Questa pagina è stata tradotta dall'API Cloud Translation.

Accedere ai servizi gestiti mediante Private Service Connect

Private Service Connect ti consente di connetterti ai producer di servizi utilizzando endpoint con indirizzi IP interni nella tua rete VPC.

Questo documento spiega come utilizzare gli endpoint di Private Service Connect per connettersi ai servizi gestiti supportati in un'altra rete VPC. Puoi connetterti ai tuoi servizi o a quelli forniti da altri produttori di servizi. Per ulteriori informazioni, consulta la pagina relativa alla pubblicazione di servizi gestiti.

Ruoli

Il seguente ruolo IAM fornisce le autorizzazioni necessarie per eseguire le attività in questa guida.

Attività	Ruoli
Crea un endpoint Private Service Connect	Entrambi i ruoli: Compute Amministratore rete (`roles/compute.networkAdmin`) e Editor Service Directory (`roles/servicedirectory.editor`)
Configura automaticamente o manualmente le voci DNS per un endpoint Private Service Connect	Amministratore DNS (`roles/dns.admin`)

Prima di iniziare

Devi abilitare l'API Compute Engine nel tuo progetto.
Devi abilitare l'API Service Directory nel tuo progetto.
Devi attivare l'API Cloud DNS nel tuo progetto.
Le regole del firewall in uscita devono consentire il traffico all'indirizzo IP interno dell'endpoint di Private Service Connect. La regola firewall consentito in uscita implicita consente il traffico in uscita verso qualsiasi indirizzo IP di destinazione.

Se hai creato regole firewall in uscita in uscita nella rete VPC oppure se hai creato criteri firewall gerarchici che modificano il comportamento in uscita consentito, l'accesso all'endpoint potrebbe essere interessato. Crea un criterio o una regola firewall di uscita specifica per il traffico in uscita verso la destinazione dell'indirizzo IP interno dell'endpoint di servizio.
Devi avere l'URI dell'allegato del servizio. Ad esempio, projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME
Se stai creando un endpoint Private Service Connect in un progetto protetto da un perimetro dei Controlli di servizio VPC che limita compute.googleapis.com, servicedirectory.googleapis.com o dns.googleapis.com, è necessaria un'ulteriore configurazione. Prima di creare l'endpoint, devi creare regole di traffico in entrata e in uscita per i Controlli di servizio VPC. Per ulteriori informazioni, consulta Configurazione delle regole di traffico in entrata e in uscita per i Controlli di servizio VPC.

Limitazioni

Gli endpoint Private Service Connect non sono accessibili dalle reti VPC in peering.
Non puoi inviare richieste da un ambiente on-premise connesso a un VPC tramite i collegamenti Cloud Interconnect (VLAN) a un endpoint Private Service Connect utilizzato per accedere ai servizi in un'altra rete VPC.

Per informazioni sull'accesso agli endpoint Private Service Connect da ambienti on-premise connessi tramite Cloud VPN, consulta l'articolo Utilizzare Private Service Connect da host on-premise.
Mirroring pacchetto non può eseguire il mirroring dei pacchetti per il traffico dei servizi pubblicati di Private Service Connect.

Configurazione DNS automatica

Se sono presenti le seguenti configurazioni, le voci DNS vengono create automaticamente per gli endpoint di Private Service Connect:

Il producer di servizi ha configurato un nome di dominio per il servizio.
L'endpoint di Private Service Connect è registrato con uno spazio dei nomi di Service Directory.

Tutti i nuovi endpoint vengono registrati automaticamente con Service Directory, ma potrebbero non essere registrati.

Se sono presenti entrambe le configurazioni, quando viene creato l'endpoint di Private Service Connect, viene creata una zona DNS di Service Directory con il nome: NAMESPACE--REGION. Questa zona privata archivia le voci DNS per i servizi trovati nello spazio dei nomi di Service Directory NAMESPACE, nell'area geografica REGION.

Configurazione DNS automatica per gli endpoint di Private Service Connect che utilizza Service Directory (fai clic per ingrandire)

Dopo aver creato l'endpoint di Private Service Connect, puoi verificare se è stata creata una zona DNS di Service Directory. Se la zona DNS di Service Directory non viene creata, puoi creare manualmente una configurazione simile. Per ulteriori informazioni, consulta la sezione Visualizzare le zone DNS di Service Directory.

Se non vuoi creare queste voci DNS, procedi in uno dei seguenti modi:

Se non utilizzi Cloud DNS per un altro scopo, disattiva l'API Cloud DNS o rimuovi le autorizzazioni necessarie per Cloud DNS.
Attendi la creazione della zona DNS, quindi Elimina la zona DNS manualmente.

Se vuoi configurare manualmente il DNS, consulta l'articolo Configurare manualmente il DNS.

Crea un endpoint Private Service Connect

Un endpoint Private Service Connect si connette ai servizi in un'altra rete VPC mediante una regola di forwarding di Private Service Connect. Ogni regola di forwarding viene conteggiata ai fini della quota per progetto per le regole di forwarding di Private Service Connect per accedere ai servizi in un'altra rete VPC.

Quando utilizzi Private Service Connect per connetterti ai servizi in un'altra rete VPC, scegli un indirizzo IP da una subnet nella tua rete VPC.

L'indirizzo IP deve trovarsi nella stessa area geografica del collegamento al servizio producer dei servizi. L'indirizzo IP viene conteggiato ai fini della quota del progetto per gli indirizzi IP interni.

Quando crei un endpoint Private Service Connect, viene registrato automaticamente con Service Directory, utilizzando uno spazio dei nomi scelto da te o lo spazio dei nomi predefinito goog-psc-default.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o uno dei seguenti ruoli IAM.

Autorizzazioni

compute.networks.use
compute.addresses.create
compute.addresses.use
compute.forwardingRules.create
compute.forwardingRules.pscCreate
servicedirectory.namespaces.create
servicedirectory.namespaces.associatePrivateZone
servicedirectory.services.create
dns.managedZones.create
dns.networks.bindPrivateDNSZone

Ruoli

Per informazioni sul ruolo, consulta Ruoli.

Console

In Google Cloud Console, vai a Private Service Connect.

Vai a Private Service Connect
Fai clic sulla scheda Endpoint connessi.
Fai clic su Connetti endpoint.
In Target, seleziona Servizio pubblicato.
In Servizio di destinazione, inserisci l'URI dell'allegato di servizio a cui vuoi connetterti.

L'URI dell'allegato di servizio è nel seguente formato: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME
In Nome endpoint, inserisci un nome da utilizzare per l'endpoint.
Seleziona una rete per l'endpoint.
Seleziona una subnet per l'endpoint.
Seleziona un indirizzo IP per l'endpoint. Se hai bisogno di un nuovo indirizzo IP, puoi crearne uno:
1. Fai clic sul menu a discesa Indirizzo IP e seleziona Crea indirizzo IP.
2. Inserisci un Nome e una Descrizione facoltativa per l'indirizzo IP.
3. In Indirizzo IP statico, seleziona Assegna automaticamente o Consentimi di scegliere.
  
  Se hai selezionato Fammi scegliere, inserisci l'indirizzo IP personalizzato che vuoi utilizzare.
4. Fai clic su Prenota.
Seleziona uno Spazio dei nomi dall'elenco a discesa o crea un nuovo spazio dei nomi.

L'area geografica viene compilata in base alla subnet selezionata.
Fai clic su Aggiungi endpoint.

gcloud

Prenota un indirizzo IP interno da assegnare all'endpoint.
```
gcloud compute addresses create ADDRESS_NAME \
    --region=REGION \
    --subnet=SUBNET
```
Sostituisci quanto segue:
- ADDRESS_NAME: il nome da assegnare all'indirizzo IP prenotato.
- REGION: area geografica dell'indirizzo IP dell'endpoint. Deve essere la stessa area geografica che contiene l'allegato di servizio del producer di servizi.
- SUBNET: il nome della subnet per l'indirizzo IP dell'endpoint.

Trova l'indirizzo IP riservato.

gcloud compute addresses list --filter="name=ADDRESS_NAME"

Crea una regola di forwarding per connettere l'endpoint al collegamento del servizio del producer di servizi.
```
gcloud compute forwarding-rules create ENDPOINT_NAME \
    --region=REGION \
    --network=NETWORK_NAME \
    --address=ADDRESS_NAME \
    --target-service-attachment=SERVICE_ATTACHMENT \
    [ --service-directory-registration=projects/PROJECT_ID/locations/REGION/namespaces/NAMESPACE ]
```
Sostituisci quanto segue:
- ENDPOINT_NAME: il nome da assegnare all'endpoint.
- REGION: l'area geografica per l'endpoint. Deve essere nella stessa area geografica che contiene l'allegato di servizio del producer di servizi.
- NETWORK_NAME: il nome della rete VPC per l'endpoint.
- ADDRESS_NAME: nome dell'indirizzo prenotato.
- SERVICE_ATTACHMENT: URI dell'allegato di servizio del producer di servizi. Ad esempio: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME
- PROJECT_ID: l'ID progetto.
- NAMESPACE: lo spazio dei nomi di Service Directory che vuoi utilizzare. Se specifichi uno spazio dei nomi che non esiste, viene creato uno spazio dei nomi.
  
  Se ometti il flag --service-directory-registration, viene utilizzato lo spazio dei nomi predefinito di goog-psc-default.

API

Prenota un indirizzo IP interno da assegnare all'endpoint.
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/region/REGION/addresses

{
  "name": ADDRESS_NAME,
  "addressType": "INTERNAL",
  "subnetwork": SUBNET_URI
}
```
Sostituisci quanto segue:
- PROJECT_ID: l'ID progetto.
- ADDRESS_NAME: il nome da assegnare all'indirizzo IP prenotato.
- SUBNET_URI: la subnet per l'indirizzo IP. Utilizza il metodo subnet.list o gcloud compute networks subnets list --uri per trovare gli URL delle tue reti.
Crea una regola di forwarding per connettere l'endpoint alle API e ai servizi Google.
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/forwardingRules
{
  "name": ENDPOINT_NAME,
  "IPAddress": ADDRESS_URI,
  "target": SERVICE_ATTACHMENT,
  "network": NETWORK_URI,
  "serviceDirectoryRegistrations": [
      {
          "namespace": NAMESPACE,
      }
  ],
}
```
Sostituisci quanto segue:
- PROJECT_ID: l'ID progetto.
- REGION: l'area geografica per l'endpoint.
- ENDPOINT_NAME: il nome da assegnare all'endpoint.
- ADDRESS_URI: URI dell'indirizzo prenotato sulla rete associata. Utilizza il metodo addresses.list o gcloud compute addresses list --uri per trovare l'URL del tuo indirizzo prenotato.
- SERVICE_ATTACHMENT: URI dell'allegato di servizio del producer di servizi. Ad esempio: projects/SERVICE_PROJECT/regions/REGION/serviceAttachments/SERVICE_NAME
- NETWORK_URI: la rete VPC per l'endpoint. Utilizza il metodo network.list o gcloud compute networks list --uri per trovare l'URI della tua rete.
- NAMESPACE: lo spazio dei nomi per l'endpoint. Se specifichi uno spazio dei nomi che non esiste, lo spazio dei nomi viene creato. Se ometti il campo namespace, viene assegnato lo spazio dei nomi predefinito goog-psc-default.

Configurare le regole in entrata e in uscita per i Controlli di servizio VPC

Se stai creando un endpoint Private Service Connect in un progetto protetto da un perimetro dei Controlli di servizio VPC che limita compute.googleapis.com, servicedirectory.googleapis.com o dns.googleapis.com, è necessaria un'ulteriore configurazione. Prima di creare un endpoint Private Service Connect, chiedi al producer di servizi le seguenti informazioni:

PRODUCER_PROJECT_NUMBER: il numero del progetto contenente l'allegato di servizio.
(Facoltativo) PRODUCER_SERVICE_ACCOUNT: il nome dell'account di servizio che ha creato il collegamento del servizio se vuoi configurare una regola in entrata che limita l'accesso in base all'account.

Utilizza queste informazioni per creare regole in entrata e in uscita per consentire la connessione tra l'endpoint di Private Service Connect e l'allegato di servizio.

Per informazioni sulla configurazione delle regole in entrata e in uscita, consulta Configurare i criteri in entrata e in uscita.

Configura una regola in uscita che consenta il traffico in uscita dal progetto consumer al progetto producer PRODUCER_PROJECT_NUMBER.

- egressFrom:
    identityType: ANY_IDENTITY
  egressTo:
    operations:
    - serviceName: 'compute.googleapis.com'
      methodSelectors:
      - method: 'ServiceAttachmentsService.Insert'
      - method: 'ServiceAttachmentsService.Patch'
      - method: 'RegionForwardingRulesService.Insert'
    - serviceName: 'servicedirectory.googleapis.com'
      methodSelectors:
      - method: '*'
    - serviceName: 'dns.googleapis.com'
      methodSelectors:
      - method: '*'
    resources:
    - 'projects/PRODUCER_PROJECT_NUMBER'

Crea una delle seguenti regole in entrata.

Questa regola in entrata di esempio consente al producer di servizi di aggiornare un allegato di servizio creato da PRODUCER_SERVICE_ACCOUNT per aggiungere il tuo progetto all'elenco di accettazione.

- ingressFrom:
    sources:
    - accessLevel: '*' # All Sources
    identities: serviceAccount: PRODUCER_SERVICE_ACCOUNT
  ingressTo:
    operations:
    - serviceName: 'compute.googleapis.com'
      methodSelectors:
      - method: 'ServiceAttachmentsService.Patch'
    - serviceName: 'servicedirectory.googleapis.com'
      methodSelectors:
      - method: '*'
    - serviceName: 'dns.googleapis.com'
      methodSelectors:
      - method: '*'
    resources:
    - '*'

Questa regola in entrata di esempio consente al producer di servizi di aggiornare un allegato di servizio creato da un account per aggiungere il tuo progetto all'elenco di accettazione.

- ingressFrom:
    sources:
    - accessLevel: '*' # All Sources
    identityType: ANY_IDENTITY
  ingressTo:
    operations:
    - serviceName: 'compute.googleapis.com'
      methodSelectors:
      - method: 'ServiceAttachmentsService.Patch'
    - serviceName: 'servicedirectory.googleapis.com'
      methodSelectors:
      - method: '*'
    - serviceName: 'dns.googleapis.com'
      methodSelectors:
      - method: '*'
    resources:
    - '*'

Dopo aver configurato le regole in entrata e in uscita, puoi creare un endpoint di Private Service Connect che si connette a un allegato di servizio nel progetto PRODUCER_PROJECT_NUMBER.

Visualizza zone DNS di Service Directory

Se i prerequisiti per la configurazione DNS automatica sono soddisfatti, viene creata una zona DNS con un nome nel formato NAMESPACE--REGION.

Console

In Cloud Console, vai alla pagina Zone Cloud Cloud.

Vai alle zone di Cloud DNS
Cerca una zona privata denominata NAMESPACE--REGION.

gcloud

Esegui il comando seguente per elencare tutte le zone DNS private:

gcloud dns managed-zones list \
    --filter="visibility=private"

Esegui il comando seguente per ottenere i dettagli di una zona con il nome NAMESPACE--REGION.
```
gcloud dns managed-zones describe NAMESPACE--REGION
```

Se la zona non è presente, visualizza i dettagli dell'endpoint di Private Service Connect e controlla se la configurazione dell'endpoint include un valore per lo spazio dei nomi.

Se l'endpoint ha una configurazione dello spazio dei nomi, consulta la sezione Configurare una zona DNS di Service Directory.
Se l'endpoint non ha una configurazione dello spazio dei nomi, consulta la sezione Registrare un endpoint Private Service Connect con Service Directory.

Elenco endpoint

Puoi elencare tutti gli endpoint privati di Private Service Connect.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o uno dei seguenti ruoli IAM.

Autorizzazioni

compute.forwardingRules.list

Ruoli

Per informazioni sul ruolo, consulta Ruoli.

Console

In Google Cloud Console, vai alla pagina Private Service Connect.

Vai a Private Service Connect
Fai clic sulla scheda Endpoint connessi.

Vengono visualizzati gli endpoint di Private Service Connect.

gcloud

gcloud compute forwarding-rules list  \
    --filter 'target~serviceAttachments'

L'output è simile al seguente:

NAME  REGION  IP_ADDRESS  IP_PROTOCOL  TARGET
RULE          IP          TCP          REGION/serviceAttachments/SERVICE_NAME

API

Questa chiamata API restituisce tutte le regole di forwarding, non solo gli endpoint Private Service Connect utilizzati per accedere ai servizi.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/forwardingRules

Sostituisci quanto segue:

PROJECT_ID: il progetto che contiene l'endpoint.
REGION: l'area geografica per l'endpoint.

Visualizza dettagli endpoint

Puoi visualizzare tutti i dettagli della configurazione di un endpoint di Private Service Connect.

L'endpoint può avere uno dei seguenti stati:

In attesa: l'endpoint è configurato per la connessione a un servizio che richiede approvazione e l'approvazione non è stata ancora assegnata a questo progetto.
Accettato: l'endpoint si trova in un progetto approvato per la connessione al servizio.
Rifiutato: l'endpoint si trova in un progetto a cui non è consentito connettersi al servizio.
Chiuso: l'endpoint è connesso a un allegato di servizio che è stato eliminato.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o uno dei seguenti ruoli IAM.

Autorizzazioni

compute.forwardingRules.get

Ruoli

Per informazioni sul ruolo, consulta Ruoli.

Console

In Google Cloud Console, vai alla pagina Private Service Connect.

Vai a Private Service Connect
Fai clic sulla scheda Endpoint connessi.
Fai clic sull'endpoint da visualizzare.

gcloud

gcloud compute forwarding-rules describe \
    ENDPOINT_NAME --region=REGION

Sostituisci quanto segue:

ENDPOINT_NAME: il nome dell'endpoint.
REGION: l'area geografica per l'endpoint.

API

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/forwardingRules/ENDPOINT_NAME

Sostituisci quanto segue:

PROJECT_ID: il progetto che contiene l'endpoint.
REGION: l'area geografica per l'endpoint.
ENDPOINT_NAME: il nome dell'endpoint.

Etichettatura di un endpoint

Puoi gestire le etichette per gli endpoint di Private Service Connect. Per ulteriori informazioni, consulta la sezione relativa all'etichettatura delle risorse.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o uno dei seguenti ruoli IAM.

Autorizzazioni

compute.forwardingRules.pscSetLabels
compute.forwardingRules.setLabels

Ruoli

Per informazioni sul ruolo, consulta Ruoli.

Eliminazione di un endpoint

Puoi eliminare un endpoint di Private Service Connect.

Tuttavia, le seguenti configurazioni di Service Directory non vengono eliminate quando elimini l'endpoint:

Spazio dei nomi Service Directory
Zona DNS di Service Directory

Lo spazio dei nomi di Service Directory e la zona DNS di Service Directory possono essere utilizzati da altri servizi. Verifica che lo spazio dei nomi sia vuoto prima di eliminare lo spazio dei nomi di Service Directory o di eliminare la zona DNS di Service Directory.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o uno dei seguenti ruoli IAM.

Autorizzazioni

compute.forwardingRules.pscDelete
compute.forwardingRules.delete
servicedirectory.namespaces.delete
servicedirectory.services.delete

Ruoli

Per informazioni sul ruolo, consulta Ruoli.

Console

In Google Cloud Console, vai a Private Service Connect.

Vai a Private Service Connect
Fai clic sulla scheda Endpoint connessi.
Seleziona l'endpoint di Private Service Connect che vuoi eliminare, quindi fai clic su Delete (Elimina).

gcloud

    gcloud compute forwarding-rules delete \
        ENDPOINT_NAME --region=REGION

Sostituisci quanto segue:

ENDPOINT_NAME: il nome dell'endpoint.
REGION: l'area geografica per l'endpoint.

API

DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/forwardingRules/ENDPOINT_NAME

Sostituisci quanto segue:

PROJECT_ID: il progetto che contiene l'endpoint.
REGION: l'area geografica per l'endpoint.
ENDPOINT_NAME: il nome dell'endpoint.

Altri modi per configurare il DNS

Se i prerequisiti per la configurazione DNS automatica non sono soddisfatti, puoi creare voci DNS in altri modi:

Se l'endpoint ha uno spazio dei nomi configurato, consulta la sezione Configurare una zona DNS di Service Directory.
Se l'endpoint non ha uno spazio dei nomi configurato, consulta la sezione Registrare un endpoint Private Service Connect con Service Directory.
Se preferisci configurare manualmente il DNS, consulta l'articolo Configurare manualmente il DNS.

Configurare una zona DNS di Service Directory

Se un endpoint Private Service Connect è registrato con Service Directory, ma il servizio pubblicato a cui si connette non ha un nome di dominio configurato, non vengono apportate modifiche DNS.

Se vuoi replicare la configurazione DNS automatica, puoi configurare manualmente una zona DNS di Service Directory supportata dallo spazio dei nomi di Service Directory. Dopo la creazione della zona, vengono create automaticamente le voci DNS per l'endpoint di Private Service Connect.

Crea una zona DNS di Service Directory con la configurazione seguente:

Nome zona: specifica NAMESPACE--REGION, dove NAMESPACE è lo spazio dei nomi in cui è registrato l'endpoint di Private Service Connect e REGION è l'area geografica in cui viene creato l'endpoint.
Nome DNS: il dominio DNS che il producer di servizi utilizza per i propri servizi pubblicati. Per queste informazioni, rivolgiti al produttore.

Il nome DNS potrebbe avere il formato REGION.p.DOMAIN. Ad esempio, se il dominio pubblico del producer di servizi è example.com e il servizio pubblicato è in us-west1, consigliamo di rendere disponibile il servizio utilizzando i nomi di dominio us-west1.p.example.com. Includi un punto finale (ad esempio us-west1.p.example.com.)
Spazio dei nomi Service Directory: lo spazio dei nomi configurato per questo endpoint.

Visualizza i dettagli dell'endpoint di Private Service Connect per trovare lo spazio dei nomi e l'area geografica di Service Directory.

Con questa configurazione, se hai configurato una zona DNS di Service Directory con il nome DNS us-west1.p.example.com e crei un endpoint Private Service Connect con il nome analytics, viene creato automaticamente un record DNS per analytics.us-west1.p.example.com.

Registrare un endpoint Private Service Connect con Service Directory

I nuovi endpoint di Private Service Connect vengono registrati automaticamente con Service Directory. Tuttavia, se è stato creato un endpoint Private Service Connect prima dell'abilitazione della registrazione automatica con Service Directory, questa configurazione potrebbe mancare.

Puoi eliminare l'endpoint di Private Service Connect e crearne uno nuovo, che viene registrato automaticamente con Service Directory.

In alternativa, puoi seguire questi passaggi per registrare un'istanza esistente di Private Service Connect con uno spazio dei nomi di Service Directory.

Crea uno spazio dei nomi Service Directory per l'endpoint di Private Service Connect, NAMESPACE.
Crea un servizio Service Directory per l'endpoint di Private Service Connect, SERVICE_NAME.

Per il servizio, utilizza lo stesso nome della regola di forwarding utilizzata per l'endpoint di Private Service Connect, ENDPOINT_NAME.
Crea un endpoint di Service Directory, utilizzando il nome default e utilizza l'indirizzo IP e la porta (443) dell'endpoint di Private Service Connect.

Dopo aver registrato l'endpoint di Private Service Connect con Service Directory, segui le istruzioni per configurare una zona DNS di Service Directory.

Configura DNS manualmente

Se hai impedito la configurazione automatica del DNS o se non è abilitata nella tua configurazione, puoi utilizzare Cloud DNS per creare manualmente i record DNS

Per ulteriori informazioni, visita le seguenti pagine:

Controllo dell'accesso: il ruolo Amministratore DNS (roles/dns.admin) fornisce le autorizzazioni necessarie per creare record e zone DNS.
Crea una zona privata.
- Quando configuri una zona privata devi specificare un nome DNS. Utilizza il dominio DNS che il producer di servizi utilizza per i propri servizi pubblicati. Per queste informazioni, rivolgiti al produttore.
  
  Potrebbe avere il seguente formato: REGION.p.DOMAIN. Ad esempio, se il dominio pubblico del producer di servizi è example.com e il servizio pubblicato è in us-west1, consigliamo di rendere disponibile il servizio utilizzando i nomi di dominio us-west1.p.example.com.
Aggiungi un record.

Logging

Puoi abilitare i log di flusso VPC sulle subnet contenenti VM che accedono ai servizi in un'altra rete VPC utilizzando gli endpoint Private Service Connect. I log mostrano i flussi tra le VM e l'endpoint di Private Service Connect.

Utilizzo di Private Service Connect da host on-premise

Se la tua rete on-premise è connessa a una rete VPC, puoi accedere ai servizi pubblicati di Private Service Connect da host on-premise utilizzando l'indirizzo IP interno dell'endpoint di Private Service Connect.

La tua rete on-premise deve essere connessa a una rete VPC tramite tunnel Cloud VPN, nella stessa area geografica in cui si trova l'endpoint di Private Service Connect.
L'endpoint di Private Service Connect è nella rete VPC connessa alla tua rete on-premise.
Se vuoi accedere all'endpoint di Private Service Connect utilizzando il suo nome DNS, devi configurare i sistemi on-premise in modo che possano eseguire query sulle zone DNS private.

Se hai implementato le zone DNS private utilizzando Cloud DNS, completa i seguenti passaggi:
- Crea un criterio del server in entrata nella rete VPC alla quale si connette la tua rete on-premise.
- Identifica i punti di ingresso inoltratori in entrata nelle aree geografiche in cui si trovano i tuoi tunnel Cloud VPN nella rete VPC a cui si connette la tua rete on-premise.
- Configura i sistemi on-premise e i server dei nomi DNS on-premise per inoltrare i nomi DNS per gli endpoint Private Service Connect a un punto di ingresso inoltratore in entrata nella stessa area geografica del tunnel Cloud VPN che si connette alla rete VPC.

Risolvere i problemi

Creazione della zona DNS privata non riuscita

Quando crei un endpoint Private Service Connect, viene creata una zona DNS di Service Directory. La creazione di una zona può non riuscire per i seguenti motivi:

Non hai attivato l'API Cloud DNS nel tuo progetto.
Non disponi delle autorizzazioni necessarie per creare una zona DNS di Service Directory.
In questa rete VPC esiste una zona DNS con lo stesso nome di zona.
Esiste già una zona DNS per lo stesso nome di dominio in questa rete VPC.

Per creare manualmente la zona DNS di Service Directory, segui questi passaggi:

Verifica che l'API Cloud DNS sia attivata nel tuo progetto.
Verifica di disporre delle autorizzazioni necessarie per creare la zona DNS di Service Directory:
- dns.managedZones.create
- dns.networks.bindPrivateDNSZone
- servicedirectory.namespaces.associatePrivateZone
Se è presente una zona in conflitto, ma non è più necessaria, elimina la zona DNS.
Crea una zona DNS di Service Directory supportata dallo spazio dei nomi di Service Directory associato al tuo endpoint Private Service Connect.