Esta página foi traduzida pela API Cloud Translation.

Criar um anexo de endpoint

Para configurar a conectividade particular dos Integration Connectors, você precisa criar um anexo do PSC (Private Service Connect). No entanto, para usar o anexo do PSC, também é necessário criar um anexo de endpoint, já que não é possível usá-lo diretamente. Pense no anexo de endpoint como uma interface para o anexo de serviço PSC. Depois de criados, é possível usar os detalhes do anexo de endpoint ao configurar um conector para conectividade particular. Nesta página, explicamos como criar um anexo de endpoint, e você precisa estar familiarizado com os seguintes conceitos:

É possível criar o anexo de endpoint como um endereço IP ou um nome de host.

Criar um anexo de endpoint como um endereço IP
Criar um anexo de endpoint como nome do host

Crie um anexo de endpoint como um endereço IP

Para criar um anexo de endpoint como um endereço IP, use o console do Cloud ou a linha de comando (gcloud).

Para criar um anexo de endpoint, você precisa ter a permissão connectors.endpointAttachments.create, que está disponível no papel do IAM roles/connectors.admin ou roles/connectors.endpointAttachmentsAdmin. Para informações sobre os vários papéis do IAM e as permissões correspondentes disponíveis para o Integration Connectors, consulte Papéis e permissões do IAM para Integration Connectors

Console

Para criar um anexo de endpoint no console do Cloud, faça o seguinte:

Abra a página Anexos de endpoint para o Integration Connectors.
Acessar "Anexos de endpoint"
Clique em Criar. A página Criar anexo de endpoint é aberta.
Digite valores para os seguintes campos:
- Nome: um nome para o anexo de endpoint. É necessário usar um exclusivo. Não pode haver outros anexos de endpoint com o mesmo nome, e não será possível alterá-lo posteriormente. O nome precisa começar com uma letra minúscula seguida por até 63 letras minúsculas, números ou hifens, mas não pode terminar com um hífen. O comprimento mínimo é 2.
- ID do anexo de serviço: nome do anexo de serviço do PSC que você já criou.
  Observação : você precisa conseguir o ID do projeto do diretório de serviços associado ao seu projeto do Google Cloud e, em seguida, incluir esse ID na lista de permissões no anexo de serviço.
- (Opcional) Descrição: digite uma descrição para o anexo de endpoint.
- (Opcional) Rótulos: insira os rótulos de recursos como pares de chave-valor. Para mais informações sobre rótulos, consulte O que são rótulos?
- (Opcional) Ativar acesso global ao endpoint: selecione essa opção se quiser enviar tráfego para seu back-end a partir de uma conexão presente em qualquer região.
  Por padrão, o anexo de endpoint exige que a conexão e o back-end estejam na mesma região. Portanto, se você ativar o acesso global para o endpoint, uma conexão presente em qualquer região poderá enviar tráfego para o back-end.
  Observação :
  - A ativação dessa opção não afeta a conformidade com o DRZ, e a zona gerenciada ainda será regional.
  - Para que essa opção funcione, ative o acesso global para o balanceador de carga. Como alternativa, se você estiver usando um balanceador de carga de passagem interna, não será necessário ativar explicitamente o acesso global, já que ele é ativado por padrão. Para mais informações, consulte Ativar acesso global e Recursos e compatibilidade.
Clique em Criar.

A coluna Endereço IP especifica o endereço IP do anexo de endpoint. Use esse endereço IP ao configurar um conector para conectividade particular.

gcloud

Para criar um anexo de endpoint na linha de comando, faça o seguinte:

Acesse o recurso de anexo do serviço PSC:

gcloud compute service-attachments list

O comando retorna a lista de anexos de serviço. Exemplo:

NAME       REGION   TARGET_SERVICE                                       CONNECTION_PREFERENCE
demo-sa us-west1 k8s2-tcp-tgysilgj-apps-ingressgateway-fzdhwstg ACCEPT_AUTOMATIC

Você precisará dessas informações do anexo de serviço nas próximas etapas.

Receba um token de autenticação antes de executar a API CreateEndpointAttachment:
```
TOKEN="$(gcloud auth print-access-token)"
```
Crie o anexo de endpoint usando a API CreateEndpointAttachment. Por exemplo:
```
curl -X POST -H "Authorization: Bearer $TOKEN" \
     -H "Content-Type: application/json" \
     -d '{
    "name": "projects/PROJECT_ID/locations/LOCATION/endpointAttachments/ENDPOINT_ATTACHMENT_NAME",
    "serviceAttachment": "projects/demo/serviceAttachments/?SERVICE_ATTACHMENT_NAME"
  }' \
     https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/endpointAttachments?endpointAttachmentId=ENDPOINT_ATTACHMENT_NAME
```
Em que:
- LOCATION é a região do anexo de serviço. Por exemplo, us-west1.
- PROJECT_ID é o projeto do Google Cloud em que você criou o anexo de serviço do PSC.
- ENDPOINT_ATTACHMENT_NAME é o nome do anexo de endpoint. É necessário usar um exclusivo. Não pode haver outros anexos de endpoint com o mesmo nome, e não será possível alterá-lo depois. O nome precisa começar com uma letra minúscula seguida por até 31 letras minúsculas, números ou hífens, mas não pode terminar com um hífen. O comprimento mínimo é 2.
- SERVICE_ATTACHMENT_NAME: é o nome do anexo de serviço. Use o nome da conta de serviço do PSC retornado pelo comando gcloud compute service-attachments list executado anteriormente.
Depois de chamar a API, o Integration Connectors inicia uma operação de longa duração, que pode levar algum tempo para ser concluída. O anexo de endpoint será criado depois que a operação for concluída com êxito.
Consiga o ID do projeto do diretório de serviços associado ao seu projeto do Google Cloud e coloque-o na lista de permissões no anexo de serviço.

Verifique se o anexo de endpoint foi criado usando a API GetEndpointAttachment. Por exemplo:

curl -X GET -H "Authorization: Bearer $TOKEN" \
  https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/us-central1/endpointAttachments/ENDPOINT_ATTACHMENT_NAME

A API retorna uma resposta semelhante a esta:

{
  "name": "projects/demo-project/locations/us-central1/endpointAttachments/demo-ea",
  "createTime": "2023-04-17T04:34:59.569527046Z",
  "updateTime": "2023-04-17T04:37:25.189074195Z",
  "description": "demo endpoint attachment",
  "serviceAttachment": "projects/demo-project/regions/us-central1/serviceAttachments/demo-sa",
  "endpointIp": "10.0.0.0",
  "labels": {"team":"sre"},
}

O endereço IP do anexo de endpoint está disponível no campo endpointIp. Nesta resposta de exemplo, o endereço IP é 10.0.0.0. Use esse endereço IP ao configurar um conector para conectividade particular.

Se a criação do anexo de endpoint for bem-sucedida, o anexo recém-criado será listado na página Anexos do endpoint, semelhante à seguinte imagem:

As etapas, descritas até agora, mostram como criar um anexo de endpoint como um endereço IP. No entanto, também é possível criar um anexo de endpoint como nome do host e usá-lo para configurar um conector para conectividade particular. Para entender como criar um anexo de endpoint com um nome de host, consulte Criar um anexo de endpoint como nome de host.

Criar um anexo de endpoint como nome do host

Para criar um anexo de endpoint como um nome de host, execute as seguintes tarefas:

Crie um anexo de endpoint como endereço IP. Para mais informações, acesse Criar um anexo de endpoint como endereço IP.
Criar uma zona gerenciada privada do Cloud DNS em qualquer um dos seus projetos do Google Cloud.
Nessa zona de DNS, adicione o nome do host que você quer usar para a configuração do conector e mapeie esse nome para o endereço IP do anexo de endpoint que você recebeu na etapa 1. Para informações sobre como criar uma zona gerenciada privada do Cloud DNS, consulte Criar uma zona particular e Adicionar um registro.
Criar uma zona gerenciada do Integration Connectors no projeto do Google Cloud que você usa para os Integration Connectors. A zona gerenciada do Integration Connectors (zona de peering) se comunica com a zona gerenciada privada do Cloud DNS (criada na etapa 2) para resolução de nomes.

Antes de criar a zona gerenciada, você precisa conceder os seguintes papéis e permissões:
- Conceda a permissão connectors.managedZones.create ao usuário que está criando a zona gerenciada do Integration Connectors.
  A permissão connectors.managedZones.create está disponível no papel do IAM roles/connectors.admin ou roles/connectors.managedZonesAdmin. Para mais informações sobre os vários papéis do IAM e as permissões correspondentes disponíveis para o Integration Connectors, consulte Papéis e permissões do IAM para Integration Connectors.
- Conceda o papel role/dns.peer à conta de serviço service-PROJECT_NUMBER@gcp-sa-connectors.iam.gserviceaccount.com do Integration Connectors.
  Se o projeto do Google Cloud do Cloud DNS for diferente do projeto do Integration Connectors do Google Cloud, conceda o papel roles/dns.peer à conta de serviço do Integration Connectors no projeto do Google Cloud do Cloud DNS. Por exemplo, imagine que você quer criar a zona gerenciada do Integration Connectors no projeto 12345 do Google Cloud e o Cloud DNS está no projeto 67890 do Google Cloud. Nesse caso, você precisa conceder o papel roles/dns.peer à conta de serviço service-12345@gcp-sa-connectors.iam.gserviceaccount.com no projeto 67890 do Google Cloud.
Para criar uma zona gerenciada do Integration Connectors, use o console do Cloud ou a linha de comando (gcloud).
Console

Para criar uma zona gerenciada do Integration Connectors no console do Cloud, faça o seguinte:
1. Acesse a página "Zonas gerenciadas" do Integration Connectors.
  Acessar "Zonas gerenciadas"
2. Digite valores para os seguintes campos:
  1. Nome: um nome para a zona gerenciada.
  2. Nome do DNS de destino: nome completo do Cloud DNS para o qual você está criando a zona gerenciada (peering). Por exemplo, server8.stage.user.private.
  3. Projeto de destino: nome do projeto do Google Cloud que tem a zona particular do Cloud DNS.
  4. Rede de destino: nome da rede VPC em que a zona particular do Cloud DNS é mantida.
  5. (Opcional) Descrição: digite uma descrição para o anexo de endpoint.
  6. (Opcional) Rótulos: insira os rótulos de recursos como pares de chave-valor. Para mais informações sobre rótulos, consulte O que são rótulos?
3. Clique em Criar.
gcloud

Para criar uma zona gerenciada do Integration Connectors na linha de comando, faça o seguinte:
1. Receba um token de autenticação antes de executar a API CreateManagedZone:
```
TOKEN="$(gcloud auth print-access-token)"
```
2. Crie a zona gerenciada usando a API CreateManagedZone. Por exemplo:
```
curl -X POST -H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{
  "description": "DESCRIPTION",
  "dns": "DNS_NAME",
  "target_project": "TARGET_PROJECT",
  "target_vpc": "TARGET_VPC"
}' \
https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/managedZones?managedZoneId=MANAGED_ZONE_NAME
```
  Em que:
  - DESCRIPTION é uma descrição opcional da zona gerenciada.
  - DNS_NAME: nome completo do Cloud DNS em que você está criando a zona gerenciada (peering). Por exemplo, server8.stage.user.private.
  - TARGET_PROJECT é o nome do projeto do Google Cloud que tem a zona particular do Cloud DNS.
  - TARGET_NETWORK é o nome da rede VPC em que a zona particular do Cloud DNS é mantida.
  - PROJECT_ID é o projeto do Google Cloud que você está usando para os Integration Connectors.
  - MANAGED_ZONE_NAME é o nome da zona gerenciada. É necessário usar um exclusivo. Não é possível haver outras zonas gerenciadas com o mesmo nome nem alterar o nome depois. O nome precisa começar com uma letra minúscula seguida por até 63 letras minúsculas, números ou hifens, mas não pode terminar com um hífen. O comprimento mínimo é 2.
  Depois de chamar a API, o Integration Connectors inicia uma operação de longa duração, que pode levar algum tempo para ser concluída. A zona gerenciada será criada depois que a operação for concluída com êxito.
3. Verifique se a zona gerenciada foi criada usando a API GetManagedZone. Por exemplo:
```
curl -X GET -H "Authorization: Bearer $TOKEN" \
  https://connectors.googleapis.com/v1/projects/PROJECT_ID/locations/global/managedZones/MANAGED_ZONE_NAME
```
  A API retorna uma resposta semelhante a esta:
```
{
  "name": "projects/demo-project/locations/global/managedZones/demo-mz",
  "createTime": "2023-04-17T04:34:59.569527046Z",
  "updateTime": "2023-04-17T04:37:25.189074195Z",
  "description": "demo managed zone",
  "dns": "api.private.service.com.",
  "targetVpc": "target-project-vpc",
  "targetProject": "target-project"
}
```

Se a criação da zona gerenciada for bem-sucedida, a recém-criada será listada na página Zonas gerenciadas, semelhante à seguinte imagem:

Verificar a configuração do anexo de endpoint

É possível verificar a conectividade do endpoint criando uma conexão com seu sistema de back-end. Ao criar a conexão, na seção Destinations, selecione Destination type como Endpoint attachment e, em seguida, selecione o anexo de endpoint apropriado. Se a criação da conexão for bem-sucedida, o status da conexão recém-criada será Active na sua página Conexões no Console do Cloud.