Esta página foi traduzida pela API Cloud Translation.

Gerenciar serviços publicados

Nesta página, descrevemos como gerenciar solicitações de acesso a um serviço publicado, alterar a preferência de conexão de um serviço publicado e configurar a reconciliação de conexão.

Cada anexo de serviço tem uma preferência de conexão que controla se as conexões são aceitas automaticamente.

Aceitar automaticamente todas as conexões. O anexo de serviço aceita automaticamente todas as solicitações de conexão vindas de qualquer consumidor.
Aceitar explicitamente as conexões dos consumidores selecionados. O anexo de serviço só aceita solicitações de conexão de entrada se o consumidor estiver na lista de aceitação do consumidor do anexo de serviço. É possível especificar consumidores por projeto, rede VPC ou endpoint individual do Private Service Connect (prévia). Não é possível incluir diferentes tipos de consumidores na mesma lista de aceitação ou rejeição.

Para qualquer preferência de conexão, as conexões aceitas podem ser substituídas e rejeitadas por uma política da organização que bloqueie as conexões de entrada.

Recomendamos que você aceite conexões explicitamente para consumidores selecionados. A aceitação automática de todas as conexões pode ser apropriada quando você controla o acesso do consumidor por outros meios e quer ativar o acesso permissivo ao serviço.

Para mais informações sobre como publicar um serviço, consulte Publicar um serviço.

Papéis

O papel do IAM a seguir fornece as permissões necessárias para executar as tarefas neste guia.

Administrador de rede do Compute (roles/compute.networkAdmin)

Gerenciar o acesso a um serviço publicado

Se você publicou um serviço com aprovação explícita, pode aceitar ou rejeitar conexões atualizando as listas de consumidores. Para aceitar uma conexão, adicione o projeto, a rede VPC ou o endpoint individual do Private Service Connect do consumidor solicitante à lista de aceitação do consumidor de um serviço. É possível rejeitar conexões explicitamente atualizando a lista de rejeição do consumidor da mesma forma.

É possível adicionar projetos ou redes VPC às listas de consumidores antes ou depois que o consumidor solicita uma conexão. Só é possível adicionar endpoints depois de uma solicitação de conexão, porque o URI de um endpoint não é conhecido até que ele seja criado.

Todos os valores nas listas de consumidores precisam ser do mesmo tipo. Por exemplo, não é possível aceitar algumas conexões com base no projeto do consumidor e outras com base em endpoints individuais. Se você adicionar o mesmo valor às listas de aceitação e rejeição, as solicitações de conexão desse consumidor serão rejeitadas.

Por padrão, as mudanças nas listas de consumidores afetam apenas as conexões novas ou pendentes. As conexões aceitas anteriormente não serão encerradas, a menos que você tenha ativado a reconciliação de conexão.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.serviceAttachments.update

Papéis

Consulte Papéis para informações sobre o papel.

Console

É possível gerenciar o acesso a um serviço com aprovação explícita aceitando ou rejeitando solicitações de conexão atuais ou atualizando as listas de aceitação e rejeição do consumidor. Os dois métodos têm o mesmo resultado e atualizam as mesmas listas de consumidores.

Ver detalhes de um serviço publicado

No console do Google Cloud , acesse a página Private Service Connect.

Acessar a página "Private Service Connect"
Clique na guia Serviços publicados.
Clique no serviço que você quer gerenciar.

Aceitar ou recusar solicitações de conexão

Se o serviço estiver configurado para aceitar conexões com base no projeto do consumidor, os projetos que tentaram se conectar a esse serviço serão listados na seção Projetos conectados. Marque a caixa de seleção ao lado de um ou mais projetos e clique em Aceitar projeto ou Rejeitar projeto.
Se o serviço estiver configurado para aceitar endpoints individuais do Private Service Connect, clique em Aguardando aprovação para ver os endpoints que tentaram se conectar a ele. Marque a caixa de seleção ao lado de um ou mais endpoints e clique em Aceitar endpoint ou Rejeitar endpoint.
Se o serviço estiver configurado para aceitar consumidores com base na rede VPC, só será possível aceitar ou rejeitar conexões atualizando as listas de aceitação e rejeição de consumidores, conforme descrito na seção a seguir.

Atualizar listas de aceitação e rejeição do consumidor

Clique em Editar detalhes do serviço.
Opcional: selecione uma nova preferência de conexão.
Conclua a etapa aplicável a seguir. Repita essa etapa para cada consumidor que você quiser adicionar.
- Em Aceitar conexões para projetos selecionados, clique em Adicionar projeto aceito e insira o projeto e o limite de conexão.
- Em Aceitar conexões para as redes selecionadas, clique em Adicionar rede aceita e insira o projeto, a rede VPC e o limite de conexão.
- Em Aceitar conexões para os endpoints selecionados, clique em Adicionar endpoint aceito e insira o projeto e o ID do endpoint.
  
  Para encontrar o ID de um endpoint, consulte o serviço publicado e verifique o valor de ID do endpoint na seção Aguardando aprovação.

gcloud

Para conferir as conexões atuais e pendentes do anexo de serviço que você quer modificar, use o comando gcloud beta compute service-attachments describe.

gcloud beta compute service-attachments describe ATTACHMENT_NAME \
    --region=REGION

Substitua:

ATTACHMENT_NAME: o nome do anexo de serviço.
REGION: a região do anexo de serviço.

A resposta será semelhante a: Se houver conexões de consumidores pendentes, elas serão listadas com o status PENDING. O URI baseado em ID do endpoint do Private Service Connect que pode ser usado para aceitar ou rejeitar endpoints individuais é mostrado no campo endpointWithId.

Neste exemplo de saída, o projeto CONSUMER_PROJECT_1 está na lista de aceitação. Portanto, ENDPOINT_1 é aceito e pode se conectar ao serviço. O projeto CONSUMER_PROJECT_2 não está na lista de aceitação, portanto, ENDPOINT_2 está pendente. Depois que CONSUMER_PROJECT_2 é adicionado à lista de aceitação, o status de ENDPOINT_2 é alterado para ACCEPTED e o endpoint pode se conectar ao serviço.

connectedEndpoints:
- consumerNetwork: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_1/global/networks/CONSUMER_NETWORK_1
  endpoint: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_1/regions/REGION_1/forwardingRules/ENDPOINT_1
  endpointWithId: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_1/regions/REGION_1/forwardingRules/RESOURCE_ID_1
  pscConnectionId: 'ENDPOINT_1_ID'
  status: ACCEPTED
- consumerNetwork: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_2/global/networks/CONSUMER_NETWORK_2
  endpoint: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/ENDPOINT_2
  endpointWithId: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/RESOURCE_ID_2
  pscConnectionId: 'ENDPOINT_2_ID'
  status: PENDING
connectionPreference: ACCEPT_MANUAL
consumerAcceptLists:
- connectionLimit: LIMIT_1
  projectIdOrNum: CONSUMER_PROJECT_1
creationTimestamp: 'TIMESTAMP'
description: 'DESCRIPTION'
enableProxyProtocol: false
fingerprint: FINGERPRINT
id: 'ID'
kind: compute#serviceAttachment
name: NAME
natSubnets:
- https://www.googleapis.com/compute/beta/projects/PRODUCER_PROJECT/regions/REGION/subnetworks/PSC_SUBNET
pscServiceAttachmentId:
  high: 'PSC_ATTACH_ID_HIGH'
  low: 'PSC_ATTACH_ID_LOW'
region: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION
selfLink: https://www.googleapis.com/compute/v1/projects/projects/PRODUCER_PROJECT/regions/REGION/serviceAttachments/ATTACHMENT_NAME
targetService: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/forwardingRules/PRODUCER_FWD_RULE

Para aceitar ou rejeitar conexões de consumidores, faça o seguinte:
- Para aceitar ou rejeitar consumidores com base no projeto ou na rede VPC, use o comando gcloud compute service-attachments update.
  
  É possível especificar --consumer-accept-list, --consumer-reject-list ou ambos. É possível especificar vários valores em --consumer-accept-list e --consumer-reject-list. É possível incluir projetos ou redes VPC, mas não uma combinação de projetos e redes.
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --consumer-accept-list=ACCEPTED_PROJECT_OR_NETWORK_1=LIMIT_1,ACCEPTED_PROJECT_OR_NETWORK_2=LIMIT_2 \
    --consumer-reject-list=REJECTED_PROJECT_OR_NETWORK_1,REJECTED_PROJECT_OR_NETWORK_2
```
  Substitua:
  - ATTACHMENT_NAME: o nome do anexo de serviço.
  - REGION: a região em que o anexo de serviço está localizado.
  - ACCEPTED_PROJECT_OR_NETWORK_1 e ACCEPTED_PROJECT_OR_NETWORK_2: os IDs do projeto, nomes dos projetos ou URLs de rede a serem aceitos. --consumer-accept-list é opcional e pode conter um ou mais projetos ou redes, mas não uma combinação dos dois tipos.
  - LIMIT_1 e LIMIT_2: os limites de conexão para os projetos ou as redes. O limite de conexão é o número de endpoints do consumidor que podem se conectar a esse serviço.
  - REJECTED_PROJECT_OR_NETWORK_1 e REJECTED_PROJECT_OR_NETWORK_2: os IDs, nomes ou URLs de rede do projeto a serem rejeitados. --consumer-reject-list é opcional e pode conter um ou mais projetos ou redes, mas não uma combinação dos dois tipos.
- Para aceitar ou rejeitar endpoints individuais do Private Service Connect (pré-lançamento), use o comando gcloud beta compute service-attachments update.
```
gcloud beta compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --consumer-accept-list=ACCEPTED_ENDPOINT_URI_1,ACCEPTED_ENDPOINT_URI_2 \
    --consumer-reject-list=REJECTED_ENDPOINT_URI_1,REJECTED_ENDPOINT_URI_2
```
  Substitua:
  - ACCEPTED_ENDPOINT_URI_1 e ACCEPTED_ENDPOINT_URI_2: os URIs baseados em ID de um ou mais endpoints do Private Service Connect a serem aceitos. Para encontrar o URI baseado em ID de um endpoint do Private Service Connect, descreva um anexo de serviço conectado e verifique o campo endpointWithId ou descreva o endpoint do Private Service Connect e verifique o campo selfLinkWithId. --consumer-accept-list é opcional.
    
    Por exemplo, o URI baseado em ID do endpoint pendente do Private Service Connect na saída de exemplo no início desta seção é https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/RESOURCE_ID_2.
  - REJECTED_ENDPOINT_URI_1 e REJECTED_ENDPOINT_URI_2: os URIs baseados em ID de um ou mais endpoints do Private Service Connect a serem rejeitados. --consumer-reject-list é opcional.

API

Para descrever o anexo de serviço que você quer modificar, envie uma solicitação ao método serviceAttachments.get.

Método HTTP e URL:
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Substitua:
- PROJECT_ID: o projeto do anexo de serviço.
- REGION: a região do anexo de serviço.
- ATTACHMENT_NAME: o nome do anexo de serviço.
Se houver conexões de consumidores pendentes, elas serão listadas com o status PENDING. O URI baseado em ID do endpoint do Private Service Connect, que pode ser usado para aceitar ou rejeitar endpoints individuais, é mostrado no campo endpointWithId.

Anote o valor fingerprint, que será usado na próxima etapa.
Para aceitar ou rejeitar projetos ou redes de consumidores, envie uma solicitação ao método serviceAttachments.patch.

É possível alternar entre aceitar e rejeitar consumidores por projeto ou rede VPC, mas não é possível incluir uma combinação de projetos e redes na mesma solicitação.
- Para aceitar ou rejeitar consumidores com base no projeto, envie a seguinte solicitação.
  
  Método HTTP e URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
  Corpo JSON da solicitação:
```
{
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2"
  ],
  "fingerprint" : "FINGERPRINT"
}
```
  Substitua:
  - PROJECT_ID: o projeto do anexo de serviço.
  - REGION: a região do anexo de serviço.
  - ATTACHMENT_NAME: o nome do anexo de serviço.
  - ACCEPTED_PROJECT_1 e ACCEPTED_PROJECT_2: os códigos ou números dos projetos a serem aceitos. consumerAcceptList é opcional e pode conter um ou mais projetos.
  - LIMIT_1 e LIMIT_2: os limites de conexão dos projetos. O limite de conexão é o número de endpoints do consumidor que podem se conectar a esse serviço.
  - REJECTED_PROJECT_1 e REJECTED_PROJECT_2: os IDs ou números dos projetos a serem rejeitados. consumerRejectList é opcional e pode conter um ou mais projetos.
  - FINGERPRINT: a impressão digital atualizada do anexo de serviço que você encontrou na etapa anterior.
- Para aceitar ou rejeitar consumidores com base na rede VPC, envie a seguinte solicitação.
  
  Método HTTP e URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
  Corpo JSON da solicitação:
```
{
  "consumerAcceptLists": [
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_1/global/network/ACCEPTED_NETWORK_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_2/global/network/ACCEPTED_NETWORK_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "projects/REJECTED_PROJECT_ID_1/global/networks/REJECTED_NETWORK_1",
    "projects/REJECTED_PROJECT_ID_2/global/network/REJECTED_NETWORK_2"
  ],
  "fingerprint": "FINGERPRINT"
}
```
  Substitua:
  - ACCEPTED_PROJECT_ID_1 e ACCEPTED_PROJECT_ID_2: os IDs dos projetos pai das redes que você quer aceitar. consumerAcceptLists é opcional e pode conter um ou mais projetos.
  - ACCEPTED_NETWORK_1 e ACCEPTED_NETWORK_2: os nomes das redes que você quer aceitar.
  - LIMIT_1 e LIMIT_2: os limites de conexão dos projetos. O limite de conexão é o número de endpoints do consumidor que podem se conectar a esse serviço.
  - REJECTED_PROJECT_ID_1 e REJECTED_PROJECT_ID_2: os IDs dos projetos pai das redes que você quer rejeitar. consumerRejectLists é opcional e pode conter um ou mais projetos.
  - REJECTED_NETWORK_1 e REJECTED_NETWORK_2: os nomes das redes que você quer rejeitar.
- Para aceitar ou rejeitar consumidores com base em endpoints individuais do Private Service Connect (pré-lançamento), envie a seguinte solicitação.
  
  Método HTTP e URL:
```
PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
  Corpo JSON da solicitação:
```
{
  "consumerAcceptLists": [
    {
      "endpointUrl": "ACCEPTED_ENDPOINT_URI_1"
    },
    {
      "endpointUrl": "ACCEPTED_ENDPOINT_URI_2"
    }
  ],
  "consumerRejectLists": [
    "REJECTED_ENDPOINT_URI_1",
    "REJECTED_ENDPOINT_URI_2"
  ],
  "fingerprint": "FINGERPRINT"
}
```
  Substitua:
  - ACCEPTED_ENDPOINT_URI_1 e ACCEPTED_ENDPOINT_URI_2: os URIs baseados em ID de um ou mais endpoints do Private Service Connect a serem aceitos. Para encontrar um URI baseado em ID de um endpoint do Private Service Connect, descreva um anexo de serviço conectado e verifique o campo endpointWithId ou descreva o endpoint e verifique o campo selfLinkWithId. Um exemplo de URI baseado em ID é https://www.googleapis.com/compute/beta/projects/consumer-project/regions/us-central1/forwardingRules/1234567890
    
    Essa lista é opcional.
  - REJECTED_ENDPOINT_URI_1 e REJECTED_ENDPOINT_URI_2: os URIs baseados em ID de um ou mais endpoints do Private Service Connect a serem rejeitados. Essa lista é opcional.

Alterar a preferência de conexão de um serviço publicado

É possível alternar entre aceitação automática e explícita de consumidor para um serviço publicado. O efeito dessa mudança nas conexões atuais depende de se a reconciliação de conexão está ativada para o anexo de serviço.

Se a reconciliação de conexão estiver desativada, mudar a preferência de conexão não vai afetar as conexões ACCEPTED ou REJECTED atuais:

Quando você muda da aceitação automática para a explícita, as novas conexões precisam estar na lista de aceitação do consumidor para serem ACCEPTED.
Quando você muda da aceitação explícita para a automática, todas as conexões PENDING atuais são ACCEPTED automaticamente.

Se a reconciliação de conexão estiver ativada, todas as conexões atuais serão reavaliadas com base na nova preferência de conexão:

Ao mudar da aceitação automática para a explícita, todas as conexões de consumidores que não estão na lista de aceitação mudam para PENDING e são encerradas.
Quando você muda da aceitação explícita para a automática, todas as conexões PENDING e REJECTED mudam para ACCEPTED.

Para mais informações sobre como atualizar a lista de aceitação de consumidores de um serviço, consulte Gerenciar solicitações de acesso a um serviço publicado.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.serviceAttachments.update

Papéis

Consulte Papéis para informações sobre o papel.

Console

No console do Google Cloud , acesse a página Private Service Connect.

Acessar a página "Private Service Connect"
Clique na guia Serviços publicados.
Clique no serviço que você quer atualizar e depois em Editar detalhes do serviço.
Selecione a nova preferência de conexão a ser usada para esse serviço.
Opcional: se você estiver mudando para o uso da aceitação explícita, adicione consumidores à sua lista de aceitação agora ou depois. Para aceitar consumidores, faça o seguinte: Repita essa etapa para cada consumidor que você quiser adicionar.
- Em Aceitar conexões para projetos selecionados, clique em Adicionar projeto aceito e insira o projeto e o limite de conexão.
- Em Aceitar conexões para as redes selecionadas, clique em Adicionar rede aceita e insira o projeto, a rede VPC e o limite de conexão.
- Em Aceitar conexões para os endpoints selecionados, clique em Adicionar endpoint aceito e insira o projeto e o ID do endpoint.
Clique em Salvar.

gcloud

Para mudar a preferência de conexão do anexo de serviço de ACCEPT_AUTOMATIC para ACCEPT_MANUAL, use o comando gcloud compute service-attachments update.

Controle quais projetos podem se conectar ao seu serviço usando --consumer-accept-list e --consumer-reject-list. É possível configurar as listas de aceitação e rejeição quando alterar a preferência de conexão ou atualizar as listas posteriormente.
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_MANUAL \
    [ --consumer-accept-list=ACCEPTED_PROJECT_OR_NETWORK_1=LIMIT_1,ACCEPTED_PROJECT_OR_NETWORK_2=LIMIT_2] \
    [ --consumer-reject-list=REJECTED_PROJECT_OR_NETWORK_1,REJECTED_PROJECT_OR_NETWORK_2 ]
```
Substitua:
- ATTACHMENT_NAME: o nome do anexo de serviço.
- REGION: a região em que o anexo de serviço está localizado.
- ACCEPTED_PROJECT_OR_NETWORK_1 e ACCEPTED_PROJECT_OR_NETWORK_2: os IDs do projeto, nomes dos projetos ou URLs de rede a serem aceitos. --consumer-accept-list é opcional e pode conter um ou mais projetos ou redes, mas não uma combinação dos dois tipos.
- LIMIT_1 e LIMIT_2: os limites de conexão dos projetos. O limite de conexão é o número de endpoints do consumidor que podem se conectar a esse serviço.
- REJECTED_PROJECT_OR_NETWORK_1 e REJECTED_PROJECT_OR_NETWORK_2: os IDs, nomes ou URLs de rede do projeto a serem rejeitados. --consumer-reject-list é opcional e pode conter um ou mais projetos ou redes, mas não uma combinação dos dois tipos.
Para mudar a preferência de conexão do anexo de serviço de ACCEPT_MANUAL para ACCEPT_AUTOMATIC, use o seguinte comando.

Se você tiver valores na lista de aceitação ou rejeição, defina-os como vazios quando alterar a preferência de conexão ("").
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_AUTOMATIC \
    --consumer-accept-list="" \
    --consumer-reject-list=""
```
Substitua:
- ATTACHMENT_NAME: o nome do anexo de serviço.
- REGION: a região em que o anexo de serviço está localizado.

API

Para receber o fingerprint do anexo de serviço, envie uma solicitação ao método serviceAttachments.get.

Método HTTP e URL:
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Substitua:
- PROJECT_ID: o projeto do anexo de serviço.
- REGION: a região do anexo de serviço.
- ATTACHMENT_NAME: o nome do anexo de serviço.
Anote o valor fingerprint, que será usado na próxima etapa.
Para mudar a preferência de conexão do anexo de serviço, envie uma solicitação ao método serviceAttachments.patch.
- Para mudar a preferência de conexão de ACCEPT_AUTOMATIC para ACCEPT_MANUAL e atualizar as listas de aceitação e rejeição do consumidor com base no projeto, faça a seguinte solicitação.
  
  Método HTTP e URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
  Corpo JSON da solicitação:
```
{
  "connectionPreference": "ACCEPT_MANUAL",
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1"
      "connectionLimit": "LIMIT_1",
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2"
      "connectionLimit": "LIMIT_2",
    }
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2",
  ],
  "fingerprint" : "FINGERPRINT"
}
```
  Substitua:
  - PROJECT_ID: o projeto do anexo de serviço.
  - REGION: a região do anexo de serviço.
  - ATTACHMENT_NAME: o nome do anexo de serviço.
  - ACCEPTED_PROJECT_1 e ACCEPTED_PROJECT_2: os IDs ou números dos projetos a serem aceitos. consumerAcceptList é opcional e pode conter um ou mais projetos.
  - LIMIT_1 e LIMIT_2: os limites de conexão dos projetos. O limite de conexão é o número de endpoints do consumidor que podem se conectar a esse serviço.
  - REJECTED_PROJECT_1 e REJECTED_PROJECT_2: os IDs ou números dos projetos a serem rejeitados. consumerRejectList é opcional e pode conter um ou mais projetos.
  - FINGERPRINT: a impressão digital atualizada do anexo de serviço que você encontrou na etapa 1.
- Para mudar a preferência de conexão de ACCEPT_AUTOMATIC para ACCEPT_MANUAL e atualizar as listas de aceitação e rejeição do consumidor com base na rede VPC, faça a seguinte solicitação.
  
  Método HTTP e URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
  Corpo JSON da solicitação:
```
{
  "connectionPreference": "ACCEPT_MANUAL",
  "consumerAcceptLists": [
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_1/global/networks/ACCEPTED_NETWORK_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_2/global/networks/ACCEPTED_NETWORK_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "projects/REJECTED_PROJECT_ID_1/global/networks/REJECTED_NETWORK_1",
    "projects/REJECTED_PROJECT_ID_2/global/network/REJECTED_NETWORK_2"
  ],
  "fingerprint" : "FINGERPRINT"
}
```
  Substitua:
  - ACCEPTED_PROJECT_ID_1 e ACCEPTED_PROJECT_ID_2: os IDs dos projetos pai das redes que você quer aceitar. consumerAcceptLists é opcional e pode conter um ou mais projetos.
  - ACCEPTED_NETWORK_1 e ACCEPTED_NETWORK_2: os nomes das redes que você quer aceitar.
  - LIMIT_1 e LIMIT_2: os limites de conexão dos projetos. O limite de conexão é o número de endpoints do consumidor que podem se conectar a esse serviço.
  - REJECTED_PROJECT_ID_1 e REJECTED_PROJECT_ID_2: os IDs dos projetos pai das redes que você quer rejeitar. consumerRejectLists é opcional e pode conter um ou mais projetos.
  - REJECTED_NETWORK_1 e REJECTED_NETWORK_2: os nomes das redes que você quer rejeitar.
  - FINGERPRINT: a impressão digital atualizada do anexo de serviço que você encontrou na etapa 1.

Para mudar a preferência de conexão do anexo de serviço de ACCEPT_MANUAL para ACCEPT_AUTOMATIC, faça a seguinte solicitação.

Se os campos consumerAcceptLists ou consumerRejectLists especificarem algum projeto, defina-os como vazios quando você alterar a preferência de conexão para ACCEPT_AUTOMATIC.

Método HTTP e URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Corpo JSON da solicitação:
```
{
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "consumerAcceptLists": [ ],
  "consumerRejectLists": [ ],
  "fingerprint" : "FINGERPRINT"
}
```
Substitua:
- PROJECT_ID: o projeto do anexo de serviço.
- REGION: a região do anexo de serviço.
- ATTACHMENT_NAME: o nome do anexo de serviço.
- FINGERPRINT: a impressão digital atualizada do anexo de serviço que você encontrou na etapa 1.

Configurar a reconciliação de conexão

É possível ativar ou desativar a reconciliação de conexão para anexos de serviço que já existem.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.serviceAttachments.update

Papéis

Consulte Papéis para informações sobre o papel.

Console

No console do Google Cloud , acesse a página Private Service Connect.

Acessar a página "Private Service Connect"
Clique na guia Serviços publicados.
Clique no serviço que você quer atualizar e depois em Editar detalhes do serviço.
Marque ou desmarque a caixa de seleção Ativar reconciliação de conexão e depois clique em Salvar.

gcloud

Para ativar a reconciliação de conexão, use o comando service-attachments update.
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --reconcile-connections
```
Substitua:
- ATTACHMENT_NAME: o nome do anexo de serviço.
- REGION: a região do anexo de serviço.

Para desativar a reconciliação de conexão, use o seguinte comando:

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --no-reconcile-connections

API

Para receber o fingerprint do anexo de serviço, envie uma solicitação ao método serviceAttachments.get.

Método HTTP e URL:
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Substitua:
- PROJECT_ID: o projeto do anexo de serviço.
- REGION: a região do anexo de serviço.
- ATTACHMENT_NAME: o nome do anexo de serviço.
Anote o valor fingerprint, que será usado na próxima etapa.
Envie uma solicitação para o método serviceAttachments.patch.

Método HTTP e URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Corpo JSON da solicitação:
```
{
  "reconcileConnections": RECONCILIATION,
  "fingerprint": "FINGERPRINT"
}
```
Substitua:
- PROJECT_ID: o projeto do anexo de serviço.
- REGION: a região do anexo de serviço.
- ATTACHMENT_NAME: o nome do anexo de serviço.
- RECONCILIATION: se a reconciliação de conexões será ativada. As opções são true ou false.
- FINGERPRINT: a impressão digital atualizada do anexo de serviço que você encontrou na etapa anterior.

Adicionar ou remover sub-redes de um serviço publicado

É possível editar um serviço publicado para adicionar sub-redes do Private Service Connect.

Por exemplo, talvez seja necessário disponibilizar mais endereços IP para um serviço atual. Para adicionar mais endereços, siga um destes procedimentos:

Crie outra sub-rede do Private Service Connect e edite o anexo de serviço para adicionar a nova sub-rede.
Edite a sub-rede para expandir o intervalo IPv4.

Da mesma forma, é possível editar um serviço publicado para remover sub-redes do Private Service Connect. No entanto, se algum dos endereços IP da sub-rede estiver sendo usado para executar o SNAT do Private Service Connect, a remoção da sub-rede falhará.

Se você alterar a configuração da sub-rede, atualize as regras de firewall para permitir que as solicitações das novas sub-redes alcancem as VMs de back-end.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.serviceAttachments.update

Papéis

Consulte Papéis para informações sobre o papel.

Console

No console do Google Cloud , acesse a página Private Service Connect.

Acessar a página "Private Service Connect"
Clique na guia Serviços publicados.
Clique no serviço que você quer atualizar e depois em Editar detalhes do serviço.
Modifique as sub-redes usadas para este serviço.

Se quiser adicionar uma nova sub-rede, crie uma:
1. Clique em Reservar nova sub-rede.
2. Insira um Nome e uma Descrição opcional para a sub-rede.
3. Selecione uma Região para a sub-rede.
4. Digite o Intervalo de IP a ser usado para a sub-rede e clique em Adicionar.
Clique em Salvar.

gcloud

Para atualizar as sub-redes do Private Service Connect usadas para este anexo de serviço, use o comando gcloud compute service-attachments update.

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --nat-subnets=PSC_SUBNET_LIST

Substitua:

ATTACHMENT_NAME: o nome do anexo de serviço.
REGION: a região em que o anexo de serviço está localizado.
PSC_SUBNET_LIST: uma lista separada por vírgulas de uma ou mais sub-redes a serem usadas com esse anexo de serviço.

API

Para receber o fingerprint do anexo de serviço, envie uma solicitação ao método serviceAttachments.get.

Método HTTP e URL:
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Substitua:
- PROJECT_ID: o projeto do anexo de serviço.
- REGION: a região do anexo de serviço.
- ATTACHMENT_NAME: o nome do anexo de serviço.
Anote o valor fingerprint, que será usado na próxima etapa.
Para atualizar as sub-redes do Private Service Connect usadas para esse anexo de serviço, envie uma solicitação para o método serviceAttachments.patch.

Método HTTP e URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Corpo JSON da solicitação:
```
{
  "natSubnets": [
  "PSC_SUBNET1_URI",
  "PSC_SUBNET2_URI"
  ],
  "fingerprint": "FINGERPRINT"
}
```
Substitua:
- PROJECT_ID: o projeto do anexo de serviço.
- REGION: a região do anexo de serviço.
- ATTACHMENT_NAME: o nome do anexo de serviço.
- PSC_SUBNET1_URI e PSC_SUBNET2_URI: URIs das sub-redes que você quer usar com este anexo de serviço. Especifique uma ou mais subredes.
- FINGERPRINT: a impressão digital atualizada do anexo de serviço que você encontrou na etapa anterior.

Atualizar o limite de conexões propagadas de um serviço publicado

É possível atualizar o limite de conexão propagada de um anexo de serviço. Quando você aumenta o limite, Google Cloud verifica automaticamente se é possível criar conexões propagadas pendentes. Quando você diminui o limite, as conexões propagadas atuais não são afetadas. No entanto, as tentativas de restabelecer conexões propagadas excluídas ou rejeitadas poderão ser bloqueadas se o novo limite for atingido.

Console

No console do Google Cloud , acesse a página Private Service Connect.

Acessar a página "Private Service Connect"
Clique na guia Serviços publicados.
Clique no serviço que você quer atualizar e depois em Editar detalhes do serviço.
Clique em Configuração avançada.
Informe o novo limite de conexões propagadas NCC.

gcloud

Use o comando gcloud compute service-attachments update.

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --propagated-connection-limit=LIMIT

Substitua:

ATTACHMENT_NAME: o nome do anexo de serviço.
REGION: a região em que o anexo de serviço está localizado.
LIMIT: o novo valor do limite de conexão propagada.

API

Para receber o fingerprint do anexo de serviço, envie uma solicitação ao método serviceAttachments.get.

Método HTTP e URL:
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Substitua:
- PROJECT_ID: o projeto do anexo de serviço.
- REGION: a região do anexo de serviço.
- ATTACHMENT_NAME: o nome do anexo de serviço.
Anote o valor fingerprint, que será usado na próxima etapa.
Envie uma solicitação para o método serviceAttachments.patch.

Método HTTP e URL:
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Corpo JSON da solicitação:
```
{
  "propagatedConnectionLimit": LIMIT,
  "fingerprint": "FINGERPRINT"
}
```
Substitua:
- PROJECT_ID: o projeto do anexo de serviço.
- REGION: a região do anexo de serviço.
- ATTACHMENT_NAME: o nome do anexo de serviço.
- LIMIT: o novo valor do limite de conexão propagada.
- FINGERPRINT: a impressão digital atualizada do anexo de serviço que você encontrou na etapa anterior.