso e controlla il campo endpointWithId oppure descrivi l'endpoint Private Service Connect e controlla il campo selfLinkWithId. --consumer-accept-list è facoltativo.

        Ad esempio, l'URI basato sull'ID dell'endpoint Private Service Connect in attesa nell'output di esempio all'inizio di questa sezione è https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/RESOURCE_ID_2

      • REJECTED_ENDPOINT_URI_1 e REJECTED_ENDPOINT_URI_2: gli URI basati sull'ID di uno o più endpoint Private Service Connect da rifiutare. --consumer-reject-list è facoltativo.

API

  1. Per descrivere il service attachment che vuoi modificare, invia una richiesta al metodo serviceAttachments.get.

    Metodo HTTP e URL:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    Sostituisci quanto segue:

    • PROJECT_ID: il progetto per l'allegato del servizio.
    • REGION: la regione per l'allegato del servizio.
    • ATTACHMENT_NAME: il nome del collegamento del servizio.

    Se sono presenti connessioni consumer in attesa, vengono elencate con lo stato PENDING. L'URI basato sull'ID dell'endpoint Private Service Connect che puoi utilizzare per accettare o rifiutare singoli endpoint viene visualizzato nel campo endpointWithId.

    Prendi nota del valore fingerprint, che utilizzerai nel passaggio successivo.

  2. Per accettare o rifiutare progetti o reti consumer, invia una richiesta al metodo serviceAttachments.patch.

    Puoi passare dall'accettazione al rifiuto dei consumer per progetto o rete VPC, ma non puoi includere un mix di progetti e reti nella stessa richiesta.

    • Per accettare o rifiutare i consumatori in base al progetto, invia la seguente richiesta.

      Metodo HTTP e URL:

      PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

      Corpo JSON della richiesta:

      {
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2"
  ],
  "fingerprint" : "FINGERPRINT"
}

      Sostituisci quanto segue:

      • PROJECT_ID: il progetto per l'allegato del servizio.
      • REGION: la regione per l'allegato del servizio.
      • ATTACHMENT_NAME: il nome dell'allegato di servizio.
      • ACCEPTED_PROJECT_1 e ACCEPTED_PROJECT_2: gli ID o i numeri di progetto dei progetti da accettare. consumerAcceptList è facoltativo e può contenere uno o più progetti.
      • LIMIT_1 e LIMIT_2: i limiti di connessione per i progetti. Il limite di connessioni è il numero di endpoint consumer che possono connettersi a questo servizio.
      • REJECTED_PROJECT_1 e REJECTED_PROJECT_2: gli ID o i numeri di progetto dei progetti da rifiutare. consumerRejectList è facoltativo e può contenere uno o più progetti.
      • FINGERPRINT: l'impronta aggiornata dell'allegato di servizio che hai trovato nel passaggio precedente.

    • Per accettare o rifiutare i consumer in base alla rete VPC, invia la seguente richiesta.

      Metodo HTTP e URL:

      PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

      Corpo JSON della richiesta:

      {
  "consumerAcceptLists": [
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_1/global/network/ACCEPTED_NETWORK_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_2/global/network/ACCEPTED_NETWORK_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "projects/REJECTED_PROJECT_ID_1/global/networks/REJECTED_NETWORK_1",
    "projects/REJECTED_PROJECT_ID_2/global/network/REJECTED_NETWORK_2"
  ],
  "fingerprint": "FINGERPRINT"
}

      Sostituisci quanto segue:

      • ACCEPTED_PROJECT_ID_1 e ACCEPTED_PROJECT_ID_2: gli ID dei progetti principali delle reti che vuoi accettare. consumerAcceptLists è facoltativo e può contenere una o più emittenti.
      • ACCEPTED_NETWORK_1 e ACCEPTED_NETWORK_2: i nomi delle reti che vuoi accettare.
      • LIMIT_1 e LIMIT_2: i limiti di connessione per le reti. Il limite di connessioni è il numero di endpoint consumer che possono connettersi a questo servizio.
      • REJECTED_PROJECT_ID_1 e REJECTED_PROJECT_ID_2: gli ID dei progetti principali delle reti che vuoi rifiutare. consumerRejectLists è facoltativo e può contenere una o più emittenti.
      • REJECTED_NETWORK_1 e REJECTED_NETWORK_2: i nomi delle reti che vuoi rifiutare.

    • Per accettare o rifiutare i consumer in base ai singoli endpoint Private Service Connect (anteprima), invia la seguente richiesta.

      Metodo HTTP e URL:

      PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

      Corpo JSON della richiesta:

      {
  "consumerAcceptLists": [
    {
      "endpointUrl": "ACCEPTED_ENDPOINT_URI_1"
    },
    {
      "endpointUrl": "ACCEPTED_ENDPOINT_URI_2"
    }
  ],
  "consumerRejectLists": [
    "REJECTED_ENDPOINT_URI_1",
    "REJECTED_ENDPOINT_URI_2"
  ],
  "fingerprint": "FINGERPRINT"
}

      Sostituisci quanto segue:

      • ACCEPTED_ENDPOINT_URI_1 e ACCEPTED_ENDPOINT_URI_2: gli URI basati sull'ID di uno o più endpoint Private Service Connect da accettare. Per trovare l'URI basato sull'ID di un endpoint Private Service Connect, descrivi un collegamento di servizio connesso e controlla il campo endpointWithId oppure descrivi l'endpoint e controlla il campo selfLinkWithId. Un esempio di URI basato sull'ID è https://www.googleapis.com/compute/beta/projects/consumer-project/regions/us-central1/forwardingRules/1234567890

        Questo elenco è facoltativo.

      • REJECTED_ENDPOINT_URI_1 e REJECTED_ENDPOINT_URI_2: gli URI basati sull'ID di uno o più endpoint Private Service Connect da rifiutare. Questo elenco è facoltativo.

Modificare la preferenza di connessione per un servizio pubblicato

Puoi passare dall'accettazione automatica a quella esplicita per un servizio pubblicato. L'effetto di questa modifica sulle connessioni esistenti dipende dal fatto che la riconciliazione delle connessioni sia abilitata per il collegamento al servizio.

Se la riconciliazione delle connessioni è disattivata, la modifica della preferenza di connessione non influisce sulle connessioni ACCEPTED o REJECTED esistenti:

  • Quando passi dall'accettazione automatica all'accettazione esplicita, le nuove connessioni devono essere presenti nell'elenco di accettazione del consumer per essere ACCEPTED.
  • Quando passi dall'accettazione esplicita all'accettazione automatica, tutte le connessioni PENDING esistenti vengono ACCEPTED automaticamente.

Se la riconciliazione delle connessioni è abilitata, tutte le connessioni esistenti vengono rivalutate in base alla nuova preferenza di connessione:

  • Quando passi dall'accettazione automatica a quella esplicita, tutte le connessioni esistenti dei consumatori che non sono presenti nell'elenco di accettazione dei consumatori diventano PENDING e vengono terminate.
  • Quando passi dall'accettazione esplicita a quella automatica, tutte le connessioni PENDING e REJECTED esistenti cambiano in ACCEPTED.

Per saperne di più sull'aggiornamento dell'elenco di accettazione dei consumer di un servizio, consulta Gestire le richieste di accesso a un servizio pubblicato.

Console

  1. Nella console Google Cloud , vai alla pagina Private Service Connect.

    Vai a Private Service Connect

  2. Fai clic sulla scheda Servizi pubblicati.

  3. Fai clic sul servizio da aggiornare e poi su Modifica dettagli del servizio.

  4. Seleziona la nuova preferenza di connessione da utilizzare per questo servizio.

  5. (Facoltativo) Se passi all'utilizzo dell'accettazione esplicita, puoi aggiungere i consumatori all'elenco di accettazione ora o in un secondo momento. Per accettare i consumatori, esegui una delle seguenti operazioni. Puoi ripetere questo passaggio per ogni consumatore che vuoi aggiungere.

    • Per Accetta connessioni per i progetti selezionati, fai clic su Aggiungi progetto accettato, quindi inserisci il progetto e il limite di connessioni.
    • Per Accetta connessioni per le reti selezionate, fai clic su Aggiungi rete accettata e poi inserisci il progetto, la rete VPC e il limite di connessione.
    • Per Accetta connessioni per gli endpoint selezionati, fai clic su Aggiungi endpoint accettato, quindi inserisci l'ID del progetto e dell'endpoint.

  6. Fai clic su Salva.

gcloud

  • Per modificare la preferenza di connessione per il collegamento di servizio da ACCEPT_AUTOMATIC a ACCEPT_MANUAL, utilizza il comando gcloud compute service-attachments update.

    Puoi controllare quali progetti possono connettersi al tuo servizio utilizzando --consumer-accept-list e --consumer-reject-list. Puoi configurare gli elenchi di accettazione e rifiuto quando modifichi la preferenza di connessione o aggiornare gli elenchi in un secondo momento.

    gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_MANUAL \
    [ --consumer-accept-list=ACCEPTED_PROJECT_OR_NETWORK_1=LIMIT_1,ACCEPTED_PROJECT_OR_NETWORK_2=LIMIT_2] \
    [ --consumer-reject-list=REJECTED_PROJECT_OR_NETWORK_1,REJECTED_PROJECT_OR_NETWORK_2 ]

    Sostituisci quanto segue:

    • ATTACHMENT_NAME: il nome dell'allegato del servizio.

    • REGION: la regione in cui si trova il collegamento del servizio.

    • ACCEPTED_PROJECT_OR_NETWORK_1 e ACCEPTED_PROJECT_OR_NETWORK_2: gli ID progetto, i nomi dei progetti o gli URL di rete da accettare. --consumer-accept-list è facoltativo e può contenere uno o più progetti o reti, ma non un mix di entrambi i tipi.

    • LIMIT_1 e LIMIT_2: i limiti di connessione per i progetti. Il limite di connessioni è il numero di endpoint consumer che possono connettersi a questo servizio.

    • REJECTED_PROJECT_OR_NETWORK_1 e REJECTED_PROJECT_OR_NETWORK_2: gli ID progetto, i nomi dei progetti o gli URL di rete da rifiutare. --consumer-reject-list è facoltativo e può contenere uno o più progetti o reti, ma non un mix di entrambi i tipi.

  • Per modificare la preferenza di connessione per il collegamento al servizio da ACCEPT_MANUAL a ACCEPT_AUTOMATIC, utilizza il seguente comando.

    Se hai valori nell'elenco di accettazione o nell'elenco di rifiuto, impostali su vuoto quando modifichi la preferenza di connessione ("").

    gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_AUTOMATIC \
    --consumer-accept-list="" \
    --consumer-reject-list=""

    Sostituisci quanto segue:

    • ATTACHMENT_NAME: il nome dell'allegato del servizio.

    • REGION: la regione in cui si trova il collegamento del servizio.

API

  1. Per ottenere fingerprint del service attachment, invia una richiesta al metodo serviceAttachments.get.

    Metodo HTTP e URL:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    Sostituisci quanto segue:

    • PROJECT_ID: il progetto per l'allegato del servizio.
    • REGION: la regione per l'allegato del servizio.
    • ATTACHMENT_NAME: il nome del collegamento del servizio.

    Prendi nota del valore fingerprint, che utilizzerai nel passaggio successivo.

  2. Per modificare la preferenza di connessione per l'allegato di servizio, invia una richiesta al metodo serviceAttachments.patch.

    • Per modificare la preferenza di connessione da ACCEPT_AUTOMATIC a ACCEPT_MANUAL e aggiornare gli elenchi di accettazione e rifiuto dei consumer in base al progetto, invia la seguente richiesta.

      Metodo HTTP e URL:

      PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

      Corpo JSON della richiesta:

      {
  "connectionPreference": "ACCEPT_MANUAL",
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1"
      "connectionLimit": "LIMIT_1",
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2"
      "connectionLimit": "LIMIT_2",
    }
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2",
  ],
  "fingerprint" : "FINGERPRINT"
}

      Sostituisci quanto segue:

      • PROJECT_ID: il progetto per l'allegato del servizio.
      • REGION: la regione per l'allegato del servizio.
      • ATTACHMENT_NAME: il nome dell'allegato di servizio.
      • ACCEPTED_PROJECT_1 e ACCEPTED_PROJECT_2: gli ID o i numeri di progetto dei progetti da accettare. consumerAcceptList è facoltativo e può contenere uno o più progetti.
      • LIMIT_1 e LIMIT_2: i limiti di connessione per i progetti. Il limite di connessioni è il numero di endpoint consumer che possono connettersi a questo servizio.
      • REJECTED_PROJECT_1 e REJECTED_PROJECT_2: gli ID o i numeri di progetto dei progetti da rifiutare. consumerRejectList è facoltativo e può contenere uno o più progetti.
      • FINGERPRINT: l'impronta aggiornata dell'allegato di servizio che hai trovato nel passaggio 1.

    • Per modificare la preferenza di connessione da ACCEPT_AUTOMATIC a ACCEPT_MANUAL e aggiornare gli elenchi di accettazione e rifiuto dei consumer in base alla rete VPC, invia la seguente richiesta.

      Metodo HTTP e URL:

      PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

      Corpo JSON della richiesta:

      {
  "connectionPreference": "ACCEPT_MANUAL",
  "consumerAcceptLists": [
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_1/global/networks/ACCEPTED_NETWORK_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_2/global/networks/ACCEPTED_NETWORK_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "projects/REJECTED_PROJECT_ID_1/global/networks/REJECTED_NETWORK_1",
    "projects/REJECTED_PROJECT_ID_2/global/network/REJECTED_NETWORK_2"
  ],
  "fingerprint" : "FINGERPRINT"
}

      Sostituisci quanto segue:

      • ACCEPTED_PROJECT_ID_1 e ACCEPTED_PROJECT_ID_2: gli ID dei progetti principali delle reti che vuoi accettare. consumerAcceptLists è facoltativo e può contenere una o più emittenti.
      • ACCEPTED_NETWORK_1 e ACCEPTED_NETWORK_2: i nomi delle reti che vuoi accettare.
      • LIMIT_1 e LIMIT_2: i limiti di connessione per le reti. Il limite di connessioni è il numero di endpoint consumer che possono connettersi a questo servizio.
      • REJECTED_PROJECT_ID_1 e REJECTED_PROJECT_ID_2: gli ID dei progetti principali delle reti che vuoi rifiutare. consumerRejectLists è facoltativo e può contenere una o più emittenti.
      • REJECTED_NETWORK_1 e REJECTED_NETWORK_2: i nomi delle reti che vuoi rifiutare.
      • FINGERPRINT: l'impronta aggiornata dell'allegato di servizio che hai trovato nel passaggio 1.

  • Per modificare la preferenza di connessione per l'allegato di servizio da ACCEPT_MANUAL a ACCEPT_AUTOMATIC, effettua la seguente richiesta.

    Se i campi consumerAcceptLists o consumerRejectLists specificano dei consumatori, impostali su vuoto quando modifichi la preferenza di connessione su ACCEPT_AUTOMATIC.

    Metodo HTTP e URL:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    Corpo JSON della richiesta:

    {
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "consumerAcceptLists": [ ],
  "consumerRejectLists": [ ],
  "fingerprint" : "FINGERPRINT"
}

    Sostituisci quanto segue:

    • PROJECT_ID: il progetto per l'allegato del servizio.

    • REGION: la regione per l'allegato del servizio.

    • ATTACHMENT_NAME: il nome del collegamento del servizio.

    • FINGERPRINT: l'impronta aggiornata dell'allegato di servizio che hai trovato nel passaggio 1.

Configura la riconciliazione delle connessioni

Puoi attivare o disattivare la riconciliazione della connessione per i service attachment esistenti.

Console

  1. Nella console Google Cloud , vai alla pagina Private Service Connect.

    Vai a Private Service Connect

  2. Fai clic sulla scheda Servizi pubblicati.

  3. Fai clic sul servizio da aggiornare e poi su Modifica dettagli del servizio.

  4. Seleziona o deseleziona la casella di controllo Abilita riconciliazione connessioni e fai clic su Salva.

gcloud

  • Per abilitare la riconciliazione delle connessioni, utilizza il comando service-attachments update.

    gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --reconcile-connections

    Sostituisci quanto segue:

    • ATTACHMENT_NAME: il nome dell'allegato del servizio.
    • REGION: la regione del collegamento del servizio.

  • Per disattivare la riconciliazione delle connessioni, utilizza il seguente comando:

    gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --no-reconcile-connections

API

  1. Per ottenere fingerprint del service attachment, invia una richiesta al metodo serviceAttachments.get.

    Metodo HTTP e URL:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    Sostituisci quanto segue:

    • PROJECT_ID: il progetto per l'allegato del servizio.
    • REGION: la regione per l'allegato del servizio.
    • ATTACHMENT_NAME: il nome del collegamento del servizio.

    Prendi nota del valore fingerprint, che utilizzerai nel passaggio successivo.

  2. Invia una richiesta al metodo serviceAttachments.patch.

    Metodo HTTP e URL:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    Corpo JSON della richiesta:

    {
  "reconcileConnections": RECONCILIATION,
  "fingerprint": "FINGERPRINT"
}

    Sostituisci quanto segue:

    • PROJECT_ID: il progetto per l'allegato del servizio.
    • REGION: la regione per l'allegato del servizio.
    • ATTACHMENT_NAME: il nome del collegamento del servizio.
    • RECONCILIATION: se attivare la riconciliazione delle connessioni. Le opzioni sono true o false.
    • FINGERPRINT: l'impronta aggiornata dell'allegato di servizio che hai trovato nel passaggio precedente.

Aggiungere o rimuovere subnet da un servizio pubblicato

Puoi modificare un servizio pubblicato per aggiungere subnet Private Service Connect.

Ad esempio, potresti dover rendere disponibili più indirizzi IP per un servizio esistente. Per aggiungere altri indirizzi, procedi in uno dei seguenti modi:

Allo stesso modo, puoi modificare un servizio pubblicato per rimuovere le subnet Private Service Connect. Tuttavia, se uno degli indirizzi IP della subnet viene utilizzato per eseguire SNAT per Private Service Connect, la rimozione della subnet non va a buon fine.

Se modifichi la configurazione della subnet, aggiorna le regole firewall per consentire alle richieste delle nuove subnet di raggiungere le VM di backend.

Console

  1. Nella console Google Cloud , vai alla pagina Private Service Connect.

    Vai a Private Service Connect

  2. Fai clic sulla scheda Servizi pubblicati.

  3. Fai clic sul servizio da aggiornare e poi su Modifica dettagli del servizio.

  4. Modifica le subnet utilizzate per questo servizio.

    Se vuoi aggiungere una nuova subnet, puoi crearne una:

    1. Fai clic su Riserva nuova subnet.
    2. Inserisci un nome e una descrizione facoltativa per la subnet.
    3. Seleziona una regione per la subnet.
    4. Inserisci l'intervallo IP da utilizzare per la subnet e fai clic su Aggiungi.

  5. Fai clic su Salva.

gcloud

Per aggiornare le subnet Private Service Connect utilizzate per questo collegamento al servizio, utilizza il comando gcloud compute service-attachments update.

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --nat-subnets=PSC_SUBNET_LIST

Sostituisci quanto segue:

  • ATTACHMENT_NAME: il nome dell'allegato del servizio.

  • REGION: la regione in cui si trova il collegamento del servizio.

  • PSC_SUBNET_LIST: un elenco separato da virgole di una o più subnet da utilizzare con questo collegamento del servizio.

API

  1. Per ottenere fingerprint del service attachment, invia una richiesta al metodo serviceAttachments.get.

    Metodo HTTP e URL:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    Sostituisci quanto segue:

    • PROJECT_ID: il progetto per l'allegato del servizio.
    • REGION: la regione per l'allegato del servizio.
    • ATTACHMENT_NAME: il nome del collegamento del servizio.

    Prendi nota del valore fingerprint, che utilizzerai nel passaggio successivo.

  2. Per aggiornare le subnet Private Service Connect utilizzate per questo collegamento di servizio, invia una richiesta al metodo serviceAttachments.patch.

    Metodo HTTP e URL:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    Corpo JSON della richiesta:

    {
  "natSubnets": [
  "PSC_SUBNET1_URI",
  "PSC_SUBNET2_URI"
  ],
  "fingerprint": "FINGERPRINT"
}

    Sostituisci quanto segue:

    • PROJECT_ID: il progetto per l'allegato del servizio.

    • REGION: la regione per l'allegato del servizio.

    • ATTACHMENT_NAME: il nome dell'allegato di servizio.

    • PSC_SUBNET1_URI e PSC_SUBNET2_URI: URI delle subnet che vuoi utilizzare con questo collegamento al servizio. Puoi specificare una o più subnet.

    • FINGERPRINT: l'impronta aggiornata dell'allegato di servizio che hai trovato nel passaggio precedente.

Aggiorna il limite di connessioni propagate di un servizio pubblicato

Puoi aggiornare il limite di connessioni propagate di un collegamento al servizio. Quando aumenti il limite, Google Cloud viene controllato automaticamente se è possibile creare connessioni propagate in attesa. Quando riduci il limite, le connessioni propagate esistenti non vengono interessate. Tuttavia, i tentativi di ristabilire le connessioni propagate eliminate o rifiutate potrebbero essere bloccati se viene raggiunto il nuovo limite.

Console

  1. Nella console Google Cloud , vai alla pagina Private Service Connect.

    Vai a Private Service Connect

  2. Fai clic sulla scheda Servizi pubblicati.

  3. Fai clic sul servizio da aggiornare e poi su Modifica dettagli del servizio.

  4. Fai clic su Configurazione avanzata.

  5. Inserisci il nuovo limite connessioni NCC propagate.

gcloud

Utilizza il comando gcloud compute service-attachments update.

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --propagated-connection-limit=LIMIT

Sostituisci quanto segue:

  • ATTACHMENT_NAME: il nome dell'allegato del servizio.

  • REGION: la regione in cui si trova il collegamento del servizio.

  • LIMIT: il nuovo valore per il limite di connessione propagato.

API

  1. Per ottenere fingerprint del service attachment, invia una richiesta al metodo serviceAttachments.get.

    Metodo HTTP e URL:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    Sostituisci quanto segue:

    • PROJECT_ID: il progetto per l'allegato del servizio.
    • REGION: la regione per l'allegato del servizio.
    • ATTACHMENT_NAME: il nome del collegamento del servizio.

    Prendi nota del valore fingerprint, che utilizzerai nel passaggio successivo.

  2. Invia una richiesta al metodo serviceAttachments.patch.

    Metodo HTTP e URL:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    Corpo JSON della richiesta:

    {
  "propagatedConnectionLimit": LIMIT,
  "fingerprint": "FINGERPRINT"
}

    Sostituisci quanto segue:

    • PROJECT_ID: il progetto per l'allegato del servizio.

    • REGION: la regione per l'allegato del servizio.

    • ATTACHMENT_NAME: il nome dell'allegato di servizio.

    • LIMIT: il nuovo valore per il limite di connessione propagato.

    • FINGERPRINT: l'impronta aggiornata dell'allegato di servizio che hai trovato nel passaggio precedente.