Verwaltete Dienstinstanz über Richtlinien für Dienstverbindungen bereitstellen

Auf dieser Seite wird beschrieben, wie ein Nutzerdienstadministrator mithilfe von Richtlinien für Dienstverbindungen eine Instanz eines verwalteten Dienstes bereitstellen und die Verbindung konfigurieren kann.

Vorbereitung

  • Achten Sie darauf, dass der verwaltete Dienst, den Sie bereitstellen möchten, Richtlinien für Dienstverbindungen unterstützt. Die Bereitstellung von Diensten mithilfe von Dienstverbindungszuordnungen ist in einer eingeschränkten Vorschau verfügbar. Weitere Informationen zu Diensten, die Richtlinien für Dienstverbindungen unterstützen, finden Sie unter Unterstützte Dienste.

  • Sie benötigen eine Richtlinie für Dienstverbindungen für das VPC-Netzwerk, die Region und den verwalteten Dienst, die Sie bereitstellen möchten.

Erforderliche Rollen

Nutzerdienstadministratoren benötigen keine IAM-Berechtigungen für das VPC-Netzwerk, da diese Berechtigungen von der Richtlinie für Dienstverbindungen delegiert werden. IAM-Berechtigungen sind jedoch möglicherweise für bestimmte verwaltete Dienste erforderlich, die mithilfe von Richtlinien für Dienstverbindungen bereitgestellt werden. Informationen zu den IAM-Berechtigungen, die für einen bestimmten verwalteten Dienst erforderlich sind, finden Sie in der Dokumentation des Dienstes.

Verwaltete Dienstinstanz bereitstellen und Verbindung konfigurieren

Wenn eine Richtlinie für Dienstverbindungen für einen Dienst vorhanden ist, kann ein Nutzerdienstadministrator eine verwaltete Dienstinstanz bereitstellen und die Verbindung direkt über die administrative API oder die Benutzeroberfläche des verwalteten Dienstes konfigurieren.

So stellen Sie eine Verbindung zu einem verwalteten Dienst bereit: Die Schritte können je nach verwaltetem Dienst variieren.

  1. Geben Sie in der administrativen API oder Benutzeroberfläche des verwalteten Dienstes Private Service Connect als Verbindungstyp an. Der Dienst bietet möglicherweise die Option, das VPC-Netzwerk für die Bereitstellung von Private Service Connect-Endpunkten anzugeben.

  2. Wenn alle Autorisierungsüberprüfungen erfolgreich sind, wird die Konnektivität bereitgestellt. Das Dienstkonto für die Netzwerkverbindung erstellt eine interne IP-Adresse und einen Private Service Connect-Endpunkt im angegebenen VPC-Netzwerk.

    Der Lebenszyklus Ihres Endpunkts entspricht dem Lebenszyklus Ihrer verwalteten Dienstinstanz. Der Endpunkt bleibt aktiv und stabil, es sei denn, Sie konfigurieren die Verbindung neu oder deaktivieren die Dienstinstanz.

  3. Nachdem das Dienstkonto für die Netzwerkverbindung den Endpunkt erstellt hat, ist die Weiterleitungsregel des Endpunkts in dem Projekt sichtbar, das Sie in Schritt 1 konfiguriert haben. Diese Weiterleitungsregel gibt an, dass die Verbindung vom Ersteller akzeptiert wurde und enthält die IP-Adresse, die dem Endpunkt zugewiesen wurde.

    Die Namen aller Weiterleitungsregeln, die mithilfe von Richtlinien für Dienstverbindungen erstellt werden, beginnen mit sca-auto-. Das folgende Beispiel zeigt eine Weiterleitungsregel, die mit einer Richtlinie für Dienstverbindungen erstellt wurde.

    
    kind: compute#forwardingRule
    name: sca-auto-ab3f45d
    IPAddress: 10.33.2.8
    allowPscGlobalAccess: true
    network: https://www.googleapis.com/compute/v1/projects/consumer-project/global/networks/vpc1
    pscConnectionStatus: ACCEPTED
    region: https://www.googleapis.com/compute/v1/projects/consumer-project/regions/us-central1
    selfLink: https://www.googleapis.com/compute/v1/projects/consumer-project/regions/us-central1/forwardingRules/sca-auto-ab3f45d
    serviceDirectoryRegistrations:
    -namespace: goog-psc-default
    target:
    https://www.googleapis.com/compute/v1/projects/producer-project/regions/us-central1/serviceAttachments/producer-sa
    
    
  4. Ihr Dienst kann Informationen dazu bereitstellen, wie Sie eine Verbindung zum neuen Endpunkt herstellen, indem Sie beispielsweise eine IP-Adresse angeben. Verwenden Sie die bereitgestellte IP-Adresse für die Kommunikation mit Ihrem Dienst über interne IP-Adressen in Google Cloud.

    Weitere Informationen zum Konfigurieren eines bestimmten Dienstes finden Sie in der Dokumentation des jeweiligen Dienstes.

Außerbetriebnahme der Dienstverbindung

Verwenden Sie die administrative API oder Benutzeroberfläche des verwalteten Dienstes, um die Dienstverbindung oder eine verwaltete Dienstinstanz, die mithilfe von Richtlinien für Dienstverbindungen bereitgestellt wird, außer Betrieb zu nehmen. Löschen Sie alle Dienstinstanzen, die mit dem verwalteten Dienst verknüpft sind. Wenn Dienstinstanzen gelöscht werden, werden auch die zugehörigen Verbindungen und Endpunkte in Google Cloud gelöscht.