Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Déployer une instance de service géré à l'aide de règles de connexion de service
Cette page explique comment un administrateur de service client peut déployer une instance d'un service géré et configurer la connectivité à l'aide de règles de connexion de service.
Avant de commencer
Assurez-vous que le service géré que vous souhaitez déployer est compatible avec les règles de connexion de service. La mise à disposition de services pour le déploiement à l'aide de règles de connexion de service est disponible en version preview limitée. Pour en savoir plus sur les services compatibles avec les règles de connexion, consultez la page Services compatibles.
Vous avez besoin d'une règle de connexion de service pour le réseau VPC, la région et le service géré que vous souhaitez déployer.
Rôles requis
Les administrateurs de services client n'ont pas besoin d'autorisations IAM pour le réseau VPC, car ces autorisations sont déléguées par la règle de connexion au service. Toutefois, des autorisations IAM peuvent être requises pour des services gérés spécifiques déployés à l'aide de règles de connexion de service. Pour en savoir plus sur les autorisations IAM requises par un service géré spécifique, consultez la documentation du service.
Déployer une instance de service géré et configurer la connectivité
Si une règle de connexion de service existe pour un service, un administrateur de service client peut déployer une instance de service géré et configurer la connectivité directement via l'API ou l'interface utilisateur d'administration du service géré.
Pour déployer une connectivité de service géré, procédez comme suit : Les étapes peuvent varier en fonction du service géré.
Dans l'API d'administration ou l'interface utilisateur du service géré, spécifiez Private Service Connect comme type de connectivité. Le service peut fournir l'option permettant de spécifier le réseau VPC dans lequel déployer les points de terminaison Private Service Connect.
Si toutes les vérifications des autorisations réussissent, la connectivité est déployée. Le compte de service de connectivité réseau crée une adresse IP interne et un point de terminaison Private Service Connect dans le réseau VPC spécifié.
Le cycle de vie de votre point de terminaison correspond à celui de votre instance de service géré. Le point de terminaison reste actif et stable, sauf si vous reconfigurez la connectivité ou mettez hors service l'instance de service.
Une fois que le compte de service de connectivité réseau a créé votre point de terminaison, la règle de transfert du point de terminaison est visible dans le projet que vous avez configuré à l'étape 1. Cette règle de transfert indique que la connexion a été acceptée par le producteur et qu'elle inclut l'adresse IP qui a été attribuée à votre point de terminaison.
Les noms de toutes les règles de transfert créées à l'aide de règles de connexion de service commencent par sca-auto-. Voici un exemple de règle de transfert créée à l'aide d'une règle de connexion de service.
Votre service peut fournir des informations sur la connexion au nouveau point de terminaison, par exemple en fournissant une adresse IP. Utilisez l'adresse IP fournie pour communiquer avec votre service via des adresses IP internes dans Google Cloud.
Pour plus d'informations sur la configuration d'un service spécifique, consultez la documentation de ce service.
Mise hors service d'une connectivité de service
Pour mettre hors service la connectivité du service ou mettre hors service une instance de service géré déployée à l'aide de règles de connexion de service, utilisez l'API ou l'interface utilisateur d'administration du service géré. Supprimez chaque instance de service associée au service géré. Lorsque des instances de service sont supprimées, Google Cloud supprime les connexions et les points de terminaison associés.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2024/12/06 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2024/12/06 (UTC)."],[],[],null,["# Deploy a managed service instance by using service connection policies\n\nDeploy a managed service instance by using service\nconnection policies\n======================================================================\n\nThis page describes how a service instance administrator can deploy an instance\nof a managed service and configure connectivity by using service connection\npolicies.\n\nBefore you begin\n----------------\n\n- Make sure that the managed service that you want to deploy supports\n service connection policies. Making services available for deployment by\n using service connection maps is available in a limited Preview. For more\n information about services that support service connection maps, see\n [Supported services](/vpc/docs/about-service-connectivity-automation#supported-services).\n\n- You need a [service connection policy](/vpc/docs/about-service-connection-policies)\n for the VPC network, region, and managed service that you want\n to deploy.\n\n### Required roles\n\nService instance administrators don't need any IAM permissions\nfor the VPC network because these permissions are delegated\nby the service connection policy. However, IAM permissions might\nbe required for specific managed services that are deployed by using service\nconnection policies. For information about IAM permissions that\nare required by a specific managed service, check the service's documentation.\n\nDeploy a managed service instance and configure connectivity\n------------------------------------------------------------\n\nIf a service connection policy exists for a service, a consumer service\nadministrator can configure connectivity for the managed service instance that\nthey are deploying directly through the administrative API or UI of the managed\nservice.\n\nTo deploy managed service connectivity, follow these steps. The steps might\nvary depending on the managed service.\n\n1. Use the administrative API or UI of the managed service to deploy a service\n instance, specifying Private Service Connect as your connectivity\n type. The service might provide the option to specify the VPC\n network to deploy Private Service Connect endpoints in.\n\n For example, you can\n [deploy and configure connectivity for a Cloud SQL instance](/sql/docs/mysql/configure-private-service-connect#create-cloud-sql-instance-psc-enabled-2).\n | **Note:** A service connection policy must exist for this VPC network, region, and service class. Otherwise, the service producer that's represented by the service class is not authorized to deploy connectivity on your behalf.\n2. If all [authorization checks](/vpc/docs/about-service-connectivity-automation#authorization)\n pass, then connectivity is deployed. The\n Network Connectivity Service Account creates an internal IP\n address and Private Service Connect\n endpoint in the specified VPC network.\n\n The lifecycle of your endpoint matches the lifecycle of your managed\n service instance. The endpoint remains active and stable unless you\n reconfigure connectivity or [decommission the service instance](#decommission-service)\n3. After the Network Connectivity Service Account creates your endpoint, the\n endpoint's forwarding rule is visible in the project that you configured\n in step 1. This forwarding rule indicates that the connection has been\n accepted by the producer and includes the IP address that was assigned to\n your endpoint.\n\n The names of all forwarding rules that are created by using\n service connection policies start with `sca-auto-`. The following is an\n example of a forwarding rule that was created by using a service connection\n policy. \n\n ```\n\n kind: compute#forwardingRule\n name: sca-auto-ab3f45d\n IPAddress: 10.33.2.8\n allowPscGlobalAccess: true\n network: https://www.googleapis.com/compute/v1/projects/consumer-project/global/networks/vpc1\n pscConnectionStatus: ACCEPTED\n region: https://www.googleapis.com/compute/v1/projects/consumer-project/regions/us-central1\n selfLink: https://www.googleapis.com/compute/v1/projects/consumer-project/regions/us-central1/forwardingRules/sca-auto-ab3f45d\n serviceDirectoryRegistrations:\n -namespace: goog-psc-default\n target:\n https://www.googleapis.com/compute/v1/projects/producer-project/regions/us-central1/serviceAttachments/producer-sa\n\n ```\n4. Your service might provide information about how to connect to the\n new endpoint---for example, by providing an IP address. Use the\n provided IP address to communicate with your service through internal IP\n addresses within Google Cloud.\n\n For more information about how to configure a specific service, see that\n service's documentation.\n\n| **Caution:** The managed service fully controls the lifecycle of Private Service Connect endpoints and IP addresses that are deployed by using service connection policies. Don't directly delete or update these Google Cloud resources or else you risk losing connectivity to your managed service instance. All actions to add, remove, or update connectivity for a managed service instance should be taken directly through the administrative API or UI of the managed service.\n\nDecommission service connectivity\n---------------------------------\n\nTo decommission service connectivity or decommission a managed service instance\nthat's deployed by using service connection policies, use the administrative API\nor UI of the managed service. Delete each service instance that's associated\nwith the managed service. When service instances are deleted, service\nconnectivity automation deletes the associated connections and endpoints.\n\nTroubleshooting\n---------------\n\nThis section contains information about troubleshooting connections that are\ncreated through service connectivity automation.\n\n### Endpoint creation or deletion failure\n\nIf authorized endpoints are not created or deleted as you expect,\n[describe the service connection policy](/vpc/docs/configure-service-connection-policies#describe-policy).\nThe `pscConnections` field contains details about any blocking\nerrors and how you can resolve them.\n\nAfter any issues are resolved, the endpoint is created or deleted the next time\nservice connectivity automation automatically\n[retries the operation](/vpc/docs/about-service-connectivity-automation#endpoint-automation).\n\nAlternatively, if you don't want to wait for the retry process, you can use the\nadministrative API or UI of the managed service you are deploying to request\ndeployment and connectivity for another service instance, using a valid\nconfiguration."]]
