Publicar serviços usando o Private Service Connect

Como produtor de serviço, use o Private Service Connect para publicar serviços usando endereços IP internos na rede VPC. Os serviços publicados podem ser acessados pelos consumidores de serviço usando endereços IP internos nas redes VPC do consumidor.

Este guia descreve como usar o Private Service Connect para publicar um serviço. Para publicar um serviço, faça o seguinte:

Hospede o serviço em um balanceador de carga compatível com uma configuração compatível.
Crie um anexo de serviço que aponte para a regra de encaminhamento associada ao balanceador de carga.

O Private Service Connect fornece dois métodos para se conectar a serviços publicados:

Esses tipos de endpoints exigem configurações de produtor um pouco diferentes. Para mais informações, consulte Recursos e compatibilidade.

Papéis

O papel do IAM a seguir fornece as permissões necessárias para executar as tarefas neste guia.

Administrador de rede do Compute (roles/compute.networkAdmin)

Antes de começar

Para mais informações, incluindo configurações e limitações de DNS, leia Sobre serviços publicados.
Decida se o serviço precisa ser acessível em todos os projetos ou se você quer controlar quais projetos podem acessar o serviço.
Decida se você quer que esse serviço seja compatível com endpoints, back-ends ou ambos. Para mais informações sobre endpoints e back-ends, consulte Tipos do Private Service Connect.

Para mais informações sobre os requisitos de configuração do serviço, consulte Recursos e compatibilidade.

Tipos de balanceador de carga compatíveis

Hospede o serviço usando os seguintes balanceadores de carga:

Balanceador de carga de rede de passagem interna em uma rede VPC do produtor de serviços.
Balanceador de carga de aplicativo interno em uma rede VPC do produtor de serviços.
Encaminhamento de protocolo interno em uma rede VPC de produtora de serviço.
Balanceador de carga de rede de proxy interno regional em uma rede VPC do produtor de serviços. Os back-ends podem estar localizados no Google Cloud, em outras nuvens, em um ambiente local ou em qualquer combinação desses locais.

Para informações sobre configurações compatíveis para cada tipo de balanceador de carga, consulte Recursos e compatibilidade.

Também é possível publicar um serviço hospedado em um balanceador de carga de rede de passagem interno no Google Kubernetes Engine. Esta configuração, incluindo a configuração do balanceador de carga e do anexo de serviço, é descrita em Criar um balanceador de carga de rede de passagem interno com o Private Service Connect na documentação do GKE.

Criar uma sub-rede para o Private Service Connect

Crie uma ou mais sub-redes dedicadas para usar com o Private Service Connect. Se você estiver usando o Console do Google Cloud para publicar um serviço, poderá criar as sub-redes durante esse procedimento.

Se você precisar disponibilizar mais endereços IP para um serviço atual, consulte Adicionar ou remover sub-redes de um serviço publicado.

Também é possível criar uma sub-rede do Private Service Connect em um projeto host da VPC compartilhada.

Crie a sub-rede na mesma região do balanceador de carga do serviço.

Não é possível converter uma sub-rede regular em uma sub-rede do Private Service Connect.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.subnetworks.create

Papéis

Consulte Papéis para informações sobre o papel.

Console

No Console do Google Cloud, acesse a página Redes VPC.

Acessar redes VPC
Clique no nome de uma rede VPC para mostrar a página Detalhes da rede VPC.
Clique em Adicionar sub-rede. No painel que aparecerá, faça o seguinte:
1. Forneça um Nome.
2. Selecione uma Região.
3. Na seção Finalidade, selecione Private Service Connect.
4. Digite um Intervalo de endereço IP. Por exemplo, 10.10.10.0/24.
5. Clique em Add.

gcloud

gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK_NAME --region=REGION \
    --range=SUBNET_RANGE --purpose=PRIVATE_SERVICE_CONNECT

Substitua:

SUBNET_NAME: o nome a ser atribuído à subrede.
NETWORK_NAME: o nome da VPC para a nova sub-rede.
REGION: a região da nova sub-rede. Precisa ser a mesma região do serviço que você está publicando.
SUBNET_RANGE: o intervalo de endereços IP a ser usado para a sub-rede. Por exemplo, 10.10.10.0/24.

API

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks

{
  "ipCidrRange": "SUBNET_RANGE",
  "name": "SUBNET_NAME",
  "network": "projects/PROJECT_ID/global/networks/NETWORK_NAME",
  "purpose": "PRIVATE_SERVICE_CONNECT",
}

Substitua:

PROJECT_ID: o projeto da sub-rede.
REGION: a região da nova sub-rede. Precisa ser a mesma região do serviço que você está publicando.
SUBNET_RANGE: o intervalo de endereços IP a ser usado para a sub-rede. Por exemplo, 10.10.10.0/24.
SUBNET_NAME: o nome a ser atribuído à subrede.
NETWORK_NAME: o nome da rede VPC da nova sub-rede.

Configurar regras de firewall

Configure regras de firewall para permitir o tráfego entre os endpoints ou os back-ends e o anexo de serviço. As solicitações do cliente vêm de locais diferentes, dependendo do tipo do Private Service Connect.

Tipo do Private Service Connect	Intervalos de endereços IP para o tráfego do cliente	Detalhes
Endpoint (com base em uma regra de encaminhamento)	Os intervalos de endereços IP das sub-redes do Private Service Connect associados a esse serviço.	Se você estiver usando a rede padrão, a regra `default-allow-internal` pré-preenchida permitirá esse tráfego, a menos que haja uma regra de prioridade mais alta que a bloqueie.
Back-end (com base em um balanceador de carga global de aplicativo externo)	`130.211.0.0/22` `35.191.0.0/16`	Os balanceadores de carga de aplicativo externos globais são implementados no Google Front Ends (GFEs), que usam esses intervalos de endereço IP.

Se sua configuração de firewall ainda não permitir tráfego do tipo de endpoint apropriado, configure regras de firewall para permitir a configuração.

O exemplo de configuração permite criar regras de firewall da VPC para permitir o tráfego de intervalos de endereços IP do cliente para as VMs de back-end no balanceador de carga de serviço do produtor. Essa configuração presume que as VMs de back-end tenham sido configuradas com uma tag de rede.

Exemplo de regra de entrada:

gcloud compute firewall-rules create NAME \
    --network=NETWORK_NAME \
    --direction=ingress \
    --action=allow \
    --target-tags=TAG \
    --source-ranges=CLIENT_IP_RANGES_LIST \
    --rules=RULES_LIST

Substitua:

NAME: o nome da regra de firewall.
NETWORK_NAME: a rede que contém o serviço e a sub-rede do Private Service Connect.
TAG: a tag de destino aplicada às VMs de back-end no balanceador de carga de serviço do produtor.
CLIENT_IP_RANGES_LIST: os intervalos de endereços IP de origem do tráfego do cliente. Para saber mais, consulte a tabela anterior.
RULES_LIST: uma lista separada por vírgulas de protocolos e portas às quais uma regra se aplica. Por exemplo, tcp,udp.

Exemplo de regra de saída:

gcloud compute firewall-rules create NAME \
    --network=NETWORK_NAME \
    --direction=egress \
    --action=allow \
    --target-tags=TAG \
    --destination-ranges=CLIENT_IP_RANGES_LIST \
    --rules=RULES_LIST

Substitua:

NAME: o nome da regra de firewall.
NETWORK_NAME: a rede que contém o serviço e a sub-rede do Private Service Connect.
TAG: a tag de destino aplicada às VMs de back-end no balanceador de carga de serviço do produtor.
CLIENT_IP_RANGES_LIST: os intervalos de endereços IP de origem do tráfego do cliente. Para saber mais, consulte a tabela anterior.
RULES_LIST: uma lista separada por vírgulas de protocolos e portas às quais uma regra se aplica. Por exemplo, tcp,udp.

Para mais informações sobre como configurar regras de firewall da VPC, consulte a Regras de firewall da VPC. Para configurar regras de firewall hierárquicas para permitir esse tráfego, consulte Políticas hierárquicas de firewall.

Publicar um serviço

Para publicar um serviço, crie um anexo. É possível disponibilizar o serviço de duas maneiras:

É possível publicar um serviço com aprovação automática.
É possível publicar um serviço com aprovação explícita.

Crie o anexo do serviço na mesma região que o balanceador de carga do serviço.

Cada anexo de serviço pode apontar para uma ou mais sub-redes do Private Service Connect, mas uma sub-rede do Private Service Connect não pode ser usada em mais de um anexo de serviço.

Publicar um serviço com aprovação automática

Use estas instruções para publicar um serviço e permitir que qualquer consumidor se conecte automaticamente a ele. Se você quiser aprovar as conexões dos consumidores explicitamente, consulte Como publicar um serviço com aprovação explícita.

Ao publicar um serviço, você cria um anexo de serviço. Os consumidores de serviços usam os detalhes do anexo de serviço para se conectar ao seu serviço.

Se você quiser visualizar as informações de conexão do consumidor, ative o protocolo PROXY nos serviços com suporte. Para mais informações sobre os Serviços com suporte, consulte Recursos e compatibilidade. Para mais informações sobre o protocolo PROXY, consulte Visualizar informações de conexão do consumidor.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.subnetworks.use
compute.serviceAttachments.create

Papéis

Consulte Papéis para informações sobre o papel.

Console

No Console do Google Cloud, acesse a página do Private Service Connect.

Acessar a página "Private Service Connect"
Clique na guia Serviços publicados.
Clique em Publicar serviço.
Selecione o Tipo de balanceador de carga para o serviço que você quer publicar:
- Balanceador de carga de rede de passagem interna
- Balanceador de carga de rede de proxy interno regional
- Balanceador de carga de aplicativo interno regional
Selecione o Balanceador de carga interno que hospeda o serviço que você quer publicar.

Os administradores de projetos de serviço podem selecionar um balanceador de carga interno que tenha um endereço IP de uma rede VPC compartilhada. Para mais informações, consulte VPC compartilhada.

Os campos de rede e região são preenchidos com os detalhes do balanceador de carga interno selecionado.
Se solicitado, selecione a Regra de encaminhamento associada ao serviço que você quer publicar.
Em Nome do serviço, insira um nome para o anexo de serviço.
Selecione uma ou mais sub-redes do Private Service Connect para o serviço. A lista é preenchida com sub-redes da rede VPC do balanceador de carga interno selecionada, incluindo sub-redes compartilhadas com um projeto de serviço por meio da VPC compartilhada.

Se o anexo de serviço usar um balanceador de carga interno com um endereço IP de uma rede VPC compartilhada, selecione uma sub-rede compartilhada dessa mesma rede.
Se você quiser visualizar informações de conexão do consumidor, selecione Usar protocolo de proxy.
Se você quiser configurar um nome de domínio, digite um Nome de domínio, incluindo um ponto final.

O formato recomendado para o nome de domínio é REGION.p.DOMAIN.

É preciso ser proprietário do nome de domínio. Para mais informações, consulte Configuração de DNS.
Selecione Aceitar conexões automaticamente.
Clique em Adicionar serviço.

gcloud

gcloud compute service-attachments create ATTACHMENT_NAME \
    --region=REGION \
    --producer-forwarding-rule=RULE_NAME \
    --connection-preference=ACCEPT_AUTOMATIC \
    --nat-subnets=PSC_SUBNET_LIST \
    [ --enable-proxy-protocol ] \
    [ --domain-names=DOMAIN_NAME ]

Substitua:

ATTACHMENT_NAME: o nome a ser atribuído ao anexo de serviço.
REGION: a região do novo anexo de serviço. Precisa ser a mesma região do serviço que você está publicando.
RULE_NAME: o nome da regra de encaminhamento associada ao serviço que você está publicando.

Os administradores de projetos de serviço podem especificar a regra de encaminhamento de um balanceador de carga interno que tenha um endereço IP de uma rede VPC compartilhada. Para mais informações, consulte VPC compartilhada.
PSC_SUBNET_LIST: uma lista separada por vírgulas de um ou mais nomes de sub-redes a serem usadas com esse anexo de serviço.

Se você estiver criando um anexo de serviço com uma regra de encaminhamento que tenha um endereço IP de uma rede VPC compartilhada, use sub-redes compartilhadas da mesma rede VPC compartilhada. Para cada sub-rede compartilhada, especifique o URI completo do recurso, por exemplo, --nat-subnets=projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET.
DOMAIN_NAME: um nome de domínio DNS para o serviço, incluindo um ponto final. Formato recomendado: REGION.p.DOMAIN.

Para mais informações, consulte Configuração de DNS.

API

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments
{
  "name": "ATTACHMENT_NAME",
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "targetService": "RULE_URI",
  "enableProxyProtocol": false,
  "natSubnets": [
    "PSC_SUBNET_1_URI",
    "PSC_SUBNET_2_URI",
  ],
  "domainNames": [
    "DOMAIN_NAME",
  ]
}

Substitua:

PROJECT_ID: o projeto do anexo de serviço.
REGION: a região do novo anexo de serviço. Precisa ser a mesma região do serviço que você está publicando.
ATTACHMENT_NAME: o nome a ser atribuído ao anexo de serviço.
RULE_URI: o URI da regra de encaminhamento associada ao serviço que você está publicando.

Os administradores de projetos de serviço podem especificar a regra de encaminhamento de um balanceador de carga interno que tenha um endereço IP de uma rede VPC compartilhada. Para mais informações, consulte VPC compartilhada.
PSC_SUBNET_1_URI e PSC_SUBNET_2_URI: os URIs de sub-rede a serem usados para este anexo de serviço. É possível especificar uma ou mais sub-redes por URI.

Se você estiver criando um anexo de serviço com uma regra de encaminhamento que tenha um endereço IP de uma rede VPC compartilhada, use sub-redes compartilhadas da mesma rede VPC compartilhada.
DOMAIN_NAME: um nome de domínio DNS para o serviço, incluindo um ponto final. Formato recomendado: REGION.p.DOMAIN.

Para mais informações, consulte Configuração de DNS.

Publicar um serviço com aprovação explícita

Use estas instruções para publicar um serviço se quiser aprovar explicitamente os consumidores antes que eles possam se conectar a esse serviço. Se você quiser aprovar as conexões de consumidores automaticamente, consulte Como publicar um serviço com aprovação automática.

Ao publicar um serviço, você cria um anexo de serviço. Os consumidores de serviços usam os detalhes do anexo de serviço para se conectar ao seu serviço.

Cada anexo de serviço tem uma lista de aceitação de consumidor e uma lista de rejeição de consumidor, que são usadas para determinar quais endpoints podem se conectar ao serviço. Um determinado anexo de serviço pode usar projetos ou redes nessas listas, mas não ambos. Não é possível especificar consumidores por pasta.

Se você mudar de aceitar consumidores com base no projeto para clientes com base na rede ou vice-versa, faça o seguinte:

Substitua todos os projetos ou redes aprovados em uma única operação.
Se você precisar fornecer o mesmo acesso de antes, verifique se as novas listas de aceitação e rejeição são equivalentes às anteriores.

Se você adicionar um projeto ou uma rede à lista de aceitação e à lista de rejeição, as solicitações de conexão desse projeto ou rede serão rejeitadas.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.subnetworks.use
compute.serviceAttachments.create

Papéis

Consulte Papéis para informações sobre o papel.

Console

No Console do Google Cloud, acesse a página do Private Service Connect.

Acessar a página "Private Service Connect"
Clique na guia Serviços publicados.
Clique em Publicar serviço.
Selecione o Tipo de balanceador de carga: Balanceador de carga TCP/UDP interno ou Balanceador de carga HTTP(S) interno.
Selecione o Balanceador de carga interno que hospeda o serviço que você quer publicar.

Os administradores de projetos de serviço podem selecionar um balanceador de carga interno que tenha um endereço IP de uma rede VPC compartilhada. Para mais informações, consulte VPC compartilhada.

Os campos de rede e região são preenchidos com os detalhes do balanceador de carga interno selecionado.
Se solicitado, selecione a Regra de encaminhamento associada ao serviço que você quer publicar.
Em Nome do serviço, insira um nome para o anexo de serviço.
Selecione uma ou mais sub-redes do Private Service Connect para o serviço. A lista é preenchida com sub-redes da rede VPC do balanceador de carga interno selecionada, incluindo sub-redes compartilhadas com um projeto de serviço por meio da VPC compartilhada.

Se o anexo de serviço usar um balanceador de carga interno com um endereço IP de uma rede VPC compartilhada, selecione uma sub-rede compartilhada dessa mesma rede.
Se você quiser visualizar informações de conexão do consumidor, selecione a caixa de seleção Protocolos.
Se você quiser configurar um nome de domínio, digite um Nome de domínio, incluindo um ponto final.

O formato recomendado para o nome de domínio é REGION.p.DOMAIN.

É preciso ser proprietário do nome de domínio. Para mais informações, consulte Configuração de DNS.
Se você quiser aceitar conexões para projetos selecionados, selecione Aceitar conexões para projetos selecionados.
1. Para cada projeto de que você quer aceitar conexões, faça o seguinte:
  1. Clique em Adicionar projeto aceito e insira o seguinte:
    - O código ou número do projeto do qual você quer aceitar as conexões.
    - Um limite de conexão para especificar o número máximo de endpoints do projeto especificado que pode se conectar.
2. Opcional: para cada projeto do qual você quer rejeitar explicitamente as conexões, clique em Adicionar projeto rejeitado e insira o código ou o número do projeto.
Se você quiser aceitar conexões para redes selecionadas, selecione Aceitar conexões para redes selecionadas.
1. Para cada rede de que você quer aceitar conexões, faça o seguinte:
  1. Clique em Adicionar rede aceita e insira o seguinte:
    - O código ou número do projeto pai da rede da qual você quer aceitar conexões.
    - O nome da rede da qual você quer aceitar conexões.
    - Um limite de conexão para especificar o número máximo de endpoints da rede especificada que pode se conectar.
2. Opcional: para cada rede de que você quer rejeitar explicitamente as conexões, clique em Adicionar rede rejeitada e insira o ID ou o número do projeto pai da rede e o o nome da rede.
Se você quiser desativar a reconciliação de conexão, desmarque a caixa de seleção Ativar reconciliação de conexão.
Clique em Adicionar serviço.

gcloud

gcloud compute service-attachments create ATTACHMENT_NAME \
    --region=REGION \
    --producer-forwarding-rule=RULE_NAME \
    --connection-preference=ACCEPT_MANUAL \
    --consumer-accept-list=ACCEPTED_PROJECT_OR_NETWORK_1=LIMIT_1,ACCEPTED_PROJECT_OR_NETWORK_2=LIMIT_2 \
    --consumer-reject-list=REJECTED_PROJECT_OR_NETWORK_1,REJECTED_PROJECT_OR_NETWORK_2 \
    --nat-subnets=PSC_SUBNET_LIST \
    [--enable-proxy-protocol ] \
    [--domain-names=DOMAIN_NAME] \
    [--reconcile-connections]

Substitua:

ATTACHMENT_NAME: o nome a ser atribuído ao anexo de serviço.
REGION: a região do novo anexo de serviço. Precisa ser a mesma região do serviço que você está publicando.
RULE_NAME: o nome da regra de encaminhamento associada ao serviço que você está publicando.

Os administradores de projetos de serviço podem especificar a regra de encaminhamento de um balanceador de carga interno que tenha um endereço IP de uma rede VPC compartilhada. Para mais informações, consulte VPC compartilhada.
ACCEPTED_PROJECT_OR_NETWORK_1 e ACCEPTED_PROJECT_OR_NETWORK_2: os IDs do projeto, nomes do projeto ou URIs de rede a serem aceitos. --consumer-accept-list é opcional e pode conter um ou mais projetos ou redes, mas não uma combinação dos dois tipos.
LIMIT_1 e LIMIT_2: os limites de conexão dos projetos ou redes. O limite de conexão é o número de endpoints ou back-ends do consumidor que podem se conectar a esse serviço. Cada projeto ou rede aceito precisa ter um limite de conexão configurado.
REJECTED_PROJECT_OR_NETWORK_1 e REJECTED_PROJECT_OR_NETWORK_2: os IDs, nomes ou URIs de rede do projeto a serem rejeitados. --consumer-reject-list é opcional e pode conter um ou mais projetos ou redes, mas não uma combinação dos dois tipos.
PSC_SUBNET_LIST: uma lista separada por vírgulas de um ou mais nomes de sub-redes a serem usadas com esse anexo de serviço.

Se você estiver criando um anexo de serviço com uma regra de encaminhamento que tenha um endereço IP de uma rede VPC compartilhada, use sub-redes compartilhadas da mesma rede VPC compartilhada. Para cada sub-rede compartilhada, especifique o URI completo do recurso, por exemplo, --nat-subnets=projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET.
DOMAIN_NAME: um nome de domínio DNS para o serviço, incluindo um ponto final. Formato recomendado: REGION.p.DOMAIN.

Para mais informações, consulte Configuração de DNS.

API

Para publicar um serviço e aprovar explicitamente os consumidores com base no projeto, envie a seguinte solicitação:
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments
{
  "name": "ATTACHMENT_NAME",
  "region": "REGION",
  "connectionPreference": "ACCEPT_MANUAL",
  "targetService": "RULE_URI",
  "enableProxyProtocol": false,
  "natSubnets": [
    "PSC_SUBNET_1_URI",
    "PSC_SUBNET_2_URI"
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2"
  ],
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "domainNames": [
    "DOMAIN_NAME"
  ]
}
```
Substitua:
- PROJECT_ID: o projeto do anexo de serviço.
- REGION: a região do anexo de serviço.
- ATTACHMENT_NAME: o nome a ser atribuído ao anexo de serviço.
- RULE_URI: o URI da regra de encaminhamento associada ao serviço que você está publicando.
  
  Os administradores de projetos de serviço podem especificar a regra de encaminhamento de um balanceador de carga interno que tenha um endereço IP de uma rede VPC compartilhada. Para mais informações, consulte VPC compartilhada.
- PSC_SUBNET_1_URI e PSC_SUBNET_2_URI: os URIs de sub-rede a serem usados para este anexo de serviço. É possível especificar uma ou mais sub-redes por URI.
  
  Se você estiver criando um anexo de serviço com uma regra de encaminhamento que tenha um endereço IP de uma rede VPC compartilhada, use sub-redes compartilhadas da mesma rede VPC compartilhada.
- REJECTED_PROJECT_1 e REJECTED_PROJECT_2: os IDs ou números de projetos a serem rejeitados. consumerRejectLists é opcional e pode conter um ou mais projetos.
- ACCEPTED_PROJECT_1 e ACCEPTED_PROJECT_2: os números ou IDs dos projetos a serem aceitos. consumerAcceptLists é opcional e pode conter um ou mais projetos.
- LIMIT_1 e LIMIT_2: os limites de conexão dos projetos. O limite de conexão é o número de endpoints ou back-ends do consumidor que podem se conectar a esse serviço. Cada projeto aceito precisa ter um limite de conexão configurado.
- DOMAIN_NAME: um nome de domínio DNS para o serviço, incluindo um ponto final. Formato recomendado: REGION.p.DOMAIN. Para mais informações, consulte Configuração de DNS.
Para publicar um serviço e aprovar explicitamente os consumidores com base na rede VPC, envie a seguinte solicitação:
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments
{
  "name": "ATTACHMENT_NAME",
  "region": "REGION",
  "connectionPreference": "ACCEPT_MANUAL",
  "targetService": "RULE_URI",
  "enableProxyProtocol": false,
  "natSubnets": [
    "PSC_SUBNET_1_URI",
    "PSC_SUBNET_2_URI"
  ],
  "consumerRejectLists": [
    "projects/REJECTED_PROJECT_ID_1/global/networks/REJECTED_NETWORK_1",
    "projects/REJECTED_PROJECT_ID_2/global/networks/REJECTED_NETWORK_2"
  ],
  "consumerAcceptLists": [
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_1/global/networks/ACCEPTED_NETWORK_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_2/global/networks/ACCEPTED_NETWORK_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "domainNames": [
    "DOMAIN_NAME"
  ]
}
```
Substitua:
- REJECTED_PROJECT_ID_1 e REJECTED_PROJECT_ID_2: os IDs dos projetos pai das redes que você quer rejeitar. consumerRejectLists é opcional e pode conter um ou mais projetos.
- REJECTED_NETWORK_1 e REJECTED_NETWORK_2: os nomes das redes que você quer rejeitar.
- ACCEPTED_PROJECT_ID_1 e ACCEPTED_PROJECT_ID_2: os IDs dos projetos pai das redes que você quer aceitar. consumerAcceptLists é opcional e pode conter um ou mais projetos.
- ACCEPTED_NETWORK_1 e ACCEPTED_NETWORK_2: os nomes das redes que você quer aceitar.
- LIMIT_1 e LIMIT_2: os limites de conexão dos projetos. O limite de conexão é o número de endpoints ou back-ends do consumidor que podem se conectar a esse serviço. Cada projeto aceito precisa ter um limite de conexão configurado.
Para publicar um serviço com a reconciliação de conexão ativada, envie uma solicitação semelhante às solicitações anteriores, mas inclua o seguinte campo:
```
{
  ...
  "reconcileConnections": true
  ...
}
```

Ver informações da conexão do consumidor

Por padrão, o Private Service Connect converte o endereço IP de origem do consumidor para um endereço em uma das sub-redes do Private Service Connect na rede VPC do fornecedor de serviços. Se você quiser ver o endereço IP original de origem do consumidor, ative o protocolo PROXY.

Nem todos os serviços são compatíveis com o protocolo PROXY. Para mais informações, consulte Recursos e compatibilidade.

Se o protocolo PROXY estiver ativado, é possível conseguir o endereço IP de origem e o ID da conexão do PSC (pscConnectionId) do consumidor no cabeçalho do protocolo PROXY.

Quando você ativa o protocolo PROXY para um anexo de serviço, a alteração se aplica apenas a novas conexões. As conexões existentes não incluem o cabeçalho do protocolo PROXY.

Se você ativar o protocolo PROXY, verifique a documentação do software do servidor da Web de back-end para ver informações sobre como analisar e processar cabeçalhos de protocolo PROXY recebidos nos payloads TCP de conexão do cliente. Se o protocolo PROXY estiver ativado no anexo do serviço, mas o servidor da Web de back-end não estiver configurado para processar cabeçalhos de protocolo PROXY, as solicitações da Web poderão estar malformadas. Se as solicitações estiverem incorretas, o servidor não poderá interpretá-las.

O pscConnectionId é codificado no cabeçalho do protocolo PROXY no formato Type-Length-Value (TLV, na sigla em inglês).

Campo	Comprimento do campo	Valor do campo
Tipo	1 byte	`0xE0` (PP2_TYPE_GCP)
Duração	2 bytes	`0x8` (8 bytes)
Valor	8 bytes	O `pscConnectionId` de 8 bytes na ordem de rede

Visualize o pscConnectionId de 8 bytes da regra de encaminhamento do consumidor ou do anexo de serviço do produtor.

O pscConnectionId é globalmente exclusivo para todas as conexões ativas em um determinado momento. No entanto, com o tempo, é possível reutilizar um pscConnectionId nestes cenários:

Em uma determinada rede VPC, se você excluir um endpoint (regra de encaminhamento) e criar um novo usando o mesmo endereço IP, o mesmo pscConnectionId poderá ser usado.
Se você excluir uma rede VPC que continha endpoints (regras de encaminhamento), após um período de espera de sete dias, o pscConnectionId usado para esses endpoints poderá ser usado para outro endpoint em outra rede VPC.

Use pscConnectionId para depurar e rastrear a origem dos pacotes.

Além disso, um ID do anexo de PSC de 16 bytes está disponível no anexo de serviço do produtor. O ID do anexo do PSC é um ID exclusivo globalmente que identifica um anexo de serviço do Private Service Connect. É possível usar o ID do anexo do PSC para visualizar e depurar. O ID do anexo PSC não está incluído no cabeçalho do protocolo PROXY.

Gerenciar solicitações de acesso a um serviço publicado

Se você tiver um serviço publicado com aprovação explícita, poderá aceitar ou rejeitar solicitações de conexão de projetos ou redes de consumidores. Para mais informações, consulte Gerenciar solicitações de acesso a um serviço publicado.

Também é possível alternar entre aceitação automática e explícita de projeto para um serviço publicado. Para mais informações, consulte Alterar a preferência de conexão de um serviço publicado.

Adicionar ou remover sub-redes de um serviço publicado

É possível adicionar ou remover sub-redes de um serviço publicado. Para mais informações, consulte Adicionar ou remover sub-redes de um serviço publicado.

Listar serviços publicados

Você pode listar todos os serviços.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.serviceAttachments.list

Papéis

Consulte Papéis para informações sobre o papel.

Console

No Console do Google Cloud, acesse a página do Private Service Connect.

Acessar a página "Private Service Connect"
Clique na guia Serviços publicados.

Os anexos de serviço do Private Service Connect serão exibidos.

gcloud

Listar anexos de serviços.
```
gcloud compute service-attachments list [--regions=REGION_LIST]
```
Substitua:
- REGION_LIST: uma lista separada por vírgulas de uma ou mais regiões em que você quer visualizar anexos de serviço. Por exemplo, us-central1 ou us-west1,us-central1.

API

Você pode ver todos os anexos de serviço em uma determinada região ou em todas as regiões.

Veja todos os anexos de serviço em uma região:

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments

Veja todos os anexos de serviço em todas as regiões:
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/serviceAttachments
```
Substitua:
- PROJECT_ID: o projeto do anexo de serviço.
- REGION: a região do anexo de serviço.
- ATTACHMENT_NAME: o nome do anexo de serviço.

Ver detalhes de um serviço publicado

É possível ver os detalhes de configuração de um serviço publicado. É possível ver alguns detalhes de configuração no Console do Google Cloud, por exemplo, o URI de anexo do serviço que os consumidores de serviço precisam para se conectar ao serviço. Para ver todos os detalhes, incluindo os valores de pscConnectionId para os consumidores do anexo de serviço, use a Google Cloud CLI ou a API.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.serviceAttachments.get

Papéis

Consulte Papéis para informações sobre o papel.

Console

É possível ver os detalhes de um serviço publicado. O campo Anexo de serviço contém o URI do anexo de serviço.

No Console do Google Cloud, acesse a página do Private Service Connect.

Acessar a página "Private Service Connect"
Clique na guia Serviços publicados.
Clique no serviço que você quer visualizar.

gcloud

É possível ver os detalhes de um serviço publicado. O campo selfLink contém o URI do anexo de serviço.

gcloud compute service-attachments describe \
    ATTACHMENT_NAME --region=REGION

API

É possível ver os detalhes de um serviço publicado. O campo selfLink contém o URI do anexo de serviço.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

Substitua:

PROJECT_ID: o projeto do anexo de serviço.
REGION: a região do anexo de serviço.
ATTACHMENT_NAME: o nome do anexo de serviço.

Excluir um serviço publicado

É possível excluir um serviço publicado, mesmo que haja conexões de consumidor com o anexo de serviço. A exclusão do serviço publicado remove apenas o anexo do serviço. O balanceador de carga associado não é excluído. Quando você exclui um serviço publicado, os seguintes itens se aplicam:

O tráfego de endpoints (baseado em regras de encaminhamento) não é mais enviado para o balanceador de carga.
O tráfego de back-ends (com base em balanceadores de carga de aplicativo externos globais) é enviado para o balanceador de carga até que o balanceador de carga seja excluído.

Permissões exigidas para a tarefa

Para executar esta tarefa, são necessárias as permissões ou um dos papéis de IAM a seguir.

Permissões

compute.serviceAttachments.delete

Papéis

Consulte Papéis para informações sobre o papel.

Console

No Console do Google Cloud, acesse a página do Private Service Connect.

Acessar a página "Private Service Connect"
Clique na guia Serviços publicados.
Clique no serviço que você quer excluir.
Clique em Excluir.

gcloud

gcloud compute service-attachments delete \
    ATTACHMENT_NAME --region=REGION

API

DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

Substitua:

PROJECT_ID: o projeto do anexo de serviço.
REGION: a região do anexo de serviço.
ATTACHMENT_NAME: o nome do anexo de serviço.

Problemas conhecidos

Desconexões após o upgrade do provedor do Google para o Terraform

Se você usou o provedor do Google para o Terraform com versões anteriores à 4.76.0 para criar anexos de serviço, não faça upgrade para as versões 4.76.0 a 4.81.x. Quando você executa terraform apply depois de fazer upgrade para as versões 4.76.0 a 4.81.x, o Terraform pode excluir e recriar acidentalmente os anexos de serviço e fechar conexões atuais do Private Service Connect. Os anexos de serviço recriados não restabelecem automaticamente as conexões do Private Service Connect.

Se você fizer upgrade para a versão 4.82.0 e executar terraform apply, os anexos de serviço não serão excluídos, mas a configuração de reconciliação de conexões será definida como verdadeira. Se a configuração foi definida como falsa anteriormente, algumas conexões do Private Service Connect podem ser fechadas.

Como fazer upgrade para as versões do provedor do Google 4.76.0 a 4.81.x. Nesse cenário, a saída de terraform plan inclui o seguinte:
```
-/+ resource "google_compute_service_attachment" "SERVICE_NAME" {
  ...
        ~ reconcile_connections = false -> true # forces replacement
  ...
```
Cuidado: se você ignorar esse aviso e aplicar as alterações, o Terraform vai excluir e recriar o anexo de serviço. Todas as conexões do Private Service Connect são fechadas, e novas conexões não são restabelecidas automaticamente.

Use a solução alternativa para evitar esse problema.
Como fazer upgrade para a versão 4.82.0 do provedor do Google. Nesse cenário, a saída de terraform plan inclui o seguinte:
```
~ reconcile_connections = false -> true
```
Se você ignorar esse aviso e aplicar as alterações, o Terraform vai atualizar o anexo de serviço para ativar a reconciliação de conexão. Dependendo do status da conexão, mudar de false para true pode fechar algumas conexões existentes. Para mais informações, consulte Reconciliação de conexão.

Use a solução alternativa para evitar esse problema.

Alternativa

Recomendamos que você atualize o Provedor do Google para o Terraform para a versão 4.82.0 ou mais recente. Essa versão impede a exclusão e a recriação não intencionais de anexos de serviço.

Se não for possível fazer o upgrade imediatamente ou se você puder fazer isso, mas também quiser impedir que o Terraform altere a configuração de reconciliação de conexão, atualize sua configuração do Terraform para fazer isso explicitamente.

Veja a configuração detalhada do anexo de serviço e observe a configuração reconcileConnections.
```
$ gcloud compute service-attachments describe SERVICE_NAME --region=REGION
```
A saída inclui o campo reconcileConnections, que pode ser verdadeiro ou falso.
```
reconcileConnections: false
```
Atualize o arquivo de configuração do Terraform para usar explicitamente a mesma configuração usada no anexo de serviço.
```
resource "google_compute_service_attachment" "SERVICE_NAME" {
  ...
  reconcile_connections    = false
}
```
Para ver um exemplo de configuração, consulte Reconciliar conexões do anexo de serviço no GitHub.

Atualizações de patch para anexos de serviço

Ao atualizar um anexo de serviço usando a API PATCH, é necessário fornecer todos os campos do anexo de serviço no corpo da solicitação, não apenas os campos que você está atualizando. Use serviceAttachments.get para recuperar todos os campos.

Solução de problemas

Erro ao atualizar um anexo de serviço

Se você vir a seguinte mensagem de erro ao atualizar um anexo de serviço, a lista de aceitação ou de rejeição pode incluir projetos excluídos: The resource PROJECT was not found.

Remova os projetos excluídos da configuração do anexo do serviço para resolver o problema.

Use o comando gcloud compute service-attachments describe para mostrar a configuração do anexo do serviço que você quer modificar.
- Para gerar a lista de aceitação em um formato que você possa usar mais tarde para atualizar o anexo do serviço, faça o seguinte:
```
gcloud compute service-attachments describe ATTACHMENT_NAME \
  --region=REGION --flatten="consumerAcceptLists[]" \
  --format="csv[no-heading,separator='='](consumerAcceptLists.projectIdOrNum,consumerAcceptLists.connectionLimit)" \
  | xargs | sed -e 's/ /,/g'
```
  A saída da lista de aceitação será parecida com esta:
```
PROJECT_1=LIMIT_1,PROJECT_2=LIMIT_2,PROJECT_3=LIMIT_3
```
- Para gerar a lista de rejeição em um formato que você possa usar mais tarde para atualizar o anexo do serviço, faça o seguinte:
```
gcloud compute service-attachments describe ATTACHMENT_NAME \
  --region=REGION \
  --format="value[delimiter=','](consumerRejectLists[])"
```
  A saída da lista de rejeição é semelhante a esta:
```
PROJECT_1,PROJECT_2,PROJECT_3
```
Edite a resposta ao comando para remover os projetos excluídos da lista de aceitação e da lista de rejeição.

Atualize o anexo do serviço para remover os projetos excluídos.

Para atualizar a lista de aceitação, faça o seguinte:

gcloud compute service-attachments update ATTACHMENT_NAME \
  --region=REGION \
  --consumer-accept-list=UPDATED_ACCEPT_LIST

Para atualizar a lista de rejeição, faça o seguinte:

gcloud compute service-attachments update ATTACHMENT_NAME \
  --region=REGION \
  --consumer-reject-list=UPDATED_REJECT_LIST

A conectividade não foi estabelecida

Se um consumidor tiver criado um endpoint ou back-end que se refere ao anexo de serviço, mas a conectividade não estiver estabelecida, verifique o status de conexão do anexo de serviço. O status da conexão pode indicar as etapas que você pode seguir para resolver o problema.

Tempo limite das conexões do consumidor

Se as conexões do consumidor expirarem, verifique se o serviço requer conexões de longa duração. O tempo limite de inatividade da conexão TCP estabelecida para o Private Service Connect é de 20 minutos. Se o serviço precisar de um tempo limite maior, talvez seja necessário fazer algumas alterações na configuração para garantir que as conexões não expirem. Para mais informações, consulte as especificações NAT.