Gestionar servicios publicados

En esta página se describe cómo gestionar las solicitudes de acceso a un servicio publicado, cómo cambiar la preferencia de conexión de un servicio publicado y cómo configurar la conciliación de conexiones.

Cada adjunto de servicio tiene una preferencia de conexión que especifica si las solicitudes de conexión se aceptan automáticamente. Hay tres opciones posibles:

  • Aceptar todas las conexiones automáticamente. El adjunto de servicio acepta automáticamente todas las solicitudes de conexión entrantes de cualquier consumidor. Una política de la organización puede anular la aceptación automática y bloquear las conexiones entrantes.
  • Aceptar conexiones de las redes seleccionadas. La vinculación de servicio solo acepta solicitudes de conexión entrantes si la red de VPC del consumidor está en la lista de consumidores aceptados de la vinculación de servicio.
  • Aceptar las conexiones de los proyectos seleccionados. El adjunto de servicio solo acepta solicitudes de conexión entrantes si el proyecto de consumidor está en la lista de consumidores aceptados del adjunto de servicio.

Te recomendamos que aceptes las conexiones de los proyectos o las redes seleccionados. Aceptar automáticamente todas las conexiones puede ser adecuado si controlas el acceso de los consumidores por otros medios y quieres habilitar el acceso permisivo a tu servicio.

Para obtener más información sobre cómo publicar un servicio, consulta el artículo Publicar un servicio.

Roles

El siguiente rol de gestión de identidades y accesos proporciona los permisos necesarios para realizar las tareas de esta guía.

Gestionar solicitudes de acceso a un servicio publicado

Si has publicado un servicio con aprobación explícita, puedes aceptar o rechazar solicitudes de conexión de proyectos de consumidor o redes de VPC.

Si añades un proyecto o una red tanto a la lista de aceptados como a la de denegados, se rechazarán las solicitudes de conexión de ese proyecto o red.

Una vez que se acepta la conexión de un endpoint de consumidor a un servicio, el endpoint puede conectarse al servicio hasta que se elimine la vinculación de servicio. Esto se aplica tanto si el consumidor se ha aceptado explícitamente como si el endpoint del consumidor se ha conectado cuando la preferencia de conexión se ha definido para aceptar automáticamente las conexiones.

  • Si quitas un proyecto o una red de la lista de elementos aceptados, debes aceptar los nuevos endpoints de consumidor de ese proyecto para que el endpoint pueda conectarse. Sin embargo, cualquier endpoint de consumidor aceptado anteriormente en ese proyecto o red podrá seguir conectándose al servicio.

  • Si añade un proyecto o una red a la lista de rechazo, se rechazarán las conexiones de los nuevos puntos finales de consumidor de ese proyecto o red al servicio. Sin embargo, los endpoints de consumidor aceptados anteriormente en ese proyecto o red podrán seguir conectándose al servicio.

Consola

  1. En la Google Cloud consola, ve a la página Private Service Connect.

    Ir a Private Service Connect

  2. Haz clic en la pestaña Servicios publicados.

  3. Haz clic en el servicio que quieras gestionar.

  4. En la sección Proyectos conectados, se muestran los proyectos que han intentado conectarse a este servicio. Marque la casilla situada junto a uno o varios proyectos y haga clic en Aceptar proyecto o Rechazar proyecto.

gcloud

  1. Para describir el adjunto de servicio que quieras modificar, usa el comando service-attachments describe.

    gcloud compute service-attachments describe \
    ATTACHMENT_NAME --region=REGION

    La salida es similar al siguiente ejemplo. Si hay alguna conexión de consumidor pendiente, se mostrará con el estado PENDING.

    En este ejemplo de salida, el proyecto CONSUMER_PROJECT_1 está en la lista de aceptación, por lo que ENDPOINT_1 se acepta y puede conectarse al servicio. El proyecto CONSUMER_PROJECT_2 no está en la lista de aceptados, por lo que ENDPOINT_2 está pendiente. Una vez que se añade CONSUMER_PROJECT_2 a la lista de elementos aceptados, el estado de ENDPOINT_2 cambia a ACCEPTED y el endpoint puede conectarse al servicio.

    connectedEndpoints:
- endpoint: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_1/regions/REGION_1/forwardingRules/ENDPOINT_1
  pscConnectionId: 'ENDPOINT_1_ID'
  status: ACCEPTED
- endpoint: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/ENDPOINT_2
  pscConnectionId: 'ENDPOINT_2_ID'
  status: PENDING
connectionPreference: ACCEPT_MANUAL
consumerAcceptLists:
- connectionLimit: LIMIT_1
  projectIdOrNum: CONSUMER_PROJECT_1
creationTimestamp: 'TIMESTAMP'
description: 'DESCRIPTION'
enableProxyProtocol: false
fingerprint: FINGERPRINT
id: 'ID'
kind: compute#serviceAttachment
name: NAME
natSubnets:
- https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/subnetworks/PSC_SUBNET
pscServiceAttachmentId:
  high: 'PSC_ATTACH_ID_HIGH'
  low: 'PSC_ATTACH_ID_LOW'
region: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION
selfLink: https://www.googleapis.com/compute/v1/projects/projects/PRODUCER_PROJECT/regions/REGION/serviceAttachments/ATTACHMENT_NAME
targetService: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/forwardingRules/PRODUCER_FWD_RULE

  2. Para aceptar o rechazar proyectos o redes de consumidor, usa el comando service-attachments update.

    Puede especificar --consumer-accept-list o --consumer-reject-list, o ambos. Puedes especificar varios valores en --consumer-accept-list y --consumer-reject-list. Puedes incluir proyectos o redes de VPC, pero no una combinación de ambos.

    gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --consumer-accept-list=ACCEPTED_PROJECT_OR_NETWORK_1=LIMIT_1,ACCEPTED_PROJECT_OR_NETWORK_2=LIMIT_2 \
    --consumer-reject-list=REJECTED_PROJECT_OR_NETWORK_1,REJECTED_PROJECT_OR_NETWORK_2

    Haz los cambios siguientes:

    • ATTACHMENT_NAME: el nombre del archivo adjunto de servicio.

    • REGION: la región en la que se encuentra el archivo adjunto del servicio.

    • ACCEPTED_PROJECT_OR_NETWORK_1 y ACCEPTED_PROJECT_OR_NETWORK_2: los IDs de proyecto, los nombres de proyecto o las URLs de red que se van a aceptar. --consumer-accept-list es opcional y puede contener uno o varios proyectos o redes, pero no una combinación de ambos tipos.

    • LIMIT_1 y LIMIT_2: los límites de conexión de los proyectos o las redes. El límite de conexiones es el número de endpoints de consumidor que pueden conectarse a este servicio.

    • REJECTED_PROJECT_OR_NETWORK_1 y REJECTED_PROJECT_OR_NETWORK_2: los IDs de proyecto, los nombres de proyecto o las URLs de red que se rechazarán. --consumer-reject-list es opcional y puede contener uno o varios proyectos o redes, pero no una combinación de ambos tipos.

API

  1. Para describir el archivo adjunto de servicio que quieras modificar, envía una solicitud al método serviceAttachments.get.

    Método HTTP y URL:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    Haz los cambios siguientes:

    • PROJECT_ID: el proyecto del archivo adjunto de servicio.
    • REGION: la región del archivo adjunto de servicio.
    • ATTACHMENT_NAME: el nombre de la vinculación de servicio.

    Si hay alguna conexión de consumidor pendiente, se mostrará con el estado PENDING.

    Anota el valor de fingerprint, que usarás en el siguiente paso.

  2. Para aceptar o rechazar proyectos o redes de clientes, envía una solicitud al método serviceAttachments.patch.

    Puedes cambiar entre aceptar y rechazar consumidores por proyecto o por red de VPC, pero no puedes incluir una combinación de proyectos y redes en la misma solicitud.

    • Para aceptar o rechazar consumidores en función del proyecto, envía la siguiente solicitud.

      Método HTTP y URL:

      PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

      Cuerpo JSON de la solicitud:

      {
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2"
  ],
  "fingerprint" : "FINGERPRINT"
}

      Haz los cambios siguientes:

      • PROJECT_ID: el proyecto del archivo adjunto de servicio.
      • REGION: la región del archivo adjunto de servicio.
      • ATTACHMENT_NAME: el nombre del archivo adjunto de servicio.
      • ACCEPTED_PROJECT_1 y ACCEPTED_PROJECT_2: los IDs o números de los proyectos que se van a aceptar. consumerAcceptList es opcional y puede contener uno o varios proyectos.
      • LIMIT_1 y LIMIT_2: los límites de conexión de los proyectos. El límite de conexiones es el número de endpoints de consumidor que pueden conectarse a este servicio.
      • REJECTED_PROJECT_1 y REJECTED_PROJECT_2: los IDs o números de los proyectos que se van a rechazar. consumerRejectList es opcional y puede contener uno o varios proyectos.
      • FINGERPRINT: la huella digital actualizada del adjunto de servicio que has encontrado en el paso anterior.

    • Para aceptar o rechazar consumidores en función de la red de VPC, envía la siguiente solicitud.

      Método HTTP y URL:

      PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

      Cuerpo JSON de la solicitud:

      {
  "consumerAcceptLists": [
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_1/global/network/ACCEPTED_NETWORK_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_2/global/network/ACCEPTED_NETWORK_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "projects/REJECTED_PROJECT_ID_1/global/networks/REJECTED_NETWORK_1",
    "projects/REJECTED_PROJECT_ID_2/global/network/REJECTED_NETWORK_2"
  ],
  "fingerprint": "FINGERPRINT"
}

      Haz los cambios siguientes:

      • ACCEPTED_PROJECT_ID_1 y ACCEPTED_PROJECT_ID_2: los IDs de los proyectos principales de las redes que quieras aceptar. consumerAcceptLists es opcional y puede contener una o varias redes.
      • ACCEPTED_NETWORK_1 y ACCEPTED_NETWORK_2: los nombres de las redes que quieres aceptar.
      • LIMIT_1 y LIMIT_2: los límites de conexión de las redes. El límite de conexiones es el número de endpoints de consumidor que pueden conectarse a este servicio.
      • REJECTED_PROJECT_ID_1 y REJECTED_PROJECT_ID_2: los IDs de los proyectos principales de las redes que quieras rechazar. consumerRejectLists es opcional y puede contener una o varias redes.
      • REJECTED_NETWORK_1 y REJECTED_NETWORK_2: los nombres de las redes que quieras rechazar.

Cambiar la preferencia de conexión de un servicio publicado

Puedes cambiar entre la aceptación automática y la explícita de proyectos para un servicio publicado.

Si se cambia de la aceptación automática a la explícita, no se verán afectados los endpoints de consumidor que se hayan conectado al servicio antes de este cambio. Los endpoints del consumidor pueden conectarse al servicio publicado hasta que se elimine el adjunto de servicio. Los nuevos endpoints de consumidor deben aceptarse para poder conectarse al servicio. Para obtener más información, consulta Gestionar solicitudes de acceso a un servicio publicado.

Consola

  1. En la Google Cloud consola, ve a la página Private Service Connect.

    Ir a Private Service Connect

  2. Haz clic en la pestaña Servicios publicados.

  3. Haga clic en el servicio que quiera actualizar y, a continuación, en Editar detalles del servicio.

  4. Selecciona la preferencia de conexión que quieras:

    • Aceptar conexiones de proyectos seleccionados
    • Aceptar conexiones de redes seleccionadas
    • Aceptar todas las conexiones automáticamente

  5. Opcional: Si va a cambiar a Aceptar conexiones de los proyectos seleccionados, puede proporcionar detalles de los proyectos que quiera permitir o añadirlos más adelante.

    1. Haz clic en Añadir proyecto aceptado.
    2. Introduce el Proyecto y el Límite de conexiones.

  6. Opcional: Si vas a cambiar a Aceptar conexiones de redes seleccionadas, puedes proporcionar detalles de las redes que quieras permitir o añadirlas más adelante.

    1. Haz clic en Añadir red aceptada.
    2. Introduce el proyecto, la red y el límite de conexiones.

  7. Haz clic en Guardar.

gcloud

  • Para cambiar la preferencia de conexión de la vinculación de servicio de ACCEPT_AUTOMATIC a ACCEPT_MANUAL, usa el comando service-attachments update.

    Puedes controlar qué proyectos pueden conectarse a tu servicio mediante --consumer-accept-list y --consumer-reject-list. Puedes configurar las listas de aceptación y rechazo cuando cambies la preferencia de conexión o actualizar las listas más adelante.

    gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_MANUAL \
    [ --consumer-accept-list=ACCEPTED_PROJECT_OR_NETWORK_1=LIMIT_1,ACCEPTED_PROJECT_OR_NETWORK_2=LIMIT_2] \
    [ --consumer-reject-list=REJECTED_PROJECT_OR_NETWORK_1,REJECTED_PROJECT_OR_NETWORK_2 ]

    Haz los cambios siguientes:

    • ATTACHMENT_NAME: el nombre del servicio adjunto.

    • REGION: la región en la que se encuentra el archivo adjunto del servicio.

    • ACCEPTED_PROJECT_OR_NETWORK_1 y ACCEPTED_PROJECT_OR_NETWORK_2: los IDs de proyecto, los nombres de proyecto o las URLs de red que se van a aceptar. --consumer-accept-list es opcional y puede contener uno o varios proyectos o redes, pero no una combinación de ambos tipos.

    • LIMIT_1 y LIMIT_2: los límites de conexión de los proyectos. El límite de conexiones es el número de endpoints de consumidor que pueden conectarse a este servicio.

    • REJECTED_PROJECT_OR_NETWORK_1 y REJECTED_PROJECT_OR_NETWORK_2: los IDs de proyecto, los nombres de proyecto o las URLs de red que se rechazarán. --consumer-reject-list es opcional y puede contener uno o varios proyectos o redes, pero no una combinación de ambos tipos.

  • Para cambiar la preferencia de conexión del adjunto de servicio de ACCEPT_MANUAL a ACCEPT_AUTOMATIC, usa el siguiente comando.

    Si tienes valores en la lista de aceptación o en la de rechazo, déjalos vacíos cuando cambies la preferencia de conexión ("").

    gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_AUTOMATIC \
    --consumer-accept-list="" \
    --consumer-reject-list=""

    Haz los cambios siguientes:

    • ATTACHMENT_NAME: el nombre del servicio adjunto.

    • REGION: la región en la que se encuentra el archivo adjunto del servicio.

API

  1. Para obtener el fingerprint del adjunto de servicio, envía una solicitud al método serviceAttachments.get.

    Método HTTP y URL:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    Haz los cambios siguientes:

    • PROJECT_ID: el proyecto del archivo adjunto de servicio.
    • REGION: la región del archivo adjunto de servicio.
    • ATTACHMENT_NAME: el nombre de la vinculación de servicio.

    Anota el valor de fingerprint, que usarás en el siguiente paso.

  2. Para cambiar la preferencia de conexión de la vinculación de servicio, envía una solicitud al método serviceAttachments.patch.

    • Para cambiar la preferencia de conexión de ACCEPT_AUTOMATIC a ACCEPT_MANUAL y actualizar las listas de aceptación y rechazo de consumidores en función del proyecto, haz la siguiente solicitud.

      Método HTTP y URL:

      PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

      Cuerpo JSON de la solicitud:

      {
  "connectionPreference": "ACCEPT_MANUAL",
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1"
      "connectionLimit": "LIMIT_1",
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2"
      "connectionLimit": "LIMIT_2",
    }
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2",
  ],
  "fingerprint" : "FINGERPRINT"
}

      Haz los cambios siguientes:

      • PROJECT_ID: el proyecto del archivo adjunto de servicio.
      • REGION: la región del archivo adjunto de servicio.
      • ATTACHMENT_NAME: el nombre del archivo adjunto de servicio.
      • ACCEPTED_PROJECT_1 y ACCEPTED_PROJECT_2: los IDs o números de los proyectos que se van a aceptar. consumerAcceptList es opcional y puede contener uno o varios proyectos.
      • LIMIT_1 y LIMIT_2: los límites de conexión de los proyectos. El límite de conexiones es el número de endpoints de consumidor que pueden conectarse a este servicio.
      • REJECTED_PROJECT_1 y REJECTED_PROJECT_2: los IDs o números de los proyectos que se van a rechazar. consumerRejectList es opcional y puede contener uno o varios proyectos.
      • FINGERPRINT: la huella digital actualizada del adjunto de servicio que has encontrado en el paso 1.

    • Para cambiar la preferencia de conexión de ACCEPT_AUTOMATIC a ACCEPT_MANUAL y actualizar las listas de aceptación y rechazo de consumidores en función de la red VPC, haz la siguiente solicitud.

      Método HTTP y URL:

      PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

      Cuerpo JSON de la solicitud:

      {
  "connectionPreference": "ACCEPT_MANUAL",
  "consumerAcceptLists": [
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_1/global/networks/ACCEPTED_NETWORK_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_2/global/networks/ACCEPTED_NETWORK_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "consumerRejectLists": [
    "projects/REJECTED_PROJECT_ID_1/global/networks/REJECTED_NETWORK_1",
    "projects/REJECTED_PROJECT_ID_2/global/network/REJECTED_NETWORK_2"
  ],
  "fingerprint" : "FINGERPRINT"
}

      Haz los cambios siguientes:

      • ACCEPTED_PROJECT_ID_1 y ACCEPTED_PROJECT_ID_2: los IDs de los proyectos principales de las redes que quieras aceptar. consumerAcceptLists es opcional y puede contener una o varias redes.
      • ACCEPTED_NETWORK_1 y ACCEPTED_NETWORK_2: los nombres de las redes que quieres aceptar.
      • LIMIT_1 y LIMIT_2: los límites de conexión de las redes. El límite de conexiones es el número de endpoints de consumidor que pueden conectarse a este servicio.
      • REJECTED_PROJECT_ID_1 y REJECTED_PROJECT_ID_2: los IDs de los proyectos principales de las redes que quieras rechazar. consumerRejectLists es opcional y puede contener una o varias redes.
      • REJECTED_NETWORK_1 y REJECTED_NETWORK_2: los nombres de las redes que quieres rechazar.
      • FINGERPRINT: la huella digital actualizada del adjunto de servicio que has encontrado en el paso 1.

  • Para cambiar la preferencia de conexión del adjunto de servicio de ACCEPT_MANUAL a ACCEPT_AUTOMATIC, haz la siguiente solicitud.

    Si los campos consumerAcceptLists o consumerRejectLists especifican algún consumidor, déjalos vacíos cuando cambies la preferencia de conexión a ACCEPT_AUTOMATIC.

    Método HTTP y URL:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    Cuerpo JSON de la solicitud:

    {
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "consumerAcceptLists": [ ],
  "consumerRejectLists": [ ],
  "fingerprint" : "FINGERPRINT"
}

    Haz los cambios siguientes:

    • PROJECT_ID: el proyecto del archivo adjunto de servicio.

    • REGION: la región del archivo adjunto de servicio.

    • ATTACHMENT_NAME: el nombre de la vinculación de servicio.

    • FINGERPRINT: la huella digital actualizada del adjunto de servicio que has encontrado en el paso 1.

Configurar la conciliación de conexiones

Puedes habilitar o inhabilitar la conciliación de conexiones en los adjuntos de servicio que ya tengas.

Consola

  1. En la Google Cloud consola, ve a la página Private Service Connect.

    Ir a Private Service Connect

  2. Haz clic en la pestaña Servicios publicados.

  3. Haga clic en el servicio que quiera actualizar y, a continuación, en Editar detalles del servicio.

  4. Marca o desmarca la casilla Habilitar conciliación de conexiones y, a continuación, haz clic en Guardar.

gcloud

  • Para habilitar la conciliación de conexiones, usa el comando service-attachments update.

    gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --reconcile-connections

    Haz los cambios siguientes:

    • ATTACHMENT_NAME: el nombre del servicio adjunto.
    • REGION: la región de la vinculación de servicio.

  • Para inhabilitar la conciliación de conexiones, usa el siguiente comando:

    gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --no-reconcile-connections

API

  1. Para obtener el fingerprint del adjunto de servicio, envía una solicitud al método serviceAttachments.get.

    Método HTTP y URL:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    Haz los cambios siguientes:

    • PROJECT_ID: el proyecto del archivo adjunto de servicio.
    • REGION: la región del archivo adjunto de servicio.
    • ATTACHMENT_NAME: el nombre de la vinculación de servicio.

    Anota el valor de fingerprint, que usarás en el siguiente paso.

  2. Envía una solicitud al método serviceAttachments.patch.

    Método HTTP y URL:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    Cuerpo JSON de la solicitud:

    {
  "reconcileConnections": RECONCILIATION,
  "fingerprint": "FINGERPRINT"
}

    Haz los cambios siguientes:

    • PROJECT_ID: el proyecto del archivo adjunto de servicio.
    • REGION: la región del archivo adjunto de servicio.
    • ATTACHMENT_NAME: el nombre de la vinculación de servicio.
    • RECONCILIATION: si se debe habilitar la reconciliación de conexiones. Las opciones son true o false.
    • FINGERPRINT: la huella digital actualizada del adjunto de servicio que has encontrado en el paso anterior.

Añadir o quitar subredes de un servicio publicado

Puedes editar un servicio publicado para añadir subredes de Private Service Connect.

Por ejemplo, puede que necesites que haya más direcciones IP disponibles para un servicio. Para añadir más direcciones, sigue uno de estos procedimientos:

Del mismo modo, puedes editar un servicio publicado para quitar subredes de Private Service Connect. Sin embargo, si alguna de las direcciones IP de la subred se está usando para realizar SNAT en Private Service Connect, no se podrá eliminar la subred.

Si cambia la configuración de la subred, actualice las reglas del cortafuegos para permitir que las solicitudes de las nuevas subredes lleguen a las VMs backend.

Consola

  1. En la Google Cloud consola, ve a la página Private Service Connect.

    Ir a Private Service Connect

  2. Haz clic en la pestaña Servicios publicados.

  3. Haga clic en el servicio que quiera actualizar y, a continuación, en Editar detalles del servicio.

  4. Modifica las subredes que se usan en este servicio.

    Si quieres añadir una nueva subred, puedes crearla siguiendo estos pasos:

    1. Haz clic en Reservar nueva subred.
    2. Escribe un nombre para la subred y, si quieres, una descripción.
    3. Selecciona la región de la subred.
    4. Introduce el intervalo de IP que quieras usar para la subred y haz clic en Añadir.

  5. Haz clic en Guardar.

gcloud

Para actualizar las subredes de Private Service Connect que se usan en este archivo adjunto de servicio, usa el comando service-attachments update.

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --nat-subnets=PSC_SUBNET_LIST

Haz los cambios siguientes:

  • ATTACHMENT_NAME: el nombre del servicio adjunto.

  • REGION: la región en la que se encuentra el archivo adjunto del servicio.

  • PSC_SUBNET_LIST: lista separada por comas de una o varias subredes que se van a usar con este adjunto de servicio.

API

  1. Para obtener el fingerprint del adjunto de servicio, envía una solicitud al método serviceAttachments.get.

    Método HTTP y URL:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    Haz los cambios siguientes:

    • PROJECT_ID: el proyecto del archivo adjunto de servicio.
    • REGION: la región del archivo adjunto de servicio.
    • ATTACHMENT_NAME: el nombre de la vinculación de servicio.

    Anota el valor de fingerprint, que usarás en el siguiente paso.

  2. Para actualizar las subredes de Private Service Connect que se usan en esta vinculación de servicio, envía una solicitud al método serviceAttachments.patch.

    Método HTTP y URL:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    Cuerpo JSON de la solicitud:

    {
  "natSubnets": [
  "PSC_SUBNET1_URI",
  "PSC_SUBNET2_URI"
  ],
  "fingerprint": "FINGERPRINT"
}

    Haz los cambios siguientes:

    • PROJECT_ID: el proyecto del archivo adjunto de servicio.

    • REGION: la región del archivo adjunto de servicio.

    • ATTACHMENT_NAME: el nombre del archivo adjunto de servicio.

    • PSC_SUBNET1_URI y PSC_SUBNET2_URI: URIs de las subredes que quieras usar con esta vinculación de servicio. Puede especificar una o varias subredes.

    • FINGERPRINT: la huella digital actualizada del adjunto de servicio que has encontrado en el paso anterior.

Actualizar el límite de conexiones propagadas de un servicio publicado

Puedes actualizar el límite de conexiones propagadas de un adjunto de servicio. Cuando aumentas el límite, Google Cloud comprueba automáticamente si se pueden crear conexiones propagadas pendientes. Si reduces el límite, las conexiones propagadas no se verán afectadas. Sin embargo, los intentos de restablecer las conexiones propagadas eliminadas o rechazadas pueden bloquearse si se alcanza el nuevo límite.

Consola

  1. En la Google Cloud consola, ve a la página Private Service Connect.

    Ir a Private Service Connect

  2. Haz clic en la pestaña Servicios publicados.

  3. Haga clic en el servicio que quiera actualizar y, a continuación, en Editar detalles del servicio.

  4. Haz clic en Configuración avanzada.

  5. Introduce el nuevo límite de conexiones propagadas de NCC.

gcloud

Usa el comando service-attachments update.

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --propagated-connection-limit=LIMIT

Haz los cambios siguientes:

  • ATTACHMENT_NAME: el nombre del servicio adjunto.

  • REGION: la región en la que se encuentra el archivo adjunto del servicio.

  • LIMIT: el nuevo valor del límite de conexión propagado.

API

  1. Para obtener el fingerprint del adjunto de servicio, envía una solicitud al método serviceAttachments.get.

    Método HTTP y URL:

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    Haz los cambios siguientes:

    • PROJECT_ID: el proyecto del archivo adjunto de servicio.
    • REGION: la región del archivo adjunto de servicio.
    • ATTACHMENT_NAME: el nombre de la vinculación de servicio.

    Anota el valor de fingerprint, que usarás en el siguiente paso.

  2. Envía una solicitud al método serviceAttachments.patch.

    Método HTTP y URL:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    Cuerpo JSON de la solicitud:

    {
  "propagatedConnectionLimit": LIMIT,
  "fingerprint": "FINGERPRINT"
}

    Haz los cambios siguientes:

    • PROJECT_ID: el proyecto del archivo adjunto de servicio.

    • REGION: la región del archivo adjunto de servicio.

    • ATTACHMENT_NAME: el nombre del archivo adjunto de servicio.

    • LIMIT: el nuevo valor del límite de conexión propagado.

    • FINGERPRINT: la huella digital actualizada del adjunto de servicio que has encontrado en el paso anterior.