Diese Seite wurde von der Cloud Translation API übersetzt.

Richtlinien für Dienstverbindungen konfigurieren

Auf dieser Seite wird beschrieben, wie ein Netzwerkadministrator Richtlinien für Dienstverbindungen konfigurieren kann, um private Verbindungen zu einem verwalteten Dienst zu automatisieren.

Hinweis

Achten Sie darauf, dass der verwaltete Dienst, den Sie bereitstellen möchten, Richtlinien für Dienstverbindungen unterstützt.

Weitere Informationen zu Diensten, die Richtlinien für Dienstverbindungen unterstützen, finden Sie unter Unterstützte Dienste.
Sie müssen den Namen der Dienstklasse für die verwaltete Dienstinstanz, für die Sie die Verbindung bereitstellen möchten, kennen.
Weitere Informationen zu Private Service Connect-Endpunkten.
Sie benötigen ein Virtual Private Cloud (VPC)-Netzwerk und ein Subnetz.
Sie müssen in Ihrem Projekt die Compute Engine API aktivieren.
Sie müssen die Network Connectivity API in Ihrem Projekt aktivieren.
Sie müssen die Service Consumer Management API in dem Nutzerprojekt aktivieren, in dem die Private Service Connect-Endpunkte bereitgestellt werden. Mit dieser API können Sie das Network Connectivity-Dienstkonto erstellen, das Private Service Connect-Endpunkte bereitstellt.Google Cloud

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Compute-Netzwerkadministrator (roles/compute.networkAdmin) zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren eines Netzwerks und zum Erstellen einer Richtlinie für Dienstverbindungen benötigen.

Damit Sie Dienstverbindungsrichtlinien mit freigegebener VPC verwenden können, müssen Network Connectivity-Dienstkonten Rollen für das Dienst- und Hostprojekt zugewiesen sein. Diese Dienstkonten werden automatisch konfiguriert, wenn eine Richtlinie für Dienstverbindungen erstellt wird. Die Rollen können jedoch manuell entfernt werden. Wenn Fehler zu fehlenden Berechtigungen angezeigt werden, muss ein Dienstkontoadministrator die Rollen möglicherweise noch einmal zuweisen. Weitere Informationen finden Sie unter Dienstkonten für freigegebene VPC konfigurieren.

Richtlinie für Dienstverbindungen erstellen

Mit einer Richtlinie für Dienstverbindungen können Sie die angegebene Dienstklasse zum Erstellen einer Private Service Connect-Verbindung zwischen VPC-Netzwerken von Erstellern und Nutzern autorisieren.

Sie können für jede Dienstklassen-, Regions- und VPC-Netzwerkkombination maximal eine Richtlinie erstellen. Eine Richtlinie legt die Automatisierung der Dienstverbindung für genau diese Kombination fest. Wenn Sie eine Richtlinie konfigurieren, wählen Sie ein Subnetz aus. Das Subnetz wird verwendet, um den Endpunkten IP-Adressen zuzuweisen, die über die Richtlinie erstellt werden. Sie können dasselbe Subnetz in mehreren Verbindungsrichtlinien verwenden, wenn die Richtlinien dieselbe Region verwenden.

Wenn Sie beispielsweise die Automatisierung der Dienstverbindung für zwei Dienste in drei verschiedenen Regionen verwenden möchten, erstellen Sie sechs Richtlinien. Sie können mindestens drei Subnetze verwenden – eines für jede Region.

Nachdem Sie eine Richtlinie für Dienstverbindungen erstellt haben, können Sie nur die Subnetze, das Verbindungslimit und den Gültigkeitsbereich der Dienstinstanz der Richtlinie aktualisieren. Wenn Sie andere Felder aktualisieren möchten, löschen Sie die Richtlinie und erstellen Sie eine neue.

Erforderliche Berechtigungen für diese Aufgabe

Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Berechtigungen oder eine der folgenden IAM-Rollen.

Berechtigungen

networkconnectivity.serviceConnectionPolicies.create

Rollen

Compute-Netzwerkadministrator (roles/compute.networkAdmin)

Console

Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

Zu Private Service Connect
Klicken Sie auf den Tab Verbindungsrichtlinien.
Klicken Sie auf Verbindungsrichtlinie erstellen.
Geben Sie einen Namen für die Verbindungsrichtlinie ein.
Geben Sie die Dienstklasse an.
- Gehen Sie bei Google-Diensten so vor:
  1. Wählen Sie unter Dienstdetails die Option Google-Dienste aus.
  2. Wählen Sie im Menü Dienstklasse die Dienstklasse aus.
- Gehen Sie bei Drittanbieterdiensten so vor:
  1. Wählen Sie unter Dienstdetails die Option Drittanbieterdienst aus.
  2. Geben Sie für Dienstklasse den Namen der Dienstklasse ein.
Wählen Sie im Bereich Bereich der Endpunkte ein Netzwerk und eine Region aus, für die diese Richtlinie gilt.
Wählen Sie im Bereich Endpoints-Konfiguration ein oder mehrere Subnetze aus dem Menü Subnetzwerke aus. Die Subnetze werden verwendet, um Endpunkten IP-Adressen zuzuweisen.
Optional: Geben Sie für die Richtlinie ein Verbindungslimit an. Das Limit bestimmt, wie viele Endpunkte über diese Verbindungsrichtlinie erstellt werden können. Wenn Sie dieses Feld weglassen, gibt es keine Begrenzung.
Standardmäßig werden Endpunkte für Dienstinstanzen erstellt, die sich im selben Projekt wie die Verbindungsrichtlinie befinden. Wenn Sie einen unterstützten Google-Dienst ausgewählt haben, können Sie die Verbindungsrichtlinie so konfigurieren, dass Sie eine Verbindung zu Dienstinstanzen herstellen können, die sich in einem anderen Teil der Resource Manager-Hierarchie befinden.

So wählen Sie andere Resource Manager-Knoten aus:
1. Wählen Sie Benutzerdefinierter Dienstinstanzbereich aus.
2. Wählen Sie die Organisationen, Ordner und Projekte aus, die Dienstinstanzen enthalten, mit denen Sie eine Verbindung herstellen möchten.
Klicken Sie auf Richtlinie erstellen.

gcloud

Führen Sie den Befehl service-connection-policies create aus.

gcloud network-connectivity service-connection-policies create POLICY_NAME \
    --network=NETWORK \
    --project=PROJECT_ID \
    --region=REGION \
    --service-class=SERVICE_CLASS \
    --subnets=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETS \
    --psc-connection-limit=LIMIT \
    --description=DESCRIPTION \
    --producer-instance-location=PRODUCER_INSTANCE_LOCATION \
    --allowed-google-producers-resource-hierarchy-level=LIST_OF_NODES

Ersetzen Sie dabei Folgendes:

POLICY_NAME: der Name Ihrer Dienstverbindungsrichtlinie.
NETWORK: das Netzwerk, auf das diese Richtlinie angewendet werden soll.
PROJECT_ID: die Projekt-ID oder Nummer des Projekts des VPC-Netzwerks. Für freigegebene VPC-Netzwerke gilt, dass Richtlinien für Dienstverbindungen im Hostprojekt bereitgestellt werden müssen und in Dienstprojekten nicht unterstützt werden.
REGION: die Region, auf die diese Richtlinie angewendet werden soll. Für jede Region, in der Sie die Dienstverbindung automatisieren möchten, muss dieselbe Richtlinie vorhanden sein.
SERVICE_CLASS: vom Ersteller bereitgestellte Ressourcenkennzeichnung der Dienstklasse.
SUBNETS: ein oder mehrere reguläre Nutzersubnetze, die zum Zuweisen von IP-Adressen für Private Service Connect-Endpunkte verwendet werden. Diese IP-Adressen werden automatisch zugewiesen und an den Pool des Subnetzes zurückgegeben, wenn verwaltete Dienstinstanzen erstellt und gelöscht werden. Die Subnetze müssen sich in derselben Region wie die Richtlinie für Dienstverbindungen befinden. Sie können dasselbe Subnetzwerk in mehreren Verbindungsrichtlinien verwenden, wenn die Richtlinien dieselbe Region verwenden. Sie können mehrere Subnetze in einer durch Kommas getrennten Liste angeben.
LIMIT: die maximale Anzahl von Endpunkten, die mithilfe dieser Richtlinie erstellt werden können. Wenn keine Angabe erfolgt, gibt es kein Limit.
DESCRIPTION ist eine optionale Beschreibung der Richtlinie für Dienstverbindungen
PRODUCER_INSTANCE_LOCATION: Gibt für unterstützte von Google verwaltete Dienste an, ob diese Richtlinie Verbindungen zu Dienstinstanzen an benutzerdefinierten Resource Manager-Standorten automatisiert. Wenn none festgelegt ist, werden Endpunkte erstellt, die eine Verbindung zu Dienstinstanzen herstellen, die sich im selben Projekt wie die Richtlinie für Dienstverbindungen befinden (oder im Fall einer freigegebenen VPC in verbundenen Projekten). Der Standardwert ist none. Wenn custom-resource-hierarchy-levels festgelegt ist, geben Sie die benutzerdefinierten Standorte mit dem Flag --allowed-google-producers-resource-hierarchy-level an.
LIST_OF_NODES: Gibt für unterstützte von Google verwaltete Dienste eine Liste von Resource Manager-Knoten (Projekte, Ordner und Organisationen) an, die die Dienstinstanzen enthalten, mit denen eine Verbindung hergestellt werden soll. Dieses Feld wird nur geprüft, wenn das Flag --producer-instance-location auf custom-resource-hierarchy-levels gesetzt ist. Die Liste kann eine beliebige Kombination aus Projekten, Ordnern und Organisationen enthalten. Hier ist eine Beispielliste:
```
"projects/1111111111",
"folders/2222222222",
"folders/3333333333",
"organizations/4444444444"
```

Mit dem folgenden Befehl wird beispielsweise eine Richtlinie für Dienstverbindungen für die von Google veröffentlichte Dienstklasse google-cloud-sql erstellt. Mit der Richtlinie kann die Verbindung zu Dienstinstanzen, die in shared-db-service-project bereitgestellt werden, automatisiert werden. Private Service Connect-Endpunkten, die mit dieser Richtlinie erstellt werden, werden IP-Adressen aus dem Subnetz endpoint-subnet zugewiesen. Mit dieser Richtlinie können maximal 10 Endpunkte erstellt werden.

gcloud network-connectivity service-connection-policies create google-cloud-sql-policy \
    --network=default \
    --project=my-project \
    --region=us-central1 \
    --service-class=google-cloud-sql \
    --subnets=endpoint-subnet \
    --psc-connection-limit=10 \
    --producer-instance-location=custom-resource-hierarchy-levels \
    --allowed-producer-instance-scope=projects/shared-db-service-project

Terraform

Sie können die Terraform-Ressource verwenden, um eine Richtlinie für Dienstverbindungen zu erstellen.

# Create a VPC network
resource "google_compute_network" "default" {
  name                    = "consumer-network"
  auto_create_subnetworks = false
}

# Create a subnetwork
resource "google_compute_subnetwork" "default" {
  name          = "consumer-subnet"
  ip_cidr_range = "10.0.0.0/16"
  region        = "us-central1"
  network       = google_compute_network.default.id
}

# Create a service connection policy
resource "google_network_connectivity_service_connection_policy" "default" {
  name          = "service-connection-policy"
  location      = "us-central1"
  service_class = "gcp-memorystore-redis"
  network       = google_compute_network.default.id
  psc_config {
    subnetworks = [google_compute_subnetwork.default.id]
    limit       = 2
  }
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

API

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

PROJECT_ID: die Projekt-ID.
REGION: die Region Ihrer Dienstverbindungsrichtlinie.
POLICY_NAME: der Name Ihrer Dienstverbindungsrichtlinie.
DESCRIPTION: eine optionale Beschreibung der Richtlinie für Dienstverbindungen.
NETWORK: das Netzwerk Ihrer Dienstverbindungsrichtlinie.
LIMIT: die maximale Anzahl von Endpunkten, die mithilfe dieser Richtlinie erstellt werden können. Wenn keine Angabe erfolgt, gibt es kein Limit.
SUBNET: ein oder mehrere reguläre Nutzersubnetze, die zum Zuweisen von IP-Adressen für Private Service Connect-Endpunkte verwendet werden. Diese IP-Adressen werden automatisch zugewiesen und an den Pool des Subnetzes zurückgegeben, wenn verwaltete Dienstinstanzen erstellt und gelöscht werden. Die Subnetze müssen sich in derselben Region wie die Richtlinie für Dienstverbindungen befinden. Sie können dasselbe Subnetzwerk in mehreren Verbindungsrichtlinien verwenden, wenn die Richtlinien dieselbe Region verwenden. Sie können mehrere Subnetz-URLs in einer durch Kommas getrennten Liste angeben.
SERVICE_CLASS: die vom Ersteller bereitgestellte Ressourcenkennzeichnung der Dienstklasse.
PRODUCER_INSTANCE_LOCATION: PRODUCER_INSTANCE_LOCATION_UNSPECIFIED (Standard) oder CUSTOM_RESOURCE_HIERARCHY_LEVELS.
LIST_OF_NODES: Eine Liste der Resource Manager-Knoten (Projekte, Ordner und Organisationen), die die Dienstinstanzen enthalten, mit denen eine Verbindung hergestellt werden soll. Dieses Feld wird nur geprüft, wenn das Flag PRODUCER_INSTANCE_LOCATION auf CUSTOM_RESOURCE_HIERARCHY_LEVELS gesetzt ist. Die Liste kann eine beliebige Kombination aus Projekten, Ordnern und Organisationen enthalten. Hier eine Beispielliste:
```
    "projects/1111111111",
    "folders/2222222222",
    "folders/3333333333",
    "organizations/4444444444"
    
```

HTTP-Methode und URL:

POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies?serviceConnectionPolicyId=POLICY_NAME

JSON-Text anfordern:

{
  "description": "DESCRIPTION",
  "network": "projects/PROJECT_ID/global/networks/NETWORK",
  "pscConfig": {
    "limit": "LIMIT",
    "subnetworks": [
      "projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET"
    ]
    "producerInstanceLocation": "CUSTOM_RESOURCE_HIERARCHY_LEVELS",
    "allowedGoogleProducersResourceHierarchyLevel": [
      LIST_OF_NODES
    ]
  },
  "serviceClass": "SERVICE_CLASS"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu haben Sie gcloud init oder gcloud auth login ausgeführt oder die Cloud Shell genutzt, die Sie automatisch bei der gcloud-Befehlszeile anmeldet. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies?serviceConnectionPolicyId=POLICY_NAME"

PowerShell (Windows)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu führen Sie gcloud init oder gcloud auth login aus. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies?serviceConnectionPolicyId=POLICY_NAME" | Select-Object -Expand Content

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "projects/project-id/locations/us-central1/operations/operation-1692118768698-602f91a204523-8c6a2d93-d5c20a6a",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.networkconnectivity.v1.OperationMetadata",
    "createTime": "2023-08-15T16:59:29.236110917Z",
    "target": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-name",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

Richtlinien für Dienstverbindungen auflisten

Erforderliche Berechtigungen für diese Aufgabe

Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Berechtigungen oder eine der folgenden IAM-Rollen.

Berechtigungen

networkconnectivity.serviceConnectionPolicies.list

Rollen

Compute-Netzwerkadministrator (roles/compute.networkAdmin)

Console

Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

Zu Private Service Connect
Klicken Sie auf den Tab Verbindungsrichtlinien.
Die Verbindungsrichtlinien werden angezeigt.

gcloud

Führen Sie den Befehl service-connection-policies list aus.

gcloud network-connectivity service-connection-policies list \
    --region=REGION

Ersetzen Sie REGION durch die Region, in der Sie die Richtlinien für Dienstverbindungen auflisten möchten.

API

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

PROJECT_ID: die Projekt-ID.
REGION: die Region, in der Dienstverbindungsrichtlinien aufgeführt werden sollen.

HTTP-Methode und URL:

GET https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Führen Sie folgenden Befehl aus:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies"

PowerShell (Windows)

Führen Sie folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies" | Select-Object -Expand Content

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "serviceConnectionPolicies": [
    {
      "name": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-1",
      "createTime": "2023-08-15T15:33:54.712819865Z",
      "updateTime": "2023-08-15T15:33:54.945630882Z",
      "description": "descriptor",
      "network": "projects/project-id/global/networks/network-two",
      "serviceClass": "service-class",
      "infrastructure": "PSC",
      "pscConfig": {
        "subnetworks": [
          "projects/project-id/regions/us-west1/subnetworks/us-west1-subnet"
        ],
        "limit": "12"
      },
      "etag": "zCqDFBG1dS7B4gNdJKPR98YMUXpSrBIz0tZB_hwOIZI"
    },
    {
      "name": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-2",
      "createTime": "2023-08-15T16:59:29.230257109Z",
      "updateTime": "2023-08-15T16:59:29.508994923Z",
      "description": "descriptor",
      "network": "projects/project-id/global/networks/custom-test",
      "serviceClass": "service-class",
      "infrastructure": "PSC",
      "pscConfig": {
        "subnetworks": [
          "projects/project-id/regions/us-central1/subnetworks/subnet-one"
        ],
        "limit": "25"
      },
      "etag": "nB603i61nRGMZpNjWoWMM6wRzsgM8QN9C9v5QFLyOa8"
    }
  ]
}

Richtlinie für Dienstverbindungen beschreiben

Erforderliche Berechtigungen für diese Aufgabe

Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Berechtigungen oder eine der folgenden IAM-Rollen.

Berechtigungen

networkconnectivity.serviceConnectionPolicies.get

Rollen

Compute-Netzwerkadministrator (roles/compute.networkAdmin)

Console

Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

Zu Private Service Connect
Klicken Sie auf den Tab Verbindungsrichtlinien.
Klicken Sie auf die Richtlinie für die Dienstverbindung, die Sie aufrufen möchten.

gcloud

Führen Sie den Befehl service-connection-policies describe aus.

gcloud network-connectivity service-connection-policies describe POLICY_NAME \
    --region=REGION

Ersetzen Sie dabei Folgendes:

POLICY_NAME: der Name der Richtlinie für Dienstverbindungen, die Sie beschreiben möchten.
REGION: Region der Richtlinie für Dienstverbindungen, die Sie beschreiben möchten.

API

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

PROJECT_ID: die Projekt-ID.
REGION: die Region Ihrer Dienstverbindungsrichtlinie.
POLICY_NAME: der Name der zu beschreibenden Richtlinie für Dienstverbindungen.

HTTP-Methode und URL:

GET https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Führen Sie folgenden Befehl aus:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME"

PowerShell (Windows)

Führen Sie folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME" | Select-Object -Expand Content

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-name",
  "createTime": "2023-08-15T16:59:29.230257109Z",
  "updateTime": "2023-08-15T16:59:29.508994923Z",
  "description": "description",
  "network": "projects/project-id/global/networks/custom-test",
  "serviceClass": "gcp-memorystore-redis",
  "infrastructure": "PSC",
  "pscConfig": {
    "subnetworks": [
      "projects/project-id/regions/us-central1/subnetworks/subnet-one"
    ],
    "limit": "25"
  },
  "etag": "nB603i61nRGMZpNjWoWMM6wRzsgM8QN9C9v5QFLyOa8"
}

Dienstverbindungsrichtlinie aktualisieren

Sie können die Subnetze, das Verbindungslimit und den Gültigkeitsbereich der Dienstinstanz für eine Richtlinie für Dienstverbindungen aktualisieren.

Wenn Sie ein Subnetz aus der Dienstverbindungsrichtlinie entfernen, gilt Folgendes:

Vorhandene Private Service Connect-Endpunkte sind nicht betroffen.
Neue Endpunkte verwenden nicht das entfernte Subnetz.

Wenn Sie das Verbindungslimit einer Richtlinie für Dienstverbindungen aktualisieren, gilt:

Vorhandene Endpunkte sind nicht betroffen.
Wenn das neue Verbindungslimit niedriger ist als die vorhandene Anzahl an Endpunkten, die der Richtlinie zugeordnet sind, blockiert die Automatisierung der Dienstverbindungen das Erstellen neuer Endpunkte, die diese Richtlinie verwenden.
Wenn das neue Verbindungslimit höher als die vorhandene Anzahl von Endpunkten ist, die der Richtlinie zugeordnet sind, können Endpunkte, die zuvor durch das Verbindungslimit blockiert wurden, erstellt werden.

Wenn Sie eine Dienstverbindungsrichtlinie aktualisieren und kein Verbindungslimit angeben, hat die aktualisierte Richtlinie kein Verbindungslimit.

Wenn Sie den Gültigkeitsbereich der Dienstinstanz für eine Richtlinie für Dienstverbindungen aktualisieren, sind vorhandene Endpunkte nicht betroffen. Verwenden Sie die Google Cloud Console oder die API, um den Umfang zu aktualisieren.

Erforderliche Berechtigungen für diese Aufgabe

Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Berechtigungen oder eine der folgenden IAM-Rollen.

Berechtigungen

networkconnectivity.serviceConnectionPolicies.update

Rollen

Compute-Netzwerkadministrator (roles/compute.networkAdmin)

Console

Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

Zu Private Service Connect
Klicken Sie auf den Tab Verbindungsrichtlinien.
Klicken Sie auf die Richtlinie für Dienstverbindungen, die Sie bearbeiten möchten.
Klicken Sie auf Bearbeiten.
Nehmen Sie die erforderlichen Änderungen an der Richtlinie für Dienstverbindungen vor.
Klicken Sie auf Richtlinie aktualisieren.

gcloud

Führen Sie den Befehl service-connection-policies update aus.

gcloud network-connectivity service-connection-policies update POLICY_NAME \
    --region=REGION \
    --project=PROJECT_ID \
    --subnets=SUBNETS \
    --psc-connection-limit=LIMIT

POLICY_NAME: der Name Ihrer Dienstverbindungsrichtlinie.
REGION: die Region der Dienstverbindungsrichtlinie. Sie können die Region einer Richtlinie nicht aktualisieren.
PROJECT_ID: Die ID oder Nummer des Projekts der Richtlinie.
SUBNETS: ein oder mehrere reguläre Nutzersubnetze, die zum Zuweisen von IP-Adressen für Private Service Connect-Endpunkte verwendet werden. Diese IP-Adressen werden automatisch zugewiesen und an den Pool des Subnetzes zurückgegeben, wenn verwaltete Dienstinstanzen erstellt und gelöscht werden. Die Subnetze müssen sich in derselben Region wie die Richtlinie für Dienstverbindungen befinden. Sie können dasselbe Subnetzwerk in mehreren Verbindungsrichtlinien verwenden, wenn die Richtlinien dieselbe Region verwenden. Sie können mehrere Subnetze in einer durch Kommas getrennten Liste angeben.
LIMIT: die maximale Anzahl von Endpunkten, die mithilfe dieser Richtlinie erstellt werden können. Wenn keine Angabe erfolgt, gibt es kein Limit.

API

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

PROJECT_ID: die Projekt-ID.
REGION: die Region Ihrer Dienstverbindungsrichtlinie. Sie können die Region einer Richtlinie nicht aktualisieren.
POLICY_NAME: der Name Ihrer Dienstverbindungsrichtlinie.
LIMIT: die maximale Anzahl von Endpunkten, die mithilfe dieser Richtlinie erstellt werden können. Wenn keine Angabe erfolgt, gibt es kein Limit.
SUBNET: ein oder mehrere reguläre Nutzersubnetze, die zum Zuweisen von IP-Adressen für Private Service Connect-Endpunkte verwendet werden. Diese IP-Adressen werden automatisch zugewiesen und an den Pool des Subnetzes zurückgegeben, wenn verwaltete Dienstinstanzen erstellt und gelöscht werden. Die Subnetze müssen sich in derselben Region wie die Richtlinie für Dienstverbindungen befinden. Sie können dasselbe Subnetzwerk in mehreren Verbindungsrichtlinien verwenden, wenn die Richtlinien dieselbe Region verwenden. Sie können mehrere Subnetz-URLs in einer durch Kommas getrennten Liste angeben.
NETWORK: das Netzwerk Ihrer Dienstverbindungsrichtlinie.

HTTP-Methode und URL:

PATCH https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME

JSON-Text anfordern:

{
  "pscConfig": {
    "limit": "LIMIT",
    "subnetworks": [
      "projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET"
    ]
  },
  "network": "projects/PROJECT_ID/global/networks/NETWORK"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME"

PowerShell (Windows)

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME" | Select-Object -Expand Content

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "projects/project-id/locations/us-central1/operations/operation-1692118768698-602f91a204523-8c6a2d93-d5c20a6a",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.networkconnectivity.v1.OperationMetadata",
    "createTime": "2023-08-15T16:59:29.236110917Z",
    "target": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-name",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

Richtlinie für Dienstverbindungen löschen

Erforderliche Berechtigungen für diese Aufgabe

Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Berechtigungen oder eine der folgenden IAM-Rollen.

Berechtigungen

networkconnectivity.serviceConnectionPolicies.delete

Rollen

Compute-Netzwerkadministrator (roles/compute.networkAdmin)

Sie können eine Richtlinie für Dienstverbindungen löschen, wenn Sie den Dienst nicht mehr verwenden oder die Automatisierung der Konnektivität beenden möchten. Das Löschen der Richtlinie ist blockiert, wenn aktive Private Service Connect-Verbindungen mit der Richtlinie verknüpft sind. Bevor Sie eine Richtlinie für Dienstverbindungen löschen, löschen Sie alle aktiven Verbindungen, indem Sie alle zugehörigen Dienstinstanzen außer Betrieb nehmen.

Console

Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

Zu Private Service Connect
Klicken Sie auf den Tab Verbindungsrichtlinien.
Wählen Sie die Richtlinien für Dienstverbindungen aus, die Sie löschen möchten, und klicken Sie dann auf Löschen.

gcloud

Führen Sie den Befehl service-connection-policies delete aus.

gcloud network-connectivity service-connection-policies delete POLICY_NAME \
    --region=REGION

Ersetzen Sie dabei Folgendes:

POLICY_NAME: der Name der Richtlinie für Dienstverbindungen, die Sie löschen möchten.
REGION: die Region der Richtlinie für Dienstverbindungen, die Sie löschen möchten.

API

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

PROJECT_ID: die Projekt-ID.
REGION: die Region Ihrer Dienstverbindungsrichtlinie.
POLICY_NAME: der Name der Richtlinie für Dienstverbindungen, die gelöscht werden soll.

HTTP-Methode und URL:

DELETE https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Führen Sie folgenden Befehl aus:

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME"

PowerShell (Windows)

Führen Sie folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME" | Select-Object -Expand Content

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "projects/project-id/locations/us-central1/operations/operation-1692128792549-602fb6f98194a-e0275435-36edc095",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.networkconnectivity.v1.OperationMetadata",
    "createTime": "2023-08-15T19:46:32.605032867Z",
    "target": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-name",
    "verb": "delete",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

Dienstkonten für freigegebene VPC konfigurieren

Dienstkonten werden automatisch konfiguriert, wenn Sie Dienstverbindungsrichtlinien mit freigegebener VPC verwenden. Die Rollen können jedoch manuell entfernt werden. Wenn Fehler aufgrund fehlender Berechtigungen angezeigt werden, versuchen Sie, die Rollen noch einmal zu gewähren.

Zum Zuweisen der erforderlichen Rollen kann ein Dienstkontoadministrator Folgendes tun:

Rollen dem Dienstkonto im Dienstprojekt zuweisen

gcloud

Weisen Sie dem Network Connectivity-Dienstkonto des Dienstprojekts die Rolle „Network Connectivity-Dienst-Agent“ (roles/networkconnectivity.serviceAgent) zu. Weisen Sie die Rolle für das Dienstprojekt zu.
```
gcloud projects add-iam-policy-binding SERVICE_PROJECT_NUMBER \
    --member=serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-networkconnectivity.iam.gserviceaccount.com \
    --role=roles/networkconnectivity.serviceAgent
```
Ersetzen Sie SERVICE_PROJECT_NUMBER durch die Projektnummer des Dienstprojekts.
Weisen Sie dem Network Connectivity-Dienstkonto des Dienstprojekts die Rolle „Compute-Netzwerknutzer“ (roles/compute.networkUser) zu. Führen Sie einen der folgenden Schritte aus:
- Weisen Sie die Rolle für das Hostprojekt zu.
```
gcloud projects add-iam-policy-binding HOST_PROJECT_NUMBER \
    --member=serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-networkconnectivity.iam.gserviceaccount.com \
    --role=roles/compute.networkUser
```
  Ersetzen Sie HOST_PROJECT_NUMBER durch die Projektnummer des Hostprojekts.
- Gewähren Sie die Rolle für jedes der Subnetze im Hostprojekt, das mit der Richtlinie für Dienstverbindungen verknüpft ist. Verwenden Sie für jedes Subnetz den folgenden Befehl.
```
gcloud compute networks subnets add-iam-policy-binding SUBNET \
    --member=serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-networkconnectivity.iam.gserviceaccount.com \
    --role=roles/compute.networkUser \
    --region=REGION \
    --project=HOST_PROJECT_NUMBER
```
  Ersetzen Sie dabei Folgendes:
  - SUBNET: der Name des Subnetzes, das Ihrer Dienstverbindungsrichtlinie zugeordnet ist.
  - REGION: die Region des Subnetzes.

Rolle dem Dienstkonto im Hostprojekt zuweisen

gcloud

Weisen Sie dem Network Connectivity-Dienstkonto des Dienstprojekts die Rolle „Network Connectivity-Dienst-Agent“ (roles/networkconnectivity.serviceAgent) zu. Weisen Sie die Rolle für das Hostprojekt zu.
```
gcloud projects add-iam-policy-binding HOST_PROJECT_NUMBER \
    --member=serviceAccount:service-HOST_PROJECT_NUMBER@gcp-sa-networkconnectivity.iam.gserviceaccount.com \
    --role=roles/networkconnectivity.serviceAgent
```
Ersetzen Sie HOST_PROJECT_NUMBER durch die Projektnummer des Hostprojekts.

Nächste Schritte

Verwaltete Dienstinstanz über Richtlinien für Dienstverbindungen bereitstellen