Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Gerenciar serviços publicados

Nesta página, descrevemos como gerenciar serviços publicados, incluindo o processamento de solicitações de acesso a um serviço publicado, a configuração da reconciliação de conexão e a atualização de uma vinculação de serviço para se referir a um novo serviço de destino.

Cada anexo de serviço tem uma preferência de conexão que controla se as conexões são aceitas automaticamente.

Aceitar automaticamente todas as conexões. O anexo de serviço aceita automaticamente todas as solicitações de conexão vindas de qualquer consumidor.
Aceitar explicitamente as conexões dos consumidores selecionados. O anexo de serviço só aceita solicitações de conexão de entrada se o consumidor estiver na lista de aceitação do consumidor do anexo de serviço. É possível especificar consumidores por projeto, rede VPC ou endpoint individual do Private Service Connect. Não é possível incluir diferentes tipos de consumidores na mesma lista de aceitação ou rejeição.

Para qualquer preferência de conexão, as conexões aceitas podem ser substituídas e rejeitadas por uma política da organização que bloqueie as conexões de entrada.

Recomendamos que você aceite conexões para consumidores selecionados. A aceitação automática de todas as conexões pode ser apropriada quando você controla o acesso do consumidor por outros meios e quer ativar o acesso permissivo ao serviço.

Para mais informações sobre como publicar um serviço, consulte Publicar um serviço.

Papéis

O papel do IAM a seguir fornece as permissões necessárias para executar as tarefas neste guia.

Administrador de rede do Compute (roles/compute.networkAdmin)

Gerenciar o acesso a um serviço publicado

Se você publicou um serviço com aprovação explícita, pode aceitar ou rejeitar conexões atualizando as listas de consumidores. Para aceitar uma conexão, adicione o projeto, a rede VPC ou o endpoint individual do Private Service Connect do consumidor solicitante à lista de aceitação do consumidor de um serviço. Você pode rejeitar conexões explicitamente atualizando a lista de rejeição do consumidor da mesma forma.

É possível adicionar projetos ou redes VPC às listas de consumidores antes ou depois que o consumidor solicita uma conexão. Só é possível adicionar endpoints depois de uma solicitação de conexão, porque o URI de um endpoint não é conhecido até que ele seja criado.

Todos os valores nas listas de consumidores precisam ser do mesmo tipo. Por exemplo, não é possível aceitar algumas conexões com base no projeto do consumidor e outras com base em endpoints individuais. Se você adicionar o mesmo valor às listas de aceitação e rejeição, as solicitações de conexão desse consumidor serão rejeitadas.

Por padrão, as mudanças nas listas de consumidores afetam apenas as conexões novas ou pendentes. As conexões aceitas anteriormente não serão encerradas, a menos que você tenha ativado a reconciliação de conexão.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.serviceAttachments.update

Papéis

Consulte Papéis para informações sobre o papel.

Console

É possível gerenciar o acesso a um serviço com aprovação explícita aceitando ou rejeitando solicitações de conexão atuais ou atualizando as listas de aceitação e rejeição do consumidor. Os dois métodos têm o mesmo resultado e atualizam as mesmas listas de consumidores.

Ver detalhes de um serviço publicado

No console do Google Cloud , acesse a página Private Service Connect.

Acessar a página "Private Service Connect"
Clique na guia Serviços publicados.
Clique no serviço que você quer gerenciar.

Aceitar ou recusar solicitações de conexão

Se o serviço estiver configurado para aceitar conexões com base no projeto do consumidor, os projetos que tentaram se conectar a esse serviço serão listados na seção Projetos conectados. Marque a caixa de seleção ao lado de um ou mais projetos e clique em Aceitar projeto ou Rejeitar projeto.
Se o serviço estiver configurado para aceitar endpoints individuais do Private Service Connect, clique em Aguardando aprovação para ver os endpoints que tentaram se conectar a ele. Marque a caixa de seleção ao lado de um ou mais endpoints e clique em Aceitar endpoint ou Rejeitar endpoint.
Se o serviço estiver configurado para aceitar consumidores com base na rede VPC, só será possível aceitar ou rejeitar conexões atualizando as listas de aceitação e rejeição de consumidores, conforme descrito na seção a seguir.

Atualizar listas de aceitação e rejeição do consumidor

Clique em Editar detalhes do serviço.
Opcional: selecione uma nova preferência de conexão.
Conclua a etapa aplicável a seguir. Repita essa etapa para cada consumidor que você quiser adicionar.
- Em Aceitar conexões para projetos selecionados, clique em Adicionar projeto aceito e insira o projeto e o limite de conexão.
- Em Aceitar conexões para as redes selecionadas, clique em Adicionar rede aceita e insira o projeto, a rede VPC e o limite de conexão.
- Em Aceitar conexões para os endpoints selecionados, clique em Adicionar endpoint aceito e insira o projeto e o ID do endpoint.
  
  Para encontrar o ID de um endpoint, consulte o serviço publicado e verifique o valor de ID do endpoint na seção Aguardando aprovação.

gcloud

Para conferir as conexões atuais e pendentes do anexo de serviço que você quer modificar, use o comando gcloud compute service-attachments describe.

gcloud compute service-attachments describe ATTACHMENT_NAME \
    --region=REGION

Substitua:

ATTACHMENT_NAME: o nome do anexo de serviço.
REGION: a região do anexo de serviço.

A resposta será semelhante a: Se houver conexões de consumidores pendentes, elas serão listadas com o status PENDING. O URI baseado em ID do endpoint do Private Service Connect que você pode usar para aceitar ou rejeitar endpoints individuais é mostrado no campo endpointWithId.

Neste exemplo de saída, o projeto CONSUMER_PROJECT_1 está na lista de aceitação. Portanto, ENDPOINT_1 é aceito e pode se conectar ao serviço. O projeto CONSUMER_PROJECT_2 não está na lista de aceitação, portanto, ENDPOINT_2 está pendente. Depois que CONSUMER_PROJECT_2 é adicionado à lista de aceitação, o status de ENDPOINT_2 é alterado para ACCEPTED e o endpoint pode se conectar ao serviço.

connectedEndpoints:
- consumerNetwork: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_1/global/networks/CONSUMER_NETWORK_1
  endpoint: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_1/regions/REGION_1/forwardingRules/ENDPOINT_1
  endpointWithId: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_1/regions/REGION_1/forwardingRules/RESOURCE_ID_1
  pscConnectionId: 'ENDPOINT_1_ID'
  status: ACCEPTED
- consumerNetwork: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_2/global/networks/CONSUMER_NETWORK_2
  endpoint: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/ENDPOINT_2
  endpointWithId: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/RESOURCE_ID_2
  pscConnectionId: 'ENDPOINT_2_ID'
  status: PENDING
connectionPreference: ACCEPT_MANUAL
consumerAcceptLists:
- connectionLimit: LIMIT_1
  projectIdOrNum: CONSUMER_PROJECT_1
creationTimestamp: 'TIMESTAMP'
description: 'DESCRIPTION'
enableProxyProtocol: false
fingerprint: FINGERPRINT
id: 'ID'
kind: compute#serviceAttachment
name: NAME
natSubnets:
- https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/subnetworks/PSC_SUBNET
pscServiceAttachmentId:
  high: 'PSC_ATTACH_ID_HIGH'
  low: 'PSC_ATTACH_ID_LOW'
region: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION
selfLink: https://www.googleapis.com/compute/v1/projects/projects/PRODUCER_PROJECT/regions/REGION/serviceAttachments/ATTACHMENT_NAME
targetService: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/forwardingRules/PRODUCER_FWD_RULE

Para aceitar ou rejeitar conexões de consumidores, faça o seguinte:
- Para aceitar ou rejeitar consumidores com base no projeto ou na rede VPC, use o comando gcloud compute service-attachments update.
  
  É possível especificar --consumer-accept-list, --consumer-reject-list ou ambos. É possível especificar vários valores em --consumer-accept-list e --consumer-reject-list. É possível incluir projetos ou redes VPC, mas não uma combinação de projetos e redes.
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --consumer-accept-list=ACCEPTED_PROJECT_OR_NETWORK_1=LIMIT_1,ACCEPTED_PROJECT_OR_NETWORK_2=LIMIT_2 \
    --consumer-reject-list=REJECTED_PROJECT_OR_NETWORK_1,REJECTED_PROJECT_OR_NETWORK_2
```
  Substitua:
  - ATTACHMENT_NAME: o nome do anexo de serviço.
  - REGION: a região em que o anexo de serviço está localizado.
  - ACCEPTED_PROJECT_OR_NETWORK_1 e ACCEPTED_PROJECT_OR_NETWORK_2: os IDs do projeto, nomes dos projetos ou URLs de rede a serem aceitos. --consumer-accept-list é opcional e pode conter um ou mais projetos ou redes, mas não uma combinação dos dois tipos.
  - LIMIT_1 e LIMIT_2: os limites de conexão para os projetos ou as redes. O limite de conexão é o número de endpoints do consumidor que podem se conectar a esse serviço.
  - REJECTED_PROJECT_OR_NETWORK_1 e REJECTED_PROJECT_OR_NETWORK_2: os IDs, nomes ou URLs de rede do projeto a serem rejeitados. --consumer-reject-list é opcional e pode conter um ou mais projetos ou redes, mas não uma combinação dos dois tipos.
- Para aceitar ou rejeitar endpoints individuais do Private Service Connect, use o comando gcloud compute service-attachments update.
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --consumer-accept-list=ACCEPTED_ENDPOINT_URI_1,ACCEPTED_ENDPOINT_URI_2 \
    --consumer-reject-list=REJECTED_ENDPOINT_URI_1,REJECTED_ENDPOINT_URI_2
```
  Substitua:
  - ACCEPTED_ENDPOINT_URI_1 e ACCEPTED_ENDPOINT_URI_2: os URIs baseados em ID de um ou mais endpoints do Private Service Connect a serem aceitos. Para encontrar o URI baseado em ID de um endpoint do Private Service Connect, descreva um anexo de serviço conectado e verifique o campo endpointWithId ou descreva o endpoint do Private Service Connect e verifique o campo selfLinkWithId. --consumer-accept-list é opcional.
    
    Por exemplo, o URI baseado em ID do endpoint pendente do Private Service Connect na saída de exemplo no início desta seção é https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/RESOURCE_ID_2.
  - REJECTED_ENDPOINT_URI_1 e REJECTED_ENDPOINT_URI_2: os URIs baseados em ID de um ou mais endpoints do Private Service Connect a serem rejeitados. --consumer-reject-list é opcional.

API

Para descrever o anexo de serviço que você quer modificar, envie uma solicitação ao método serviceAttachments.get.

Método HTTP e URL:
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Substitua:
- PROJECT_ID: o projeto do anexo de serviço.
- REGION: a região do anexo de serviço.
- ATTACHMENT_NAME: o nome do anexo de serviço.
Se houver conexões de consumidores pendentes, elas serão listadas com o status PENDING. O URI baseado em ID do endpoint do Private Service Connect, que pode ser usado para aceitar ou rejeitar endpoints individuais, é mostrado no campo endpointWithId.

Anote o valor fingerprint, que será usado na próxima etapa.
Para aceitar ou rejeitar projetos ou redes de consumidores, envie uma solicitação ao método serviceAttachments.patch.

É possível alternar entre aceitar e rejeitar consumidores por projeto ou rede VPC, mas não é possível incluir uma combinação de projetos e redes na mesma solicitação.
- Para aceitar ou rejeitar consumidores com base no projeto, envie a seguinte solicitação.
  
  Método HTTP e URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
  Corpo JSON da solicitação:
```
{
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2"
  ],
  "fingerprint" : "FINGERPRINT"
}
```
  Substitua:
  - PROJECT_ID: o projeto do anexo de serviço.
  - REGION: a região do anexo de serviço.
  - ATTACHMENT_NAME: o nome do anexo de serviço.
  - ACCEPTED_PROJECT_1 e ACCEPTED_PROJECT_2: os códigos ou números dos projetos a serem aceitos. consumerAcceptList é opcional e pode conter um ou mais projetos.
  - LIMIT_1 e LIMIT_2: os limites de conexão dos projetos. O limite de conexão é o número de endpoints do consumidor que podem se conectar a esse serviço.
  - REJECTED_PROJECT_1 e REJECTED_PROJECT_2: os IDs ou números dos projetos a serem rejeitados. consumerRejectList é opcional e pode conter um ou mais projetos.
  - FINGERPRINT: a impressão digital atualizada do anexo de serviço que você encontrou na etapa anterior.
- Para aceitar ou rejeitar consumidores com base na rede VPC, envie a seguinte solicitação.
  
  Método HTTP e URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
  Corpo JSON da solicitação:
```
{
  "consumerAcceptLists": [
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_1/global/network/ACCEPTED_NETWORK_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_2/global/network/ACCEPTED_NETWORK_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "projects/REJECTED_PROJECT_ID_1/global/networks/REJECTED_NETWORK_1",
    "projects/REJECTED_PROJECT_ID_2/global/network/REJECTED_NETWORK_2"
  ],
  "fingerprint": "FINGERPRINT"
}
```
  Substitua:
  - ACCEPTED_PROJECT_ID_1 e ACCEPTED_PROJECT_ID_2: os IDs dos projetos pai das redes que você quer aceitar. consumerAcceptLists é opcional e pode conter um ou mais projetos.
  - ACCEPTED_NETWORK_1 e ACCEPTED_NETWORK_2: os nomes das redes que você quer aceitar.
  - LIMIT_1 e LIMIT_2: os limites de conexão dos projetos. O limite de conexão é o número de endpoints do consumidor que podem se conectar a esse serviço.
  - REJECTED_PROJECT_ID_1 e REJECTED_PROJECT_ID_2: os IDs dos projetos pai das redes que você quer rejeitar. consumerRejectLists é opcional e pode conter um ou mais projetos.
  - REJECTED_NETWORK_1 e REJECTED_NETWORK_2: os nomes das redes que você quer rejeitar.
- Para aceitar ou rejeitar consumidores com base em endpoints individuais do Private Service Connect, envie a seguinte solicitação.
  
  Método HTTP e URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
  Corpo JSON da solicitação:
```
{
  "consumerAcceptLists": [
    {
      "endpointUrl": "ACCEPTED_ENDPOINT_URI_1"
    },
    {
      "endpointUrl": "ACCEPTED_ENDPOINT_URI_2"
    }
  ],
  "consumerRejectLists": [
    "REJECTED_ENDPOINT_URI_1",
    "REJECTED_ENDPOINT_URI_2"
  ],
  "fingerprint": "FINGERPRINT"
}
```
  Substitua:
  - ACCEPTED_ENDPOINT_URI_1 e ACCEPTED_ENDPOINT_URI_2: os URIs baseados em ID de um ou mais endpoints do Private Service Connect a serem aceitos. Para encontrar um URI baseado em ID de um endpoint do Private Service Connect, descreva um anexo de serviço conectado e verifique o campo endpointWithId ou descreva o endpoint e verifique o campo selfLinkWithId. Um exemplo de URI baseado em ID é https://www.googleapis.com/compute/v1/projects/consumer-project/regions/us-central1/forwardingRules/1234567890
    
    Essa lista é opcional.
  - REJECTED_ENDPOINT_URI_1 e REJECTED_ENDPOINT_URI_2: os URIs baseados em ID de um ou mais endpoints do Private Service Connect a serem rejeitados. Essa lista é opcional.

Alterar a preferência de conexão de um serviço publicado

É possível alternar entre aceitação automática e explícita de consumidor para um serviço publicado. O efeito dessa mudança nas conexões atuais depende de se a reconciliação de conexão está ativada para o anexo de serviço.

Se a reconciliação de conexão estiver desativada, mudar a preferência de conexão não vai afetar as conexões ACCEPTED ou REJECTED atuais:

Quando você muda da aceitação automática para a explícita, as novas conexões precisam estar na lista de aceitação do consumidor para serem ACCEPTED.
Quando você muda da aceitação explícita para a automática, todas as conexões PENDING atuais são ACCEPTED automaticamente.

Se a reconciliação de conexão estiver ativada, todas as conexões atuais serão reavaliadas com base na nova preferência de conexão:

Ao mudar da aceitação automática para a explícita, todas as conexões de consumidores que não estão na lista de aceitação mudam para PENDING e são encerradas.
Quando você muda da aceitação explícita para a automática, todas as conexões PENDING e REJECTED mudam para ACCEPTED.

Para mais informações sobre como atualizar a lista de aceitação de consumidores de um serviço, consulte Gerenciar solicitações de acesso a um serviço publicado.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.serviceAttachments.update

Papéis

Consulte Papéis para informações sobre o papel.

Console

No console do Google Cloud , acesse a página Private Service Connect.

Acessar a página "Private Service Connect"
Clique na guia Serviços publicados.
Clique no serviço que você quer atualizar e depois em Editar detalhes do serviço.
Selecione a nova preferência de conexão a ser usada para esse serviço.
Opcional: se você estiver mudando para o uso da aceitação explícita, adicione consumidores à sua lista de aceitação agora ou depois. Para aceitar consumidores, faça o seguinte: Você pode repetir essa etapa para cada consumidor que quiser adicionar.
- Em Aceitar conexões para projetos selecionados, clique em Adicionar projeto aceito e insira o projeto e o limite de conexão.
- Em Aceitar conexões para as redes selecionadas, clique em Adicionar rede aceita e insira o projeto, a rede VPC e o limite de conexão.
- Em Aceitar conexões para os endpoints selecionados, clique em Adicionar endpoint aceito e insira o projeto e o ID do endpoint.
Clique em Salvar.

gcloud

Para mudar a preferência de conexão do anexo de serviço de ACCEPT_AUTOMATIC para ACCEPT_MANUAL, use o comando gcloud compute service-attachments update.

Controle quais projetos podem se conectar ao seu serviço usando --consumer-accept-list e --consumer-reject-list. É possível configurar as listas de aceitação e rejeição quando alterar a preferência de conexão ou atualizar as listas posteriormente.
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_MANUAL \
    [ --consumer-accept-list=ACCEPTED_PROJECT_OR_NETWORK_1=LIMIT_1,ACCEPTED_PROJECT_OR_NETWORK_2=LIMIT_2] \
    [ --consumer-reject-list=REJECTED_PROJECT_OR_NETWORK_1,REJECTED_PROJECT_OR_NETWORK_2 ]
```
Substitua:
- ATTACHMENT_NAME: o nome do anexo de serviço.
- REGION: a região em que o anexo de serviço está localizado.
- ACCEPTED_PROJECT_OR_NETWORK_1 e ACCEPTED_PROJECT_OR_NETWORK_2: os IDs do projeto, nomes dos projetos ou URLs de rede a serem aceitos. --consumer-accept-list é opcional e pode conter um ou mais projetos ou redes, mas não uma combinação dos dois tipos.
- LIMIT_1 e LIMIT_2: os limites de conexão dos projetos. O limite de conexão é o número de endpoints do consumidor que podem se conectar a esse serviço.
- REJECTED_PROJECT_OR_NETWORK_1 e REJECTED_PROJECT_OR_NETWORK_2: os IDs, nomes ou URLs de rede do projeto a serem rejeitados. --consumer-reject-list é opcional e pode conter um ou mais projetos ou redes, mas não uma combinação dos dois tipos.
Para mudar a preferência de conexão do anexo de serviço de ACCEPT_MANUAL para ACCEPT_AUTOMATIC, use o seguinte comando.

Se você tiver valores na lista de aceitação ou rejeição, defina-os como vazios quando alterar a preferência de conexão ("").
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_AUTOMATIC \
    --consumer-accept-list="" \
    --consumer-reject-list=""
```
Substitua:
- ATTACHMENT_NAME: o nome do anexo de serviço.
- REGION: a região em que o anexo de serviço está localizado.

API

Para receber o fingerprint do anexo de serviço, envie uma solicitação ao método serviceAttachments.get.

Método HTTP e URL:
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Substitua:
- PROJECT_ID: o projeto do anexo de serviço.
- REGION: a região do anexo de serviço.
- ATTACHMENT_NAME: o nome do anexo de serviço.
Anote o valor fingerprint, que será usado na próxima etapa.
Para mudar a preferência de conexão do anexo de serviço, envie uma solicitação ao método serviceAttachments.patch.
- Para mudar a preferência de conexão de ACCEPT_AUTOMATIC para ACCEPT_MANUAL e atualizar as listas de aceitação e rejeição do consumidor com base no projeto, faça a seguinte solicitação.
  
  Método HTTP e URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
  Corpo JSON da solicitação:
```
{
  "connectionPreference": "ACCEPT_MANUAL",
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1"
      "connectionLimit": "LIMIT_1",
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2"
      "connectionLimit": "LIMIT_2",
    }
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2",
  ],
  "fingerprint" : "FINGERPRINT"
}
```
  Substitua:
  - PROJECT_ID: o projeto do anexo de serviço.
  - REGION: a região do anexo de serviço.
  - ATTACHMENT_NAME: o nome do anexo de serviço.
  - ACCEPTED_PROJECT_1 e ACCEPTED_PROJECT_2: os IDs ou números dos projetos a serem aceitos. consumerAcceptList é opcional e pode conter um ou mais projetos.
  - LIMIT_1 e LIMIT_2: os limites de conexão dos projetos. O limite de conexão é o número de endpoints do consumidor que podem se conectar a esse serviço.
  - REJECTED_PROJECT_1 e REJECTED_PROJECT_2: os IDs ou números dos projetos a serem rejeitados. consumerRejectList é opcional e pode conter um ou mais projetos.
  - FINGERPRINT: a impressão digital atualizada do anexo de serviço que você encontrou na etapa 1.
- Para mudar a preferência de conexão de ACCEPT_AUTOMATIC para ACCEPT_MANUAL e atualizar as listas de aceitação e rejeição do consumidor com base na rede VPC, faça a seguinte solicitação.
  
  Método HTTP e URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
  Corpo JSON da solicitação:
```
{
  "connectionPreference": "ACCEPT_MANUAL",
  "consumerAcceptLists": [
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_1/global/networks/ACCEPTED_NETWORK_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_2/global/networks/ACCEPTED_NETWORK_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "projects/REJECTED_PROJECT_ID_1/global/networks/REJECTED_NETWORK_1",
    "projects/REJECTED_PROJECT_ID_2/global/network/REJECTED_NETWORK_2"
  ],
  "fingerprint" : "FINGERPRINT"
}
```
  Substitua:
  - ACCEPTED_PROJECT_ID_1 e ACCEPTED_PROJECT_ID_2: os IDs dos projetos pai das redes que você quer aceitar. consumerAcceptLists é opcional e pode conter um ou mais projetos.
  - ACCEPTED_NETWORK_1 e ACCEPTED_NETWORK_2: os nomes das redes que você quer aceitar.
  - LIMIT_1 e LIMIT_2: os limites de conexão dos projetos. O limite de conexão é o número de endpoints do consumidor que podem se conectar a esse serviço.
  - REJECTED_PROJECT_ID_1 e REJECTED_PROJECT_ID_2: os IDs dos projetos pai das redes que você quer rejeitar. consumerRejectLists é opcional e pode conter um ou mais projetos.
  - REJECTED_NETWORK_1 e REJECTED_NETWORK_2: os nomes das redes que você quer rejeitar.
  - FINGERPRINT: a impressão digital atualizada do anexo de serviço que você encontrou na etapa 1.

Para mudar a preferência de conexão do anexo de serviço de ACCEPT_MANUAL para ACCEPT_AUTOMATIC, faça a seguinte solicitação.

Se os campos consumerAcceptLists ou consumerRejectLists especificarem algum projeto, defina-os como vazios quando você alterar a preferência de conexão para ACCEPT_AUTOMATIC.

Método HTTP e URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Corpo JSON da solicitação:
```
{
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "consumerAcceptLists": [ ],
  "consumerRejectLists": [ ],
  "fingerprint" : "FINGERPRINT"
}
```
Substitua:
- PROJECT_ID: o projeto do anexo de serviço.
- REGION: a região do anexo de serviço.
- ATTACHMENT_NAME: o nome do anexo de serviço.
- FINGERPRINT: a impressão digital atualizada do anexo de serviço que você encontrou na etapa 1.

Remover endpoints obsoletos das listas de consumidores

Se as listas de aceitação e rejeição de consumidores estiverem configuradas para usar endpoints individuais, um valor poderá permanecer nas listas depois que um consumidor excluir o endpoint correspondente. Para simplificar o gerenciamento das suas listas de consumidores, use o comando gcloud compute service-attachments update para remover valores de endpoints que não existem mais. No momento, esse recurso é compatível apenas com a Google Cloud CLI.

gcloud

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --remove-obsolete-endpoint-accept-reject-entries

Substitua:

ATTACHMENT_NAME: o nome do anexo de serviço a ser atualizado.
REGION: a região do anexo de serviço.

Configurar a reconciliação de conexão

É possível ativar ou desativar a reconciliação de conexão para anexos de serviço que já existem.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.serviceAttachments.update

Papéis

Consulte Papéis para informações sobre o papel.

Console

No console do Google Cloud , acesse a página Private Service Connect.

Acessar a página "Private Service Connect"
Clique na guia Serviços publicados.
Clique no serviço que você quer atualizar e depois em Editar detalhes do serviço.
Marque ou desmarque a caixa de seleção Ativar reconciliação de conexão e depois clique em Salvar.

gcloud

Para ativar a reconciliação de conexão, use o comando service-attachments update.
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --reconcile-connections
```
Substitua:
- ATTACHMENT_NAME: o nome do anexo de serviço.
- REGION: a região do anexo de serviço.

Para desativar a reconciliação de conexão, use o seguinte comando:

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --no-reconcile-connections

API

Para receber o fingerprint do anexo de serviço, envie uma solicitação ao método serviceAttachments.get.

Método HTTP e URL:
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Substitua:
- PROJECT_ID: o projeto do anexo de serviço.
- REGION: a região do anexo de serviço.
- ATTACHMENT_NAME: o nome do anexo de serviço.
Anote o valor fingerprint, que será usado na próxima etapa.
Envie uma solicitação para o método serviceAttachments.patch.

Método HTTP e URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Corpo JSON da solicitação:
```
{
  "reconcileConnections": RECONCILIATION,
  "fingerprint": "FINGERPRINT"
}
```
Substitua:
- PROJECT_ID: o projeto do anexo de serviço.
- REGION: a região do anexo de serviço.
- ATTACHMENT_NAME: o nome do anexo de serviço.
- RECONCILIATION: se a reconciliação de conexões será ativada. As opções são true ou false.
- FINGERPRINT: a impressão digital atualizada do anexo de serviço que você encontrou na etapa anterior.

Adicionar ou remover sub-redes de um serviço publicado

É possível editar um serviço publicado para adicionar sub-redes do Private Service Connect.

Por exemplo, talvez seja necessário disponibilizar mais endereços IP para um serviço atual. Para adicionar mais endereços, siga um destes procedimentos:

Crie outra sub-rede do Private Service Connect e edite o anexo de serviço para adicionar a nova sub-rede.
Edite a sub-rede para expandir o intervalo IPv4.

Da mesma forma, é possível editar um serviço publicado para remover sub-redes do Private Service Connect. No entanto, se algum dos endereços IP da sub-rede estiver sendo usado para executar o SNAT do Private Service Connect, a remoção da sub-rede falhará.

Se você alterar a configuração da sub-rede, atualize as regras de firewall para permitir que as solicitações das novas sub-redes alcancem as VMs de back-end.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.serviceAttachments.update

Papéis

Consulte Papéis para informações sobre o papel.

Console

No console do Google Cloud , acesse a página Private Service Connect.

Acessar a página "Private Service Connect"
Clique na guia Serviços publicados.
Clique no serviço que você quer atualizar e depois em Editar detalhes do serviço.
Modifique as sub-redes usadas para este serviço.

Se quiser adicionar uma nova sub-rede, crie uma:
1. Clique em Reservar nova sub-rede.
2. Insira um Nome e uma Descrição opcional para a sub-rede.
3. Selecione uma Região para a sub-rede.
4. Digite o Intervalo de IP a ser usado para a sub-rede e clique em Adicionar.
Clique em Salvar.

gcloud

Para atualizar as sub-redes do Private Service Connect usadas para este anexo de serviço, use o comando gcloud compute service-attachments update.

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --nat-subnets=PSC_SUBNET_LIST

Substitua:

ATTACHMENT_NAME: o nome do anexo de serviço.
REGION: a região em que o anexo de serviço está localizado.
PSC_SUBNET_LIST: uma lista separada por vírgulas de uma ou mais sub-redes a serem usadas com esse anexo de serviço.

API

Para receber o fingerprint do anexo de serviço, envie uma solicitação ao método serviceAttachments.get.

Método HTTP e URL:
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Substitua:
- PROJECT_ID: o projeto do anexo de serviço.
- REGION: a região do anexo de serviço.
- ATTACHMENT_NAME: o nome do anexo de serviço.
Anote o valor fingerprint, que será usado na próxima etapa.
Para atualizar as sub-redes do Private Service Connect usadas para esse anexo de serviço, envie uma solicitação para o método serviceAttachments.patch.

Método HTTP e URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Corpo JSON da solicitação:
```
{
  "natSubnets": [
  "PSC_SUBNET1_URI",
  "PSC_SUBNET2_URI"
  ],
  "fingerprint": "FINGERPRINT"
}
```
Substitua:
- PROJECT_ID: o projeto do anexo de serviço.
- REGION: a região do anexo de serviço.
- ATTACHMENT_NAME: o nome do anexo de serviço.
- PSC_SUBNET1_URI e PSC_SUBNET2_URI: URIs das sub-redes que você quer usar com este anexo de serviço. Especifique uma ou mais subredes.
- FINGERPRINT: a impressão digital atualizada do anexo de serviço que você encontrou na etapa anterior.

Atualizar serviço de destino

Para configurações compatíveis, é possível atualizar um anexo de serviço para direcionar um serviço diferente. Para informações sobre configurações e limitações aceitas, consulte Mutabilidade do serviço.

Quando você atualiza um serviço de destino, o tráfego é interrompido por um curto período. No entanto, os consumidores não são notificados automaticamente de que o serviço está inativo, e a atualização de um serviço de destino não afeta os status de conexão dos consumidores conectados.

Preparar-se para a atualização

As etapas nas seções a seguir são opcionais. Na maioria dos casos, você pode pular para a seção Atualizar a vinculação de serviço, a menos que queira fazer o seguinte:

Se você quiser sinalizar explicitamente o tempo de inatividade para os consumidores atualizando os status de conexão para REJECTED, siga as etapas na seção Sinalizar tempo de inatividade para os consumidores.
Se você quiser criar uma instância de teste para verificar quando a conectividade com o serviço for restaurada, conclua as etapas na seção Preparar um consumidor de teste.

Sinalizar o tempo de inatividade para os consumidores durante uma atualização

Para informar explicitamente aos consumidores que o serviço está indisponível, siga estas etapas opcionais:

Verifique se a reconciliação de conexão está ativada para o anexo de serviço.
Adicione todos os consumidores da lista de aceitação à lista de rejeição. Isso muda os status de conexão para REJECTED.
Depois que a atualização for concluída, remova os consumidores da lista de rejeição para mudar os status de conexão de volta para ACCEPTED.

Preparar um consumidor de teste

Para verificar quando a conectividade com o serviço é restaurada, envie pacotes de sondagem para o serviço de uma instância de teste. Para configurar o teste, faça o seguinte:

Crie uma rede VPC de teste no seu projeto.
Na rede VPC de teste, faça o seguinte:
- Crie um endpoint do Private Service Connect que se conecte ao seu anexo de serviço.
- Crie uma instância de teste.
Prepare uma das seguintes formas para testar a conexão:
- Configure os Testes de conectividade para testar a conectividade entre a VM de teste e o endpoint. Você pode tentar de novo após a atualização para determinar quando a conectividade será restaurada.
- Se você quiser enviar pacotes de sondagem manualmente, conecte-se à instância de teste e verifique se é possível acessar o endereço IP do endpoint usando uma ferramenta como curl.

Atualizar o anexo de serviço

Para atualizar o serviço de destino da vinculação de serviço, faça o seguinte:

Para atualizar um serviço de destino de encaminhamento de protocolo interno, use a CLI gcloud ou envie uma solicitação de API.

Console

No console do Google Cloud , acesse a página Private Service Connect.

Acessar a página "Private Service Connect"
Clique na guia Serviços publicados.
Clique no serviço que você quer atualizar.
Clique em Editar detalhes do serviço.
Selecione o tipo de balanceador de carga do novo serviço de destino.
Selecione a regra de encaminhamento do novo serviço de destino.
Clique em Salvar.

gcloud

Use o comando gcloud compute service-attachments update.

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --target-service=TARGET_SERVICE

Substitua:

ATTACHMENT_NAME: o nome do anexo de serviço a ser atualizado.
REGION: a região do anexo de serviço.
TARGET_SERVICE: o URI do novo serviço de destino, no seguinte formato: projects/PROJECT_ID/regions/RULE_REGION/forwardingRules/RULE_NAME

API

Para receber o fingerprint do anexo de serviço, envie uma solicitação ao método serviceAttachments.get.

Método HTTP e URL:
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Substitua:
- PROJECT_ID: o projeto do anexo de serviço.
- REGION: a região do anexo de serviço.
- ATTACHMENT_NAME: o nome do anexo de serviço.
Anote o valor fingerprint, que será usado na próxima etapa.
Envie uma solicitação para o método serviceAttachments.patch.

Método HTTP e URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Corpo JSON da solicitação:
```
{
  "targetService": "TARGET_SERVICE",
  "fingerprint": "FINGERPRINT"
}
```
Substitua:
- TARGET_SERVICE: o URI do novo serviço de destino, no seguinte formato: projects/PROJECT_ID/regions/RULE_REGION/forwardingRules/RULE_NAME
- FINGERPRINT: a impressão digital atualizada do anexo de serviço que você encontrou na etapa anterior.

Verificar a atualização e restaurar o acesso

Se você criou uma rede VPC e uma instância de teste, verifique se a atualização foi concluída e se o serviço está disponível. Esta etapa é opcional. Escolha uma destas opções:

Se você criou um teste com o Testes de conectividade, execute-o novamente. Quando a análise do plano de dados ativo de um teste mostra que todos os pacotes foram entregues com sucesso, a atualização está concluída.
Envie manualmente pacotes de sondagem da instância de teste para o serviço de destino. Quando a instância recebe respostas, a atualização é concluída.

Quando a conectividade for retomada, faça o seguinte:

Se você adicionou consumidores à lista de rejeição, remova-os dela para indicar que o serviço está disponível.
Se você criou recursos para verificar quando a atualização for concluída, siga estas etapas para excluir os recursos e evitar cobranças desnecessárias:

Atualizar o limite de conexões propagadas de um serviço publicado

É possível atualizar o limite de conexão propagada de um anexo de serviço. Quando você aumenta o limite, Google Cloud verifica automaticamente se é possível criar conexões propagadas pendentes. Quando você diminui o limite, as conexões propagadas atuais não são afetadas. No entanto, as tentativas de restabelecer conexões propagadas excluídas ou rejeitadas poderão ser bloqueadas se o novo limite for atingido.

Console

No console do Google Cloud , acesse a página Private Service Connect.

Acessar a página "Private Service Connect"
Clique na guia Serviços publicados.
Clique no serviço que você quer atualizar e depois em Editar detalhes do serviço.
Clique em Configuração avançada.
Informe o novo limite de conexões propagadas NCC.

gcloud

Use o comando gcloud compute service-attachments update.

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --propagated-connection-limit=LIMIT

Substitua:

ATTACHMENT_NAME: o nome do anexo de serviço.
REGION: a região em que o anexo de serviço está localizado.
LIMIT: o novo valor do limite de conexão propagada.

API

Para receber o fingerprint do anexo de serviço, envie uma solicitação ao método serviceAttachments.get.

Método HTTP e URL:
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Substitua:
- PROJECT_ID: o projeto do anexo de serviço.
- REGION: a região do anexo de serviço.
- ATTACHMENT_NAME: o nome do anexo de serviço.
Anote o valor fingerprint, que será usado na próxima etapa.
Envie uma solicitação para o método serviceAttachments.patch.

Método HTTP e URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Corpo JSON da solicitação:
```
{
  "propagatedConnectionLimit": LIMIT,
  "fingerprint": "FINGERPRINT"
}
```
Substitua:
- PROJECT_ID: o projeto do anexo de serviço.
- REGION: a região do anexo de serviço.
- ATTACHMENT_NAME: o nome do anexo de serviço.
- LIMIT: o novo valor do limite de conexão propagada.
- FINGERPRINT: a impressão digital atualizada do anexo de serviço que você encontrou na etapa anterior.