Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Veröffentlichte Dienste verwalten

Auf dieser Seite wird beschrieben, wie Sie Anfragen für den Zugriff auf einen veröffentlichten Dienst verwalten und die Verbindungseinstellung für einen veröffentlichten Dienst ändern.

Wenn Sie einen Dienst veröffentlichen, können Sie steuern, welche Nutzer eine Verbindung zu diesem Dienst herstellen können. Konfigurieren Sie dazu die Verbindungseinstellung für den Dienst. Die Verbindungseinstellung kann eine der folgenden sein:

  • Verbindungen für alle Projekte (ACCEPT_AUTOMATIC) automatisch akzeptieren: Jeder Nutzer kann eine Verbindung zum Dienst herstellen.

  • Verbindungen für ausgewählte Projekte akzeptieren (ACCEPT_MANUAL): Sie können festlegen, welche Nutzer eine Verbindung zum Dienst herstellen können.

Weitere Informationen zum Veröffentlichen eines Dienstes finden Sie unter Verwaltete Dienste mit Private Service Connect veröffentlichen.

Rollen

Die folgende IAM-Rolle bietet die Berechtigungen, die zum Ausführen der Aufgaben in dieser Anleitung erforderlich sind.

Anfragen für den Zugriff auf einen veröffentlichten Dienst verwalten

Wenn Sie einen Dienst mit expliziter Projektgenehmigung veröffentlicht haben, können Sie Verbindungsanfragen von Nutzerprojekten annehmen oder ablehnen.

Wenn Sie ein Projekt sowohl in die Zulassungsliste als auch auf die Ablehnungsliste setzen, werden Verbindungsanfragen von diesem Projekt abgelehnt.

Nachdem eine Nutzer-Endpunktverbindung für einen Dienst akzeptiert wurde, kann der Endpunkt eine Verbindung zum Dienst herstellen, bis der Dienstanhang gelöscht wird. Dies gilt unabhängig davon, ob das Projekt explizit akzeptiert wurde oder weil der Nutzerendpunkt eine Verbindung hergestellt hat, als die Verbindungseinstellung so eingestellt war, dass sie Verbindungen automatisch akzeptiert.

  • Wenn Sie ein Projekt aus der Zulassungsliste entfernen, können alle zuvor akzeptierten Nutzerendpunkte in diesem Projekt eine Verbindung zum Dienst herstellen. Verbindungen von neuen Nutzerendpunkten in diesem Projekt müssen akzeptiert werden, bevor der Endpunkt eine Verbindung herstellen kann.

  • Wenn Sie der Ablehnungsliste ein Projekt hinzufügen, können alle zuvor akzeptierten Nutzerendpunkte in diesem Projekt eine Verbindung zum Dienst herstellen. Verbindungen von neuen Nutzerendpunkten in diesem Projekt werden abgelehnt und können keine Verbindung zum Dienst herstellen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Veröffentlichte Dienste.

  3. Klicken Sie auf den Dienst, den Sie verwalten möchten.

  4. Im Abschnitt Verbundene Projekte werden die Projekte aufgelistet, die versucht haben, eine Verbindung zu diesem Dienst herzustellen. Klicken Sie auf das Kästchen neben einem oder mehreren Projekten und dann auf Annehmen oder Ablehnen.

gcloud

  1. Beschreiben Sie den Dienstanhang, den Sie ändern möchten.

    gcloud compute service-attachments describe \
    ATTACHMENT_NAME --region=REGION

    Die Ausgabe sieht etwa so aus wie im folgenden Beispiel. Wenn ausstehende Nutzerverbindungen vorhanden sind, werden diese mit dem Status PENDING aufgeführt.

    In dieser Beispielausgabe befindet sich das Projekt CONSUMER_PROJECT_1 in der Liste der Annahmen, sodass ENDPOINT_1 akzeptiert wird und eine Verbindung zum Dienst herstellen kann. Das Projekt CONSUMER_PROJECT_2 ist nicht in der Liste der Annahmen enthalten, sodass ENDPOINT_2 aussteht. Nachdem CONSUMER_PROJECT_2 der Akzeptanzliste hinzugefügt wurde, ändert sich der Status von ENDPOINT_2 in ACCEPTED und der Endpunkt kann eine Verbindung zum Dienst herstellen.

    connectedEndpoints:
- endpoint: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_1/regions/REGION_1/forwardingRules/ENDPOINT_1
  pscConnectionId: 'ENDPOINT_1_ID'
  status: ACCEPTED
- endpoint: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/ENDPOINT_2
  pscConnectionId: 'ENDPOINT_2_ID'
  status: PENDING
connectionPreference: ACCEPT_MANUAL
consumerAcceptLists:
- connectionLimit: LIMIT_1
  projectIdOrNum: CONSUMER_PROJECT_1
creationTimestamp: 'TIMESTAMP'
description: 'DESCRIPTION'
enableProxyProtocol: false
fingerprint: FINGERPRINT
id: 'ID'
kind: compute#serviceAttachment
name: NAME
natSubnets:
- https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/subnetworks/PSC_SUBNET
pscServiceAttachmentId:
  high: 'PSC_ATTACH_ID_HIGH'
  low: 'PSC_ATTACH_ID_LOW'
region: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION
selfLink: https://www.googleapis.com/compute/v1/projects/projects/PRODUCER_PROJECT/regions/REGION/serviceAttachments/ATTACHMENT_NAME
targetService: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/forwardingRules/PRODUCER_FWD_RULE

  2. Nehmen Sie Nutzerprojekte an oder lehnen Sie sie ab.

    Sie können --consumer-accept-list oder --consumer-reject-list oder beides angeben. Sie können mehrere Werte in --consumer-accept-list und --consumer-reject-list angeben.

    gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --consumer-accept-list=ACCEPTED_PROJECT_1=LIMIT_1,ACCEPTED_PROJECT_2=LIMIT_2 \
    --consumer-reject-list=REJECTED_PROJECT_1,REJECTED_PROJECT_2

    Dabei gilt:

    • ATTACHMENT_NAME: der Name, der dem Dienstanhang zugewiesen werden soll.

    • REGION: die Region, in der sich der Dienstanhang befindet.

    • ACCEPTED_PROJECT_1 und ACCEPTED_PROJECT_2: die zu akzeptierenden Projekte. consumerAcceptList ist optional und kann ein oder mehrere Projekte enthalten.

    • LIMIT_1 und LIMIT_2: die Verbindungslimits für die Projekte. Das Verbindungslimit gibt die Anzahl der Private Service Connect-Endpunkte an, die eine Verbindung zu diesem Dienst herstellen können. Für jedes akzeptierte Projekt muss ein Verbindungslimit konfiguriert sein.

    • REJECTED_PROJECT_1 und REJECTED_PROJECT_2: die Projekte, die abgelehnt werden sollen. --consumer-reject-list ist optional und kann ein oder mehrere Projekte enthalten.

API

  1. Beschreiben Sie den Dienstanhang, den Sie ändern möchten.

    Wenn ausstehende Nutzerverbindungen vorhanden sind, werden diese mit dem Status PENDING aufgeführt.

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

  2. Nehmen Sie die Nutzerprojekte an oder lehnen Sie sie ab.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    {
  ...
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1"
      "connectionLimit": "LIMIT_1",
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2"
      "connectionLimit": "LIMIT_2",
    }
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2",
  ],
  ...
}

    Dabei gilt:

    • PROJECT_ID: das Projekt für den Dienstanhang.

    • REGION: die Region für den Dienstanhang.

    • ATTACHMENT_NAME: der Name, der dem Dienstanhang zugewiesen werden soll.

    • REJECTED_PROJECT_1 und REJECTED_PROJECT_2: die Projekte, die abgelehnt werden sollen. consumerRejectList ist optional und kann ein oder mehrere Projekte enthalten.

    • ACCEPTED_PROJECT_1 und ACCEPTED_PROJECT_2: die zu akzeptierenden Projekte. consumerAcceptList ist optional und kann ein oder mehrere Projekte enthalten.

    • LIMIT_1 und LIMIT_2: die Verbindungslimits für die Projekte. Das Verbindungslimit gibt die Anzahl der Private Service Connect-Endpunkte an, die eine Verbindung zu diesem Dienst herstellen können. Für jedes akzeptierte Projekt muss ein Verbindungslimit konfiguriert sein.

Verbindungseinstellung für einen veröffentlichten Dienst ändern

Sie können zwischen der automatischen und der expliziten Projektzulassung für einen veröffentlichten Dienst wechseln.

Eine Änderung von der automatischen Zulassung zur expliziten Zulassung wirkt sich nicht auf Nutzerendpunkte aus, die vor dieser Änderung mit dem Dienst verbunden wurden. Vorhandene Nutzerendpunkte können bis zum Löschen des Dienstanhangs eine Verbindung zum veröffentlichten Dienst herstellen. Neue Nutzerendpunkte müssen akzeptiert werden, bevor sie eine Verbindung zum Dienst herstellen können. Weitere Informationen finden Sie unter Anfragen für den Zugriff auf einen veröffentlichten Dienst verwalten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Veröffentlichte Dienste.

  3. Klicken Sie auf den Dienst, den Sie aktualisieren möchten, und dann auf Bearbeiten.

  4. Wählen Sie die gewünschte Verbindungseinstellung aus:

    • Verbindungen für ausgewählte Projekte akzeptieren
    • Verbindungen für alle Projekte automatisch akzeptieren

  5. Wenn Sie zu Verbindungen für ausgewählte Projekte akzeptieren wechseln, können Sie Details zu den Projekten, die Sie zulassen möchten, angeben oder später hinzufügen.

    1. Klicken Sie auf Akzeptiertes Projekt hinzufügen.
    2. Geben Sie das Projekt und das Verbindungslimit ein.

  6. Klicken Sie auf Speichern.

gcloud

  • Ändern Sie die Verbindungseinstellung für den Dienstanhang von ACCEPT_AUTOMATIC in ACCEPT_MANUAL.

    Mit --consumer-accept-list und --consumer-reject-list steuern Sie, welche Projekte sich mit Ihrem Dienst verbinden können. Sie können die Listen zum Zulassen und Ablehnen beim Ändern der Verbindungseinstellung konfigurieren oder die Listen später aktualisieren.

    gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_MANUAL \
    [ --consumer-accept-list=ACCEPTED_PROJECT_1=LIMIT_1,ACCEPTED_PROJECT_2=LIMIT_2] \
    [ --consumer-reject-list=REJECTED_PROJECT_1,REJECTED_PROJECT_2 ]

    Dabei gilt:

    • ATTACHMENT_NAME: der Name des Dienstanhangs.

    • REGION: die Region, in der sich der Dienstanhang befindet.

    • ACCEPTED_PROJECT_1 und ACCEPTED_PROJECT_2: die zu akzeptierenden Projekte. --consumer-accept-list ist optional und kann ein oder mehrere Projekte enthalten.

    • LIMIT_1 und LIMIT_2: die Verbindungslimits für die Projekte. Das Verbindungslimit gibt die Anzahl der Private Service Connect-Endpunkte an, die eine Verbindung zu diesem Dienst herstellen können. Für jedes akzeptierte Projekt muss ein Verbindungslimit konfiguriert sein.

    • REJECTED_PROJECT_1 und REJECTED_PROJECT_2: die Projekte, die abgelehnt werden sollen. --consumer-reject-list ist optional und kann ein oder mehrere Projekte enthalten.

  • Ändern Sie die Verbindungseinstellung für den Dienstanhang von ACCEPT_MANUAL in ACCEPT_AUTOMATIC.

    Wenn Sie Werte in der Zulassungs- oder Ablehnungsliste haben, legen Sie diese als leer fest, wenn Sie die Verbindungseinstellung ändern ("").

    gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_AUTOMATIC \
    --consumer-accept-list="" \
    --consumer-reject-list=""

    Dabei gilt:

    • ATTACHMENT_NAME: der Name des Dienstanhangs.

    • REGION: die Region, in der sich der Dienstanhang befindet.

API

  • Ändern Sie die Verbindungseinstellung für den Dienstanhang von ACCEPT_AUTOMATIC in ACCEPT_MANUAL.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    {
  ...
  "connectionPreference": "ACCEPT_MANUAL",
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1"
      "connectionLimit": "LIMIT_1",
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2"
      "connectionLimit": "LIMIT_2",
    }
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2",
  ],
  ...
}

    Dabei gilt:

    • PROJECT_ID: das Projekt für den Dienstanhang.

    • REGION: die Region für den Dienstanhang.

    • ATTACHMENT_NAME: der Name, der dem Dienstanhang zugewiesen werden soll.

    • REJECTED_PROJECT_1 und REJECTED_PROJECT_2: die Projekte, die abgelehnt werden sollen. consumerRejectList ist optional und kann ein oder mehrere Projekte enthalten.

    • ACCEPTED_PROJECT_1 und ACCEPTED_PROJECT_2: die zu akzeptierenden Projekte. consumerAcceptList ist optional und kann ein oder mehrere Projekte enthalten.

    • LIMIT_1 und LIMIT_2: die Verbindungslimits für die Projekte. Das Verbindungslimit gibt die Anzahl der Private Service Connect-Endpunkte an, die eine Verbindung zu diesem Dienst herstellen können. Für jedes akzeptierte Projekt muss ein Verbindungslimit konfiguriert sein.

  • Ändern Sie die Verbindungseinstellung für den Dienstanhang von ACCEPT_MANUAL in ACCEPT_AUTOMATIC.

    Wenn die Felder consumerAcceptLists oder consumerRejectLists Projekte enthalten, legen Sie diese als leer fest, wenn Sie die Verbindungseinstellung in ACCEPT_AUTOMATIC ändern.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

    {
  ...
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "consumerAcceptLists": [ ],
  "consumerRejectLists": [ ],
  ...
}

    Dabei gilt:

    • PROJECT_ID: das Projekt für den Dienstanhang.

    • REGION: die Region für den Dienstanhang.

    • ATTACHMENT_NAME: der Name des Dienstanhangs.

Subnetze zu einem veröffentlichten Dienst hinzufügen oder daraus entfernen

Sie können einen veröffentlichten Dienst bearbeiten, um Private Service Connect-Subnetze zur Konfiguration hinzuzufügen oder daraus zu entfernen.

Möglicherweise müssen Sie mehr IP-Adressen für einen vorhandenen Dienst verfügbar machen. Führen Sie einen der folgenden Schritte aus, um weitere Adressen hinzuzufügen:

Wenn Sie ein Private Service Connect-Subnetz aus einem veröffentlichten Dienst entfernen, werden die IP-Adressen im Subnetz nicht freigegeben. Die IP-Adressen werden nur freigegeben, wenn die Private Service Connect-Endpunkte des Nutzers gelöscht werden oder die Client-VMs, die auf die Private Service Connect-Endpunkte zugreifen, gelöscht werden.

Wenn Sie die Subnetzkonfiguration ändern, aktualisieren Sie Ihre Firewallregeln so, dass Anfragen von den neuen Subnetzen die Back-End-VMs erreichen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Veröffentlichte Dienste.

  3. Klicken Sie auf den Dienst, den Sie aktualisieren möchten, und dann auf Bearbeiten.

  4. Ändern Sie die für diesen Dienst verwendeten Subnetze.

    Wenn Sie ein neues Subnetz hinzufügen möchten, können Sie eines erstellen:

    1. Klicken Sie auf Neues Subnetz reservieren.
    2. Geben Sie einen Namen und optional eine Beschreibung für das Subnetz ein.
    3. Wählen Sie eine Region für das Subnetz aus.
    4. Geben Sie den IP-Bereich ein, der für das Subnetz verwendet werden soll, und klicken Sie auf Hinzufügen.

  5. Klicken Sie auf Speichern.

gcloud

Aktualisieren Sie die für diesen Dienstanhang verwendeten Private Service Connect-Subnetze.

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --nat-subnets=PSC_SUBNET_LIST

Dabei gilt:

  • ATTACHMENT_NAME: der Name des Dienstanhangs.

  • REGION: die Region, in der sich der Dienstanhang befindet.

  • PSC_SUBNET_LIST: eine durch Kommas getrennte Liste mit einem oder mehreren Subnetzen, die mit diesem Dienstanhang verwendet werden sollen.

API

Aktualisieren Sie die für diesen Dienstanhang verwendeten Private Service Connect-Subnetze.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

{
  ...
  "natSubnets": [
    "PSC_SUBNET1_URI",
    "PSC_SUBNET2_URI",
  ],
  ...
}

Dabei gilt:

  • PROJECT_ID: das Projekt für den Dienstanhang.

  • REGION: die Region für den Dienstanhang.

  • ATTACHMENT_NAME: der Name, der dem Dienstanhang zugewiesen werden soll.

  • PSC_SUBNET1_URI und PSC_SUBNET2_URI: URI der Subnetze, die Sie mit diesem Dienstanhang verwenden möchten. Sie können eine oder mehrere Subnetze angeben.