Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Esegui il deployment di un'istanza di servizio gestito utilizzando le policy di connessione al servizio
Questa pagina descrive come un amministratore di un'istanza di servizio può eseguire il deployment di un'istanza
di un servizio gestito e configurare la connettività utilizzando le policy
di connessione al servizio.
Prima di iniziare
Assicurati che il servizio gestito che vuoi implementare supporti
le policy di connessione al servizio. La creazione di servizi disponibili per il deployment
utilizzando le mappe di connessione ai servizi è disponibile in un'anteprima limitata. Per ulteriori informazioni sui servizi che supportano le mappe delle connessioni di servizio, consulta Servizi supportati.
Gli amministratori delle istanze di servizio non hanno bisogno di autorizzazioni IAM
per la rete VPC perché queste autorizzazioni vengono delegate
dal criterio di connessione al servizio. Tuttavia, potrebbero essere necessarie autorizzazioni IAM per servizi gestiti specifici di cui viene eseguito il deployment utilizzando criteri di connessione al servizio. Per informazioni sulle autorizzazioni IAM richieste da un servizio gestito specifico, consulta la documentazione del servizio.
Esegui il deployment di un'istanza di servizio gestito e configura la connettività
Se esiste un criterio di connessione del servizio per un servizio, un amministratore del servizio consumer può configurare la connettività per l'istanza del servizio gestito che sta implementando direttamente tramite l'API amministrativa o l'interfaccia utente del servizio gestito.
Per eseguire il deployment della connettività del servizio gestito, segui questi passaggi. I passaggi potrebbero
variare a seconda del servizio gestito.
Utilizza l'API o l'interfaccia utente amministrativa del servizio gestito per eseguire il deployment di un'istanza di servizio, specificando Private Service Connect come tipo di connettività. Il servizio potrebbe fornire l'opzione per specificare la rete VPC in cui eseguire il deployment degli endpoint Private Service Connect.
Se tutti i controlli di autorizzazione
vanno a buon fine, la connettività viene implementata. L'account di servizio di connettività di rete crea un indirizzo IP interno e un endpoint Private Service Connect nella rete VPC specificata.
Il ciclo di vita dell'endpoint corrisponde a quello dell'istanza del servizio gestito. L'endpoint rimane attivo e stabile a meno che non
riconfiguri la connettività o ritiri l'istanza del servizio.
Dopo che l'account di servizio Network Connectivity Service crea l'endpoint, la regola di forwarding dell'endpoint è visibile nel progetto che hai configurato nel passaggio 1. Questa regola di forwarding indica che la connessione è stata
accettata dal producer e include l'indirizzo IP assegnato
al tuo endpoint.
I nomi di tutte le regole di forwarding create utilizzando
le policy di connessione al servizio iniziano con sca-auto-. Di seguito è riportato un esempio di regola di forwarding creata utilizzando una policy di connessione al servizio.
Il tuo servizio potrebbe fornire informazioni su come connettersi al
nuovo endpoint, ad esempio fornendo un indirizzo IP. Utilizza l'indirizzo IP fornito per comunicare con il tuo servizio tramite indirizzi IP interni all'interno di Google Cloud.
Per ulteriori informazioni su come configurare un servizio specifico, consulta la documentazione del servizio.
Ritirare la connettività del servizio
Per ritirare la connettività del servizio o un'istanza di servizio gestito
di cui è stato eseguito il deployment utilizzando le policy di connessione al servizio, utilizza l'API amministrativa
o la UI del servizio gestito. Elimina ogni istanza di servizio associata
al servizio gestito. Quando le istanze di servizio vengono eliminate, l'automazione della connettività del servizio elimina le connessioni e gli endpoint associati.
Risoluzione dei problemi
Questa sezione contiene informazioni sulla risoluzione dei problemi relativi alle connessioni create tramite l'automazione della connettività dei servizi.
Errore di creazione o eliminazione dell'endpoint
Se gli endpoint autorizzati non vengono creati o eliminati come previsto,
descrivi la policy di connessione al servizio.
Il campo pscConnections contiene dettagli su eventuali errori di blocco e su come risolverli.
In alternativa, se non vuoi attendere il processo di riprova, puoi utilizzare l'API o la UI di amministrazione del servizio gestito di cui esegui il deployment per richiedere il deployment e la connettività per un'altra istanza del servizio, utilizzando una configurazione valida.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-05 UTC."],[],[],null,["# Deploy a managed service instance by using service connection policies\n\nDeploy a managed service instance by using service\nconnection policies\n======================================================================\n\nThis page describes how a service instance administrator can deploy an instance\nof a managed service and configure connectivity by using service connection\npolicies.\n\nBefore you begin\n----------------\n\n- Make sure that the managed service that you want to deploy supports\n service connection policies. Making services available for deployment by\n using service connection maps is available in a limited Preview. For more\n information about services that support service connection maps, see\n [Supported services](/vpc/docs/about-service-connectivity-automation#supported-services).\n\n- You need a [service connection policy](/vpc/docs/about-service-connection-policies)\n for the VPC network, region, and managed service that you want\n to deploy.\n\n### Required roles\n\nService instance administrators don't need any IAM permissions\nfor the VPC network because these permissions are delegated\nby the service connection policy. However, IAM permissions might\nbe required for specific managed services that are deployed by using service\nconnection policies. For information about IAM permissions that\nare required by a specific managed service, check the service's documentation.\n\nDeploy a managed service instance and configure connectivity\n------------------------------------------------------------\n\nIf a service connection policy exists for a service, a consumer service\nadministrator can configure connectivity for the managed service instance that\nthey are deploying directly through the administrative API or UI of the managed\nservice.\n\nTo deploy managed service connectivity, follow these steps. The steps might\nvary depending on the managed service.\n\n1. Use the administrative API or UI of the managed service to deploy a service\n instance, specifying Private Service Connect as your connectivity\n type. The service might provide the option to specify the VPC\n network to deploy Private Service Connect endpoints in.\n\n For example, you can\n [deploy and configure connectivity for a Cloud SQL instance](/sql/docs/mysql/configure-private-service-connect#create-cloud-sql-instance-psc-enabled-2).\n | **Note:** A service connection policy must exist for this VPC network, region, and service class. Otherwise, the service producer that's represented by the service class is not authorized to deploy connectivity on your behalf.\n2. If all [authorization checks](/vpc/docs/about-service-connectivity-automation#authorization)\n pass, then connectivity is deployed. The\n Network Connectivity Service Account creates an internal IP\n address and Private Service Connect\n endpoint in the specified VPC network.\n\n The lifecycle of your endpoint matches the lifecycle of your managed\n service instance. The endpoint remains active and stable unless you\n reconfigure connectivity or [decommission the service instance](#decommission-service)\n3. After the Network Connectivity Service Account creates your endpoint, the\n endpoint's forwarding rule is visible in the project that you configured\n in step 1. This forwarding rule indicates that the connection has been\n accepted by the producer and includes the IP address that was assigned to\n your endpoint.\n\n The names of all forwarding rules that are created by using\n service connection policies start with `sca-auto-`. The following is an\n example of a forwarding rule that was created by using a service connection\n policy. \n\n ```\n\n kind: compute#forwardingRule\n name: sca-auto-ab3f45d\n IPAddress: 10.33.2.8\n allowPscGlobalAccess: true\n network: https://www.googleapis.com/compute/v1/projects/consumer-project/global/networks/vpc1\n pscConnectionStatus: ACCEPTED\n region: https://www.googleapis.com/compute/v1/projects/consumer-project/regions/us-central1\n selfLink: https://www.googleapis.com/compute/v1/projects/consumer-project/regions/us-central1/forwardingRules/sca-auto-ab3f45d\n serviceDirectoryRegistrations:\n -namespace: goog-psc-default\n target:\n https://www.googleapis.com/compute/v1/projects/producer-project/regions/us-central1/serviceAttachments/producer-sa\n\n ```\n4. Your service might provide information about how to connect to the\n new endpoint---for example, by providing an IP address. Use the\n provided IP address to communicate with your service through internal IP\n addresses within Google Cloud.\n\n For more information about how to configure a specific service, see that\n service's documentation.\n\n| **Caution:** The managed service fully controls the lifecycle of Private Service Connect endpoints and IP addresses that are deployed by using service connection policies. Don't directly delete or update these Google Cloud resources or else you risk losing connectivity to your managed service instance. All actions to add, remove, or update connectivity for a managed service instance should be taken directly through the administrative API or UI of the managed service.\n\nDecommission service connectivity\n---------------------------------\n\nTo decommission service connectivity or decommission a managed service instance\nthat's deployed by using service connection policies, use the administrative API\nor UI of the managed service. Delete each service instance that's associated\nwith the managed service. When service instances are deleted, service\nconnectivity automation deletes the associated connections and endpoints.\n\nTroubleshooting\n---------------\n\nThis section contains information about troubleshooting connections that are\ncreated through service connectivity automation.\n\n### Endpoint creation or deletion failure\n\nIf authorized endpoints are not created or deleted as you expect,\n[describe the service connection policy](/vpc/docs/configure-service-connection-policies#describe-policy).\nThe `pscConnections` field contains details about any blocking\nerrors and how you can resolve them.\n\nAfter any issues are resolved, the endpoint is created or deleted the next time\nservice connectivity automation automatically\n[retries the operation](/vpc/docs/about-service-connectivity-automation#endpoint-automation).\n\nAlternatively, if you don't want to wait for the retry process, you can use the\nadministrative API or UI of the managed service you are deploying to request\ndeployment and connectivity for another service instance, using a valid\nconfiguration."]]
