Veröffentlichte Dienste verwalten

Auf dieser Seite wird beschrieben, wie Sie Anfragen für den Zugriff auf einen veröffentlichten Dienst verwalten, die Verbindungseinstellung für einen veröffentlichten Dienst ändern und den Verbindungsabgleich konfigurieren.

Jeder Dienstanhang hat eine Verbindungseinstellung, die angibt, ob Verbindungsanfragen automatisch akzeptiert werden. Sie haben drei Möglichkeiten zur Auswahl:

  • Alle Verbindungen automatisch akzeptieren. Der Dienstanhang akzeptiert automatisch alle eingehenden Verbindungsanfragen von jedem Nutzer. Die automatische Annahme kann durch eine Organisationsrichtlinie überschrieben werden, die eingehende Verbindungen blockiert.
  • Verbindungen für ausgewählte Netzwerke akzeptieren. Der Dienstanhang akzeptiert nur eingehende Verbindungsanfragen, wenn das Nutzer-VPC-Netzwerk auf der Nutzerannahmeliste des Dienstanhangs steht.
  • Verbindungen für ausgewählte Projekte akzeptieren Der Dienstanhang akzeptiert nur eingehende Verbindungsanfragen, wenn das Nutzerprojekt auf der Nutzerannahmeliste des Dienstanhangs steht.

Wir empfehlen, Verbindungen für ausgewählte Projekte oder Netzwerke zu akzeptieren. Die automatische Annahme aller Verbindungen ist möglicherweise sinnvoll, wenn Sie den Nutzerzugriff auf andere Weise steuern und einen strikten Zugriff auf Ihren Dienst ermöglichen möchten.

Weitere Informationen zum Veröffentlichen von Diensten finden Sie unter Dienste veröffentlichen.

Rollen

Die folgende IAM-Rolle bietet die Berechtigungen, die zum Ausführen der Aufgaben in dieser Anleitung erforderlich sind.

Anfragen für den Zugriff auf einen veröffentlichten Dienst verwalten

Wenn Sie einen Dienst mit expliziter Genehmigung veröffentlicht haben, können Sie Verbindungsanfragen von Nutzerprojekten oder VPC-Netzwerken akzeptieren oder ablehnen.

Wenn Sie ein Projekt oder Netzwerk sowohl in die Zulassungsliste als auch auf die Ablehnungsliste setzen, werden Verbindungsanfragen von diesem Projekt oder Netzwerk abgelehnt.

Nachdem eine Nutzer-Endpunktverbindung für einen Dienst akzeptiert wurde, kann der Endpunkt eine Verbindung zum Dienst herstellen, bis der Dienstanhang gelöscht wird. Dies gilt unabhängig davon, ob der Nutzer explizit akzeptiert wurde oder weil der Nutzerendpunkt eine Verbindung hergestellt hat, als die Verbindungseinstellung so eingestellt war, dass sie Verbindungen automatisch akzeptiert.

  • Wenn Sie ein Projekt oder Netzwerk aus der Zulassungsliste entfernen, müssen Sie neue Nutzerendpunkte in diesem Projekt akzeptieren, bevor der Endpunkt eine Verbindung herstellen kann. Alle zuvor akzeptierten Nutzerendpunkte in diesem Projekt oder Netzwerk können jedoch weiterhin eine Verbindung zum Dienst herstellen.

  • Wenn Sie der Ablehnungsliste ein Projekt oder Netzwerk hinzufügen, werden Verbindungen von neuen Nutzerendpunkten in diesem Projekt oder Netzwerk abgelehnt und können keine Verbindung zum Dienst herstellen. Alle zuvor akzeptierten Nutzerendpunkte in diesem Projekt oder Netzwerk können jedoch weiterhin eine Verbindung zum Dienst herstellen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Veröffentlichte Dienste.

  3. Klicken Sie auf den Dienst, den Sie verwalten möchten.

  4. Im Abschnitt Verbundene Projekte werden die Projekte aufgelistet, die versucht haben, eine Verbindung zu diesem Dienst herzustellen. Klicken Sie auf das Kästchen neben einem oder mehreren Projekten und klicken Sie auf Projekt akzeptieren oder Projekt ablehnen.

gcloud

  1. Beschreiben Sie den Dienstanhang, den Sie ändern möchten.

    gcloud compute service-attachments describe \
        ATTACHMENT_NAME --region=REGION
    

    Die Ausgabe sieht etwa so aus wie im folgenden Beispiel. Wenn ausstehende Nutzerverbindungen vorhanden sind, werden diese mit dem Status PENDING aufgeführt.

    In dieser Beispielausgabe befindet sich das Projekt CONSUMER_PROJECT_1 in der Liste der Annahmen, sodass ENDPOINT_1 akzeptiert wird und eine Verbindung zum Dienst herstellen kann. Das Projekt CONSUMER_PROJECT_2 ist nicht in der Liste der Annahmen enthalten, sodass ENDPOINT_2 aussteht. Nachdem CONSUMER_PROJECT_2 der Akzeptanzliste hinzugefügt wurde, ändert sich der Status von ENDPOINT_2 in ACCEPTED und der Endpunkt kann eine Verbindung zum Dienst herstellen.

    connectedEndpoints:
    - endpoint: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_1/regions/REGION_1/forwardingRules/ENDPOINT_1
      pscConnectionId: 'ENDPOINT_1_ID'
      status: ACCEPTED
    - endpoint: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/ENDPOINT_2
      pscConnectionId: 'ENDPOINT_2_ID'
      status: PENDING
    connectionPreference: ACCEPT_MANUAL
    consumerAcceptLists:
    - connectionLimit: LIMIT_1
      projectIdOrNum: CONSUMER_PROJECT_1
    creationTimestamp: 'TIMESTAMP'
    description: 'DESCRIPTION'
    enableProxyProtocol: false
    fingerprint: FINGERPRINT
    id: 'ID'
    kind: compute#serviceAttachment
    name: NAME
    natSubnets:
    - https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/subnetworks/PSC_SUBNET
    pscServiceAttachmentId:
      high: 'PSC_ATTACH_ID_HIGH'
      low: 'PSC_ATTACH_ID_LOW'
    region: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION
    selfLink: https://www.googleapis.com/compute/v1/projects/projects/PRODUCER_PROJECT/regions/REGION/serviceAttachments/ATTACHMENT_NAME
    targetService: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/forwardingRules/PRODUCER_FWD_RULE
    
  2. Nehmen Sie Nutzerprojekte oder -netzwerke an oder lehnen Sie sie ab.

    Sie können --consumer-accept-list oder --consumer-reject-list oder beides angeben. Sie können mehrere Werte in --consumer-accept-list und --consumer-reject-list angeben. Sie können VPC-Projekte oder Netzwerke hinzufügen, aber nicht eine Mischung aus Projekten und Netzwerken.

    gcloud compute service-attachments update ATTACHMENT_NAME \
        --region=REGION \
        --consumer-accept-list=ACCEPTED_PROJECT_OR_NETWORK_1=LIMIT_1,ACCEPTED_PROJECT_OR_NETWORK_2=LIMIT_2 \
        --consumer-reject-list=REJECTED_PROJECT_OR_NETWORK_1,REJECTED_PROJECT_OR_NETWORK_2
    

    Ersetzen Sie Folgendes:

    • ATTACHMENT_NAME: der Name, der dem Dienstanhang zugewiesen werden soll.

    • REGION: die Region, in der sich der Dienstanhang befindet.

    • ACCEPTED_PROJECT_OR_NETWORK_1 und ACCEPTED_PROJECT_OR_NETWORK_2: die Projekt-IDs, Projektnamen oder Netzwerk-URLs, die akzeptiert werden sollen. --consumer-accept-list ist optional und kann ein oder mehrere Projekte oder Netzwerke enthalten, jedoch nicht eine Kombination aus beiden.

    • LIMIT_1 und LIMIT_2: die Verbindungslimits für die Projekte oder Netzwerke. Das Verbindungslimit gibt die Anzahl der Nutzerendpunkte an, die eine Verbindung zu diesem Dienst herstellen können. Für jedes akzeptierte Projekt oder Netzwerk muss ein Verbindungslimit konfiguriert sein.

    • REJECTED_PROJECT_OR_NETWORK_1 und REJECTED_PROJECT_OR_NETWORK_2: die Projekt-IDs, Projektnamen oder Netzwerk-URLs, die abgelehnt werden sollen. --consumer-reject-list ist optional und kann ein oder mehrere Projekte oder Netzwerke enthalten, jedoch nicht eine Kombination aus beiden Typen.

API

  1. Beschreiben Sie den Dienstanhang, den Sie ändern möchten.

    Wenn ausstehende Nutzerverbindungen vorhanden sind, werden diese mit dem Status PENDING aufgeführt.

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
    
  2. Nehmen Sie die Nutzerprojekte oder -netzwerke an oder lehnen Sie sie ab. Sie können Nutzer je nach Projekt oder VPC-Netzwerk akzeptieren oder ablehnen, aber Sie können nicht sowohl Projekte als auch Netzwerke einbeziehen.

    • Wenn Sie Nutzer basierend auf dem Projekt akzeptieren oder ablehnen möchten, senden Sie die folgende PATCH-Anfrage:

      PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
      
      {
        ...
        "consumerAcceptLists": [
          {
            "projectIdOrNum": "ACCEPTED_PROJECT_1",
            "connectionLimit": "LIMIT_1"
          },
          {
            "projectIdOrNum": "ACCEPTED_PROJECT_2",
            "connectionLimit": "LIMIT_2"
          }
        ],
        "consumerRejectLists": [
          "REJECTED_PROJECT_1",
          "REJECTED_PROJECT_2"
        ],
        ...
      }
      

      Ersetzen Sie Folgendes:

      • PROJECT_ID: das Projekt für den Dienstanhang.

      • REGION: die Region für den Dienstanhang.

      • ATTACHMENT_NAME: der Name, der dem Dienstanhang zugewiesen werden soll.

      • ACCEPTED_PROJECT_1 und ACCEPTED_PROJECT_2: die Projekt-IDs oder ‑nummern der zu akzeptierenden Projekte. consumerAcceptList ist optional und kann ein oder mehrere Projekte enthalten.

      • LIMIT_1 und LIMIT_2: die Verbindungslimits für die Projekte. Das Verbindungslimit gibt die Anzahl der Nutzerendpunkte an, die eine Verbindung zu diesem Dienst herstellen können. Für jedes akzeptierte Projekt muss ein Verbindungslimit konfiguriert sein.

      • REJECTED_PROJECT_1 und REJECTED_PROJECT_2: die Projekt-IDs oder ‑nummern der Projekte, die abgelehnt werden sollen. consumerRejectList ist optional und kann ein oder mehrere Projekte enthalten.

    • Wenn Sie Nutzer basierend auf dem VPC-Netzwerk akzeptieren oder ablehnen möchten, senden Sie die folgende PATCH-Anfrage:

      PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
      
      {
        ...
        "consumerAcceptLists": [
          {
            "networkUrl": "projects/ACCEPTED_PROJECT_ID_1/global/network/ACCEPTED_NETWORK_1",
            "connectionLimit": "LIMIT_1"
          },
          {
            "networkUrl": "projects/ACCEPTED_PROJECT_ID_2/global/network/ACCEPTED_NETWORK_2",
            "connectionLimit": "LIMIT_2"
          }
        ],
        "consumerRejectLists": [
          "projects/REJECTED_PROJECT_ID_1/global/networks/REJECTED_NETWORK_1",
          "projects/REJECTED_PROJECT_ID_2/global/network/REJECTED_NETWORK_2"
        ],
        ...
      }
      

      Ersetzen Sie Folgendes:

      • ACCEPTED_PROJECT_ID_1 und ACCEPTED_PROJECT_ID_2: die IDs der übergeordneten Projekte der Netzwerke, die Sie akzeptieren möchten. consumerAcceptLists ist optional und kann ein oder mehrere Projekte enthalten.
      • ACCEPTED_NETWORK_1 und ACCEPTED_NETWORK_2: die Namen der Netzwerke, die Sie akzeptieren möchten.
      • LIMIT_1 und LIMIT_2: die Verbindungslimits für die Netzwerke. Das Verbindungslimit gibt die Anzahl der Nutzerendpunkte an, die eine Verbindung zu diesem Dienst herstellen können. Für jedes akzeptierte Netzwerk muss ein Verbindungslimit konfiguriert sein.
      • REJECTED_PROJECT_ID_1 und REJECTED_PROJECT_ID_2: die IDs der übergeordneten Projekte der Netzwerke, die Sie ablehnen möchten. consumerRejectLists ist optional und kann ein oder mehrere Projekte enthalten.
      • REJECTED_NETWORK_1 und REJECTED_NETWORK_2: die Namen der Netzwerke, die Sie ablehnen möchten.

Verbindungseinstellung für einen veröffentlichten Dienst ändern

Sie können zwischen der automatischen und der expliziten Projektzulassung für einen veröffentlichten Dienst wechseln.

Eine Änderung von der automatischen Zulassung zur expliziten Zulassung wirkt sich nicht auf Nutzerendpunkte aus, die vor dieser Änderung mit dem Dienst verbunden wurden. Vorhandene Nutzerendpunkte können bis zum Löschen des Dienstanhangs eine Verbindung zum veröffentlichten Dienst herstellen. Neue Nutzerendpunkte müssen akzeptiert werden, bevor sie eine Verbindung zum Dienst herstellen können. Weitere Informationen finden Sie unter Anfragen für den Zugriff auf einen veröffentlichten Dienst verwalten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Veröffentlichte Dienste.

  3. Klicken Sie auf den Dienst, den Sie aktualisieren möchten, und dann auf Dienstdetails bearbeiten.

  4. Wählen Sie die gewünschte Verbindungseinstellung aus:

    • Verbindungen für ausgewählte Projekte akzeptieren
    • Verbindungen für ausgewählte Netzwerke akzeptieren
    • Alle Verbindungen automatisch akzeptieren
  5. Optional: Wenn Sie zu Verbindungen für ausgewählte Projekte akzeptieren wechseln, können Sie Details zu den Projekten, die Sie zulassen möchten, angeben oder später hinzufügen.

    1. Klicken Sie auf Akzeptiertes Projekt hinzufügen.
    2. Geben Sie das Projekt und das Verbindungslimit ein.
  6. Optional: Wenn Sie zu Verbindungen für ausgewählte Netzwerke akzeptieren wechseln, können Sie Details zu den Netzwerken angeben, die Sie zulassen möchten, oder diese später hinzufügen.

    1. Klicken Sie auf Akzeptiertes Netzwerk hinzufügen.
    2. Geben Sie das Projekt, das Netzwerk und das Verbindungslimit ein.
  7. Klicken Sie auf Speichern.

gcloud

  • Ändern Sie die Verbindungseinstellung für den Dienstanhang von ACCEPT_AUTOMATIC in ACCEPT_MANUAL.

    Mit --consumer-accept-list und --consumer-reject-list steuern Sie, welche Projekte sich mit Ihrem Dienst verbinden können. Sie können die Listen zum Zulassen und Ablehnen beim Ändern der Verbindungseinstellung konfigurieren oder die Listen später aktualisieren.

    gcloud compute service-attachments update ATTACHMENT_NAME \
        --region=REGION \
        --connection-preference=ACCEPT_MANUAL \
        [ --consumer-accept-list=ACCEPTED_PROJECT_OR_NETWORK_1=LIMIT_1,ACCEPTED_PROJECT_OR_NETWORK_2=LIMIT_2] \
        [ --consumer-reject-list=REJECTED_PROJECT_OR_NETWORK_1,REJECTED_PROJECT_OR_NETWORK_2 ]
    

    Dabei gilt:

    • ATTACHMENT_NAME: der Name des Dienstanhangs.

    • REGION: die Region, in der sich der Dienstanhang befindet.

    • ACCEPTED_PROJECT_OR_NETWORK_1 und ACCEPTED_PROJECT_OR_NETWORK_2: die Projekt-IDs, Projektnamen oder Netzwerk-URLs, die akzeptiert werden sollen. --consumer-accept-list ist optional und kann ein oder mehrere Projekte oder Netzwerke enthalten, jedoch nicht eine Kombination aus beiden.

    • LIMIT_1 und LIMIT_2: die Verbindungslimits für die Projekte. Das Verbindungslimit gibt die Anzahl der Nutzerendpunkte an, die eine Verbindung zu diesem Dienst herstellen können. Für jedes akzeptierte Projekt muss ein Verbindungslimit konfiguriert sein.

    • REJECTED_PROJECT_OR_NETWORK_1 und REJECTED_PROJECT_OR_NETWORK_2: die Projekt-IDs, Projektnamen oder Netzwerk-URLs, die abgelehnt werden sollen. --consumer-reject-list ist optional und kann ein oder mehrere Projekte oder Netzwerke enthalten, jedoch nicht eine Mischung aus beiden Typen.

  • Ändern Sie die Verbindungseinstellung für den Dienstanhang von ACCEPT_MANUAL in ACCEPT_AUTOMATIC.

    Wenn Sie Werte in der Zulassungs- oder Ablehnungsliste haben, legen Sie diese als leer fest, wenn Sie die Verbindungseinstellung ändern ("").

    gcloud compute service-attachments update ATTACHMENT_NAME \
        --region=REGION \
        --connection-preference=ACCEPT_AUTOMATIC \
        --consumer-accept-list="" \
        --consumer-reject-list=""
    

    Dabei gilt:

    • ATTACHMENT_NAME: der Name des Dienstanhangs.

    • REGION: die Region, in der sich der Dienstanhang befindet.

API

  • Ändern Sie die Verbindungseinstellung für den Dienstanhang von ACCEPT_AUTOMATIC in ACCEPT_MANUAL.

    • Wenn Sie Listen der Nutzer akzeptieren und ablehnen möchten, die auf dem Projekt basieren, stellen Sie folgende Anfrage:

      PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
      
      {
        ...
        "connectionPreference": "ACCEPT_MANUAL",
        "consumerAcceptLists": [
          {
            "projectIdOrNum": "ACCEPTED_PROJECT_1"
            "connectionLimit": "LIMIT_1",
          },
          {
            "projectIdOrNum": "ACCEPTED_PROJECT_2"
            "connectionLimit": "LIMIT_2",
          }
        ],
        "consumerRejectLists": [
          "REJECTED_PROJECT_1",
          "REJECTED_PROJECT_2",
        ],
        ...
      }
      

      Ersetzen Sie Folgendes:

      • PROJECT_ID: das Projekt für den Dienstanhang.

      • REGION: die Region für den Dienstanhang.

      • ATTACHMENT_NAME: der Name, der dem Dienstanhang zugewiesen werden soll.

      • ACCEPTED_PROJECT_1 und ACCEPTED_PROJECT_2: die Projekt-IDs oder ‑nummern der zu akzeptierenden Projekte. consumerAcceptList ist optional und kann ein oder mehrere Projekte enthalten.

      • LIMIT_1 und LIMIT_2: die Verbindungslimits für die Projekte. Das Verbindungslimit gibt die Anzahl der Nutzerendpunkte an, die eine Verbindung zu diesem Dienst herstellen können. Für jedes akzeptierte Projekt muss ein Verbindungslimit konfiguriert sein.

      • REJECTED_PROJECT_1 und REJECTED_PROJECT_2: die Projekt-IDs oder ‑nummern der Projekte, die abgelehnt werden sollen. consumerRejectList ist optional und kann ein oder mehrere Projekte enthalten.

    • Senden Sie die folgende Anfrage, um Listen der Nutzer zu akzeptieren und abzulehnen, die auf dem VPC-Netzwerk basieren:

      PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
      
      {
        ...
        "connectionPreference": "ACCEPT_MANUAL",
        "consumerAcceptLists": [
          {
            "networkUrl": "projects/ACCEPTED_PROJECT_ID_1/global/networks/ACCEPTED_NETWORK_1",
            "connectionLimit": "LIMIT_1"
          },
          {
            "networkUrl": "projects/ACCEPTED_PROJECT_ID_2/global/networks/ACCEPTED_NETWORK_2",
            "connectionLimit": "LIMIT_2"
          }
        ],
        "consumerRejectLists": [
          "projects/REJECTED_PROJECT_ID_1/global/networks/REJECTED_NETWORK_1",
          "projects/REJECTED_PROJECT_ID_2/global/network/REJECTED_NETWORK_2"
        ],
        ...
      }
      

      Ersetzen Sie Folgendes:

      • ACCEPTED_PROJECT_ID_1 und ACCEPTED_PROJECT_ID_2: die IDs der übergeordneten Projekte der Netzwerke, die Sie akzeptieren möchten. consumerAcceptLists ist optional und kann ein oder mehrere Projekte enthalten.
      • ACCEPTED_NETWORK_1 und ACCEPTED_NETWORK_2: die Namen der Netzwerke, die Sie akzeptieren möchten.
      • LIMIT_1 und LIMIT_2: die Verbindungslimits für die Netzwerke. Das Verbindungslimit gibt die Anzahl der Nutzerendpunkte an, die eine Verbindung zu diesem Dienst herstellen können. Für jedes akzeptierte Netzwerk muss ein Verbindungslimit konfiguriert sein.
      • REJECTED_PROJECT_ID_1 und REJECTED_PROJECT_ID_2: die IDs der übergeordneten Projekte der Netzwerke, die Sie ablehnen möchten. consumerRejectLists ist optional und kann ein oder mehrere Projekte enthalten.
      • REJECTED_NETWORK_1 und REJECTED_NETWORK_2: die Namen der Netzwerke, die Sie ablehnen möchten.
  • Ändern Sie die Verbindungseinstellung für den Dienstanhang von ACCEPT_MANUAL in ACCEPT_AUTOMATIC.

    Wenn die Felder consumerAcceptLists oder consumerRejectLists Verbraucher enthalten, legen Sie diese als leer fest, wenn Sie die Verbindungseinstellung in ACCEPT_AUTOMATIC ändern.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
    
    {
      ...
      "connectionPreference": "ACCEPT_AUTOMATIC",
      "consumerAcceptLists": [ ],
      "consumerRejectLists": [ ],
      ...
    }
    

    Ersetzen Sie Folgendes:

    • PROJECT_ID: das Projekt für den Dienstanhang.

    • REGION: die Region für den Dienstanhang.

    • ATTACHMENT_NAME: der Name des Dienstanhangs.

Verbindungsabgleich konfigurieren

Sie können den Verbindungsabgleich für vorhandene Dienstanhänge aktivieren oder deaktivieren.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Veröffentlichte Dienste.

  3. Klicken Sie auf den Dienst, den Sie aktualisieren möchten, und dann auf Dienstdetails bearbeiten.

  4. Klicken Sie das Kästchen Verbindungsabgleich aktivieren an oder entfernen Sie das Häkchen und klicken Sie dann auf Speichern.

gcloud

  • Verwenden Sie den folgenden Befehl, um den Verbindungsabgleich zu aktivieren:

    gcloud compute service-attachments update ATTACHMENT_NAME \
        --region=REGION \
        --reconcile-connections
    

    Ersetzen Sie Folgendes:

    • ATTACHMENT_NAME: der Name des Dienstanhangs.
    • REGION: die Region des Dienstanhangs.
  • Verwenden Sie den folgenden Befehl, um den Verbindungsabgleich zu deaktivieren:

    gcloud compute service-attachments update ATTACHMENT_NAME \
        --region=REGION \
        --no-reconcile-connections
    

API

  • Zum Aktivieren des Verbindungsabgleichs senden Sie eine PATCH-Anfrage und geben Folgendes an:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
    
    {
      ...
      "reconcileConnections": true
      ...
    }
    

    Ersetzen Sie Folgendes:

    • PROJECT_ID: das Projekt für den Dienstanhang.
    • REGION: die Region für den Dienstanhang.
    • ATTACHMENT_NAME: der Name des Dienstanhangs.
  • Senden Sie zum Deaktivieren des Verbindungsabgleichs eine PATCH-Anfrage und geben Sie Folgendes an:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
    
    {
     ...
     "reconcileConnections": false
      ...
    }
    

Subnetze zu einem veröffentlichten Dienst hinzufügen oder daraus entfernen

Sie können einen veröffentlichten Dienst bearbeiten, um Private Service Connect-Subnetze hinzuzufügen.

Möglicherweise müssen Sie mehr IP-Adressen für einen vorhandenen Dienst verfügbar machen. Führen Sie einen der folgenden Schritte aus, um weitere Adressen hinzuzufügen:

Ebenso können Sie einen veröffentlichten Dienst bearbeiten, um Private Service Connect-Subnetze daraus zu entfernen. Wenn jedoch eine beliebige IP-Adresse des Subnetzes verwendet wird, um SNAT für Private Service Connect auszuführen, schlägt das Entfernen des Subnetzes fehl.

Wenn Sie die Subnetzkonfiguration ändern, aktualisieren Sie Ihre Firewallregeln so, dass Anfragen von den neuen Subnetzen die Backend-VMs erreichen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Veröffentlichte Dienste.

  3. Klicken Sie auf den Dienst, den Sie aktualisieren möchten, und dann auf Dienstdetails bearbeiten.

  4. Ändern Sie die für diesen Dienst verwendeten Subnetze.

    Wenn Sie ein neues Subnetz hinzufügen möchten, können Sie eines erstellen:

    1. Klicken Sie auf Neues Subnetz reservieren.
    2. Geben Sie einen Namen und optional eine Beschreibung für das Subnetz ein.
    3. Wählen Sie eine Region für das Subnetz aus.
    4. Geben Sie den IP-Bereich ein, der für das Subnetz verwendet werden soll, und klicken Sie auf Hinzufügen.
  5. Klicken Sie auf Speichern.

gcloud

Aktualisieren Sie die für diesen Dienstanhang verwendeten Private Service Connect-Subnetze.

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --nat-subnets=PSC_SUBNET_LIST

Dabei gilt:

  • ATTACHMENT_NAME: der Name des Dienstanhangs.

  • REGION: die Region, in der sich der Dienstanhang befindet.

  • PSC_SUBNET_LIST: eine durch Kommas getrennte Liste mit einem oder mehreren Subnetzen, die mit diesem Dienstanhang verwendet werden sollen.

API

Aktualisieren Sie die für diesen Dienstanhang verwendeten Private Service Connect-Subnetze.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

{
  ...
  "natSubnets": [
    "PSC_SUBNET1_URI",
    "PSC_SUBNET2_URI",
  ],
  ...
}

Dabei gilt:

  • PROJECT_ID: das Projekt für den Dienstanhang.

  • REGION: die Region für den Dienstanhang.

  • ATTACHMENT_NAME: der Name, der dem Dienstanhang zugewiesen werden soll.

  • PSC_SUBNET1_URI und PSC_SUBNET2_URI: URI der Subnetze, die Sie mit diesem Dienstanhang verwenden möchten. Sie können eine oder mehrere Subnetze angeben.