使用服务连接政策部署代管式服务实例
本页面介绍了服务实例管理员如何使用服务连接政策部署托管式服务的实例并配置连接。
准备工作
确保要部署的代管式服务支持服务连接政策。使用服务连接映射部署服务的功能是有限预览版。如需详细了解支持服务连接映射的服务,请参阅支持的服务。
对于要部署的 VPC 网络、区域和托管式服务,您需要一个服务连接政策。
所需的角色
服务实例管理员不需要 VPC 网络的任何 IAM 权限,因为这些权限由服务连接政策委托。但是,可能会需要使用服务连接政策部署的特定代管式服务的 IAM 权限。如需了解特定代管式服务所需的 IAM 权限,请参阅该服务的文档。
部署托管式服务实例并配置连接
如果某个服务有服务连接政策,则使用方服务管理员可以直接通过托管式服务的管理 API 或界面为他们部署的托管式服务实例配置连接。
如需部署代管式服务连接,请按照以下步骤操作。具体步骤可能因托管式服务而异。
使用托管式服务的管理 API 或界面部署服务实例,并指定 Private Service Connect 作为连接类型。服务可能会提供选项供您指定要在其内部署 Private Service Connect 端点的 VPC 网络。
例如,您可以部署 Cloud SQL 实例并为其配置连接。
如果所有授权检查都通过,则部署连接。Network Connectivity 服务账号会在指定的 VPC 网络中创建内部 IP 地址和 Private Service Connect 端点。
端点的生命周期与代管式服务实例的生命周期匹配。除非您重新配置连接或停用服务实例,否则端点将保持活跃且稳定的状态。
Network Connectivity 服务账号创建端点后,端点的转发规则会显示在您在第 1 步配置的项目中。此转发规则表示提供方已接受连接,并且包含分配给端点的 IP 地址。
使用服务连接政策创建的所有转发规则的名称以
sca-auto-开头。以下是使用服务连接政策创建的转发规则的示例。kind: compute#forwardingRule name: sca-auto-ab3f45d IPAddress: 10.33.2.8 allowPscGlobalAccess: true network: https://www.googleapis.com/compute/v1/projects/consumer-project/global/networks/vpc1 pscConnectionStatus: ACCEPTED region: https://www.googleapis.com/compute/v1/projects/consumer-project/regions/us-central1 selfLink: https://www.googleapis.com/compute/v1/projects/consumer-project/regions/us-central1/forwardingRules/sca-auto-ab3f45d serviceDirectoryRegistrations: -namespace: goog-psc-default target: https://www.googleapis.com/compute/v1/projects/producer-project/regions/us-central1/serviceAttachments/producer-sa您的服务可能会提供有关如何连接到新端点的信息,例如提供 IP 地址。使用提供的 IP 地址通过 Google Cloud中的内部 IP 地址与您的服务进行通信。
如需详细了解如何配置特定服务,请参阅该服务的文档。
停用服务连接
如需停用服务连接或停用使用服务连接政策部署的托管式服务实例,请使用托管式服务的管理 API 或界面。删除与托管式服务关联的每个服务实例。服务实例被删除时,服务连接自动化功能会删除关联的连接和端点。
问题排查
本部分介绍了如何对通过服务连接自动化功能创建的连接进行问题排查。
端点创建或删除失败
如果未能按预期创建或删除授权端点,可以描述服务连接政策。pscConnections 字段包含有关任何阻止操作成功完成的错误的详细信息以及解决这些错误的方法。
解决所有问题后,服务连接自动化功能会在下次自动重试操作时创建或删除端点。
或者,如果您不想等待下次自动重试操作,可以使用您要部署的托管式服务的管理 API 或界面,通过有效配置请求部署另一个服务实例并建立连接。