Cette page a été traduite par l'API Cloud Translation.

Configurer des règles de connexion de service

Cette page décrit comment un administrateur réseau peut configurer des règles de connexion de service pour automatiser la connectivité privée à un service géré.

Avant de commencer

Assurez-vous que le service géré que vous souhaitez déployer est compatible avec les règles de connexion de service.

Pour en savoir plus sur les services compatibles avec les règles de connexion, consultez la section Services compatibles.
Vous devez connaître le nom de la classe de service pour l'instance de service géré pour laquelle vous souhaitez déployer la connectivité.
Découvrez les points de terminaison Private Service Connect.
Vous avez besoin d'un réseau cloud privé virtuel (VPC) et d'un sous-réseau.
Vous devez activer l'API Compute Engine dans votre projet.
Vous devez activer l'API Network Connectivity dans votre projet.
Vous devez activer l'API Service Consumer Management dans le projet client dans lequel les points de terminaison Private Service Connect sont déployés. Cette API permet àGoogle Cloud de créer le compte de service de connectivité réseau qui déploie les points de terminaison de Private Service Connect.

Rôles requis

Pour obtenir les autorisations nécessaires pour configurer un réseau et créer une règle de connexion de service, demandez à votre administrateur de vous accorder le rôle IAM Administrateur de réseaux Compute (roles/compute.networkAdmin) sur votre projet.

Pour utiliser des règles de connexion de service avec un VPC partagé, des rôles doivent être attribués aux comptes de service de connectivité réseau sur les projets de service et hôte. Ces comptes de service sont configurés automatiquement lorsqu'une stratégie de connexion de service est créée, mais les rôles peuvent être supprimés manuellement. Si vous rencontrez des erreurs concernant des autorisations manquantes, un administrateur de compte de service devra peut-être accorder à nouveau les rôles. Pour en savoir plus, consultez la page Configurer des comptes de service pour un VPC partagé.

Créer une règle de connexion de service

Une règle de connexion de service vous permet d'autoriser la classe de service spécifiée à créer une connexion Private Service Connect entre les réseaux VPC producteur et client.

Vous pouvez créer au plus une règle pour chaque combinaison de classe de service, de région et de réseau VPC. Une règle détermine l'automatisation de la connectivité du service pour cette combinaison spécifique. Lorsque vous configurez une règle, vous sélectionnez un sous-réseau. Le sous-réseau permet d'allouer des adresses IP aux points de terminaison créés via la règle. Vous pouvez réutiliser le même sous-réseau dans plusieurs règles de connexion si les règles partagent la même région.

Par exemple, si vous souhaitez utiliser l'automatisation de la connectivité du service avec deux services dans trois régions différentes, créez six règles. Vous pouvez utiliser au moins trois sous-réseaux, un pour chaque région.

Après avoir créé une règle de connexion de service, vous ne pouvez mettre à jour que les sous-réseaux, la limite de connexion et la portée de l'instance de service de la règle. Si vous devez mettre à jour d'autres champs, supprimez la stratégie et créez-en une autre.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

networkconnectivity.serviceConnectionPolicies.create

Rôles

Administrateur de réseaux Compute (roles/compute.networkAdmin)

Console

Dans la console Google Cloud, accédez à la page Private Service Connect.

Accéder à Private Service Connect
Cliquez sur l'onglet Règles de connexion.
Cliquez sur Créer une règle de connexion.
Saisissez un nom pour la règle de connexion.
Spécifiez la classe de service.
- Pour les services Google, procédez comme suit :
  1. Dans la section Détails du service, sélectionnez Services Google.
  2. Sélectionnez la classe de service dans le menu Classe de service.
- Pour les services tiers, procédez comme suit :
  1. Dans Détails du service, sélectionnez Service tiers.
  2. Dans le champ Classe de service, saisissez le nom de la classe de service.
Dans la section Champ d'application des points de terminaison, sélectionnez un réseau et une région auxquels cette règle s'applique.
Dans la section Configuration des points de terminaison, sélectionnez un ou plusieurs sous-réseaux dans le menu Sous-réseaux. Les sous-réseaux permettent d'allouer des adresses IP aux points de terminaison.
Facultatif : spécifiez une limite de connexion pour la règle. Cette limite détermine le nombre de points de terminaison pouvant être créés à l'aide de cette règle de connexion. Si elle est omise, il n'y a pas de limite.
Par défaut, des points de terminaison sont créés pour les instances de service appartenant au même projet que la règle de connexion. Si vous avez sélectionné un service Google compatible, vous pouvez configurer la stratégie de connexion pour vous permettre de vous connecter à des instances de service situées dans une autre partie de la hiérarchie Resource Manager.

Pour sélectionner différents nœuds Resource Manager, procédez comme suit:
1. Sélectionnez Champ d'application de l'instance de service personnalisée.
2. Choisissez les organisations, les dossiers et les projets contenant les instances de service auxquelles vous souhaitez vous connecter.
Cliquez sur Créer une règle.

gcloud

Utilisez la commande service-connection-policies create.

gcloud network-connectivity service-connection-policies create POLICY_NAME \
    --network=NETWORK \
    --project=PROJECT_ID \
    --region=REGION \
    --service-class=SERVICE_CLASS \
    --subnets=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETS \
    --psc-connection-limit=LIMIT \
    --description=DESCRIPTION \
    --producer-instance-location=PRODUCER_INSTANCE_LOCATION \
    --allowed-google-producers-resource-hierarchy-level=LIST_OF_NODES

Remplacez les éléments suivants :

POLICY_NAME : nom de votre stratégie de connexion de service.
NETWORK : réseau auquel appliquer cette règle.
PROJECT_ID : ID du projet ou numéro du projet du réseau VPC. Pour les réseaux VPC partagés, les règles de connexion de service doivent être déployées dans le projet hôte et ne sont pas compatibles avec les projets de service.
REGION : région à laquelle appliquer cette règle. La même règle doit exister pour chaque région dans laquelle vous souhaitez automatiser la connectivité du service.
SERVICE_CLASS : identifiant de ressource fourni par le producteur de la classe de service.
SUBNETS : un ou plusieurs sous-réseaux client standard utilisés pour allouer des adresses IP aux points de terminaison Private Service Connect. Ces adresses IP sont automatiquement allouées et renvoyées au pool de sous-réseaux à mesure que des instances de service géré sont créées et supprimées. Les sous-réseaux doivent se trouver dans la même région que la règle de connexion de service. Vous pouvez réutiliser le même sous-réseau dans plusieurs règles de connexion si les règles partagent la même région. Vous pouvez fournir plusieurs sous-réseaux dans une liste séparée par des virgules.
LIMIT : nombre maximal de points de terminaison pouvant être créés à l'aide de cette règle. S'il n'est pas spécifié, il n'y a aucune limite.
DESCRIPTION: description facultative de la règle de connexion de service.
PRODUCER_INSTANCE_LOCATION: pour les services gérés par Google compatibles, indique si cette stratégie automatise les connexions aux instances de service situées dans des emplacements Resource Manager personnalisés. Si la valeur est none, des points de terminaison sont créés qui se connectent aux instances de service qui se trouvent dans le même projet que la règle de connexion de service (ou dans le cas d'un VPC partagé, dans des projets connectés). La valeur par défaut est none. Si la valeur est custom-resource-hierarchy-levels, vous spécifiez les emplacements personnalisés à l'aide de l'option --allowed-google-producers-resource-hierarchy-level.
LIST_OF_NODES: pour les services gérés par Google compatibles, spécifie une liste de nœuds Resource Manager (projets, dossiers et organisations) contenant les instances de service auxquelles vous souhaitez vous connecter. Ce champ n'est coché que lorsque l'indicateur --producer-instance-location est défini sur custom-resource-hierarchy-levels. La liste peut contenir n'importe quelle combinaison de projets, de dossiers et d'organisations. Pour obtenir un exemple de liste, consultez les éléments suivants:
```
"projects/1111111111",
"folders/2222222222",
"folders/3333333333",
"organizations/4444444444"
```

Par exemple, la commande suivante crée une règle de connexion de service pour la classe de service google-cloud-sql publiée par Google. La règle peut être utilisée pour automatiser la connectivité aux instances de service déployées dans shared-db-service-project. Les points de terminaison Private Service Connect créés à l'aide de cette règle sont alloués des adresses IP du sous-réseau endpoint-subnet. Vous pouvez créer jusqu'à 10 points de terminaison avec cette règle.

gcloud network-connectivity service-connection-policies create google-cloud-sql-policy \
    --network=default \
    --project=my-project \
    --region=us-central1 \
    --service-class=google-cloud-sql \
    --subnets=endpoint-subnet \
    --psc-connection-limit=10 \
    --producer-instance-location=custom-resource-hierarchy-levels \
    --allowed-producer-instance-scope=projects/shared-db-service-project

Terraform

Vous pouvez utiliser la ressource Terraform pour créer une règle de connexion au service.

# Create a VPC network
resource "google_compute_network" "default" {
  name                    = "consumer-network"
  auto_create_subnetworks = false
}

# Create a subnetwork
resource "google_compute_subnetwork" "default" {
  name          = "consumer-subnet"
  ip_cidr_range = "10.0.0.0/16"
  region        = "us-central1"
  network       = google_compute_network.default.id
}

# Create a service connection policy
resource "google_network_connectivity_service_connection_policy" "default" {
  name          = "service-connection-policy"
  location      = "us-central1"
  service_class = "gcp-memorystore-redis"
  network       = google_compute_network.default.id
  psc_config {
    subnetworks = [google_compute_subnetwork.default.id]
    limit       = 2
  }
}

Pour savoir comment appliquer ou supprimer une configuration Terraform, consultez la page Commandes Terraform de base.

API

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

PROJECT_ID : par l'ID du projet.
REGION: région de votre règle de connexion de service.
POLICY_NAME: nom de votre stratégie de connexion de service.
DESCRIPTION: description facultative de votre règle de connexion de service.
NETWORK: réseau de votre règle de connexion de service.
LIMIT: nombre maximal de points de terminaison pouvant être créés à l'aide de cette règle. S'il n'est pas spécifié, il n'y a aucune limite.
SUBNET: un ou plusieurs sous-réseaux client standard utilisés pour allouer des adresses IP aux points de terminaison Private Service Connect. Ces adresses IP sont automatiquement allouées et renvoyées au pool de sous-réseaux à mesure que des instances de service géré sont créées et supprimées. Les sous-réseaux doivent se trouver dans la même région que la règle de connexion de service. Vous pouvez réutiliser le même sous-réseau dans plusieurs règles de connexion si les règles partagent la même région. Vous pouvez saisir plusieurs URL de sous-réseau dans une liste d'éléments séparés par une virgule.
SERVICE_CLASS: identifiant de ressource fourni par le producteur de la classe de service.
PRODUCER_INSTANCE_LOCATION : PRODUCER_INSTANCE_LOCATION_UNSPECIFIED (par défaut) ou CUSTOM_RESOURCE_HIERARCHY_LEVELS.
LIST_OF_NODES: liste des nœuds Resource Manager (projets, dossiers et organisations) contenant les instances de service auxquelles vous souhaitez vous connecter. Ce champ n'est coché que lorsque l'indicateur PRODUCER_INSTANCE_LOCATION est défini sur CUSTOM_RESOURCE_HIERARCHY_LEVELS. La liste peut contenir n'importe quelle combinaison de projets, de dossiers et d'organisations. Pour obtenir un exemple de liste, consultez les éléments suivants:
```
    "projects/1111111111",
    "folders/2222222222",
    "folders/3333333333",
    "organizations/4444444444"
    
```

Méthode HTTP et URL :

POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies?serviceConnectionPolicyId=POLICY_NAME

Corps JSON de la requête :

{
  "description": "DESCRIPTION",
  "network": "projects/PROJECT_ID/global/networks/NETWORK",
  "pscConfig": {
    "limit": "LIMIT",
    "subnetworks": [
      "projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET"
    ]
    "producerInstanceLocation": "CUSTOM_RESOURCE_HIERARCHY_LEVELS",
    "allowedGoogleProducersResourceHierarchyLevel": [
      LIST_OF_NODES
    ]
  },
  "serviceClass": "SERVICE_CLASS"
}

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Remarque : La commande suivante suppose que vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login, ou en utilisant Cloud Shell, qui vous connecte automatiquement à la CLI gcloud. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies?serviceConnectionPolicyId=POLICY_NAME"

PowerShell (Windows)

Remarque : La commande suivante suppose que vous vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies?serviceConnectionPolicyId=POLICY_NAME" | Select-Object -Expand Content

Vous devriez recevoir une réponse JSON de ce type :

{
  "name": "projects/project-id/locations/us-central1/operations/operation-1692118768698-602f91a204523-8c6a2d93-d5c20a6a",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.networkconnectivity.v1.OperationMetadata",
    "createTime": "2023-08-15T16:59:29.236110917Z",
    "target": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-name",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

Répertorier les règles de connexion de service

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

networkconnectivity.serviceConnectionPolicies.list

Rôles

Administrateur de réseaux Compute (roles/compute.networkAdmin)

Console

Dans la console Google Cloud, accédez à la page Private Service Connect.

Accéder à Private Service Connect
Cliquez sur l'onglet Règles de connexion.
Les règles de connexion s'affichent.

gcloud

Exécutez la commande service-connection-policies list.

gcloud network-connectivity service-connection-policies list \
    --region=REGION

Remplacez REGION par la région dans laquelle vous souhaitez répertorier les règles de connexion de service.

API

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

PROJECT_ID : par l'ID du projet.
REGION : la région dans laquelle répertorier les règles de connexion de service.

Méthode HTTP et URL :

GET https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Exécutez la commande suivante :

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies"

PowerShell (Windows)

Exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies" | Select-Object -Expand Content

Vous devriez recevoir une réponse JSON de ce type :

{
  "serviceConnectionPolicies": [
    {
      "name": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-1",
      "createTime": "2023-08-15T15:33:54.712819865Z",
      "updateTime": "2023-08-15T15:33:54.945630882Z",
      "description": "descriptor",
      "network": "projects/project-id/global/networks/network-two",
      "serviceClass": "service-class",
      "infrastructure": "PSC",
      "pscConfig": {
        "subnetworks": [
          "projects/project-id/regions/us-west1/subnetworks/us-west1-subnet"
        ],
        "limit": "12"
      },
      "etag": "zCqDFBG1dS7B4gNdJKPR98YMUXpSrBIz0tZB_hwOIZI"
    },
    {
      "name": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-2",
      "createTime": "2023-08-15T16:59:29.230257109Z",
      "updateTime": "2023-08-15T16:59:29.508994923Z",
      "description": "descriptor",
      "network": "projects/project-id/global/networks/custom-test",
      "serviceClass": "service-class",
      "infrastructure": "PSC",
      "pscConfig": {
        "subnetworks": [
          "projects/project-id/regions/us-central1/subnetworks/subnet-one"
        ],
        "limit": "25"
      },
      "etag": "nB603i61nRGMZpNjWoWMM6wRzsgM8QN9C9v5QFLyOa8"
    }
  ]
}

Décrire une règle de connexion de service

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

networkconnectivity.serviceConnectionPolicies.get

Rôles

Administrateur de réseaux Compute (roles/compute.networkAdmin)

Console

Dans la console Google Cloud, accédez à la page Private Service Connect.

Accéder à Private Service Connect
Cliquez sur l'onglet Règles de connexion.
Cliquez sur la stratégie de connexion de service que vous souhaitez afficher.

gcloud

Exécutez la commande service-connection-policies describe.

gcloud network-connectivity service-connection-policies describe POLICY_NAME \
    --region=REGION

Remplacez les éléments suivants :

POLICY_NAME : nom de la règle de connexion de service que vous souhaitez décrire.
REGION : région de la règle de connexion de service que vous souhaitez décrire.

API

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

PROJECT_ID : par l'ID du projet.
REGION : région de votre règle de connexion de service.
POLICY_NAME : nom de la règle de connexion de service à décrire.

Méthode HTTP et URL :

GET https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Exécutez la commande suivante :

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME"

PowerShell (Windows)

Exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME" | Select-Object -Expand Content

Vous devriez recevoir une réponse JSON de ce type :

{
  "name": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-name",
  "createTime": "2023-08-15T16:59:29.230257109Z",
  "updateTime": "2023-08-15T16:59:29.508994923Z",
  "description": "description",
  "network": "projects/project-id/global/networks/custom-test",
  "serviceClass": "gcp-memorystore-redis",
  "infrastructure": "PSC",
  "pscConfig": {
    "subnetworks": [
      "projects/project-id/regions/us-central1/subnetworks/subnet-one"
    ],
    "limit": "25"
  },
  "etag": "nB603i61nRGMZpNjWoWMM6wRzsgM8QN9C9v5QFLyOa8"
}

Mettre à jour une stratégie de connexion de service

Vous pouvez mettre à jour les sous-réseaux, la limite de connexion et le champ d'application de l'instance de service d'une règle de connexion de service.

Si vous supprimez un sous-réseau de la règle de connexion de service, les critères suivants s'appliquent:

Les points de terminaison Private Service Connect existants ne sont pas concernés.
Les nouveaux points de terminaison n'utilisent pas le sous-réseau supprimé.

Si vous mettez à jour la limite de connexion d'une règle de connexion de service, les critères suivants s'appliquent:

Les points de terminaison existants ne sont pas affectés.
Si la nouvelle limite de connexion est inférieure au nombre existant de points de terminaison associés à la règle, l'automatisation de la connectivité du service bloque la création de points de terminaison utilisant cette règle.
Si la nouvelle limite de connexion est supérieure au nombre existant de points de terminaison associés à la règle, les points de terminaison précédemment bloqués par la limite de connexion peuvent être créés.

Si vous mettez à jour une règle de connexion de service sans spécifier de limite de connexion, la règle mise à jour n'a pas de limite de connexion.

Si vous mettez à jour le champ d'application de l'instance de service pour une règle de connexion de service, les points de terminaison existants ne sont pas affectés. Pour mettre à jour le champ d'application, utilisez la console Google Cloud ou l'API.

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

networkconnectivity.serviceConnectionPolicies.update

Rôles

Administrateur de réseaux Compute (roles/compute.networkAdmin)

Console

Dans la console Google Cloud, accédez à la page Private Service Connect.

Accéder à Private Service Connect
Cliquez sur l'onglet Règles de connexion.
Cliquez sur la stratégie de connexion de service que vous souhaitez modifier.
Cliquez sur Modifier.
Apportez les modifications à la règle de connexion de service.
Cliquez sur Mettre à jour la stratégie.

gcloud

Utilisez la commande service-connection-policies update.

gcloud network-connectivity service-connection-policies update POLICY_NAME \
    --region=REGION \
    --project=PROJECT_ID \
    --subnets=SUBNETS \
    --psc-connection-limit=LIMIT

POLICY_NAME : nom de votre stratégie de connexion de service.
REGION : région de la règle de connexion de service. Vous ne pouvez pas mettre à jour la région d'une règle.
PROJECT_ID : ID ou numéro du projet de la règle.
SUBNETS : un ou plusieurs sous-réseaux client standard utilisés pour allouer des adresses IP aux points de terminaison Private Service Connect. Ces adresses IP sont automatiquement allouées et renvoyées au pool de sous-réseaux à mesure que des instances de service géré sont créées et supprimées. Les sous-réseaux doivent se trouver dans la même région que la règle de connexion de service. Vous pouvez réutiliser le même sous-réseau dans plusieurs règles de connexion si les règles partagent la même région. Vous pouvez fournir plusieurs sous-réseaux dans une liste séparée par des virgules.
LIMIT : nombre maximal de points de terminaison pouvant être créés à l'aide de cette règle. S'il n'est pas spécifié, il n'y a aucune limite.

API

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

PROJECT_ID : par l'ID du projet.
REGION : région de votre règle de connexion de service. Vous ne pouvez pas mettre à jour la région d'une règle.
POLICY_NAME : nom de votre stratégie de connexion de service.
LIMIT : nombre maximal de points de terminaison pouvant être créés à l'aide de cette règle. S'il n'est pas spécifié, il n'y a aucune limite.
SUBNET : un ou plusieurs sous-réseaux client standard utilisés pour allouer des adresses IP aux points de terminaison Private Service Connect. Ces adresses IP sont automatiquement allouées et renvoyées au pool de sous-réseaux à mesure que des instances de service géré sont créées et supprimées. Les sous-réseaux doivent se trouver dans la même région que la règle de connexion de service. Vous pouvez réutiliser le même sous-réseau dans plusieurs règles de connexion si les règles partagent la même région. Vous pouvez saisir plusieurs URL de sous-réseau dans une liste d'éléments séparés par une virgule.
NETWORK : réseau de votre règle de connexion de service.

Méthode HTTP et URL :

PATCH https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME

Corps JSON de la requête :

{
  "pscConfig": {
    "limit": "LIMIT",
    "subnetworks": [
      "projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET"
    ]
  },
  "network": "projects/PROJECT_ID/global/networks/NETWORK"
}

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME"

PowerShell (Windows)

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME" | Select-Object -Expand Content

Vous devriez recevoir une réponse JSON de ce type :

{
  "name": "projects/project-id/locations/us-central1/operations/operation-1692118768698-602f91a204523-8c6a2d93-d5c20a6a",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.networkconnectivity.v1.OperationMetadata",
    "createTime": "2023-08-15T16:59:29.236110917Z",
    "target": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-name",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

Supprimer une règle de connexion de service

Autorisations requises pour cette tâche

Pour effectuer cette tâche, vous devez disposer des autorisations suivantes ou de l'un des rôles IAM suivants.

Autorisations

networkconnectivity.serviceConnectionPolicies.delete

Rôles

Administrateur de réseaux Compute (roles/compute.networkAdmin)

Vous pouvez supprimer une règle de connexion de service si vous avez terminé d'utiliser le service ou si vous souhaitez arrêter d'automatiser la connectivité. La suppression de la règle est bloquée si les connexions Private Service Connect actives sont associées à la règle. Avant de supprimer une règle de connexion de service, supprimez toutes les connexions actives en mettant hors service toutes les instances de service associées.

Console

Dans la console Google Cloud, accédez à la page Private Service Connect.

Accéder à Private Service Connect
Cliquez sur l'onglet Règles de connexion.
Sélectionnez les règles de connexion de service que vous souhaitez supprimer, puis cliquez sur Supprimer.

gcloud

Utilisez la commande service-connection-policies delete.

gcloud network-connectivity service-connection-policies delete POLICY_NAME \
    --region=REGION

Remplacez les éléments suivants :

POLICY_NAME : nom de la règle de connexion de service que vous souhaitez supprimer.
REGION : région de la règle de connexion de service que vous souhaitez supprimer.

API

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

PROJECT_ID : par l'ID du projet.
REGION : région de votre règle de connexion de service.
POLICY_NAME : nom de la règle de connexion de service à supprimer.

Méthode HTTP et URL :

DELETE https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Exécutez la commande suivante :

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME"

PowerShell (Windows)

Exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME" | Select-Object -Expand Content

Vous devriez recevoir une réponse JSON de ce type :

{
  "name": "projects/project-id/locations/us-central1/operations/operation-1692128792549-602fb6f98194a-e0275435-36edc095",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.networkconnectivity.v1.OperationMetadata",
    "createTime": "2023-08-15T19:46:32.605032867Z",
    "target": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-name",
    "verb": "delete",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

Configurer des comptes de service pour le VPC partagé

Les comptes de service sont configurés automatiquement lorsque vous utilisez des règles de connexion de service avec un VPC partagé, mais les rôles peuvent être supprimés manuellement. Si vous rencontrez des erreurs concernant des autorisations manquantes, essayez d'attribuer à nouveau les rôles.

Pour attribuer les rôles requis, un administrateur de compte de service peut effectuer les opérations suivantes.

Attribuer des rôles au compte de service dans le projet de service

gcloud

Attribuez le rôle d'agent de service de connectivité réseau (roles/networkconnectivity.serviceAgent) au compte de service de connectivité réseau du projet de service. Attribuez le rôle sur le projet de service.
```
gcloud projects add-iam-policy-binding SERVICE_PROJECT_NUMBER \
    --member=serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-networkconnectivity.iam.gserviceaccount.com \
    --role=roles/networkconnectivity.serviceAgent
```
Remplacez SERVICE_PROJECT_NUMBER par le numéro du projet de service.
Attribuez le rôle d'utilisateur de réseau Compute (roles/compute.networkUser) au compte de service de connectivité réseau du projet de service. Effectuez l'une des opérations suivantes.
- Accordez le rôle sur le projet hôte.
```
gcloud projects add-iam-policy-binding HOST_PROJECT_NUMBER \
    --member=serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-networkconnectivity.iam.gserviceaccount.com \
    --role=roles/compute.networkUser
```
  Remplacez HOST_PROJECT_NUMBER par le numéro du projet hôte.
- Accordez le rôle sur chacun des sous-réseaux du projet hôte associés à la règle de connexion de service. Exécutez la commande suivante pour chaque sous-réseau.
```
gcloud compute networks subnets add-iam-policy-binding SUBNET \
    --member=serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-networkconnectivity.iam.gserviceaccount.com \
    --role=roles/compute.networkUser \
    --region=REGION \
    --project=HOST_PROJECT_NUMBER
```
  Remplacez les éléments suivants :
  - SUBNET : nom du sous-réseau associé à votre règle de connexion de service.
  - REGION : région du sous-réseau.

Attribuer un rôle au compte de service dans le projet hôte

gcloud

Attribuez le rôle d'agent de service de connectivité réseau (roles/networkconnectivity.serviceAgent) au compte de service de connectivité réseau du projet hôte. Accordez le rôle sur le projet hôte.
```
gcloud projects add-iam-policy-binding HOST_PROJECT_NUMBER \
    --member=serviceAccount:service-HOST_PROJECT_NUMBER@gcp-sa-networkconnectivity.iam.gserviceaccount.com \
    --role=roles/networkconnectivity.serviceAgent
```
Remplacez HOST_PROJECT_NUMBER par le numéro du projet hôte.

Étapes suivantes

Déployez une instance de service géré à l'aide de règles de connexion de service.