Questa pagina è stata tradotta dall'API Cloud Translation.

Accedere ai servizi pubblicati tramite endpoint

Questo documento spiega come accedere ai servizi in un'altra rete VPC utilizzando gli endpoint Private Service Connect. Puoi collegarti ai tuoi servizi o a quelli forniti da altri produttori di servizi, incluso Google.

Per ulteriori informazioni sui servizi, vedi Pubblicare servizi gestiti.

Ruoli

Il seguente ruolo IAM fornisce le autorizzazioni necessarie per eseguire le attività descritte in questa guida.

Attività	Ruoli
Creazione di un endpoint	Entrambi i ruoli: Amministratore della rete di calcolo (`roles/compute.networkAdmin`) e Editor della directory dei servizi (`roles/servicedirectory.editor`)
Configurare automaticamente o manualmente le voci DNS per un endpoint	Amministratore DNS (`roles/dns.admin`)

Prima di iniziare

Leggi l'articolo Informazioni sulla connessione ai servizi tramite gli endpoint, incluse le limitazioni.
Devi abilitare l'API Compute Engine nel tuo progetto.
Devi abilitare l'API Service Directory nel tuo progetto.
Devi abilitare l'API Cloud DNS nel tuo progetto.
Identifica o crea una subnet normale da utilizzare per assegnare un indirizzo IP all'endpoint.
- La subnet deve trovarsi nella stessa regione del servizio a cui vuoi collegarti.
- Puoi utilizzare un indirizzo IPv4 di una subnet solo IPv4 o di una subnet a doppio stack.
- Puoi utilizzare un indirizzo IPv6 da una subnet solo IPv6 (anteprima) o a doppio stack se la subnet ha un intervallo di indirizzi IPv6 interni.
- La versione IP dell'indirizzo IP influisce sui servizi pubblicati a cui può connettersi l'endpoint. Per ulteriori informazioni, consulta la pagina Traduzione della versione IP.
Le regole del firewall in uscita devono consentire il traffico all'indirizzo IP interno dell'endpoint. La regola firewall consenti in uscita implicita consente la comunicazione in uscita a qualsiasi indirizzo IP di destinazione. Se hai creato regole firewall di rifiuto in uscita nella tua rete VPC o se hai creato criteri firewall gerarchici che modificano il comportamento di uscita consentito implicito, l'accesso all'endpoint potrebbe essere interessato. Crea un criterio o una regola firewall per consentire il traffico in uscita per la destinazione dell'indirizzo IP interno dell'endpoint di servizio.
Devi disporre dell'URI del collegamento al servizio per il servizio. Ad esempio, projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME

Creazione di un endpoint

Un endpoint si connette ai servizi di un'altra rete VPC utilizzando una regola di forwarding Private Service Connect. Ogni regola di forwarding viene conteggiata ai fini della quota per progetto per le regole di inoltro di Private Service Connect per accedere ai servizi in un'altra rete VPC.

Quando crei un endpoint, questo viene registrato automaticamente in Service Directory utilizzando uno spazio dei nomi scelto da te o lo spazio dei nomi predefinito goog-psc-default.

Se vuoi rendere disponibile l'endpoint da più regioni, attiva l'accesso globale.

Puoi aggiornare solo il campo di accesso globale degli endpoint per i servizi pubblicati. Se vuoi aggiornare altri campi, elimina l'endpoint e creane uno nuovo.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni per gcloud CLI e l'API

compute.networks.use
compute.addresses.create
compute.addresses.use
compute.forwardingRules.create
compute.forwardingRules.pscCreate
servicedirectory.namespaces.create
servicedirectory.namespaces.associatePrivateZone
servicedirectory.services.create
dns.managedZones.create
dns.networks.bindPrivateDNSZone

Autorizzazioni per la console Google Cloud

compute.forwardingRules.list
compute.globalForwardingRules.list
compute.networks.list
compute.backendBuckets.list
compute.backendServices.list
compute.instanceGroupManagers.list
compute.targetPools.list
compute.targetSslProxies.list
compute.targetTcpProxies.list
compute.urlMaps.list

Ruoli

Per informazioni sui ruoli, consulta la sezione Ruoli.

Console

Nella console Google Cloud , vai alla pagina Private Service Connect.

Vai a Private Service Connect
Fai clic sulla scheda Endpoint collegati.
Fai clic su Connetti endpoint.
In Destinazione, seleziona Servizio pubblicato.
In Servizio di destinazione, inserisci l'URI del collegamento al servizio a cui vuoi connetterti.

L'URI del collegamento al servizio ha questo formato: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME
In Nome endpoint, inserisci un nome da utilizzare per l'endpoint.
Seleziona una Rete per l'endpoint.
Seleziona una Subnet per l'endpoint.
Seleziona un indirizzo IP per l'endpoint. Se hai bisogno di un nuovo indirizzo IP, puoi crearne uno:
1. Fai clic sul menu a discesa Indirizzo IP e seleziona Crea indirizzo IP.
2. Inserisci un nome e una descrizione facoltativa per l'indirizzo IP.
3. Seleziona una versione IP.
4. Se stai creando un indirizzo IPv4, seleziona Assegna automaticamente o Fammi scegliere. Se hai selezionato Fammi scegliere, inserisci l'indirizzo IP personalizzato che vuoi utilizzare.
5. Fai clic su Prenota.
Per rendere l'endpoint disponibile da qualsiasi regione, seleziona Abilita accesso globale.
Seleziona uno spazio dei nomi dall'elenco a discesa o creane uno nuovo.

Il campo Regione viene compilato in base alla subnet selezionata.
Fai clic su Aggiungi endpoint.

gcloud

Prenota un indirizzo IP interno da assegnare all'endpoint.
```
gcloud compute addresses create ADDRESS_NAME \
    --region=REGION \
    --subnet=SUBNET \
    --ip-version=IP_VERSION
```
Sostituisci quanto segue:
- ADDRESS_NAME: il nome da assegnare all'indirizzo IP riservato.
- REGION: la regione per l'indirizzo IP dell'endpoint. Deve essere la stessa regione che contiene l'allegato del servizio del producer di servizi.
- SUBNET: il nome della subnet per l'indirizzo IP dell'endpoint.
- IP_VERSION: la versione IP dell'indirizzo IP, che può essere IPV4 o IPV6. IPV4 è il valore predefinito. Per specificare IPV6, l'indirizzo IP deve essere connesso a una subnet con un intervallo di indirizzi IPv6 interno.

Trova l'indirizzo IP riservato.

gcloud compute addresses list --filter="name=ADDRESS_NAME"

Crea una regola di forwarding per collegare l'endpoint al collegamento al servizio del produttore di servizi. Per impostazione predefinita, gli endpoint sono disponibili solo dalla propria regione. Per rendere un endpoint disponibile da qualsiasi regione, utilizza il flag --allow-psc-global-access.
- Crea un endpoint a cui è possibile accedere solo dalla relativa regione.
```
gcloud compute forwarding-rules create ENDPOINT_NAME \
  --region=REGION \
  --network=NETWORK_NAME \
  --address=ADDRESS_NAME \
  --target-service-attachment=SERVICE_ATTACHMENT \
  [ --service-directory-registration=projects/PROJECT_ID/locations/REGION/namespaces/NAMESPACE ]
```
- Crea un endpoint a cui è possibile accedere da qualsiasi regione.
```
gcloud compute forwarding-rules create ENDPOINT_NAME \
  --region=REGION \
  --network=NETWORK_NAME \
  --address=ADDRESS_NAME \
  --target-service-attachment=SERVICE_ATTACHMENT \
  --allow-psc-global-access \
  [ --service-directory-registration=projects/PROJECT_ID/locations/REGION/namespaces/NAMESPACE ]
```
Sostituisci quanto segue:
- ENDPOINT_NAME: il nome da assegnare all'endpoint.
- REGION: la regione per l'endpoint. Deve essere la stessa regione che contiene l'allegato del servizio del producer di servizi.
- NETWORK_NAME: il nome della rete VPC per l'endpoint.
- ADDRESS_NAME: il nome dell'indirizzo riservato.
- SERVICE_ATTACHMENT: l'URI del collegamento al servizio del produttore del servizio. Ad esempio: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME
- PROJECT_ID: il tuo ID progetto.
- NAMESPACE: lo spazio dei nomi Service Directory che vuoi utilizzare. Se specifichi uno spazio dei nomi che non esiste, lo spazio dei nomi viene creato.
  
  Se ometti il flag --service-directory-registration, viene utilizzato lo spazio dei nomi predefinito di goog-psc-default.

API

Prenota un indirizzo IP interno da assegnare all'endpoint.
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/addresses

{
  "name": "ADDRESS_NAME",
  "addressType": "INTERNAL",
  "subnetwork": "SUBNET_URI",
  "ipVersion": "IP_VERSION"
}
```
Sostituisci quanto segue:
- PROJECT_ID: il tuo ID progetto.
- ADDRESS_NAME: il nome da assegnare all'indirizzo IP riservato.
- SUBNET_URI: la subnet per l'indirizzo IP. Utilizza il metodo subnetworks.list o gcloud compute networks subnets list --uri per trovare gli URL delle tue emittenti.
- IP_VERSION: la versione IP dell'indirizzo IP, che può essere IPV4 o IPV6. IPV4 è il valore predefinito. Per specificare IPV6, l'indirizzo IP deve essere connesso a una subnet con un intervallo di indirizzi IPv6 interno.
Crea una regola di forwarding per collegare l'endpoint al collegamento al servizio del produttore di servizi. Per impostazione predefinita, gli endpoint sono disponibili solo dalla propria regione. Per rendere disponibile un endpoint da qualsiasi regione, imposta allowPscGlobalAccess su true.
- Crea un endpoint a cui è possibile accedere solo dalla relativa regione.
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/forwardingRules
{
  "name": "ENDPOINT_NAME",
  "IPAddress": "ADDRESS_URI",
  "target": "SERVICE_ATTACHMENT",
  "network": "NETWORK_URI",
  "serviceDirectoryRegistrations": [
      {
          "namespace": "NAMESPACE"
      }
  ]
}
```
- Crea un endpoint a cui è possibile accedere da qualsiasi regione.
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/forwardingRules
{
  "name": "ENDPOINT_NAME",
  "IPAddress": "ADDRESS_URI",
  "target": "SERVICE_ATTACHMENT",
  "network": "NETWORK_URI",
  "allowPscGlobalAccess": true,
  "serviceDirectoryRegistrations": [
      {
          "namespace": "NAMESPACE"
      }
  ]
}
```
Sostituisci quanto segue:
- PROJECT_ID: il tuo ID progetto.
- REGION: la regione per l'endpoint.
- ENDPOINT_NAME: il nome da assegnare all'endpoint.
- ADDRESS_URI: l'URI dell'indirizzo riservato sulla rete associata. Utilizza il metodo addresses.list o gcloud compute addresses list --uri per trovare l'URL del tuo indirizzo riservato.
- SERVICE_ATTACHMENT: l'URI del collegamento al servizio del producer di servizi. Ad esempio: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME
- NETWORK_URI: la rete VPC per l'endpoint. Utilizza il metodo network.list o gcloud compute networks list --uri per trovare l'URI della tua rete.
- NAMESPACE: lo spazio dei nomi per l'endpoint. Se specifichi uno spazio dei nomi che non esiste, questo viene creato. Se ometti il campo namespace, viene assegnato lo spazio dei nomi predefinito di goog-psc-default.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni per gcloud CLI e l'API

compute.networks.use
compute.addresses.create
compute.addresses.use
compute.forwardingRules.create
compute.forwardingRules.pscCreate
servicedirectory.namespaces.create
servicedirectory.namespaces.associatePrivateZone
servicedirectory.services.create
dns.managedZones.create
dns.networks.bindPrivateDNSZone

Ruoli

Per informazioni sui ruoli, consulta la sezione Ruoli.

Creare un endpoint con un indirizzo IP da una rete VPC condiviso

Gli amministratori dei progetti di servizio possono creare endpoint nei progetti di servizio VPC condiviso che utilizzano indirizzi IP delle reti VPC condivise collegate. La creazione di endpoint di questo tipo non è disponibile nella console Google Cloud . Devi utilizzare Google Cloud CLI o inviare una richiesta API. Per ulteriori informazioni, consulta VPC condiviso.

Questo esempio mostra come creare un endpoint con un indirizzo IP da una rete VPC condiviso a cui è possibile accedere da una singola regione. Per attivare l'accesso globale o scegliere uno spazio dei nomi per Service Directory, consulta Creare un endpoint.

gcloud

Per prenotare un indirizzo IP interno da assegnare all'endpoint, segui una di queste procedure:
- Nel progetto di servizio, prenota un indirizzo IPv4 o IPv6 interno statico da una subnet condivisa della rete VPC condiviso.
- Nel progetto host, chiedi a un amministratore del progetto di prenotare un indirizzo IPv4 o IPv6 interno statico da una sottorete condivisa della rete VPC condiviso.
Nel progetto di servizio, crea l'endpoint:
```
gcloud compute forwarding-rules create ENDPOINT_NAME \
    --region=REGION \
    --network=projects/HOST_PROJECT/global/networks/HOST_NETWORK \
    --address=projects/ADDRESS_PROJECT/regions/REGION/addresses/ADDRESS_NAME \
    --target-service-attachment=SERVICE_ATTACHMENT
```
Sostituisci quanto segue:
- ENDPOINT_NAME: il nome da assegnare all'endpoint.
- REGION: la regione per l'endpoint. Deve essere la stessa regione che contiene l'allegato del servizio del producer di servizi.
- HOST_PROJECT: l'ID progetto della rete VPC condiviso.
- HOST_NETWORK: il nome della rete VPC condiviso che contiene l'indirizzo IP dell'endpoint.
- ADDRESS_PROJECT: l'ID del progetto in cui hai riservato l'indirizzo IP. Può trattarsi del progetto di servizio o del progetto host.
- ADDRESS_NAME: il nome dell'indirizzo IP riservato.
- SERVICE_ATTACHMENT: l'URI del collegamento al servizio del produttore del servizio. Ad esempio: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME

API

Per prenotare un indirizzo IP interno da assegnare all'endpoint, procedi in uno dei seguenti modi:
- Nel progetto di servizio, prenota un indirizzo IPv4 o IPv6 interno statico da una subnet condivisa della rete VPC condiviso.
- Nel progetto host, chiedi a un amministratore del progetto di prenotare un indirizzo IPv4 o IPv6 interno statico da una sottorete condivisa della rete VPC condiviso.
Nel progetto di servizio, crea l'endpoint:
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT/regions/REGION/forwardingRules
{
   "name": "ENDPOINT_NAME",
   "IPAddress": "projects/ADDRESS_PROJECT/regions/REGION/addresses/ADDRESS_NAME",
   "target": "SERVICE_ATTACHMENT",
   "network": "projects/HOST_PROJECT/global/networks/HOST_NETWORK"
}
```
Sostituisci quanto segue:
- PROJECT: l'ID progetto di servizio.
- REGION: la regione per l'endpoint. Deve essere la stessa regione che contiene l'allegato del servizio del producer di servizi.
- ENDPOINT_NAME: il nome da assegnare all'endpoint.
- ADDRESS_PROJECT: l'ID del progetto in cui hai riservato l'indirizzo IP. Può trattarsi del progetto di servizio o del progetto host.
- ADDRESS_NAME: il nome dell'indirizzo IP riservato.
- SERVICE_ATTACHMENT: l'URI del collegamento al servizio del produttore del servizio. Ad esempio: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME
- HOST_PROJECT: l'ID progetto della rete VPC condiviso.
- HOST_NETWORK: il nome della rete VPC condiviso che contiene l'indirizzo IP dell'endpoint.

Elenca endpoint

Puoi elencare tutti gli endpoint configurati.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni per gcloud CLI e l'API

compute.forwardingRules.list

Autorizzazioni per la console Google Cloud

compute.forwardingRules.list
compute.globalForwardingRules.list
compute.networks.list
compute.backendBuckets.list
compute.backendServices.list
compute.instanceGroupManagers.list
compute.targetPools.list
compute.targetSslProxies.list
compute.targetTcpProxies.list
compute.urlMaps.list

Ruoli

Per informazioni sui ruoli, consulta la sezione Ruoli.

Console

Nella console Google Cloud , vai alla pagina Private Service Connect.

Vai a Private Service Connect
Fai clic sulla scheda Endpoint collegati.

Gli endpoint vengono visualizzati.

gcloud

gcloud compute forwarding-rules list \
    --filter 'target~serviceAttachments'

L'output è simile al seguente:

NAME  REGION  IP_ADDRESS  IP_PROTOCOL  TARGET
RULE          IP          TCP          REGION/serviceAttachments/SERVICE_NAME

API

Questa chiamata API restituisce tutte le regole di inoltro, non solo gli endpoint utilizzati per accedere ai servizi.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/forwardingRules

Sostituisci quanto segue:

PROJECT_ID: il progetto che contiene l'endpoint.
REGION: la regione per l'endpoint.

Visualizza dettagli endpoint

Puoi visualizzare tutti i dettagli di configurazione di un endpoint, incluso lo stato della connessione.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni per gcloud CLI e l'API

compute.forwardingRules.get

Autorizzazioni per la console Google Cloud

compute.forwardingRules.list
compute.globalForwardingRules.list
compute.networks.list
compute.backendBuckets.list
compute.backendServices.list
compute.instanceGroupManagers.list
compute.targetPools.list
compute.targetSslProxies.list
compute.targetTcpProxies.list
compute.urlMaps.list

Ruoli

Per informazioni sui ruoli, consulta la sezione Ruoli.

Console

Nella console Google Cloud , vai alla pagina Private Service Connect.

Vai a Private Service Connect
Fai clic sulla scheda Endpoint collegati.
Fai clic sull'endpoint che vuoi visualizzare.

gcloud

gcloud compute forwarding-rules describe \
    ENDPOINT_NAME --region=REGION

Sostituisci quanto segue:

ENDPOINT_NAME: il nome dell'endpoint.
REGION: la regione per l'endpoint.

API

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/forwardingRules/ENDPOINT_NAME

Sostituisci quanto segue:

PROJECT_ID: il progetto che contiene l'endpoint.
REGION: la regione per l'endpoint.
ENDPOINT_NAME: il nome dell'endpoint.

Etichettare un endpoint

Puoi gestire le etichette per gli endpoint. Per istruzioni dettagliate, consulta le risorse per l'etichettatura.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni per gcloud CLI e l'API

compute.forwardingRules.pscSetLabels
compute.forwardingRules.setLabels

Autorizzazioni per la console Google Cloud

compute.forwardingRules.list
compute.globalForwardingRules.list
compute.networks.list
compute.backendBuckets.list
compute.backendServices.list
compute.instanceGroupManagers.list
compute.targetPools.list
compute.targetSslProxies.list
compute.targetTcpProxies.list
compute.urlMaps.list

Ruoli

Per informazioni sui ruoli, consulta la sezione Ruoli.

Eliminazione di un endpoint

Puoi eliminare un endpoint.

Tuttavia, le seguenti configurazioni di Service Directory non vengono eliminate quando elimini l'endpoint:

Spazio dei nomi Service Directory
Zona DNS di Service Directory

Lo spazio dei nomi Service Directory e la zona DNS di Service Directory possono essere utilizzati da altri servizi. Verifica che lo spazio dei nomi sia vuoto prima di eliminare lo spazio dei nomi di Service Directory o di eliminare la zona DNS di Service Directory.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o di uno dei seguenti ruoli IAM.

Autorizzazioni per gcloud CLI e l'API

compute.forwardingRules.pscDelete
compute.forwardingRules.delete
servicedirectory.namespaces.delete
servicedirectory.services.delete

Autorizzazioni per la console Google Cloud

compute.forwardingRules.list
compute.globalForwardingRules.list
compute.networks.list
compute.backendBuckets.list
compute.backendServices.list
compute.instanceGroupManagers.list
compute.targetPools.list
compute.targetSslProxies.list
compute.targetTcpProxies.list
compute.urlMaps.list

Ruoli

Per informazioni sui ruoli, consulta la sezione Ruoli.

Console

Nella console Google Cloud , vai alla pagina Private Service Connect.

Vai a Private Service Connect
Fai clic sulla scheda Endpoint collegati.
Seleziona l'endpoint che vuoi eliminare e fai clic su Elimina.

gcloud

    gcloud compute forwarding-rules delete \
        ENDPOINT_NAME --region=REGION

Sostituisci quanto segue:

ENDPOINT_NAME: il nome dell'endpoint.
REGION: la regione per l'endpoint.

API

DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/forwardingRules/ENDPOINT_NAME

Sostituisci quanto segue:

PROJECT_ID: il progetto che contiene l'endpoint.
REGION: la regione per l'endpoint.
ENDPOINT_NAME: il nome dell'endpoint.

Accedere agli endpoint dalle reti ibride

I client nelle reti connesse a Google Cloud con VLAN collegamenti per i tunnel Cloud Interconnect o Cloud VPN possono raggiungere gli endpoint di Private Service Connect.

Il collegamento VLAN o il tunnel Cloud VPN deve terminare nella stessa rete VPC (o rete VPC condiviso) dell'endpoint. I client nelle reti VPC in peering non possono raggiungere gli endpoint.
Il traffico client dai collegamenti VLAN o dai tunnel Cloud VPN può raggiungere gli endpoint in un'altra regione se è configurato l'accesso globale.
Sia Dataplane v1 che Dataplane v2 sono supportati per i collegamenti VLAN. Per ulteriori informazioni sulle versioni di Dataplane, consulta Dataplane V2.

Se vuoi accedere all'endpoint utilizzando il relativo nome DNS, devi configurare i sistemi nell'altra rete in modo che possano eseguire query sulle tue zone DNS private.

Se hai implementato le zone DNS private utilizzando Cloud DNS, completa i seguenti passaggi:

Crea un criterio del server in entrata nella rete VPC a cui si connette l'altra rete.
Identifica i punti di contatto del forwarder in entrata nella regione in cui si trova il collegamento VLAN o il tunnel Cloud VPN, nella rete VPC a cui si connette la tua altra rete.
Configura i sistemi e i server dei nomi DNS nell'altra rete in modo da inoltrare i nomi DNS per l'endpoint a un punto di contatto del forwarder in entrata nella stessa regione del collegamento VLAN o del tunnel Cloud VPN che si connette alla rete VPC.

Visualizzare le zone DNS di Service Directory

Se i prerequisiti per la configurazione automatica del DNS sono soddisfatti, viene creata una zona DNS con un nome nel formato NAMESPACE--REGION.

Console

Nella console Google Cloud , vai alla pagina Zone Cloud DNS.

Vai alle zone Cloud DNS
Cerca una zona privata con il nome NAMESPACE--REGION.

gcloud

Esegui il comando seguente per elencare tutte le zone DNS private:

gcloud dns managed-zones list \
    --filter="visibility=private"

Esegui il seguente comando per ottenere i dettagli di una zona con il nome NAMESPACE--REGION.
```
gcloud dns managed-zones describe NAMESPACE--REGION
```

Se la zona non è presente, visualizza i dettagli dell'endpoint e controlla se la configurazione dell'endpoint include un valore per lo spazio dei nomi.

Se l'endpoint ha una configurazione dello spazio dei nomi, consulta Configurare una zona DNS di Service Directory.
Se l'endpoint non ha una configurazione dello spazio dei nomi, consulta Registrare un endpoint con Service Directory.

Altri modi per configurare il DNS

Se i prerequisiti per la configurazione automatica del DNS non sono soddisfatti, puoi creare voci DNS in altri modi:

Se per l'endpoint è configurato uno spazio dei nomi, consulta Configurare una zona DNS di Service Directory.
Se per l'endpoint non è configurato uno spazio dei nomi, consulta Registrare un endpoint con Service Directory.
Se preferisci configurare manualmente il DNS, consulta Configurare manualmente il DNS.

Configurare una zona DNS di Service Directory

Se un endpoint è registrato in Service Directory, ma il servizio pubblicato a cui si connette non ha un nome di dominio configurato, non vengono apportate modifiche al DNS.

Se vuoi replicare la configurazione DNS automatica, puoi configurare manualmente una zona DNS di Service Directory supportata dall'area di nomi di Service Directory. Dopo aver creato la zona, le voci DNS per l'endpoint vengono create automaticamente.

Crea una zona DNS di Service Directory con la seguente configurazione:

Nome zona: specifica NAMESPACE--REGION, dove NAMESPACE è lo spazio dei nomi a cui è registrato l'endpoint e REGION è la regione in cui viene creato l'endpoint.
Nome DNS: il dominio DNS utilizzato dal producer di servizi per i suoi servizi pubblicati. Rivolgiti al producer di servizi per queste informazioni.

Il nome DNS potrebbe avere il formatoREGION.p.DOMAIN. Ad esempio, se il dominio pubblico producer di servizi è example.com e il servizio pubblicato è in us-west1, consigliamo di rendere disponibile il servizio utilizzando i nomi di dominio us-west1.p.example.com. Includi un punto finale, ad esempio us-west1.p.example.com.
Spazio dei nomi Service Directory: lo spazio dei nomi configurato per questo endpoint.

Visualizza i dettagli dell'endpoint per trovare lo spazio dei nomi e la regione di Service Directory.

Con questa configurazione, se hai configurato una zona DNS di Service Directory con il nome DNS us-west1.p.example.com e crei un endpoint con il nome analytics, viene creato automaticamente un record DNS per analytics.us-west1.p.example.com.

Registra un endpoint con Service Directory

I nuovi endpoint vengono registrati automaticamente in Service Directory. Tuttavia, se un endpoint è stato creato prima dell'attivazione della registrazione automatica con Service Directory, questa configurazione potrebbe non essere presente.

Puoi eliminare l'endpoint e crearne uno nuovo, che viene registrato automaticamente in Service Directory.

In alternativa, puoi seguire questi passaggi per registrare un endpoint esistente con uno spazio dei nomi Service Directory.

Crea uno spazio dei nomi Service Directory per l'endpoint NAMESPACE.
Crea un servizio Service Directory per l'endpoint SERVICE_NAME.

Per il servizio, utilizza lo stesso nome della regola di forwarding utilizzata per l'endpoint,ENDPOINT_NAME.
Crea un endpoint Service Directory utilizzando il nome default e l'indirizzo IP e la porta (443) dell'endpoint.

Dopo aver registrato l'endpoint con Service Directory, segui le istruzioni per configurare una zona DNS di Service Directory.

Configurare il DNS manualmente

Se hai impedito la configurazione automatica del DNS o se non è abilitata nella configurazione, puoi utilizzare Cloud DNS per creare manualmente i record DNS

Per ulteriori informazioni, consulta le seguenti pagine:

Controllo dell'accesso: il ruolo Amministratore DNS (roles/dns.admin) fornisce le autorizzazioni necessarie per creare zone e record DNS.
Crea una zona privata.
- Quando configuri una zona privata, fornisci un nome DNS. Utilizza il dominio DNS utilizzato dal producer di servizi per i suoi servizi pubblicati. Rivolgiti al producer di servizi per avere queste informazioni.
  
  Potrebbe avere questo formato: REGION.p.DOMAIN. Ad esempio, se il dominio pubblico producer di servizi è example.com e il servizio pubblicato è in us-west1, consigliamo di renderlo disponibile utilizzando i nomi di dominio us-west1.p.example.com.
Aggiungi un record.

Risoluzione dei problemi

La creazione della zona DNS privata non riesce

Quando crei un endpoint, viene creata una zona DNS di Service Directory. La creazione delle zone può non riuscire per i seguenti motivi:

Non hai attivato l'API Cloud DNS nel tuo progetto.
Non disponi delle autorizzazioni necessarie per creare una zona DNS di Service Directory.
In questa rete VPC esiste già una zona DNS con lo stesso nome.
In questa rete VPC esiste già una zona DNS per lo stesso nome di dominio.

Per creare manualmente la zona DNS di Service Directory, segui questi passaggi:

Verifica che l'API Cloud DNS sia abilitata nel tuo progetto.
Verifica di disporre delle autorizzazioni necessarie per creare la zona DNS di Service Directory:
- dns.managedZones.create
- dns.networks.bindPrivateDNSZone
- servicedirectory.namespaces.associatePrivateZone
Se esiste una zona in conflitto, ma non è più necessaria, elimina la zona DNS.
Crea una zona DNS di Service Directory supportata dallo spazio dei nomi Service Directory associato al tuo endpoint.

La creazione dell'endpoint non riesce quando è configurato l'accesso globale

Non tutti i servizi pubblicati di Private Service Connect supportano gli endpoint con accesso globale. Se crei un endpoint con accesso globale e il servizio pubblicato non lo supporta, viene visualizzato questo messaggio di errore:

Private Service Connect global access is not supported for the given forwarding rule, since its producer service does not support consumer global access.

Crea l'endpoint senza l'opzione di accesso globale.

La creazione dell'endpoint è riuscita, ma la connettività non è stata stabilita

Se crei correttamente un endpoint per i servizi pubblicati, ma la connettività non è stabilita, controlla lo stato della connessione dell'endpoint. Lo stato della connessione potrebbe indicare i passaggi da seguire per risolvere il problema.