Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Verwaltete Dienste mit Private Service Connect veröffentlichen

Als Dienstersteller können Sie Private Service Connect verwenden, um Dienste mithilfe interner IP-Adressen in Ihrem VPC-Netzwerk zu veröffentlichen. Ihre veröffentlichten Dienste sind für Dienstnutzer über interne IP-Adressen in ihren VPC-Netzwerken zugänglich.

In dieser Anleitung wird beschrieben, wie Sie Private Service Connect verwenden, um einen Dienst zu veröffentlichen. So veröffentlichen Sie einen Dienst:

Es gibt zwei Arten von Private Service Connect-Endpunkten, die eine Verbindung zu einem veröffentlichten Dienst herstellen können:

Diese Endpunkttypen erfordern etwas unterschiedliche Erstellerkonfigurationen. Weitere Informationen finden Sie unter Unterstützte Konfigurationen.

Rollen

Die folgende IAM-Rolle bietet die Berechtigungen, die zum Ausführen der Aufgaben in dieser Anleitung erforderlich sind.

Vorbereitung

Beschränkungen

  • Bei der Paketspiegelung können keine Pakete für Traffic von Private Service Connect veröffentlicht werden.

  • Private Service Connect-Endpunkte mit HTTP(S)-Nutzerdienstkontrollen werden nicht in der Liste der verbundenen Clients angezeigt.

  • Wenn Sie das Private Service Connect-Subnetz in einem freigegebenen VPC-Hostprojekt erstellen und den Dienstanhang in einem Dienstprojekt erstellen möchten, müssen Sie dafür die Google Cloud CLI oder die API verwenden.

  • Verwenden Sie die Google Cloud-CLI oder die API, um einen Dienstanhang zu erstellen, der auf eine Weiterleitungsregel verweist, die für die interne Protokollweiterleitung verwendet wird.

  • Unter Bekannte Probleme finden Sie Informationen zu Problemen und Problemumgehungen.

Spezifikationen

In den nachstehenden Abschnitten wird Folgendes beschrieben:

  • Unterstützte Load-Balancer-Typen

  • Unterstützte Konfigurationen für Load-Balancer- und Dienstanhänge, die zur Unterstützung der einzelnen Private Service Connect-Endpunkttypen erforderlich sind

Unterstützte Load-Balancer-Typen

Sie können den Dienst mit den folgenden Load-Balancern hosten:

Informationen zu den unterstützten Konfigurationen für jede Methode finden Sie unter Unterstützte Konfigurationen für den Load-Balancer.

Sie können auch einen Dienst veröffentlichen, der in einem internen TCP/UDP-Load-Balancer in Google Kubernetes Engine gehostet wird. Diese Konfiguration, einschließlich des Load-Balancers und der Konfiguration des Dienstanhangs, wird unter Internen TCP/UDP-Load-Balancer mit Private Service Connect erstellen in der GKE-Dokumentation beschrieben.

Unterstützte Konfigurationen

Die beiden Endpunkttypen von Private Service Connect, die mit veröffentlichten Diensten verbunden werden können, haben unterschiedliche Konfigurationsanforderungen. In dieser Tabelle ist die Konfiguration zusammengefasst, die für einen veröffentlichten Dienst erforderlich ist, um jeden Endpunkttyp zu unterstützen.

Diensterstellerkonfiguration Private Service Connect-Endpunkt (basierend auf einer Weiterleitungsregel) Private Service Connect-Endpunkt mit HTTP(S)-Dienststeuerelementen (basierend auf dem globalen externen HTTP(S)-Load-Balancer)
Dienstersteller-Load-Balancer
Unterstützte Load-Balancer-Typen
  • Interne TCP/UDP-Load-Balancer
  • Interner HTTP-Load-Balancer
  • Interne Protokollweiterleitung
  • Interner regionaler TCP-Proxy-Load-Balancer (Vorschau)
Nur interner TCP/UDP-Load-Balancer
Unterstützte Protokolle Traffic, der vom Load-Balancer unterstützt wird Der interne TCP/UDP-Load-Balancer muss HTTPS-Traffic bereitstellen
Konfiguration des internen TCP/UDP-Load-Balancers
Globaler Zugriff

Unterstützt

Alle Private Service Connect-Endpunkte, die eine Verbindung zu diesem veröffentlichten Dienst herstellen, müssen sich in derselben Region wie der veröffentlichte Dienst befinden

Erforderlich
Mehrere Weiterleitungsregeln mit derselben IP-Adresse
Nicht unterstützt Nicht unterstützt
Teilmengeneinstellung Nicht unterstützt Nicht unterstützt
Sitzungsaffinität, auf 2-Tupel oder 3-Tupel festgelegt

Nicht unterstützt.

Konfigurieren Sie die 5-Tupel-Sitzungsaffinität1.

Nicht unterstützt.

Konfigurieren Sie die 5-Tupel-Sitzungsaffinität1.

Paketspiegelung Nicht unterstützt Nicht unterstützt
Dienstanhänge
Proxyprotokoll Unterstützt für TCP-Dienste, die auf den folgenden Load-Balancern gehostet werden:
  • Interne TCP/UDP-Load-Balancer
  • Interne Protokollweiterleitung

Bei den folgenden Konfigurationen werden sie nicht unterstützt:
  • UDP-Dienste, die auf einem internen TCP/UDP-Load-Balancer gehostet werden. Es ist Ihnen jedoch nicht untersagt, diese Konfiguration zu erstellen.
  • Auf einem internen HTTP(S)-Load-Balancer gehostete Dienste.
  • Auf einem internen regionalen TCP-Proxy-Load-Balancer gehostete Dienste.
Nicht unterstützt
Veröffentlichungsmodus
Automatische Projektgenehmigung Endpunkte aus jedem Projekt können eine Verbindung herstellen Endpunkte aus jedem Projekt können eine Verbindung herstellen
Ausdrückliche Genehmigung Nutzerprojekte können vor oder nach der Erstellung des Endpunkts akzeptiert werden Nutzerprojekte müssen akzeptiert werden, bevor der Endpunkt erstellt wird.
1 Setzen Sie die Sitzungsaffinität über die Google Cloud Console auf Keine oder Client-IP, -Port und -Protokoll bzw. über die Google Cloud CLI oder die API auf NONE oder CLIENT_IP_PORT_PROTO.

DNS-Konfiguration

Wenn Sie einen Dienst veröffentlichen (einen Dienstanhang erstellen), können Sie optional einen DNS-Domainnamen konfigurieren.

Sie müssen Inhaber des Domainnamens sein, den Sie konfigurieren. Wenn Sie einen Domainnamen angeben, aber nicht der Inhaber der Domain sind, schlägt die Veröffentlichung des Dienstes fehl. Rufen Sie die Google Search Console auf, um die Inhaberschaft zu prüfen. Weitere Informationen zum Bestätigen von Domains finden Sie unter Website-Property hinzufügen. Der Domainname, den Sie im Dienstanhang angeben, kann eine Subdomain der von Ihnen bestätigten Domain sein. Sie können beispielsweise example.com registrieren und dann einen Dienstanhang mit dem Domainnamen us-west1.p.example.com erstellen.

Wenn Sie einen Domainnamen für einen Dienst konfigurieren und ein Private Service Connect-Endpunkt erstellt wird, der eine Verbindung zu diesem Dienst herstellt, werden die folgenden Konfigurationen im VPC-Netzwerk des Dienstnutzers vorgenommen:

  • Für die angegebene Domain wird eine Service Directory-DNS-Zone erstellt.

  • In der Zone wird für jeden Private Service Connect-Endpunkt ein DNS-Eintrag erstellt.

Das empfohlene Format für den Domainnamen ist REGION.p.DOMAIN. Da dieser Domainname zum Erstellen von DNS-Einträgen im VPC-Netzwerk des Dienstnutzers verwendet wird, muss ein Name verwendet werden, der nicht mit vorhandenen DNS-Domainnamen in Konflikt steht. Die Verwendung dieses Formats verringert das Risiko von Konflikten.

Beispiel: Wenn der Dienst mit dem Domainnamen us-west1.p.example.com konfiguriert ist und der Dienstnutzer einen Private Service Connect-Endpunkt mit dem Namen analytics erstellt , wird automatisch ein DNS-Eintrag füranalytics.us-west1.p.example.com erstellt.

Der Load-Balancer, der den Dienst hostet, muss in der Lage sein, Anfragen zu akzeptieren, die an diesen Domainnamen gerichtet sind. Wenn Sie einen internen HTTP(S)-Load-Balancer verwenden, müssen Sie möglicherweise die Konfiguration des Load-Balancers aktualisieren, um die Domainnamen widerzuspiegeln, die Dienstnutzer verwenden sollen. Aktualisieren Sie beispielsweise Zertifikate oder URL-Zuordnungen.

Subnetz für Private Service Connect erstellen

Erstellen Sie ein oder mehrere dedizierte Subnetze für die Verwendung von Private Service Connect. Wenn Sie die Google Cloud Console zum Veröffentlichen eines Dienstes verwenden, können Sie die Subnetze während dieses Verfahrens erstellen.

Weitere Informationen zum Hinzufügen weiterer IP-Adressen zu einem vorhandenen Dienst finden Sie unter Subnetze zu einem veröffentlichten Dienst hinzufügen oder daraus entfernen.

Sie können ein Private Service Connect-Subnetz in einem freigegebenen VPC-Hostprojekt erstellen. Wenn Sie jedoch das Subnetz eines Hostprojekts verwenden möchten, um einen Dienstanhang in einem Dienstprojekt zu erstellen, müssen Sie die Google Cloud CLI oder die API verwenden, um den Dienstanhang zu erstellen.

Erstellen Sie das Subnetz in derselben Region wie den Load-Balancer des Dienstes.

Console

  1. Rufen Sie die Seite "VPC-Netzwerke" auf.
    Zur Seite "VPC-Netzwerke"
  2. Klicken Sie auf den Namen eines VPC-Netzwerks, um die zugehörige Seite VPC-Netzwerkdetails aufzurufen.
  3. Klicken Sie auf Subnetz hinzufügen. Führen Sie im angezeigten Bereich folgende Schritte aus:
    1. Geben Sie einen Namen an.
    2. Wählen Sie eine Region aus.
    3. Wählen Sie im Abschnitt Zweck die Option Private Service Connect aus.
    4. Geben Sie einen IP-Adressbereich ein. Beispiel: 10.10.10.0/24.
    5. Klicken Sie auf Add.

gcloud

gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK_NAME --region=REGION \
    --range=SUBNET_RANGE --purpose=PRIVATE_SERVICE_CONNECT

Dabei gilt:

  • SUBNET_NAME: der Name, der dem Subnetz zugewiesen werden soll.

  • NETWORK_NAME: der Name der VPC für das neue Subnetz.

  • REGION: die Region für das neue Subnetz. Dies muss dieselbe Region sein wie der Dienst, den Sie veröffentlichen.

  • SUBNET_RANGE: der IP-Adressbereich, der für das Subnetz verwendet werden soll. Beispiel: 10.10.10.0/24.

API

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks

{
  "ipCidrRange": "SUBNET_RANGE",
  "name": "SUBNET_NAME",
  "network": "projects/PROJECT_ID/global/networks/NETWORK_NAME",
  "purpose": "PRIVATE_SERVICE_CONNECT",
}

Dabei gilt:

  • PROJECT_ID: das Projekt für das Subnetz.

  • SUBNET_NAME: der Name, der dem Subnetz zugewiesen werden soll.

  • NETWORK_NAME: der Name des VPC-Netzwerks für das neue Subnetz.

  • REGION: die Region für das neue Subnetz. Dies muss dieselbe Region sein wie der Dienst, den Sie veröffentlichen.

  • SUBNET_RANGE: der IP-Adressbereich, der für das Subnetz verwendet werden soll. Beispiel: 10.10.10.0/24.

Firewallregeln konfigurieren

Konfigurieren Sie Firewallregeln, um Traffic zwischen den Private Service Connect-Endpunkten und dem Dienstanhang zuzulassen. Clientanfragen stammen aus verschiedenen Standorten, je nach Private Service Connect-Endpunkttyp.

Endpunkttyp IP-Adressbereiche für Client-Traffic Details
Private Service Connect-Endpunkt (basierend auf einer Weiterleitungsregel) Die IP-Adressbereiche der Private Service Connect-Subnetze, die mit diesem Dienst verknüpft sind. Wenn Sie das Standardnetzwerk verwenden, lässt die bereits ausgefüllte Regel default-allow-internal diesen Traffic zu, es sei denn, sie wird durch eine Regel mit höherer Priorität blockiert.
Private Service Connect-Endpunkte mit HTTP(S)-Nutzerdienstkontrollen (basierend auf einem globalen externen HTTP(S)-Load-Balancer)
  • 130.211.0.0/22
  • 35.191.0.0/16
Globale externe HTTP(S)-Load-Balancer werden auf Google Front Ends (GFEs) implementiert, die diese IP-Adressbereiche verwenden.

Wenn Ihre Firewall-Konfiguration keinen Traffic vom entsprechenden Endpunkttyp zulässt, konfigurieren Sie die Firewallregeln so, dass er zugelassen wird.

In dieser Beispielkonfiguration können Sie VPC-Firewallregeln erstellen, um Traffic von Client-IP-Adressbereichen zu den Back-End-VMs im Load-Balancer des Producer-Dienstes zuzulassen. Diese Konfiguration setzt voraus, dass die Back-End-VMs mit einem Netzwerk-Tag konfiguriert wurden.

Beispiel für eine Regel für eingehenden Traffic:

gcloud compute firewall-rules create NAME \
  --network=NETWORK_NAME \
  --direction=ingress \
  --action=allow \
  --target-tags=TAG \
  --source-ranges=CLIENT_IP_RANGES_LIST \
  --rules=RULES

Dabei gilt:

  • NETWORK_NAME ist das Netzwerk mit dem Dienst und dem Private Service Connect-Subnetz.

  • TAG ist das Zieltag, das auf die Back-End-VMs im Load-Balancer des Producer-Dienstes angewendet wird.

  • CLIENT_IP_RANGES_LIST sind die IP-Adressbereiche, aus denen der Clienttraffic stammt. Weitere Informationen finden Sie in der vorherigen Tabelle.

  • RULES_LIST: eine durch Kommas getrennte Liste von Protokollen und Zielports, auf die die Regel angewendet wird. Beispiel: tcp,udp

Beispiel für eine Regel für ausgehenden Traffic:

gcloud compute firewall-rules create NAME \
  --network=NETWORK_NAME \
  --direction=egress \
  --action=allow \
  --target-tags=TAG \
  --destination-ranges=CLIENT_IP_RANGES_LIST \
  --rules=RULES

Dabei gilt:

  • NETWORK_NAME ist das Netzwerk mit dem Dienst und dem Private Service Connect-Subnetz.

  • TAG ist das Zieltag, das auf die Back-End-VMs im Load-Balancer des Producer-Dienstes angewendet wird.

  • CLIENT_IP_RANGES_LIST sind die IP-Adressbereiche, aus denen der Clienttraffic stammt. Weitere Informationen finden Sie in der vorherigen Tabelle.

  • RULES_LIST: eine durch Kommas getrennte Liste von Protokollen und Zielports, auf die die Regel angewendet wird. Beispiel: tcp,udp

Weitere Informationen zum Konfigurieren von VPC-Firewallregeln finden Sie unter VPC-Firewallregeln. Wenn Sie hierarchische Firewallregeln konfigurieren möchten, um diesen Traffic zuzulassen, lesen Sie die Übersicht über hierarchische Firewallrichtlinien.

Dienst veröffentlichen

Zum Veröffentlichen eines Dienstes erstellen Sie einen Dienstanhang. Sie können den Dienst auf zwei Arten verfügbar machen:

Erstellen Sie den Dienstanhang in derselben Region wie den Load-Balancer des Dienstes.

Dienst mit automatischer Projektgenehmigung veröffentlichen

Folgen Sie dieser Anleitung, um einen Dienst zu veröffentlichen und allen Nutzern automatisch die Verbindung zu diesem Dienst zu ermöglichen. Wenn Sie Nutzerverbindungen explizit genehmigen möchten, finden Sie weitere Informationen unter Dienst mit expliziter Projektgenehmigung veröffentlichen.

Wenn Sie einen Dienst veröffentlichen, erstellen Sie einen Dienstanhang. Dienstnutzer verwenden die Details des Dienstanhangs, um eine Verbindung zu Ihrem Dienst herzustellen.

Wenn Sie die Informationen zur Nutzerverbindung lesen möchten, können Sie das PROXY-Protokoll für unterstützte Dienste aktivieren. Informationen zu unterstützten Diensten finden Sie unter Unterstützte Konfigurationen. Weitere Informationen zum PROXY-Protokoll finden Sie unter Informationen zur Nutzerverbindung aufrufen.

Wenn Sie einen Dienstanhang in einem Projekt erstellen, das durch einen VPC Service Controls-Perimeter geschützt ist, der compute.googleapis.com, servicedirectory.googleapis.com oder dns.googleapis.com einschränkt, ist eine zusätzliche Konfiguration erforderlich. Weitere Informationen finden Sie unter Regeln für ein- und ausgehenden Traffic für VPC Service Controls konfigurieren.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Veröffentlichte Dienste.

  3. Klicken Sie auf Dienst veröffentlichen.

  4. Wählen Sie den Load-Balancer-Typ aus: Interner TCP/UDP-Load-Balancer oder Interner HTTP(S)-Load-Balancer.

  5. Wählen Sie den internen Load-Balancer aus, der den Dienst hostet, den Sie veröffentlichen möchten.

    Die Felder für Netzwerk und Region werden mit den Details für den ausgewählten internen Load-Balancer ausgefüllt.

  6. Wenn Sie dazu aufgefordert werden, wählen Sie die Weiterleitungsregel des Dienstes aus, den Sie veröffentlichen möchten.

  7. Geben Sie unter Dienstname einen Namen für den Dienstanhang ein.

  8. Wählen Sie ein oder mehrere Subnetze für den Dienst aus. Wenn Sie ein neues Subnetz hinzufügen möchten, können Sie eines erstellen:

    1. Klicken Sie auf Neues Subnetz reservieren.
    2. Geben Sie einen Namen und optional eine Beschreibung für das Subnetz ein.
    3. Wählen Sie eine Region für das Subnetz aus.
    4. Geben Sie den IP-Bereich ein, der für das Subnetz verwendet werden soll, und klicken Sie auf Hinzufügen.
  9. Wenn Sie Informationen zu Nutzerverbindungen aufrufen möchten, wählen Sie Proxyprotokoll verwenden aus.

  10. Wenn Sie einen Domainnamen konfigurieren möchten, geben Sie einen Domainnamen mit einem nachgestellten Punkt ein.

    Das empfohlene Format für den Domainnamen ist REGION.p.DOMAIN..

    Sie müssen Inhaber des Domainnamens sein. Weitere Informationen finden Sie unter DNS-Konfiguration.

  11. Wählen Sie Verbindungen für alle Projekte automatisch akzeptieren aus.

  12. Klicken Sie auf Dienst hinzufügen.

gcloud

gcloud compute service-attachments create ATTACHMENT_NAME \
    --region=REGION \
    --producer-forwarding-rule=RULE_NAME  \
    --connection-preference=ACCEPT_AUTOMATIC \
    --nat-subnets=PSC_SUBNET_LIST \
    [ --enable-proxy-protocol ] \
    [ --domain-names=DOMAIN_NAME ]

Dabei gilt:

  • ATTACHMENT_NAME: der Name, der dem Dienstanhang zugewiesen werden soll.

  • REGION: die Region für den neuen Dienstanhang. Dies muss dieselbe Region sein wie der Dienst, den Sie veröffentlichen.

  • RULE_NAME: der Name der Weiterleitungsregel, die dem zu veröffentlichenden Dienst zugeordnet ist.

  • PSC_SUBNET_LIST: eine durch Kommas getrennte Liste mit einem oder mehreren Subnetzen, die mit diesem Dienstanhang verwendet werden sollen.

  • DOMAIN_NAME: ein DNS-Domainname für den Dienst, einschließlich eines abschließenden Punkts. Empfohlenes Format:REGION.p.DOMAIN.

    Weitere Informationen finden Sie unter DNS-Konfiguration.

API

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments
{
  "name": "ATTACHMENT_NAME",
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "targetService": "RULE_URI",
  "enableProxyProtocol": false,
  "natSubnets": [
    "PSC_SUBNET_1_URI",
    "PSC_SUBNET_2_URI",
  ],
  "domainNames": [
    "DOMAIN_NAME",
  ],
}

Dabei gilt:

  • PROJECT_ID: das Projekt für den Dienstanhang.

  • ATTACHMENT_NAME: der Name, der dem Dienstanhang zugewiesen werden soll.

  • REGION: die Region für den neuen Dienstanhang. Dies muss dieselbe Region sein wie der Dienst, den Sie veröffentlichen.

  • RULE_URI: der Name der Weiterleitungsregel, die dem zu veröffentlichenden Dienst zugeordnet ist.

  • PSC_SUBNET_1_URI und PSC_SUBNET_2_URI: die für diesen Dienstanhang zu verwendenden Subnetz-URIs. Sie können ein oder mehrere Subnetze anhand des URI angeben.

  • DOMAIN_NAME: ein DNS-Domainname für den Dienst, einschließlich eines abschließenden Punkts. Empfohlenes Format:REGION.p.DOMAIN.

    Weitere Informationen finden Sie unter DNS-Konfiguration.

Dienst mit expliziter Projektgenehmigung veröffentlichen

Folgen Sie dieser Anleitung, um einen Dienst zu veröffentlichen, sodass Sie Nutzer, die eine Verbindung zu diesem Dienst herstellen möchten, explizit genehmigen müssen. Wenn Sie Nutzerverbindungen automatisch genehmigen möchten, finden Sie weitere Informationen unter Dienst mit automatischer Projektgenehmigung veröffentlichen.

Wenn Sie einen Dienst veröffentlichen, erstellen Sie einen Dienstanhang. Dienstnutzer verwenden die Details des Dienstanhangs, um eine Verbindung zu Ihrem Dienst herzustellen.

Wenn Sie ein Projekt sowohl in die Zulassungsliste als auch auf die Ablehnungsliste setzen, werden Verbindungsanfragen von diesem Projekt abgelehnt.

Wenn Sie die Informationen zur Nutzerverbindung lesen möchten, können Sie das PROXY-Protokoll für unterstützte Dienste aktivieren. Informationen zu unterstützten Diensten finden Sie unter Unterstützte Konfigurationen. Weitere Informationen zum PROXY-Protokoll finden Sie unter Informationen zur Nutzerverbindung aufrufen.

Wenn Sie einen Dienstanhang in einem Projekt erstellen, das durch einen VPC Service Controls-Perimeter geschützt ist, der compute.googleapis.com, servicedirectory.googleapis.com oder dns.googleapis.com einschränkt, ist eine zusätzliche Konfiguration erforderlich. Weitere Informationen finden Sie unter Regeln für ein- und ausgehenden Traffic für VPC Service Controls konfigurieren.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Veröffentlichte Dienste.

  3. Klicken Sie auf Dienst veröffentlichen.

  4. Wählen Sie den Load-Balancer-Typ aus: Interner TCP/UDP-Load-Balancer oder Interner HTTP(S)-Load-Balancer.

  5. Wählen Sie den internen Load-Balancer aus, der den Dienst hostet, den Sie veröffentlichen möchten.

    Die Felder für Netzwerk und Region werden mit den Details für den ausgewählten internen Load-Balancer ausgefüllt.

  6. Wenn Sie dazu aufgefordert werden, wählen Sie die Weiterleitungsregel des Dienstes aus, den Sie veröffentlichen möchten.

  7. Geben Sie unter Dienstname einen Namen für den Dienstanhang ein.

  8. Wählen Sie ein oder mehrere Subnetze für den Dienst aus.

    Wenn Sie ein neues Subnetz hinzufügen möchten, können Sie eines erstellen:

    1. Klicken Sie auf Neues Subnetz reservieren.
    2. Geben Sie einen Namen und optional eine Beschreibung für das Subnetz ein.
    3. Wählen Sie eine Region für das Subnetz aus.
    4. Geben Sie den IP-Bereich ein, der für das Subnetz verwendet werden soll, und klicken Sie auf Hinzufügen.
  9. Wenn Sie Informationen zu Nutzerverbindungen aufrufen möchten, klicken Sie das Kästchen Protokolle an.

  10. Wenn Sie einen Domainnamen konfigurieren möchten, geben Sie einen Domainnamen mit einem nachgestellten Punkt ein.

    Das empfohlene Format für den Domainnamen ist REGION.p.DOMAIN..

    Sie müssen Inhaber des Domainnamens sein. Weitere Informationen finden Sie unter DNS-Konfiguration.

  11. Wählen Sie Verbindungen für ausgewählte Projekte akzeptieren aus.

  12. Klicken Sie auf Angenommenes Projekt hinzufügen und geben Sie die Details der Projekte ein, die Sie mit diesem Dienst verbinden möchten:

    • Projektname: der Name des Projekts, von dem Verbindungen zugelassen werden.
    • Verbindungslimit: die Anzahl der Verbindungen, die von diesem Projekt zugelassen werden sollen.
  13. Klicken Sie auf Dienst hinzufügen.

gcloud

gcloud compute service-attachments create ATTACHMENT_NAME \
    --region=REGION \
    --producer-forwarding-rule=RULE_NAME  \
    --connection-preference=ACCEPT_MANUAL \
    --consumer-accept-list=ACCEPTED_PROJECT_1=LIMIT_1,ACCEPTED_PROJECT_2=LIMIT_2 \
    --consumer-reject-list=REJECTED_PROJECT_1,REJECTED_PROJECT_2 \
    --nat-subnets=PSC_SUBNET_LIST \
    [ --enable-proxy-protocol ] \
    [--domain-names=DOMAIN_NAME]

Dabei gilt:

  • ATTACHMENT_NAME: der Name, der dem Dienstanhang zugewiesen werden soll.

  • REGION: die Region für den neuen Dienstanhang. Dies muss dieselbe Region sein wie der Dienst, den Sie veröffentlichen.

  • RULE_NAME: der Name der Weiterleitungsregel, die dem zu veröffentlichenden Dienst zugeordnet ist.

  • ACCEPTED_PROJECT_1 und ACCEPTED_PROJECT_2: die zu akzeptierenden Projekte. --consumer-accept-list ist optional und kann ein oder mehrere Projekte enthalten.

  • LIMIT_1 und LIMIT_2: die Verbindungslimits für die Projekte. Das Verbindungslimit gibt die Anzahl der Private Service Connect-Endpunkte an, die eine Verbindung zu diesem Dienst herstellen können. Für jedes akzeptierte Projekt muss ein Verbindungslimit konfiguriert sein.

  • REJECTED_PROJECT_1 und REJECTED_PROJECT_2: die Projekte, die abgelehnt werden sollen. --consumer-reject-list ist optional und kann ein oder mehrere Projekte enthalten.

  • PSC_SUBNET_LIST: eine durch Kommas getrennte Liste mit einem oder mehreren Subnetzen, die mit diesem Dienstanhang verwendet werden sollen.

  • DOMAIN_NAME: ein DNS-Domainname für den Dienst, einschließlich eines abschließenden Punkts. Empfohlenes Format:REGION.p.DOMAIN.

    Weitere Informationen finden Sie unter DNS-Konfiguration.

API

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments
{
  "name": "ATTACHMENT_NAME",
  "region": "REGION",
  "connectionPreference": "ACCEPT_MANUAL",
  "targetService": "RULE_URI",
  "enableProxyProtocol": false,
  "natSubnets": [
    "PSC_SUBNET_1_URI",
    "PSC_SUBNET_2_URI",
  ],
  "consumerRejectList": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2",
  ],
  "consumerAcceptList": [
    "consumerProjectLimit": {
      "projectId": "ACCEPTED_PROJECT_1",
      "connectionsLimit": "LIMIT_2",
    },
    "consumerProjectLimit": {
      "projectId": "ACCEPTED_PROJECT_2",
      "connectionsLimit": "LIMIT_2",
    },
  ],
  "domainNames": [
    "DOMAIN_NAME",
  ],
}

Dabei gilt:

  • PROJECT_ID: das Projekt für den Dienstanhang.

  • REGION: die Region für den Dienstanhang.

  • ATTACHMENT_NAME: der Name, der dem Dienstanhang zugewiesen werden soll.

  • RULE_URI: der URI der Weiterleitungsregel, die dem Dienst zugeordnet ist, den Sie veröffentlichen.

  • PSC_SUBNET_1_URI und PSC_SUBNET_2_URI: die für diesen Dienstanhang zu verwendenden Subnetz-URIs. Sie können ein oder mehrere Subnetze anhand des URI angeben.

  • REJECTED_PROJECT_1 und REJECTED_PROJECT_2: die Projekte, die abgelehnt werden sollen. consumerRejectList ist optional und kann ein oder mehrere Projekte enthalten.

  • ACCEPTED_PROJECT_1 und ACCEPTED_PROJECT_2: die zu akzeptierenden Projekte. consumerAcceptList ist optional und kann ein oder mehrere Projekte enthalten.

  • LIMIT_1 und LIMIT_2: die Verbindungslimits für die Projekte. Das Verbindungslimit gibt die Anzahl der Private Service Connect-Endpunkte an, die eine Verbindung zu diesem Dienst herstellen können. Für jedes akzeptierte Projekt muss ein Verbindungslimit konfiguriert sein.

  • DOMAIN_NAME: ein DNS-Domainname für den Dienst, einschließlich eines abschließenden Punkts. Empfohlenes Format:REGION.p.DOMAIN.

    Weitere Informationen finden Sie unter DNS-Konfiguration.

Regeln für ein- und ausgehenden Traffic für VPC Service Controls konfigurieren

Wenn Sie einen Dienstanhang in einem Projekt erstellen, das durch einen VPC Service Controls-Perimeter geschützt ist, der compute.googleapis.com, servicedirectory.googleapis.com oder dns.googleapis.com einschränkt, ist eine zusätzliche Konfiguration erforderlich.

Bitten Sie den Dienstnutzer um die folgenden Informationen, bevor er einen Private Service Connect-Endpunkt erstellt:

  • CONSUMER_PROJECT_NUMBER: die Projektnummer des Projekts, in dem der Private Service Connect-Endpunkt erstellt wird.

  • CONSUMER_SERVICE_ACCOUNT (optional): das Dienstkonto, das zum Erstellen des Private Service Connect-Endpunkts verwendet wird, wenn Sie eine Eingangsregel konfigurieren möchten, die den Zugriff nach Konto einschränkt.

Verwenden Sie diese Informationen, um Ein- und Ausgangsregeln zu erstellen, damit die Verbindung zwischen dem Private Service Connect-Endpunkt und dem Dienstanhang hergestellt werden kann.

Informationen zum Konfigurieren von Regeln für ein- und ausgehenden Traffic finden Sie unter Richtlinien für ein- und ausgehenden Traffic konfigurieren.

  1. Konfigurieren Sie eine Regel für ausgehenden Traffic, die ausgehenden Traffic vom Erstellerprojekt zum Nutzerprojekt CONSUMER_PROJECT_NUMBER zulässt.

    - egressFrom:
        identityType: ANY_IDENTITY
      egressTo:
        operations:
        - serviceName: 'compute.googleapis.com'
          methodSelectors:
          - method: 'ServiceAttachmentsService.Insert'
          - method: 'ServiceAttachmentsService.Patch'
          - method: 'RegionForwardingRulesService.Insert'
        - serviceName: 'servicedirectory.googleapis.com'
          methodSelectors:
          - method: '*'
        - serviceName: 'dns.googleapis.com'
          methodSelectors:
          - method: '*'
        resources:
        - 'projects/CONSUMER_PROJECT_NUMBER'
    
  2. Konfigurieren Sie eine der folgenden Regeln für eingehenden Traffic:

    • Mit dieser Beispielregel für eingehenden Traffic können von CONSUMER_SERVICE_ACCOUNT erstellte Nutzerendpunkte versuchen, eine Verbindung zum Dienstanhang herzustellen.

      - ingressFrom:
          sources:
          - accessLevel: '*' # All Sources
          identities: serviceAccount: CONSUMER_SERVICE_ACCOUNT
        ingressTo:
          operations:
          - serviceName: 'compute.googleapis.com'
            methodSelectors:
            - method: 'RegionForwardingRulesService.Insert'
          - serviceName: 'servicedirectory.googleapis.com'
            methodSelectors:
            - method: '*'
          - serviceName: 'dns.googleapis.com'
            methodSelectors:
            - method: '*'
          resources:
          - '*'
      
    • Mit dieser Beispielregel für eingehenden Traffic können Nutzerendpunkte, die von einem beliebigen Konto erstellt wurden, versuchen, eine Verbindung zum Dienstanhang herzustellen.

      - ingressFrom:
          sources:
          - accessLevel: '*' # All Sources
          identityType: ANY_IDENTITY
        ingressTo:
          operations:
          - serviceName: 'compute.googleapis.com'
            methodSelectors:
            - method: 'RegionForwardingRulesService.Insert'
          - serviceName: 'servicedirectory.googleapis.com'
            methodSelectors:
            - method: '*'
          - serviceName: 'dns.googleapis.com'
            methodSelectors:
            - method: '*'
          resources:
          - '*'
      

Nachdem die Ein- und Ausgangsregeln konfiguriert sind, informieren Sie den Dienstnutzer, dass er nun einen Private Service Connect-Endpunkt im Projekt CONSUMER_PROJECT_NUMBER erstellen kann, der eine Verbindung zu Ihrem Dienstanhang herstellt.

Informationen zur Nutzerverbindung ansehen

Standardmäßig übersetzt Private Service Connect die Quell-IP-Adresse des Nutzers in eine Adresse in einem der Private Service Connect-Subnetze im VPC-Netzwerk des Diensterstellers. Wenn Sie stattdessen die ursprüngliche Quell-IP-Adresse des Nutzers sehen möchten, können Sie das PROXY-Protokoll aktivieren.

Das PROXY-Protokoll wird nicht von allen Diensten unterstützt. Weitere Informationen finden Sie unter Unterstützte Konfigurationen.

Wenn das PROXY-Protokoll aktiviert ist, können Sie die Quell-IP-Adresse und die PSC-Verbindungs-ID (pscConnectionId)des Nutzers aus dem PROXY-Protokoll-Header abrufen.

Wenn Sie das PROXY-Protokoll aktivieren, finden Sie in der Dokumentation zur Back-End-Webserver-Software Informationen zum Parsen und Verarbeiten eingehender PROXY-Protokoll-Header in der TCP-Nutzlast der Clientverbindung. Wenn das PROXY-Protokoll auf dem Dienstanhang aktiviert ist, der Back-End-Webserver aber nicht für die Verarbeitung von PROXY-Protokoll-Headern konfiguriert ist, können Webanfragen fehlerhaft sein. Wenn die Anfragen fehlerhaft sind, kann der Server die Anfrage nicht interpretieren.

pscConnectionId wird im PROXY-Protokoll-Header im TLV-Format Type-Length-Value codiert.

Feld Feldlänge Feldwert
Typ 1 Byte 0xE0 (PP2_TYPE_GCP)
Zeitfenster 2 Byte 0x8 (8 Byte)
Wert 8 Byte Die 8-Byte-pscConnectionId in Netzwerkreihenfolge

Sie können die 8-Byte-pscConnectionId in der Nutzer-Weiterleitungsregel oder im Anhang für den Dienstanbieter einsehen.

Die pscConnectionId ist global für alle aktiven Verbindungen zu einem bestimmten Zeitpunkt eindeutig. Im Laufe der Zeit kann jedoch eine pscConnectionId in folgenden Szenarien wiederverwendet werden:

  • Wenn Sie in einem bestimmten VPC-Netzwerk einen Private Service Connect-Endpunkt (Weiterleitungsregel) löschen und einen neuen Endpunkt mit derselben IP-Adresse erstellen, wird möglicherweise dieselbe pscConnectionId verwendet.

  • Wenn Sie ein VPC-Netzwerk löschen, das private Service Connect-Endpunkte (Weiterleitungsregeln) enthalten hat, kann nach einer siebentägigen Wartezeit die pscConnectionId für diese Endpunkte für einen anderen Endpunkt in einem anderen Netzwerk verwendet werden.

Sie können pscConnectionId für das Debugging und zum Verfolgen der Quelle der Pakete verwenden.

Außerdem ist eine 16-Byte-PSC-Anhangs-ID vom Dienstanhang des Erstellers verfügbar. Die PSC-Anhangs-ID ist eine global eindeutige ID, mit der ein Private Service Connect-Dienstanhang identifiziert wird. Sie können die PSC-Anhangs-ID für Sichtbarkeit und Debugging verwenden. Die PSC-Anhangs-ID ist nicht im PROXY-Protokoll-Header enthalten.

Anfragen für den Zugriff auf einen veröffentlichten Dienst verwalten

Wenn Sie einen Dienst mit expliziter Projektgenehmigung veröffentlicht haben, können Sie Verbindungsanfragen von Nutzerprojekten annehmen oder ablehnen.

Wenn Sie ein Projekt sowohl in die Zulassungsliste als auch auf die Ablehnungsliste setzen, werden Verbindungsanfragen von diesem Projekt abgelehnt.

Nachdem eine Nutzer-Endpunktverbindung für einen Dienst akzeptiert wurde, kann der Endpunkt eine Verbindung zum Dienst herstellen, bis der Dienstanhang gelöscht wird. Dies gilt unabhängig davon, ob das Projekt explizit akzeptiert wurde oder weil der Nutzerendpunkt eine Verbindung hergestellt hat, als die Verbindungseinstellung so eingestellt war, dass sie Verbindungen automatisch akzeptiert.

  • Wenn Sie ein Projekt aus der Zulassungsliste entfernen, können alle zuvor akzeptierten Nutzerendpunkte in diesem Projekt eine Verbindung zum Dienst herstellen. Verbindungen von neuen Nutzerendpunkten in diesem Projekt müssen akzeptiert werden, bevor der Endpunkt eine Verbindung herstellen kann.

  • Wenn Sie der Ablehnungsliste ein Projekt hinzufügen, können alle zuvor akzeptierten Nutzerendpunkte in diesem Projekt eine Verbindung zum Dienst herstellen. Verbindungen von neuen Nutzerendpunkten in diesem Projekt werden abgelehnt und können keine Verbindung zum Dienst herstellen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Veröffentlichte Dienste.

  3. Klicken Sie auf den Dienst, den Sie verwalten möchten.

  4. Im Abschnitt Verbundene Projekte werden die Projekte aufgelistet, die versucht haben, eine Verbindung zu diesem Dienst herzustellen. Klicken Sie auf das Kästchen neben einem oder mehreren Projekten und dann auf Annehmen oder Ablehnen.

gcloud

  1. Beschreiben Sie den Dienstanhang, den Sie ändern möchten.

    gcloud compute service-attachments describe \
        ATTACHMENT_NAME --region=REGION
    

    Die Ausgabe sieht etwa so aus wie im folgenden Beispiel. Wenn ausstehende Nutzerverbindungen vorhanden sind, werden diese mit dem Status PENDING aufgeführt.

    In dieser Beispielausgabe befindet sich das Projekt CONSUMER_PROJECT_1 in der Liste der Annahmen, sodass ENDPOINT_1 akzeptiert wird und eine Verbindung zum Dienst herstellen kann. Das Projekt CONSUMER_PROJECT_2 ist nicht in der Liste der Annahmen enthalten, sodass ENDPOINT_2 aussteht. Nachdem CONSUMER_PROJECT_2 der Akzeptanzliste hinzugefügt wurde, ändert sich der Status von ENDPOINT_2 in ACCEPTED und der Endpunkt kann eine Verbindung zum Dienst herstellen.

    connectedEndpoints:
    - endpoint: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_1/regions/REGION_1/forwardingRules/ENDPOINT_1
      pscConnectionId: 'ENDPOINT_1_ID'
      status: ACCEPTED
    - endpoint: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/ENDPOINT_2
      pscConnectionId: 'ENDPOINT_2_ID'
      status: PENDING
    connectionPreference: ACCEPT_MANUAL
    consumerAcceptLists:
    - connectionLimit: LIMIT_1
      projectIdOrNum: CONSUMER_PROJECT_1
    creationTimestamp: 'TIMESTAMP'
    description: 'DESCRIPTION'
    enableProxyProtocol: false
    fingerprint: FINGERPRINT
    id: 'ID'
    kind: compute#serviceAttachment
    name: NAME
    natSubnets:
    - https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/subnetworks/PSC_SUBNET
    pscServiceAttachmentId:
      high: 'PSC_ATTACH_ID_HIGH'
      low: 'PSC_ATTACH_ID_LOW'
    region: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION
    selfLink: https://www.googleapis.com/compute/v1/projects/projects/PRODUCER_PROJECT/regions/REGION/serviceAttachments/ATTACHMENT_NAME
    targetService: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/forwardingRules/PRODUCER_FWD_RULE
    
  2. Nehmen Sie Nutzerprojekte an oder lehnen Sie sie ab.

    Sie können --consumer-accept-list oder --consumer-reject-list oder beides angeben. Sie können mehrere Werte in --consumer-accept-list und --consumer-reject-list angeben.

    gcloud compute service-attachments update ATTACHMENT_NAME \
        --region=REGION \
        --consumer-accept-list=ACCEPTED_PROJECT_1=LIMIT_1,ACCEPTED_PROJECT_2=LIMIT_2 \
        --consumer-reject-list=REJECTED_PROJECT_1,REJECTED_PROJECT_2
    

    Dabei gilt:

    • ATTACHMENT_NAME: der Name, der dem Dienstanhang zugewiesen werden soll.

    • REGION: die Region, in der sich der Dienstanhang befindet.

    • ACCEPTED_PROJECT_1 und ACCEPTED_PROJECT_2: die zu akzeptierenden Projekte. consumerAcceptList ist optional und kann ein oder mehrere Projekte enthalten.

    • LIMIT_1 und LIMIT_2: die Verbindungslimits für die Projekte. Das Verbindungslimit gibt die Anzahl der Private Service Connect-Endpunkte an, die eine Verbindung zu diesem Dienst herstellen können. Für jedes akzeptierte Projekt muss ein Verbindungslimit konfiguriert sein.

    • REJECTED_PROJECT_1 und REJECTED_PROJECT_2: die Projekte, die abgelehnt werden sollen. --consumer-reject-list ist optional und kann ein oder mehrere Projekte enthalten.

API

  1. Beschreiben Sie den Dienstanhang, den Sie ändern möchten.

    Wenn ausstehende Nutzerverbindungen vorhanden sind, werden diese mit dem Status PENDING aufgeführt.

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
    
  2. Nehmen Sie die Nutzerprojekte an oder lehnen Sie sie ab.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
    
    {
      ...
      "consumerAcceptLists": [
        {
          "projectIdOrNum": "ACCEPTED_PROJECT_1"
          "connectionLimit": "LIMIT_1",
        },
        {
          "projectIdOrNum": "ACCEPTED_PROJECT_2"
          "connectionLimit": "LIMIT_2",
        }
      ],
      "consumerRejectLists": [
        "REJECTED_PROJECT_1",
        "REJECTED_PROJECT_2",
      ],
      ...
    }
    

    Dabei gilt:

    • PROJECT_ID: das Projekt für den Dienstanhang.

    • REGION: die Region für den Dienstanhang.

    • ATTACHMENT_NAME: der Name, der dem Dienstanhang zugewiesen werden soll.

    • REJECTED_PROJECT_1 und REJECTED_PROJECT_2: die Projekte, die abgelehnt werden sollen. consumerRejectList ist optional und kann ein oder mehrere Projekte enthalten.

    • ACCEPTED_PROJECT_1 und ACCEPTED_PROJECT_2: die zu akzeptierenden Projekte. consumerAcceptList ist optional und kann ein oder mehrere Projekte enthalten.

    • LIMIT_1 und LIMIT_2: die Verbindungslimits für die Projekte. Das Verbindungslimit gibt die Anzahl der Private Service Connect-Endpunkte an, die eine Verbindung zu diesem Dienst herstellen können. Für jedes akzeptierte Projekt muss ein Verbindungslimit konfiguriert sein.

Verbindungseinstellung für einen veröffentlichten Dienst ändern

Sie können zwischen der automatischen und der expliziten Projektzulassung für einen veröffentlichten Dienst wechseln.

Eine Änderung von der automatischen Zulassung zur expliziten Zulassung wirkt sich nicht auf Nutzerendpunkte aus, die vor dieser Änderung mit dem Dienst verbunden wurden. Vorhandene Nutzerendpunkte können bis zum Löschen des Dienstanhangs eine Verbindung zum veröffentlichten Dienst herstellen. Neue Nutzerendpunkte müssen akzeptiert werden, bevor sie eine Verbindung zum Dienst herstellen können. Weitere Informationen finden Sie unter Anfragen für den Zugriff auf einen veröffentlichten Dienst verwalten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Veröffentlichte Dienste.

  3. Klicken Sie auf den Dienst, den Sie aktualisieren möchten, und dann auf Bearbeiten.

  4. Wählen Sie die gewünschte Verbindungseinstellung aus:

    • Verbindungen für ausgewählte Projekte akzeptieren
    • Verbindungen für alle Projekte automatisch akzeptieren
  5. Wenn Sie zu Verbindungen für ausgewählte Projekte akzeptieren wechseln, können Sie Details zu den Projekten, die Sie zulassen möchten, angeben oder später hinzufügen.

    1. Klicken Sie auf Akzeptiertes Projekt hinzufügen.
    2. Geben Sie das Projekt und das Verbindungslimit ein.
  6. Klicken Sie auf Speichern.

gcloud

  • Ändern Sie die Verbindungseinstellung für den Dienstanhang von ACCEPT_AUTOMATIC in ACCEPT_MANUAL.

    Mit --consumer-accept-list und --consumer-reject-list steuern Sie, welche Projekte sich mit Ihrem Dienst verbinden können. Sie können die Listen zum Zulassen und Ablehnen beim Ändern der Verbindungseinstellung konfigurieren oder die Listen später aktualisieren.

    gcloud compute service-attachments update ATTACHMENT_NAME \
        --region=REGION \
        --connection-preference=ACCEPT_MANUAL \
        [ --consumer-accept-list=ACCEPTED_PROJECT_1=LIMIT_1,ACCEPTED_PROJECT_2=LIMIT_2] \
        [ --consumer-reject-list=REJECTED_PROJECT_1,REJECTED_PROJECT_2 ]
    
    • ATTACHMENT_NAME: der Name des Dienstanhangs.

    • REGION: die Region, in der sich der Dienstanhang befindet.

    • ACCEPTED_PROJECT_1 und ACCEPTED_PROJECT_2: die zu akzeptierenden Projekte. --consumer-accept-list ist optional und kann ein oder mehrere Projekte enthalten.

    • LIMIT_1 und LIMIT_2: die Verbindungslimits für die Projekte. Das Verbindungslimit gibt die Anzahl der Private Service Connect-Endpunkte an, die eine Verbindung zu diesem Dienst herstellen können. Für jedes akzeptierte Projekt muss ein Verbindungslimit konfiguriert sein.

    • REJECTED_PROJECT_1 und REJECTED_PROJECT_2: die Projekte, die abgelehnt werden sollen. --consumer-reject-list ist optional und kann ein oder mehrere Projekte enthalten.

  • Ändern Sie die Verbindungseinstellung für den Dienstanhang von ACCEPT_MANUAL in ACCEPT_AUTOMATIC.

    Wenn Sie Werte in der Zulassungs- oder Ablehnungsliste haben, legen Sie diese als leer fest, wenn Sie die Verbindungseinstellung ändern ("").

    gcloud compute service-attachments update ATTACHMENT_NAME \
        --region=REGION \
        --connection-preference=ACCEPT_AUTOMATIC \
         --consumer-accept-list="" \
         --consumer-reject-list=""
    
    • ATTACHMENT_NAME: der Name des Dienstanhangs.

    • REGION: die Region, in der sich der Dienstanhang befindet.

API

  • Ändern Sie die Verbindungseinstellung für den Dienstanhang von ACCEPT_AUTOMATIC in ACCEPT_MANUAL.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

{
  ...
  "connectionPreference": "ACCEPT_MANUAL",
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1"
      "connectionLimit": "LIMIT_1",
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2"
      "connectionLimit": "LIMIT_2",
    }
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2",
  ],
  ...
}

Dabei gilt:

  • PROJECT_ID: das Projekt für den Dienstanhang.

  • REGION: die Region für den Dienstanhang.

  • ATTACHMENT_NAME: der Name, der dem Dienstanhang zugewiesen werden soll.

  • REJECTED_PROJECT_1 und REJECTED_PROJECT_2: die Projekte, die abgelehnt werden sollen. consumerRejectList ist optional und kann ein oder mehrere Projekte enthalten.

  • ACCEPTED_PROJECT_1 und ACCEPTED_PROJECT_2: die zu akzeptierenden Projekte. consumerAcceptList ist optional und kann ein oder mehrere Projekte enthalten.

  • LIMIT_1 und LIMIT_2: die Verbindungslimits für die Projekte. Das Verbindungslimit gibt die Anzahl der Private Service Connect-Endpunkte an, die eine Verbindung zu diesem Dienst herstellen können. Für jedes akzeptierte Projekt muss ein Verbindungslimit konfiguriert sein.

  • Ändern Sie die Verbindungseinstellung für den Dienstanhang von ACCEPT_MANUAL in ACCEPT_AUTOMATIC.

    Wenn die Felder consumerAcceptLists oder consumerRejectLists Projekte enthalten, legen Sie diese als leer fest, wenn Sie die Verbindungseinstellung in ACCEPT_AUTOMATIC ändern.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

{
  ...
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "consumerAcceptLists": [ ],
  "consumerRejectLists": [ ],
  ...
}

Dabei gilt:

  • PROJECT_ID: das Projekt für den Dienstanhang.

  • REGION: die Region für den Dienstanhang.

  • ATTACHMENT_NAME: der Name des Dienstanhangs.

Subnetze zu einem veröffentlichten Dienst hinzufügen oder daraus entfernen

Sie können einen veröffentlichten Dienst bearbeiten, um Private Service Connect-Subnetze zur Konfiguration hinzuzufügen oder daraus zu entfernen.

Möglicherweise müssen Sie mehr IP-Adressen für einen vorhandenen Dienst verfügbar machen. Führen Sie einen der folgenden Schritte aus, um weitere Adressen hinzuzufügen:

Wenn Sie ein Private Service Connect-Subnetz aus einem veröffentlichten Dienst entfernen, werden die IP-Adressen im Subnetz nicht freigegeben. Die IP-Adressen werden nur freigegeben, wenn die Private Service Connect-Endpunkte des Nutzers gelöscht werden oder die Client-VMs, die auf die Private Service Connect-Endpunkte zugreifen, gelöscht werden.

Wenn Sie die Subnetzkonfiguration ändern, aktualisieren Sie Ihre Firewallregeln so, dass Anfragen von den neuen Subnetzen die Back-End-VMs erreichen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Veröffentlichte Dienste.

  3. Klicken Sie auf den Dienst, den Sie aktualisieren möchten, und dann auf Bearbeiten.

  4. Ändern Sie die für diesen Dienst verwendeten Subnetze.

    Wenn Sie ein neues Subnetz hinzufügen möchten, können Sie eines erstellen:

    1. Klicken Sie auf Neues Subnetz reservieren.
    2. Geben Sie einen Namen und optional eine Beschreibung für das Subnetz ein.
    3. Wählen Sie eine Region für das Subnetz aus.
    4. Geben Sie den IP-Bereich ein, der für das Subnetz verwendet werden soll, und klicken Sie auf Hinzufügen.
  5. Klicken Sie auf Speichern.

gcloud

Aktualisieren Sie die für diesen Dienstanhang verwendeten Private Service Connect-Subnetze.

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --nat-subnets=PSC_SUBNET_LIST

Dabei gilt:

  • ATTACHMENT_NAME: der Name des Dienstanhangs.

  • REGION: die Region, in der sich der Dienstanhang befindet.

  • PSC_SUBNET_LIST: eine durch Kommas getrennte Liste mit einem oder mehreren Subnetzen, die mit diesem Dienstanhang verwendet werden sollen.

API

Aktualisieren Sie die für diesen Dienstanhang verwendeten Private Service Connect-Subnetze.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

{
  ...
  "natSubnets": [
    "PSC_SUBNET1_URI",
    "PSC_SUBNET2_URI",
  ],
  ...
}

Dabei gilt:

  • PROJECT_ID: das Projekt für den Dienstanhang.

  • REGION: die Region für den Dienstanhang.

  • ATTACHMENT_NAME: der Name, der dem Dienstanhang zugewiesen werden soll.

  • PSC_SUBNET1_URI und PSC_SUBNET2_URI: URI der Subnetze, die Sie mit diesem Dienstanhang verwenden möchten. Sie können eine oder mehrere Subnetze angeben.

Veröffentlichte Dienste auflisten

Sie können alle Dienste auflisten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Veröffentlichte Dienste.

    Die Anhänge für Private Service Connect-Dienste werden angezeigt.

gcloud

  1. Listen Sie Dienstanhänge auf.

    gcloud compute service-attachments list [--regions=REGION_LIST]
    

    Dabei gilt:

    • REGION_LIST: eine durch Kommas getrennte Liste mit einer oder mehreren Regionen, für die Sie Dienstanhänge aufrufen möchten. Beispiel: us-central1oder us-west1,us-central1.

API

Sie können alle Dienstanhänge in einer bestimmten Region oder in allen Regionen anzeigen.

  • So rufen Sie alle Dienstanhänge in einer Region auf:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments
    
  • Alle Dienstanhänge in allen Regionen anzeigen:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/serviceAttachments
    

    Dabei gilt:

    • PROJECT_ID: das Projekt für den Dienstanhang.

    • REGION: die Region für den Dienstanhang.

    • ATTACHMENT_NAME: der Name des Dienstanhangs.

Details für einen veröffentlichten Dienst ansehen

Sie können die Konfigurationsdetails eines veröffentlichten Dienstes aufrufen. Sie können sich einige Konfigurationsdetails in der Google Cloud Console anzeigen lassen, z. B. den URI des Dienstanhangs, den Dienstnutzer mit Ihrem Dienst verbinden müssen. Verwenden Sie die Google Cloud CLI oder die API, um alle Details anzuzeigen, einschließlich der pscConnectionId-Werte für die Nutzer des Dienstanhangs.

Console

Sie können Details zu einem veröffentlichten Dienst aufrufen. Das Feld Dienstanhang enthält den URI des Dienstanhangs.

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Veröffentlichte Dienste.

  3. Klicken Sie auf den Dienst, den Sie aufrufen möchten.

gcloud

Sie können Details zu einem veröffentlichten Dienst aufrufen. Das Feld selfLink enthält den URI des Dienstanhangs.

gcloud compute service-attachments describe \
    ATTACHMENT_NAME --region=REGION

API

Sie können Details zu einem veröffentlichten Dienst aufrufen. Das Feld selfLink enthält den URI des Dienstanhangs.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

Dabei gilt:

  • PROJECT_ID: das Projekt für den Dienstanhang.

  • REGION: die Region für den Dienstanhang.

  • ATTACHMENT_NAME: der Name des Dienstanhangs.

Veröffentlichten Dienst löschen

Sie können einen veröffentlichten Dienst löschen, auch wenn Nutzerverbindungen mit dem Dienstanhang bestehen. Wenn Sie den veröffentlichten Dienst löschen, wird nur der Dienstanhang entfernt. Der zugehörige Load-Balancer wird nicht gelöscht. Wenn Sie einen veröffentlichten Dienst löschen, gilt Folgendes:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Veröffentlichte Dienste.

  3. Klicken Sie auf den Dienst, den Sie löschen möchten.

  4. Klicken Sie auf Löschen.

gcloud

gcloud compute service-attachments delete \
    ATTACHMENT_NAME --region=REGION

API

DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

Dabei gilt:

  • PROJECT_ID: das Projekt für den Dienstanhang.

  • REGION: die Region für den Dienstanhang.

  • ATTACHMENT_NAME: der Name des Dienstanhangs.

Logging

Sie können VPC-Flusslogs in den Subnetzen aktivieren, die die Back-End-VMs enthalten. Die Logs zeigen den Datenfluss zwischen den Back-End-VMs und den IP-Adressen im Subnetz „Private Service Connect”.

Bekannte Probleme

  • Wenn Sie einen Dienstanhang mit der PATCH API aktualisieren, müssen Sie alle Felder für den Dienstanhang im Anfragetext angeben, nicht nur die Felder, die Sie aktualisieren. Verwenden Sie serviceAttachments.get, um alle Felder abzurufen.

Fehlerbehebung

Fehler beim Aktualisieren eines Dienstanhangs

Wenn beim Aktualisieren eines Dienstanhangs die folgende Fehlermeldung angezeigt wird, enthält die Annahmeliste oder die Ablehnungsliste möglicherweise gelöschte Projekte: The resource PROJECT was not found.

Entfernen Sie die gelöschten Projekte aus der Konfiguration des Dienstanhangs, um das Problem zu beheben.

  1. Verwenden Sie den Befehl gcloud compute service-attachments describe, um die Konfiguration des Dienstanhangs aufzurufen, den Sie ändern möchten.

    • So geben Sie die Annahmeliste in einem Format aus, das Sie später zum Aktualisieren des Dienstanhangs verwenden können:

      gcloud compute service-attachments describe ATTACHMENT_NAME \
        --region=REGION --flatten="consumerAcceptLists[]" \
        --format="csv[no-heading,separator='='](consumerAcceptLists.projectIdOrNum,consumerAcceptLists.connectionLimit)" \
        | xargs | sed -e 's/ /,/g'
      

      Die Ausgabe der Annahmeliste sieht in etwa so aus:

      PROJECT_1=LIMIT_1,PROJECT_2=LIMIT_2,PROJECT_3=LIMIT_3
      
    • So geben Sie die Ablehnungsliste in einem Format aus, das Sie später zum Aktualisieren des Dienstanhangs verwenden können:

      gcloud compute service-attachments describe ATTACHMENT_NAME \
        --region=REGION \
        --format="value[delimiter=','](consumerRejectLists[])"
      

      Die Ausgabe der Ablehnungsliste sieht in etwa so aus:

      PROJECT_1,PROJECT_2,PROJECT_3
      
  2. Bearbeiten Sie die Befehlsausgabe, um alle gelöschten Projekte aus der Annahmeliste und aus der Ablehnungsliste zu entfernen.

  3. Aktualisieren Sie den Dienstanhang, um die gelöschten Projekte zu entfernen.

    • So aktualisieren Sie die Annahmeliste:

      gcloud compute service-attachments update ATTACHMENT_NAME \
        --region=REGION \
        --consumer-accept-list=UPDATED_ACCEPT_LIST
      
    • So aktualisieren Sie die Ablehnungsliste:

      gcloud compute service-attachments update ATTACHMENT_NAME \
        --region=REGION \
        --consumer-reject-list=UPDATED_REJECT_LIST