Veröffentlichte Dienste verwalten
Auf dieser Seite wird beschrieben, wie Sie Anfragen für den Zugriff auf einen veröffentlichten Dienst verwalten, die Verbindungseinstellung für einen veröffentlichten Dienst ändern und den Verbindungsabgleich konfigurieren.
Jeder Dienstanhang hat eine Verbindungseinstellung, die angibt, ob Verbindungsanfragen automatisch akzeptiert werden. Sie haben drei Möglichkeiten zur Auswahl:
- Alle Verbindungen automatisch akzeptieren. Der Dienstanhang akzeptiert automatisch alle eingehenden Verbindungsanfragen von jedem Nutzer. Die automatische Annahme kann durch eine Organisationsrichtlinie überschrieben werden, die eingehende Verbindungen blockiert.
- Verbindungen für ausgewählte Netzwerke akzeptieren. Der Dienstanhang akzeptiert nur eingehende Verbindungsanfragen, wenn das Nutzer-VPC-Netzwerk auf der Nutzerannahmeliste des Dienstanhangs steht.
- Verbindungen für ausgewählte Projekte akzeptieren Der Dienstanhang akzeptiert nur eingehende Verbindungsanfragen, wenn das Nutzerprojekt auf der Nutzerannahmeliste des Dienstanhangs steht.
Wir empfehlen, Verbindungen für ausgewählte Projekte oder Netzwerke zu akzeptieren. Die automatische Annahme aller Verbindungen ist möglicherweise sinnvoll, wenn Sie den Nutzerzugriff auf andere Weise steuern und einen strikten Zugriff auf Ihren Dienst ermöglichen möchten.
Weitere Informationen zum Veröffentlichen von Diensten finden Sie unter Dienste veröffentlichen.
Rollen
Die folgende IAM-Rolle bietet die Berechtigungen, die zum Ausführen der Aufgaben in dieser Anleitung erforderlich sind.
- Compute-Netzwerkadministrator
(
roles/compute.networkAdmin
)
Anfragen für den Zugriff auf einen veröffentlichten Dienst verwalten
Wenn Sie einen Dienst mit expliziter Genehmigung veröffentlicht haben, können Sie Verbindungsanfragen von Nutzerprojekten oder VPC-Netzwerken akzeptieren oder ablehnen.
Wenn Sie ein Projekt oder Netzwerk sowohl in die Zulassungsliste als auch auf die Ablehnungsliste setzen, werden Verbindungsanfragen von diesem Projekt oder Netzwerk abgelehnt.
Nachdem eine Nutzer-Endpunktverbindung für einen Dienst akzeptiert wurde, kann der Endpunkt eine Verbindung zum Dienst herstellen, bis der Dienstanhang gelöscht wird. Dies gilt unabhängig davon, ob der Nutzer explizit akzeptiert wurde oder weil der Nutzerendpunkt eine Verbindung hergestellt hat, als die Verbindungseinstellung so eingestellt war, dass sie Verbindungen automatisch akzeptiert.
Wenn Sie ein Projekt oder Netzwerk aus der Zulassungsliste entfernen, müssen Sie neue Nutzerendpunkte in diesem Projekt akzeptieren, bevor der Endpunkt eine Verbindung herstellen kann. Alle zuvor akzeptierten Nutzerendpunkte in diesem Projekt oder Netzwerk können jedoch weiterhin eine Verbindung zum Dienst herstellen.
Wenn Sie der Ablehnungsliste ein Projekt oder Netzwerk hinzufügen, werden Verbindungen von neuen Nutzerendpunkten in diesem Projekt oder Netzwerk abgelehnt und können keine Verbindung zum Dienst herstellen. Alle zuvor akzeptierten Nutzerendpunkte in diesem Projekt oder Netzwerk können jedoch weiterhin eine Verbindung zum Dienst herstellen.
Console
Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.
Klicken Sie auf den Tab Veröffentlichte Dienste.
Klicken Sie auf den Dienst, den Sie verwalten möchten.
Im Abschnitt Verbundene Projekte werden die Projekte aufgelistet, die versucht haben, eine Verbindung zu diesem Dienst herzustellen. Klicken Sie auf das Kästchen neben einem oder mehreren Projekten und klicken Sie auf Projekt akzeptieren oder Projekt ablehnen.
gcloud
Beschreiben Sie den Dienstanhang, den Sie ändern möchten.
gcloud compute service-attachments describe \ ATTACHMENT_NAME --region=REGION
Die Ausgabe sieht etwa so aus wie im folgenden Beispiel. Wenn ausstehende Nutzerverbindungen vorhanden sind, werden diese mit dem Status
PENDING
aufgeführt.In dieser Beispielausgabe befindet sich das Projekt
CONSUMER_PROJECT_1
in der Liste der Annahmen, sodassENDPOINT_1
akzeptiert wird und eine Verbindung zum Dienst herstellen kann. Das ProjektCONSUMER_PROJECT_2
ist nicht in der Liste der Annahmen enthalten, sodassENDPOINT_2
aussteht. NachdemCONSUMER_PROJECT_2
der Akzeptanzliste hinzugefügt wurde, ändert sich der Status vonENDPOINT_2
inACCEPTED
und der Endpunkt kann eine Verbindung zum Dienst herstellen.connectedEndpoints: - endpoint: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_1/regions/REGION_1/forwardingRules/ENDPOINT_1 pscConnectionId: 'ENDPOINT_1_ID' status: ACCEPTED - endpoint: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/ENDPOINT_2 pscConnectionId: 'ENDPOINT_2_ID' status: PENDING connectionPreference: ACCEPT_MANUAL consumerAcceptLists: - connectionLimit: LIMIT_1 projectIdOrNum: CONSUMER_PROJECT_1 creationTimestamp: 'TIMESTAMP' description: 'DESCRIPTION' enableProxyProtocol: false fingerprint: FINGERPRINT id: 'ID' kind: compute#serviceAttachment name: NAME natSubnets: - https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/subnetworks/PSC_SUBNET pscServiceAttachmentId: high: 'PSC_ATTACH_ID_HIGH' low: 'PSC_ATTACH_ID_LOW' region: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION selfLink: https://www.googleapis.com/compute/v1/projects/projects/PRODUCER_PROJECT/regions/REGION/serviceAttachments/ATTACHMENT_NAME targetService: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/forwardingRules/PRODUCER_FWD_RULE
Nehmen Sie Nutzerprojekte oder -netzwerke an oder lehnen Sie sie ab.
Sie können
--consumer-accept-list
oder--consumer-reject-list
oder beides angeben. Sie können mehrere Werte in--consumer-accept-list
und--consumer-reject-list
angeben. Sie können VPC-Projekte oder Netzwerke hinzufügen, aber nicht eine Mischung aus Projekten und Netzwerken.gcloud compute service-attachments update ATTACHMENT_NAME \ --region=REGION \ --consumer-accept-list=ACCEPTED_PROJECT_OR_NETWORK_1=LIMIT_1,ACCEPTED_PROJECT_OR_NETWORK_2=LIMIT_2 \ --consumer-reject-list=REJECTED_PROJECT_OR_NETWORK_1,REJECTED_PROJECT_OR_NETWORK_2
Ersetzen Sie Folgendes:
ATTACHMENT_NAME
: der Name, der dem Dienstanhang zugewiesen werden soll.REGION
: die Region, in der sich der Dienstanhang befindet.ACCEPTED_PROJECT_OR_NETWORK_1
undACCEPTED_PROJECT_OR_NETWORK_2
: die Projekt-IDs, Projektnamen oder Netzwerk-URLs, die akzeptiert werden sollen.--consumer-accept-list
ist optional und kann ein oder mehrere Projekte oder Netzwerke enthalten, jedoch nicht eine Kombination aus beiden.LIMIT_1
undLIMIT_2
: die Verbindungslimits für die Projekte oder Netzwerke. Das Verbindungslimit gibt die Anzahl der Nutzerendpunkte an, die eine Verbindung zu diesem Dienst herstellen können. Für jedes akzeptierte Projekt oder Netzwerk muss ein Verbindungslimit konfiguriert sein.REJECTED_PROJECT_OR_NETWORK_1
undREJECTED_PROJECT_OR_NETWORK_2
: die Projekt-IDs, Projektnamen oder Netzwerk-URLs, die abgelehnt werden sollen.--consumer-reject-list
ist optional und kann ein oder mehrere Projekte oder Netzwerke enthalten, jedoch nicht eine Kombination aus beiden Typen.
API
Beschreiben Sie den Dienstanhang, den Sie ändern möchten.
Wenn ausstehende Nutzerverbindungen vorhanden sind, werden diese mit dem Status
PENDING
aufgeführt.GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
Nehmen Sie die Nutzerprojekte oder -netzwerke an oder lehnen Sie sie ab. Sie können Nutzer je nach Projekt oder VPC-Netzwerk akzeptieren oder ablehnen, aber Sie können nicht sowohl Projekte als auch Netzwerke einbeziehen.
Wenn Sie Nutzer basierend auf dem Projekt akzeptieren oder ablehnen möchten, senden Sie die folgende
PATCH
-Anfrage:PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
{ ... "consumerAcceptLists": [ { "projectIdOrNum": "ACCEPTED_PROJECT_1", "connectionLimit": "LIMIT_1" }, { "projectIdOrNum": "ACCEPTED_PROJECT_2", "connectionLimit": "LIMIT_2" } ], "consumerRejectLists": [ "REJECTED_PROJECT_1", "REJECTED_PROJECT_2" ], ... }
Ersetzen Sie Folgendes:
PROJECT_ID
: das Projekt für den Dienstanhang.REGION
: die Region für den Dienstanhang.ATTACHMENT_NAME
: der Name, der dem Dienstanhang zugewiesen werden soll.ACCEPTED_PROJECT_1
undACCEPTED_PROJECT_2
: die Projekt-IDs oder ‑nummern der zu akzeptierenden Projekte.consumerAcceptList
ist optional und kann ein oder mehrere Projekte enthalten.LIMIT_1
undLIMIT_2
: die Verbindungslimits für die Projekte. Das Verbindungslimit gibt die Anzahl der Nutzerendpunkte an, die eine Verbindung zu diesem Dienst herstellen können. Für jedes akzeptierte Projekt muss ein Verbindungslimit konfiguriert sein.REJECTED_PROJECT_1
undREJECTED_PROJECT_2
: die Projekt-IDs oder ‑nummern der Projekte, die abgelehnt werden sollen.consumerRejectList
ist optional und kann ein oder mehrere Projekte enthalten.
Wenn Sie Nutzer basierend auf dem VPC-Netzwerk akzeptieren oder ablehnen möchten, senden Sie die folgende
PATCH
-Anfrage:PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
{ ... "consumerAcceptLists": [ { "networkUrl": "projects/ACCEPTED_PROJECT_ID_1/global/network/ACCEPTED_NETWORK_1", "connectionLimit": "LIMIT_1" }, { "networkUrl": "projects/ACCEPTED_PROJECT_ID_2/global/network/ACCEPTED_NETWORK_2", "connectionLimit": "LIMIT_2" } ], "consumerRejectLists": [ "projects/REJECTED_PROJECT_ID_1/global/networks/REJECTED_NETWORK_1", "projects/REJECTED_PROJECT_ID_2/global/network/REJECTED_NETWORK_2" ], ... }
Ersetzen Sie Folgendes:
ACCEPTED_PROJECT_ID_1
undACCEPTED_PROJECT_ID_2
: die IDs der übergeordneten Projekte der Netzwerke, die Sie akzeptieren möchten.consumerAcceptLists
ist optional und kann ein oder mehrere Projekte enthalten.ACCEPTED_NETWORK_1
undACCEPTED_NETWORK_2
: die Namen der Netzwerke, die Sie akzeptieren möchten.LIMIT_1
undLIMIT_2
: die Verbindungslimits für die Netzwerke. Das Verbindungslimit gibt die Anzahl der Nutzerendpunkte an, die eine Verbindung zu diesem Dienst herstellen können. Für jedes akzeptierte Netzwerk muss ein Verbindungslimit konfiguriert sein.REJECTED_PROJECT_ID_1
undREJECTED_PROJECT_ID_2
: die IDs der übergeordneten Projekte der Netzwerke, die Sie ablehnen möchten.consumerRejectLists
ist optional und kann ein oder mehrere Projekte enthalten.REJECTED_NETWORK_1
undREJECTED_NETWORK_2
: die Namen der Netzwerke, die Sie ablehnen möchten.
Verbindungseinstellung für einen veröffentlichten Dienst ändern
Sie können zwischen der automatischen und der expliziten Projektzulassung für einen veröffentlichten Dienst wechseln.
Eine Änderung von der automatischen Zulassung zur expliziten Zulassung wirkt sich nicht auf Nutzerendpunkte aus, die vor dieser Änderung mit dem Dienst verbunden wurden. Vorhandene Nutzerendpunkte können bis zum Löschen des Dienstanhangs eine Verbindung zum veröffentlichten Dienst herstellen. Neue Nutzerendpunkte müssen akzeptiert werden, bevor sie eine Verbindung zum Dienst herstellen können. Weitere Informationen finden Sie unter Anfragen für den Zugriff auf einen veröffentlichten Dienst verwalten.
Console
Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.
Klicken Sie auf den Tab Veröffentlichte Dienste.
Klicken Sie auf den Dienst, den Sie aktualisieren möchten, und dann auf Dienstdetails bearbeiten.
Wählen Sie die gewünschte Verbindungseinstellung aus:
- Verbindungen für ausgewählte Projekte akzeptieren
- Verbindungen für ausgewählte Netzwerke akzeptieren
- Alle Verbindungen automatisch akzeptieren
Optional: Wenn Sie zu Verbindungen für ausgewählte Projekte akzeptieren wechseln, können Sie Details zu den Projekten, die Sie zulassen möchten, angeben oder später hinzufügen.
- Klicken Sie auf Akzeptiertes Projekt hinzufügen.
- Geben Sie das Projekt und das Verbindungslimit ein.
Optional: Wenn Sie zu Verbindungen für ausgewählte Netzwerke akzeptieren wechseln, können Sie Details zu den Netzwerken angeben, die Sie zulassen möchten, oder diese später hinzufügen.
- Klicken Sie auf Akzeptiertes Netzwerk hinzufügen.
- Geben Sie das Projekt, das Netzwerk und das Verbindungslimit ein.
Klicken Sie auf Speichern.
gcloud
Ändern Sie die Verbindungseinstellung für den Dienstanhang von
ACCEPT_AUTOMATIC
inACCEPT_MANUAL
.Mit
--consumer-accept-list
und--consumer-reject-list
steuern Sie, welche Projekte sich mit Ihrem Dienst verbinden können. Sie können die Listen zum Zulassen und Ablehnen beim Ändern der Verbindungseinstellung konfigurieren oder die Listen später aktualisieren.gcloud compute service-attachments update ATTACHMENT_NAME \ --region=REGION \ --connection-preference=ACCEPT_MANUAL \ [ --consumer-accept-list=ACCEPTED_PROJECT_OR_NETWORK_1=LIMIT_1,ACCEPTED_PROJECT_OR_NETWORK_2=LIMIT_2] \ [ --consumer-reject-list=REJECTED_PROJECT_OR_NETWORK_1,REJECTED_PROJECT_OR_NETWORK_2 ]
Dabei gilt:
ATTACHMENT_NAME
: der Name des Dienstanhangs.REGION
: die Region, in der sich der Dienstanhang befindet.ACCEPTED_PROJECT_OR_NETWORK_1
undACCEPTED_PROJECT_OR_NETWORK_2
: die Projekt-IDs, Projektnamen oder Netzwerk-URLs, die akzeptiert werden sollen.--consumer-accept-list
ist optional und kann ein oder mehrere Projekte oder Netzwerke enthalten, jedoch nicht eine Kombination aus beiden.LIMIT_1
undLIMIT_2
: die Verbindungslimits für die Projekte. Das Verbindungslimit gibt die Anzahl der Nutzerendpunkte an, die eine Verbindung zu diesem Dienst herstellen können. Für jedes akzeptierte Projekt muss ein Verbindungslimit konfiguriert sein.REJECTED_PROJECT_OR_NETWORK_1
undREJECTED_PROJECT_OR_NETWORK_2
: die Projekt-IDs, Projektnamen oder Netzwerk-URLs, die abgelehnt werden sollen.--consumer-reject-list
ist optional und kann ein oder mehrere Projekte oder Netzwerke enthalten, jedoch nicht eine Mischung aus beiden Typen.
Ändern Sie die Verbindungseinstellung für den Dienstanhang von
ACCEPT_MANUAL
inACCEPT_AUTOMATIC
.Wenn Sie Werte in der Zulassungs- oder Ablehnungsliste haben, legen Sie diese als leer fest, wenn Sie die Verbindungseinstellung ändern (
""
).gcloud compute service-attachments update ATTACHMENT_NAME \ --region=REGION \ --connection-preference=ACCEPT_AUTOMATIC \ --consumer-accept-list="" \ --consumer-reject-list=""
Dabei gilt:
ATTACHMENT_NAME
: der Name des Dienstanhangs.REGION
: die Region, in der sich der Dienstanhang befindet.
API
Ändern Sie die Verbindungseinstellung für den Dienstanhang von
ACCEPT_AUTOMATIC
inACCEPT_MANUAL
.Wenn Sie Listen der Nutzer akzeptieren und ablehnen möchten, die auf dem Projekt basieren, stellen Sie folgende Anfrage:
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
{ ... "connectionPreference": "ACCEPT_MANUAL", "consumerAcceptLists": [ { "projectIdOrNum": "ACCEPTED_PROJECT_1" "connectionLimit": "LIMIT_1", }, { "projectIdOrNum": "ACCEPTED_PROJECT_2" "connectionLimit": "LIMIT_2", } ], "consumerRejectLists": [ "REJECTED_PROJECT_1", "REJECTED_PROJECT_2", ], ... }
Ersetzen Sie Folgendes:
PROJECT_ID
: das Projekt für den Dienstanhang.REGION
: die Region für den Dienstanhang.ATTACHMENT_NAME
: der Name, der dem Dienstanhang zugewiesen werden soll.ACCEPTED_PROJECT_1
undACCEPTED_PROJECT_2
: die Projekt-IDs oder ‑nummern der zu akzeptierenden Projekte.consumerAcceptList
ist optional und kann ein oder mehrere Projekte enthalten.LIMIT_1
undLIMIT_2
: die Verbindungslimits für die Projekte. Das Verbindungslimit gibt die Anzahl der Nutzerendpunkte an, die eine Verbindung zu diesem Dienst herstellen können. Für jedes akzeptierte Projekt muss ein Verbindungslimit konfiguriert sein.REJECTED_PROJECT_1
undREJECTED_PROJECT_2
: die Projekt-IDs oder ‑nummern der Projekte, die abgelehnt werden sollen.consumerRejectList
ist optional und kann ein oder mehrere Projekte enthalten.
Senden Sie die folgende Anfrage, um Listen der Nutzer zu akzeptieren und abzulehnen, die auf dem VPC-Netzwerk basieren:
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
{ ... "connectionPreference": "ACCEPT_MANUAL", "consumerAcceptLists": [ { "networkUrl": "projects/ACCEPTED_PROJECT_ID_1/global/networks/ACCEPTED_NETWORK_1", "connectionLimit": "LIMIT_1" }, { "networkUrl": "projects/ACCEPTED_PROJECT_ID_2/global/networks/ACCEPTED_NETWORK_2", "connectionLimit": "LIMIT_2" } ], "consumerRejectLists": [ "projects/REJECTED_PROJECT_ID_1/global/networks/REJECTED_NETWORK_1", "projects/REJECTED_PROJECT_ID_2/global/network/REJECTED_NETWORK_2" ], ... }
Ersetzen Sie Folgendes:
ACCEPTED_PROJECT_ID_1
undACCEPTED_PROJECT_ID_2
: die IDs der übergeordneten Projekte der Netzwerke, die Sie akzeptieren möchten.consumerAcceptLists
ist optional und kann ein oder mehrere Projekte enthalten.ACCEPTED_NETWORK_1
undACCEPTED_NETWORK_2
: die Namen der Netzwerke, die Sie akzeptieren möchten.LIMIT_1
undLIMIT_2
: die Verbindungslimits für die Netzwerke. Das Verbindungslimit gibt die Anzahl der Nutzerendpunkte an, die eine Verbindung zu diesem Dienst herstellen können. Für jedes akzeptierte Netzwerk muss ein Verbindungslimit konfiguriert sein.REJECTED_PROJECT_ID_1
undREJECTED_PROJECT_ID_2
: die IDs der übergeordneten Projekte der Netzwerke, die Sie ablehnen möchten.consumerRejectLists
ist optional und kann ein oder mehrere Projekte enthalten.REJECTED_NETWORK_1
undREJECTED_NETWORK_2
: die Namen der Netzwerke, die Sie ablehnen möchten.
Ändern Sie die Verbindungseinstellung für den Dienstanhang von
ACCEPT_MANUAL
inACCEPT_AUTOMATIC
.Wenn die Felder
consumerAcceptLists
oderconsumerRejectLists
Verbraucher enthalten, legen Sie diese als leer fest, wenn Sie die Verbindungseinstellung inACCEPT_AUTOMATIC
ändern.PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
{ ... "connectionPreference": "ACCEPT_AUTOMATIC", "consumerAcceptLists": [ ], "consumerRejectLists": [ ], ... }
Ersetzen Sie Folgendes:
PROJECT_ID
: das Projekt für den Dienstanhang.REGION
: die Region für den Dienstanhang.ATTACHMENT_NAME
: der Name des Dienstanhangs.
Verbindungsabgleich konfigurieren
Sie können den Verbindungsabgleich für vorhandene Dienstanhänge aktivieren oder deaktivieren.
Console
Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.
Klicken Sie auf den Tab Veröffentlichte Dienste.
Klicken Sie auf den Dienst, den Sie aktualisieren möchten, und dann auf Dienstdetails bearbeiten.
Klicken Sie das Kästchen Verbindungsabgleich aktivieren an oder entfernen Sie das Häkchen und klicken Sie dann auf Speichern.
gcloud
Verwenden Sie den folgenden Befehl, um den Verbindungsabgleich zu aktivieren:
gcloud compute service-attachments update ATTACHMENT_NAME \ --region=REGION \ --reconcile-connections
Ersetzen Sie Folgendes:
ATTACHMENT_NAME
: der Name des Dienstanhangs.REGION
: die Region des Dienstanhangs.
Verwenden Sie den folgenden Befehl, um den Verbindungsabgleich zu deaktivieren:
gcloud compute service-attachments update ATTACHMENT_NAME \ --region=REGION \ --no-reconcile-connections
API
Zum Aktivieren des Verbindungsabgleichs senden Sie eine
PATCH
-Anfrage und geben Folgendes an:PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
{ ... "reconcileConnections": true ... }
Ersetzen Sie Folgendes:
PROJECT_ID
: das Projekt für den Dienstanhang.REGION
: die Region für den Dienstanhang.ATTACHMENT_NAME
: der Name des Dienstanhangs.
Senden Sie zum Deaktivieren des Verbindungsabgleichs eine
PATCH
-Anfrage und geben Sie Folgendes an:PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
{ ... "reconcileConnections": false ... }
Subnetze zu einem veröffentlichten Dienst hinzufügen oder daraus entfernen
Sie können einen veröffentlichten Dienst bearbeiten, um Private Service Connect-Subnetze hinzuzufügen.
Möglicherweise müssen Sie mehr IP-Adressen für einen vorhandenen Dienst verfügbar machen. Führen Sie einen der folgenden Schritte aus, um weitere Adressen hinzuzufügen:
Erstellen Sie ein weiteres Private Service Connect-Subnetz und bearbeiten Sie den Dienstanhang, um das neue Subnetz hinzuzufügen.
Bearbeiten Sie das Subnetz, um den IPv4-Bereich zu erweitern.
Ebenso können Sie einen veröffentlichten Dienst bearbeiten, um Private Service Connect-Subnetze daraus zu entfernen. Wenn jedoch eine beliebige IP-Adresse des Subnetzes verwendet wird, um SNAT für Private Service Connect auszuführen, schlägt das Entfernen des Subnetzes fehl.
Wenn Sie die Subnetzkonfiguration ändern, aktualisieren Sie Ihre Firewallregeln so, dass Anfragen von den neuen Subnetzen die Backend-VMs erreichen.
Console
Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.
Klicken Sie auf den Tab Veröffentlichte Dienste.
Klicken Sie auf den Dienst, den Sie aktualisieren möchten, und dann auf Dienstdetails bearbeiten.
Ändern Sie die für diesen Dienst verwendeten Subnetze.
Wenn Sie ein neues Subnetz hinzufügen möchten, können Sie eines erstellen:
- Klicken Sie auf Neues Subnetz reservieren.
- Geben Sie einen Namen und optional eine Beschreibung für das Subnetz ein.
- Wählen Sie eine Region für das Subnetz aus.
- Geben Sie den IP-Bereich ein, der für das Subnetz verwendet werden soll, und klicken Sie auf Hinzufügen.
Klicken Sie auf Speichern.
gcloud
Aktualisieren Sie die für diesen Dienstanhang verwendeten Private Service Connect-Subnetze.
gcloud compute service-attachments update ATTACHMENT_NAME \ --region=REGION \ --nat-subnets=PSC_SUBNET_LIST
Dabei gilt:
ATTACHMENT_NAME
: der Name des Dienstanhangs.REGION
: die Region, in der sich der Dienstanhang befindet.PSC_SUBNET_LIST
: eine durch Kommas getrennte Liste mit einem oder mehreren Subnetzen, die mit diesem Dienstanhang verwendet werden sollen.
API
Aktualisieren Sie die für diesen Dienstanhang verwendeten Private Service Connect-Subnetze.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
{
...
"natSubnets": [
"PSC_SUBNET1_URI",
"PSC_SUBNET2_URI",
],
...
}
Dabei gilt:
PROJECT_ID
: das Projekt für den Dienstanhang.REGION
: die Region für den Dienstanhang.ATTACHMENT_NAME
: der Name, der dem Dienstanhang zugewiesen werden soll.PSC_SUBNET1_URI
undPSC_SUBNET2_URI
: URI der Subnetze, die Sie mit diesem Dienstanhang verwenden möchten. Sie können eine oder mehrere Subnetze angeben.