使用服务连接政策部署代管式服务实例

本页面介绍了使用方服务管理员如何使用服务连接政策部署托管式服务的实例并配置连接。

准备工作

• 确保要部署的代管式服务支持服务连接政策。使用服务连接映射部署服务的功能是有限预览版。如需详细了解支持服务连接映射的服务，请参阅支持的服务。

• 对于要部署的 VPC 网络、区域和代管式服务，您需要一个服务连接政策。

所需的角色

使用方服务管理员不需要 VPC 网络的任何 IAM 权限，因为这些权限由服务连接政策委托。但是，可能会需要使用服务连接政策部署的特定代管式服务的 IAM 权限。如需了解特定代管式服务所需的 IAM 权限，请参阅该服务的文档。

部署托管式服务实例并配置连接

如果某个服务有服务连接政策，则使用方服务管理员可以直接通过托管式服务的管理 API 或界面来部署托管式服务实例并配置连接。

如需部署代管式服务连接，请按照以下步骤操作。具体步骤可能因代管式服务而异。

1. 在代管式服务的管理 API 或界面中，指定 Private Service Connect 作为连接类型。服务可能会提供指定 VPC 网络的选项，您将在该网络中部署 Private Service Connect 端点。

2. 如果所有授权检查都通过，则部署连接。Network Connectivity 服务账号会在指定的 VPC 网络中创建内部 IP 地址和 Private Service Connect 端点。

   端点的生命周期与代管式服务实例的生命周期匹配。除非您重新配置连接或停用服务实例，否则端点将保持活跃且稳定的状态。

3. Network Connectivity 服务账号创建端点后，端点的转发规则会显示在您在第 1 步配置的项目中。此转发规则表示提供方已接受连接，并且包含分配给端点的 IP 地址。

   使用服务连接政策创建的所有转发规则的名称以 sca-auto- 开头。以下是使用服务连接政策创建的转发规则的示例。

   
   kind: compute#forwardingRule
   name: sca-auto-ab3f45d
   IPAddress: 10.33.2.8
   allowPscGlobalAccess: true
   network: https://www.googleapis.com/compute/v1/projects/consumer-project/global/networks/vpc1
   pscConnectionStatus: ACCEPTED
   region: https://www.googleapis.com/compute/v1/projects/consumer-project/regions/us-central1
   selfLink: https://www.googleapis.com/compute/v1/projects/consumer-project/regions/us-central1/forwardingRules/sca-auto-ab3f45d
   serviceDirectoryRegistrations:
   -namespace: goog-psc-default
   target:
   https://www.googleapis.com/compute/v1/projects/producer-project/regions/us-central1/serviceAttachments/producer-sa
   
   

4. 您的服务可能会提供有关如何连接到新端点的信息，例如提供 IP 地址。使用提供的 IP 地址通过 Google Cloud 中的内部 IP 地址与您的服务进行通信。

   如需详细了解如何配置特定服务，请参阅该服务的文档。

停用服务连接

如需停用服务连接或停用使用服务连接政策部署的代管式服务实例，请使用代管式服务的管理 API 或界面。删除与代管式服务关联的每个服务实例。服务实例被删除时，Google Cloud 会删除关联的连接和端点。