Richtlinien für Dienstverbindungen konfigurieren

Auf dieser Seite wird beschrieben, wie ein Netzwerkadministrator Richtlinien für Dienstverbindungen konfigurieren kann, um private Verbindungen zu einem verwalteten Dienst zu automatisieren.

Hinweis

  • Achten Sie darauf, dass der verwaltete Dienst, den Sie bereitstellen möchten, Richtlinien für Dienstverbindungen unterstützt. Die Bereitstellung von Diensten mithilfe von Richtlinien für Dienstverbindungen ist in einer eingeschränkten Vorschau verfügbar. Weitere Informationen zu Diensten, die Richtlinien für Dienstverbindungen unterstützen, finden Sie unter Unterstützte Dienste.

  • Sie müssen den Namen der Dienstklasse für die verwaltete Dienstinstanz, für die Sie die Verbindung bereitstellen möchten, kennen.

  • Weitere Informationen zu Private Service Connect-Endpunkten.

  • Sie benötigen ein VPC-Netzwerk (Virtual Private Cloud) und ein Subnetz.

  • Sie müssen in Ihrem Projekt die Compute Engine API aktivieren.

  • Sie müssen die Network Connectivity API in Ihrem Projekt aktivieren.

  • Sie müssen die Service Consumer Management API in dem Nutzerprojekt aktivieren, in dem die Private Service Connect-Endpunkte bereitgestellt werden. Mit dieser API kann Google Cloud das Network Connectivity-Dienstkonto erstellen, das Private Service Connect-Endpunkte bereitstellt.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Compute-Netzwerkadministrator (roles/compute.networkAdmin) zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren eines Netzwerks und zum Erstellen einer Richtlinie für Dienstverbindungen benötigen.

Damit Sie Dienstverbindungsrichtlinien mit freigegebener VPC verwenden können, müssen Network Connectivity-Dienstkonten Rollen für das Dienst- und Hostprojekt zugewiesen sein. Diese Dienstkonten werden automatisch konfiguriert, wenn eine Richtlinie für Dienstverbindungen erstellt wird. Die Rollen können jedoch manuell entfernt werden. Wenn Fehler zu fehlenden Berechtigungen angezeigt werden, muss ein Dienstkontoadministrator die Rollen möglicherweise noch einmal zuweisen. Weitere Informationen finden Sie unter Dienstkonten für freigegebene VPC konfigurieren.

Richtlinie für Dienstverbindungen erstellen

Mit einer Richtlinie für Dienstverbindungen können Sie die angegebene Dienstklasse zum Erstellen einer Private Service Connect-Verbindung zwischen VPC-Netzwerken von Erstellern und Nutzern autorisieren.

Sie können für jede Kombination aus Dienstklasse, Region und VPC-Netzwerk maximal eine Richtlinie erstellen. Eine Richtlinie legt die Automatisierung der Dienstverbindung für genau diese Kombination fest. Wenn Sie eine Richtlinie konfigurieren, wählen Sie ein Subnetz aus. Das Subnetz wird verwendet, um den Endpunkten IP-Adressen zuzuweisen, die über die Richtlinie erstellt werden. Sie können dasselbe Subnetz in mehreren Verbindungsrichtlinien verwenden, wenn die Richtlinien dieselbe Region verwenden.

Wenn Sie beispielsweise die Automatisierung der Dienstverbindung für zwei Dienste in drei verschiedenen Regionen verwenden möchten, erstellen Sie sechs Richtlinien. Sie können mindestens drei Subnetze verwenden – eines für jede Region.

Nachdem Sie eine Dienstverbindungsrichtlinie erstellt haben, können Sie nur die Subnetze und das Verbindungslimit der Richtlinie aktualisieren. Wenn Sie andere Felder aktualisieren möchten, löschen Sie die Richtlinie und erstellen Sie eine neue.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Verbindungsrichtlinien.

  3. Klicken Sie auf Verbindungsrichtlinie erstellen.

  4. Geben Sie einen Namen für die Verbindungsrichtlinie ein.

  5. Geben Sie die Dienstklasse an.

    • Gehen Sie bei Google-Diensten so vor:
      1. Wählen Sie für Quelldienstklasse die Option Google-Dienste aus.
      2. Wählen Sie im Menü Dienstklasse die Dienstklasse aus.
    • Führen Sie für Drittanbieterdienste die folgenden Schritte aus:
      1. Wählen Sie für Quelldienstklasse die Option Drittanbieterdienste aus.
      2. Geben Sie für Dienstklasse den Namen der Dienstklasse ein.
  6. Wählen Sie im Abschnitt Zielendpunktbereich ein Netzwerk und eine Region aus, für die diese Richtlinie gilt.

  7. Wählen Sie im Abschnitt Richtlinie ein oder mehrere Subnetze aus dem Menü Subnetzwerke aus. Die Subnetze werden verwendet, um Endpunkten IP-Adressen zuzuweisen.

  8. Optional: Geben Sie ein Verbindungslimit für die Richtlinie an. Das Limit legt fest, wie viele Endpunkte mit dieser Verbindungsrichtlinie erstellt werden können. Wenn Sie das Flag weglassen, gibt es kein Limit.

  9. Klicken Sie auf Richtlinie erstellen.

gcloud

Führen Sie den Befehl service-connection-policies create aus.

gcloud network-connectivity service-connection-policies create POLICY_NAME \
    --network=NETWORK \
    --project=PROJECT_ID \
    --region=REGION \
    --service-class=SERVICE_CLASS \
    --subnets=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETS \
    --psc-connection-limit=LIMIT \
    --description=DESCRIPTION

Ersetzen Sie Folgendes:

  • POLICY_NAME: der Name Ihrer Dienstverbindungsrichtlinie.
  • NETWORK: das Netzwerk, auf das diese Richtlinie angewendet werden soll.
  • PROJECT_ID: die Projekt-ID oder Nummer des Projekts des VPC-Netzwerks. Für freigegebene VPC-Netzwerke gilt, dass Richtlinien für Dienstverbindungen im Hostprojekt bereitgestellt werden müssen und in Dienstprojekten nicht unterstützt werden.
  • REGION: die Region, auf die diese Richtlinie angewendet werden soll. Für jede Region, in der Sie die Dienstverbindung automatisieren möchten, muss dieselbe Richtlinie vorhanden sein.
  • SERVICE_CLASS: die vom Hersteller bereitgestellte Ressourcen-ID der Dienstklasse.
  • SUBNETS: ein oder mehrere reguläre Nutzersubnetze, die zum Zuweisen von IP-Adressen für Private Service Connect-Endpunkte verwendet werden. Diese IP-Adressen werden automatisch zugewiesen und an den Pool des Subnetzes zurückgegeben, wenn verwaltete Dienstinstanzen erstellt und gelöscht werden. Die Subnetze müssen sich in derselben Region wie die Dienstverbindungsrichtlinie befinden. Sie können dasselbe Subnetzwerk in mehreren Verbindungsrichtlinien verwenden, wenn die Richtlinien dieselbe Region verwenden. Sie können mehrere Subnetze in einer durch Kommas getrennten Liste angeben.
  • LIMIT: die maximale Anzahl von Endpunkten, die mit dieser Richtlinie erstellt werden können. Wenn keine Angabe erfolgt, gibt es kein Limit.
  • DESCRIPTION ist eine optionale Beschreibung der Dienstverbindungsrichtlinie.

Mit dem folgenden Befehl wird beispielsweise eine Richtlinie für Dienstverbindungen für die Dienstklasse gcp-database-service erstellt, die IP-Adressen aus dem Subnetz managed-services zuweist. Mit dieser Richtlinie können maximal 10 Private Service Connect-Endpunkte erstellt werden. Die Endpunkte müssen in Projekten erstellt werden, die sich in derselben Organisation wie die verwaltete Dienstinstanz befinden.

gcloud network-connectivity service-connection-policies create gcp-database-cxn-policy \
    --network=default \
    --project=my-project \
    --region=us-central1 \
    --service-class=gcp-database-service \
    --subnets=managed-service-subnet \
    --psc-connection-limit=10

Terraform

Sie können die Terraform-Ressource verwenden, um eine Richtlinie für Dienstverbindungen zu erstellen.

# Create a VPC network
resource "google_compute_network" "default" {
  name                    = "consumer-network"
  auto_create_subnetworks = false
}

# Create a subnetwork
resource "google_compute_subnetwork" "default" {
  name          = "consumer-subnet"
  ip_cidr_range = "10.0.0.0/16"
  region        = "us-central1"
  network       = google_compute_network.default.id
}

# Create a service connection policy
resource "google_network_connectivity_service_connection_policy" "default" {
  name          = "service-connection-policy"
  location      = "us-central1"
  service_class = "gcp-memorystore-redis"
  network       = google_compute_network.default.id
  psc_config {
    subnetworks = [google_compute_subnetwork.default.id]
    limit       = 2
  }
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

API

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID: die Projekt-ID.
  • REGION: die Region Ihrer Dienstverbindungsrichtlinie.
  • POLICY_NAME: der Name Ihrer Dienstverbindungsrichtlinie.
  • DESCRIPTION: eine optionale Beschreibung der Dienstverbindungsrichtlinie.
  • NETWORK: das Netzwerk Ihrer Dienstverbindungsrichtlinie.
  • LIMIT: die maximale Anzahl von Endpunkten, die mit dieser Richtlinie erstellt werden können. Wenn keine Angabe erfolgt, gibt es kein Limit.
  • SUBNET: ein oder mehrere reguläre Nutzersubnetze, die zum Zuweisen von IP-Adressen für Private Service Connect-Endpunkte verwendet werden. Diese IP-Adressen werden automatisch zugewiesen und an den Pool des Subnetzes zurückgegeben, wenn verwaltete Dienstinstanzen erstellt und gelöscht werden. Die Subnetze müssen sich in derselben Region wie die Dienstverbindungsrichtlinie befinden. Sie können dasselbe Subnetzwerk in mehreren Verbindungsrichtlinien verwenden, wenn die Richtlinien dieselbe Region verwenden. Sie können mehrere Subnetz-URLs in einer durch Kommas getrennten Liste eingeben.
  • SERVICE_CLASS: die vom Ersteller bereitgestellte Ressourcen-ID der Dienstklasse.

HTTP-Methode und URL:

POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies?serviceConnectionPolicyId=POLICY_NAME

JSON-Text anfordern:

{
  "description": "DESCRIPTION",
  "network": "projects/PROJECT_ID/global/networks/NETWORK",
  "pscConfig": {
    "limit": "LIMIT",
    "subnetworks": [
      "projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET"
    ]
  },
  "serviceClass": "SERVICE_CLASS"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/project-id/locations/us-central1/operations/operation-1692118768698-602f91a204523-8c6a2d93-d5c20a6a",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.networkconnectivity.v1.OperationMetadata",
    "createTime": "2023-08-15T16:59:29.236110917Z",
    "target": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-name",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

Richtlinien für Dienstverbindungen auflisten

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Verbindungsrichtlinien.

  3. Die Verbindungsrichtlinien werden angezeigt.

gcloud

Führen Sie den Befehl service-connection-policies list aus.

gcloud network-connectivity service-connection-policies list \
    --region=REGION

Ersetzen Sie REGION durch die Region, in der Sie die Richtlinien für Dienstverbindungen auflisten möchten.

API

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID: die Projekt-ID.
  • REGION: die Region, in der die Dienstverbindungsrichtlinien aufgelistet werden sollen.

HTTP-Methode und URL:

GET https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "serviceConnectionPolicies": [
    {
      "name": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-1",
      "createTime": "2023-08-15T15:33:54.712819865Z",
      "updateTime": "2023-08-15T15:33:54.945630882Z",
      "description": "descriptor",
      "network": "projects/project-id/global/networks/network-two",
      "serviceClass": "service-class",
      "infrastructure": "PSC",
      "pscConfig": {
        "subnetworks": [
          "projects/project-id/regions/us-west1/subnetworks/us-west1-subnet"
        ],
        "limit": "12"
      },
      "etag": "zCqDFBG1dS7B4gNdJKPR98YMUXpSrBIz0tZB_hwOIZI"
    },
    {
      "name": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-2",
      "createTime": "2023-08-15T16:59:29.230257109Z",
      "updateTime": "2023-08-15T16:59:29.508994923Z",
      "description": "descriptor",
      "network": "projects/project-id/global/networks/custom-test",
      "serviceClass": "service-class",
      "infrastructure": "PSC",
      "pscConfig": {
        "subnetworks": [
          "projects/project-id/regions/us-central1/subnetworks/subnet-one"
        ],
        "limit": "25"
      },
      "etag": "nB603i61nRGMZpNjWoWMM6wRzsgM8QN9C9v5QFLyOa8"
    }
  ]
}

Richtlinie für Dienstverbindungen beschreiben

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Verbindungsrichtlinien.

  3. Klicken Sie auf die Dienstverbindungsrichtlinie, die Sie aufrufen möchten.

gcloud

Führen Sie den Befehl service-connection-policies describe aus.

gcloud network-connectivity service-connection-policies describe POLICY_NAME \
    --region=REGION

Ersetzen Sie Folgendes:

  • POLICY_NAME: der Name der Richtlinie für Dienstverbindungen, die Sie beschreiben möchten.
  • REGION: Region der Richtlinie für Dienstverbindungen, die Sie beschreiben möchten.

API

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID: die Projekt-ID.
  • REGION: die Region Ihrer Dienstverbindungsrichtlinie.
  • POLICY_NAME: der Name der Dienstverbindungsrichtlinie, die beschrieben werden soll.

HTTP-Methode und URL:

GET https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-name",
  "createTime": "2023-08-15T16:59:29.230257109Z",
  "updateTime": "2023-08-15T16:59:29.508994923Z",
  "description": "description",
  "network": "projects/project-id/global/networks/custom-test",
  "serviceClass": "gcp-memorystore-redis",
  "infrastructure": "PSC",
  "pscConfig": {
    "subnetworks": [
      "projects/project-id/regions/us-central1/subnetworks/subnet-one"
    ],
    "limit": "25"
  },
  "etag": "nB603i61nRGMZpNjWoWMM6wRzsgM8QN9C9v5QFLyOa8"
}

Dienstverbindungsrichtlinie aktualisieren

Sie können die Subnetze und das Verbindungslimit für eine Dienstverbindungsrichtlinie aktualisieren.

Wenn Sie ein Subnetz aus der Dienstverbindungsrichtlinie entfernen, gilt Folgendes:

  • Vorhandene Private Service Connect-Endpunkte sind nicht betroffen.
  • Neue Endpunkte verwenden nicht das entfernte Subnetz.

Wenn Sie das Verbindungslimit einer Dienstverbindungsrichtlinie aktualisieren, gilt Folgendes:

  • Vorhandene Endpunkte sind nicht betroffen.
  • Wenn das neue Verbindungslimit niedriger als die vorhandene Anzahl von Endpunkten ist, die der Richtlinie zugeordnet sind, blockiert die Automatisierung der Dienstverbindung die Erstellung neuer Endpunkte, die diese Richtlinie verwenden.
  • Wenn das neue Verbindungslimit höher als die vorhandene Anzahl von Endpunkten ist, die der Richtlinie zugeordnet sind, können Endpunkte, die zuvor durch das Verbindungslimit blockiert wurden, erstellt werden.

Wenn Sie eine Dienstverbindungsrichtlinie aktualisieren und kein Verbindungslimit angeben, hat die aktualisierte Richtlinie kein Verbindungslimit.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Verbindungsrichtlinien.

  3. Klicken Sie auf die Dienstverbindungsrichtlinie, die Sie bearbeiten möchten.

  4. Klicken Sie auf Bearbeiten.

  5. So aktualisieren Sie die Subnetzwerke der Richtlinie:

    1. Klicken Sie auf Subnetzwerke und wählen Sie die Subnetzwerke aus, die Sie mit dieser Richtlinie verknüpfen möchten.
    2. Klicken Sie auf OK.
  6. Geben Sie im Feld Verbindungslimit einen neuen Wert ein, um das Verbindungslimit der Richtlinie zu aktualisieren.

  7. Klicken Sie auf Richtlinie aktualisieren.

gcloud

Führen Sie den Befehl service-connection-policies update aus.

gcloud network-connectivity service-connection-policies update POLICY_NAME \
    --region=REGION
    --project=PROJECT_ID
    --subnets=SUBNETS
    --psc-connection-limit=LIMIT
  • POLICY_NAME: der Name Ihrer Dienstverbindungsrichtlinie.
  • REGION: die Region der Dienstverbindungsrichtlinie. Sie können die Region einer Richtlinie nicht aktualisieren.
  • PROJECT_ID: Die ID oder Nummer des Projekts der Richtlinie.
  • SUBNETS: ein oder mehrere reguläre Nutzersubnetze, die zum Zuweisen von IP-Adressen für Private Service Connect-Endpunkte verwendet werden. Diese IP-Adressen werden automatisch zugewiesen und an den Pool des Subnetzes zurückgegeben, wenn verwaltete Dienstinstanzen erstellt und gelöscht werden. Die Subnetze müssen sich in derselben Region wie die Dienstverbindungsrichtlinie befinden. Sie können dasselbe Subnetzwerk in mehreren Verbindungsrichtlinien verwenden, wenn die Richtlinien dieselbe Region verwenden. Sie können mehrere Subnetze in einer durch Kommas getrennten Liste angeben.
  • LIMIT: die maximale Anzahl von Endpunkten, die mit dieser Richtlinie erstellt werden können. Wenn keine Angabe erfolgt, gibt es kein Limit.

API

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID: die Projekt-ID.
  • REGION: die Region Ihrer Dienstverbindungsrichtlinie. Sie können die Region einer Richtlinie nicht aktualisieren.
  • POLICY_NAME: der Name Ihrer Dienstverbindungsrichtlinie.
  • LIMIT: die maximale Anzahl von Endpunkten, die mit dieser Richtlinie erstellt werden können. Wenn keine Angabe erfolgt, gibt es kein Limit.
  • SUBNET: ein oder mehrere reguläre Nutzersubnetze, die zum Zuweisen von IP-Adressen für Private Service Connect-Endpunkte verwendet werden. Diese IP-Adressen werden automatisch zugewiesen und an den Pool des Subnetzes zurückgegeben, wenn verwaltete Dienstinstanzen erstellt und gelöscht werden. Die Subnetze müssen sich in derselben Region wie die Dienstverbindungsrichtlinie befinden. Sie können dasselbe Subnetzwerk in mehreren Verbindungsrichtlinien verwenden, wenn die Richtlinien dieselbe Region verwenden. Sie können mehrere Subnetz-URLs in einer durch Kommas getrennten Liste eingeben.
  • NETWORK: das Netzwerk Ihrer Dienstverbindungsrichtlinie.

HTTP-Methode und URL:

PATCH https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME

JSON-Text anfordern:

{
  "pscConfig": {
    "limit": "LIMIT",
    "subnetworks": [
      "projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET"
    ]
  },
  "network": "projects/PROJECT_ID/global/networks/NETWORK"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/project-id/locations/us-central1/operations/operation-1692118768698-602f91a204523-8c6a2d93-d5c20a6a",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.networkconnectivity.v1.OperationMetadata",
    "createTime": "2023-08-15T16:59:29.236110917Z",
    "target": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-name",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

Richtlinie für Dienstverbindungen löschen

Sie können eine Richtlinie für Dienstverbindungen löschen, wenn Sie den Dienst nicht mehr verwenden oder die Automatisierung der Konnektivität beenden möchten. Das Löschen der Richtlinie wird blockiert, wenn aktive Private Service Connect-Verbindungen mit der Richtlinie verknüpft sind. Bevor Sie eine Richtlinie für Dienstverbindungen löschen, löschen Sie alle aktiven Verbindungen, indem Sie alle zugehörigen Dienstinstanzen außer Betrieb nehmen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Verbindungsrichtlinien.

  3. Wählen Sie die Dienstverbindungsrichtlinien aus, die Sie löschen möchten, und klicken Sie dann auf Löschen.

gcloud

Führen Sie den Befehl service-connection-policies delete aus.

gcloud network-connectivity service-connection-policies delete POLICY_NAME \
    --region=REGION

Ersetzen Sie Folgendes:

  • POLICY_NAME: der Name der Richtlinie für Dienstverbindungen, die Sie löschen möchten.
  • REGION: die Region der Richtlinie für Dienstverbindungen, die Sie löschen möchten.

API

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID: die Projekt-ID.
  • REGION: die Region Ihrer Dienstverbindungsrichtlinie.
  • POLICY_NAME: der Name der Dienstverbindungsrichtlinie, die gelöscht werden soll.

HTTP-Methode und URL:

DELETE https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten in etwa folgende JSON-Antwort erhalten:

{
  "name": "projects/project-id/locations/us-central1/operations/operation-1692128792549-602fb6f98194a-e0275435-36edc095",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.networkconnectivity.v1.OperationMetadata",
    "createTime": "2023-08-15T19:46:32.605032867Z",
    "target": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-name",
    "verb": "delete",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

Dienstkonten für freigegebene VPC konfigurieren

Dienstkonten werden automatisch konfiguriert, wenn Sie Dienstverbindungsrichtlinien mit freigegebener VPC verwenden. Die Rollen können jedoch manuell entfernt werden. Wenn Fehler aufgrund fehlender Berechtigungen angezeigt werden, versuchen Sie, die Rollen noch einmal zu gewähren.

Zum Zuweisen der erforderlichen Rollen kann ein Dienstkontoadministrator Folgendes tun:

Rollen dem Dienstkonto im Dienstprojekt zuweisen

gcloud

  1. Weisen Sie dem Network Connectivity-Dienstkonto des Dienstprojekts die Rolle „Network Connectivity-Dienst-Agent“ (roles/networkconnectivity.serviceAgent) zu. Weisen Sie die Rolle für das Dienstprojekt zu.

    gcloud projects add-iam-policy-binding SERVICE_PROJECT_NUMBER \
        --member=serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-networkconnectivity.iam.gserviceaccount.com \
        --role=roles/networkconnectivity.serviceAgent
    

    Ersetzen Sie SERVICE_PROJECT_NUMBER durch die Projektnummer des Dienstprojekts.

  2. Weisen Sie dem Network Connectivity-Dienstkonto des Dienstprojekts die Rolle „Compute-Netzwerknutzer“ (roles/compute.networkUser) zu. Führen Sie einen der folgenden Schritte aus:

    • Weisen Sie die Rolle für das Hostprojekt zu.

      gcloud projects add-iam-policy-binding HOST_PROJECT_NUMBER \
          --member=serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-networkconnectivity.iam.gserviceaccount.com \
          --role=roles/compute.networkUser
      

      Ersetzen Sie HOST_PROJECT_NUMBER durch die Projektnummer des Hostprojekts.

    • Gewähren Sie die Rolle für jedes der Subnetze im Hostprojekt, das mit der Richtlinie für Dienstverbindungen verknüpft ist. Verwenden Sie für jedes Subnetz den folgenden Befehl.

      gcloud compute networks subnets add-iam-policy-binding SUBNET \
          --member=serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-networkconnectivity.iam.gserviceaccount.com \
          --role=roles/compute.networkUser \
          --region=REGION \
          --project=HOST_PROJECT_NUMBER
      

      Ersetzen Sie Folgendes:

      • SUBNET: der Name des Subnetzes, das Ihrer Dienstverbindungsrichtlinie zugeordnet ist.
      • REGION: die Region des Subnetzes.

Rolle dem Dienstkonto im Hostprojekt zuweisen

gcloud

  1. Weisen Sie dem Network Connectivity-Dienstkonto des Dienstprojekts die Rolle „Network Connectivity-Dienst-Agent“ (roles/networkconnectivity.serviceAgent) zu. Weisen Sie die Rolle für das Hostprojekt zu.

    gcloud projects add-iam-policy-binding HOST_PROJECT_NUMBER \
        --member=serviceAccount:service-HOST_PROJECT_NUMBER@gcp-sa-networkconnectivity.iam.gserviceaccount.com \
        --role=roles/networkconnectivity.serviceAgent
    

    Ersetzen Sie HOST_PROJECT_NUMBER durch die Projektnummer des Hostprojekts.

Nächste Schritte