Veröffentlichte Dienste verwalten
Auf dieser Seite wird beschrieben, wie Sie Anfragen für den Zugriff auf einen veröffentlichten Dienst verwalten und die Verbindungseinstellung für einen veröffentlichten Dienst ändern.
Wenn Sie einen Dienst veröffentlichen, können Sie steuern, welche Nutzer eine Verbindung zu diesem Dienst herstellen können. Konfigurieren Sie dazu die Verbindungseinstellung für den Dienst. Die Verbindungseinstellung kann eine der folgenden sein:
Verbindungen für alle Projekte (
ACCEPT_AUTOMATIC
) automatisch akzeptieren: Jeder Nutzer kann eine Verbindung zum Dienst herstellen.Verbindungen für ausgewählte Projekte akzeptieren (
ACCEPT_MANUAL
): Sie können festlegen, welche Nutzer eine Verbindung zum Dienst herstellen können.
Weitere Informationen zum Veröffentlichen eines Dienstes finden Sie unter Verwaltete Dienste mit Private Service Connect veröffentlichen.
Rollen
Die folgende IAM-Rolle bietet die Berechtigungen, die zum Ausführen der Aufgaben in dieser Anleitung erforderlich sind.
- Compute-Netzwerkadministrator
(
roles/compute.networkAdmin
)
Anfragen für den Zugriff auf einen veröffentlichten Dienst verwalten
Wenn Sie einen Dienst mit expliziter Projektgenehmigung veröffentlicht haben, können Sie Verbindungsanfragen von Nutzerprojekten annehmen oder ablehnen.
Wenn Sie ein Projekt sowohl in die Zulassungsliste als auch auf die Ablehnungsliste setzen, werden Verbindungsanfragen von diesem Projekt abgelehnt.
Nachdem eine Nutzer-Endpunktverbindung für einen Dienst akzeptiert wurde, kann der Endpunkt eine Verbindung zum Dienst herstellen, bis der Dienstanhang gelöscht wird. Dies gilt unabhängig davon, ob das Projekt explizit akzeptiert wurde oder weil der Nutzerendpunkt eine Verbindung hergestellt hat, als die Verbindungseinstellung so eingestellt war, dass sie Verbindungen automatisch akzeptiert.
Wenn Sie ein Projekt aus der Zulassungsliste entfernen, können alle zuvor akzeptierten Nutzerendpunkte in diesem Projekt eine Verbindung zum Dienst herstellen. Verbindungen von neuen Nutzerendpunkten in diesem Projekt müssen akzeptiert werden, bevor der Endpunkt eine Verbindung herstellen kann.
Wenn Sie der Ablehnungsliste ein Projekt hinzufügen, können alle zuvor akzeptierten Nutzerendpunkte in diesem Projekt eine Verbindung zum Dienst herstellen. Verbindungen von neuen Nutzerendpunkten in diesem Projekt werden abgelehnt und können keine Verbindung zum Dienst herstellen.
Console
Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.
Klicken Sie auf den Tab Veröffentlichte Dienste.
Klicken Sie auf den Dienst, den Sie verwalten möchten.
Im Abschnitt Verbundene Projekte werden die Projekte aufgelistet, die versucht haben, eine Verbindung zu diesem Dienst herzustellen. Klicken Sie auf das Kästchen neben einem oder mehreren Projekten und dann auf Annehmen oder Ablehnen.
gcloud
Beschreiben Sie den Dienstanhang, den Sie ändern möchten.
gcloud compute service-attachments describe \ ATTACHMENT_NAME --region=REGION
Die Ausgabe sieht etwa so aus wie im folgenden Beispiel. Wenn ausstehende Nutzerverbindungen vorhanden sind, werden diese mit dem Status
PENDING
aufgeführt.In dieser Beispielausgabe befindet sich das Projekt
CONSUMER_PROJECT_1
in der Liste der Annahmen, sodassENDPOINT_1
akzeptiert wird und eine Verbindung zum Dienst herstellen kann. Das ProjektCONSUMER_PROJECT_2
ist nicht in der Liste der Annahmen enthalten, sodassENDPOINT_2
aussteht. NachdemCONSUMER_PROJECT_2
der Akzeptanzliste hinzugefügt wurde, ändert sich der Status vonENDPOINT_2
inACCEPTED
und der Endpunkt kann eine Verbindung zum Dienst herstellen.connectedEndpoints: - endpoint: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_1/regions/REGION_1/forwardingRules/ENDPOINT_1 pscConnectionId: 'ENDPOINT_1_ID' status: ACCEPTED - endpoint: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/ENDPOINT_2 pscConnectionId: 'ENDPOINT_2_ID' status: PENDING connectionPreference: ACCEPT_MANUAL consumerAcceptLists: - connectionLimit: LIMIT_1 projectIdOrNum: CONSUMER_PROJECT_1 creationTimestamp: 'TIMESTAMP' description: 'DESCRIPTION' enableProxyProtocol: false fingerprint: FINGERPRINT id: 'ID' kind: compute#serviceAttachment name: NAME natSubnets: - https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/subnetworks/PSC_SUBNET pscServiceAttachmentId: high: 'PSC_ATTACH_ID_HIGH' low: 'PSC_ATTACH_ID_LOW' region: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION selfLink: https://www.googleapis.com/compute/v1/projects/projects/PRODUCER_PROJECT/regions/REGION/serviceAttachments/ATTACHMENT_NAME targetService: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/forwardingRules/PRODUCER_FWD_RULE
Nehmen Sie Nutzerprojekte an oder lehnen Sie sie ab.
Sie können
--consumer-accept-list
oder--consumer-reject-list
oder beides angeben. Sie können mehrere Werte in--consumer-accept-list
und--consumer-reject-list
angeben.gcloud compute service-attachments update ATTACHMENT_NAME \ --region=REGION \ --consumer-accept-list=ACCEPTED_PROJECT_1=LIMIT_1,ACCEPTED_PROJECT_2=LIMIT_2 \ --consumer-reject-list=REJECTED_PROJECT_1,REJECTED_PROJECT_2
Dabei gilt:
ATTACHMENT_NAME
: der Name, der dem Dienstanhang zugewiesen werden soll.REGION
: die Region, in der sich der Dienstanhang befindet.ACCEPTED_PROJECT_1
undACCEPTED_PROJECT_2
: die zu akzeptierenden Projekte.consumerAcceptList
ist optional und kann ein oder mehrere Projekte enthalten.LIMIT_1
undLIMIT_2
: die Verbindungslimits für die Projekte. Das Verbindungslimit gibt die Anzahl der Private Service Connect-Endpunkte an, die eine Verbindung zu diesem Dienst herstellen können. Für jedes akzeptierte Projekt muss ein Verbindungslimit konfiguriert sein.REJECTED_PROJECT_1
undREJECTED_PROJECT_2
: die Projekte, die abgelehnt werden sollen.--consumer-reject-list
ist optional und kann ein oder mehrere Projekte enthalten.
API
Beschreiben Sie den Dienstanhang, den Sie ändern möchten.
Wenn ausstehende Nutzerverbindungen vorhanden sind, werden diese mit dem Status
PENDING
aufgeführt.GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
Nehmen Sie die Nutzerprojekte an oder lehnen Sie sie ab.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
{ ... "consumerAcceptLists": [ { "projectIdOrNum": "ACCEPTED_PROJECT_1" "connectionLimit": "LIMIT_1", }, { "projectIdOrNum": "ACCEPTED_PROJECT_2" "connectionLimit": "LIMIT_2", } ], "consumerRejectLists": [ "REJECTED_PROJECT_1", "REJECTED_PROJECT_2", ], ... }
Dabei gilt:
PROJECT_ID
: das Projekt für den Dienstanhang.REGION
: die Region für den Dienstanhang.ATTACHMENT_NAME
: der Name, der dem Dienstanhang zugewiesen werden soll.REJECTED_PROJECT_1
undREJECTED_PROJECT_2
: die Projekte, die abgelehnt werden sollen.consumerRejectList
ist optional und kann ein oder mehrere Projekte enthalten.ACCEPTED_PROJECT_1
undACCEPTED_PROJECT_2
: die zu akzeptierenden Projekte.consumerAcceptList
ist optional und kann ein oder mehrere Projekte enthalten.LIMIT_1
undLIMIT_2
: die Verbindungslimits für die Projekte. Das Verbindungslimit gibt die Anzahl der Private Service Connect-Endpunkte an, die eine Verbindung zu diesem Dienst herstellen können. Für jedes akzeptierte Projekt muss ein Verbindungslimit konfiguriert sein.
Verbindungseinstellung für einen veröffentlichten Dienst ändern
Sie können zwischen der automatischen und der expliziten Projektzulassung für einen veröffentlichten Dienst wechseln.
Eine Änderung von der automatischen Zulassung zur expliziten Zulassung wirkt sich nicht auf Nutzerendpunkte aus, die vor dieser Änderung mit dem Dienst verbunden wurden. Vorhandene Nutzerendpunkte können bis zum Löschen des Dienstanhangs eine Verbindung zum veröffentlichten Dienst herstellen. Neue Nutzerendpunkte müssen akzeptiert werden, bevor sie eine Verbindung zum Dienst herstellen können. Weitere Informationen finden Sie unter Anfragen für den Zugriff auf einen veröffentlichten Dienst verwalten.
Console
Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.
Klicken Sie auf den Tab Veröffentlichte Dienste.
Klicken Sie auf den Dienst, den Sie aktualisieren möchten, und dann auf Bearbeiten.
Wählen Sie die gewünschte Verbindungseinstellung aus:
- Verbindungen für ausgewählte Projekte akzeptieren
- Verbindungen für alle Projekte automatisch akzeptieren
Wenn Sie zu Verbindungen für ausgewählte Projekte akzeptieren wechseln, können Sie Details zu den Projekten, die Sie zulassen möchten, angeben oder später hinzufügen.
- Klicken Sie auf Akzeptiertes Projekt hinzufügen.
- Geben Sie das Projekt und das Verbindungslimit ein.
Klicken Sie auf Speichern.
gcloud
Ändern Sie die Verbindungseinstellung für den Dienstanhang von
ACCEPT_AUTOMATIC
inACCEPT_MANUAL
.Mit
--consumer-accept-list
und--consumer-reject-list
steuern Sie, welche Projekte sich mit Ihrem Dienst verbinden können. Sie können die Listen zum Zulassen und Ablehnen beim Ändern der Verbindungseinstellung konfigurieren oder die Listen später aktualisieren.gcloud compute service-attachments update ATTACHMENT_NAME \ --region=REGION \ --connection-preference=ACCEPT_MANUAL \ [ --consumer-accept-list=ACCEPTED_PROJECT_1=LIMIT_1,ACCEPTED_PROJECT_2=LIMIT_2] \ [ --consumer-reject-list=REJECTED_PROJECT_1,REJECTED_PROJECT_2 ]
Dabei gilt:
ATTACHMENT_NAME
: der Name des Dienstanhangs.REGION
: die Region, in der sich der Dienstanhang befindet.ACCEPTED_PROJECT_1
undACCEPTED_PROJECT_2
: die zu akzeptierenden Projekte.--consumer-accept-list
ist optional und kann ein oder mehrere Projekte enthalten.LIMIT_1
undLIMIT_2
: die Verbindungslimits für die Projekte. Das Verbindungslimit gibt die Anzahl der Private Service Connect-Endpunkte an, die eine Verbindung zu diesem Dienst herstellen können. Für jedes akzeptierte Projekt muss ein Verbindungslimit konfiguriert sein.REJECTED_PROJECT_1
undREJECTED_PROJECT_2
: die Projekte, die abgelehnt werden sollen.--consumer-reject-list
ist optional und kann ein oder mehrere Projekte enthalten.
Ändern Sie die Verbindungseinstellung für den Dienstanhang von
ACCEPT_MANUAL
inACCEPT_AUTOMATIC
.Wenn Sie Werte in der Zulassungs- oder Ablehnungsliste haben, legen Sie diese als leer fest, wenn Sie die Verbindungseinstellung ändern (
""
).gcloud compute service-attachments update ATTACHMENT_NAME \ --region=REGION \ --connection-preference=ACCEPT_AUTOMATIC \ --consumer-accept-list="" \ --consumer-reject-list=""
Dabei gilt:
ATTACHMENT_NAME
: der Name des Dienstanhangs.REGION
: die Region, in der sich der Dienstanhang befindet.
API
Ändern Sie die Verbindungseinstellung für den Dienstanhang von
ACCEPT_AUTOMATIC
inACCEPT_MANUAL
.PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
{ ... "connectionPreference": "ACCEPT_MANUAL", "consumerAcceptLists": [ { "projectIdOrNum": "ACCEPTED_PROJECT_1" "connectionLimit": "LIMIT_1", }, { "projectIdOrNum": "ACCEPTED_PROJECT_2" "connectionLimit": "LIMIT_2", } ], "consumerRejectLists": [ "REJECTED_PROJECT_1", "REJECTED_PROJECT_2", ], ... }
Dabei gilt:
PROJECT_ID
: das Projekt für den Dienstanhang.REGION
: die Region für den Dienstanhang.ATTACHMENT_NAME
: der Name, der dem Dienstanhang zugewiesen werden soll.REJECTED_PROJECT_1
undREJECTED_PROJECT_2
: die Projekte, die abgelehnt werden sollen.consumerRejectList
ist optional und kann ein oder mehrere Projekte enthalten.ACCEPTED_PROJECT_1
undACCEPTED_PROJECT_2
: die zu akzeptierenden Projekte.consumerAcceptList
ist optional und kann ein oder mehrere Projekte enthalten.LIMIT_1
undLIMIT_2
: die Verbindungslimits für die Projekte. Das Verbindungslimit gibt die Anzahl der Private Service Connect-Endpunkte an, die eine Verbindung zu diesem Dienst herstellen können. Für jedes akzeptierte Projekt muss ein Verbindungslimit konfiguriert sein.
Ändern Sie die Verbindungseinstellung für den Dienstanhang von
ACCEPT_MANUAL
inACCEPT_AUTOMATIC
.Wenn die Felder
consumerAcceptLists
oderconsumerRejectLists
Projekte enthalten, legen Sie diese als leer fest, wenn Sie die Verbindungseinstellung inACCEPT_AUTOMATIC
ändern.PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
{ ... "connectionPreference": "ACCEPT_AUTOMATIC", "consumerAcceptLists": [ ], "consumerRejectLists": [ ], ... }
Dabei gilt:
PROJECT_ID
: das Projekt für den Dienstanhang.REGION
: die Region für den Dienstanhang.ATTACHMENT_NAME
: der Name des Dienstanhangs.
Subnetze zu einem veröffentlichten Dienst hinzufügen oder daraus entfernen
Sie können einen veröffentlichten Dienst bearbeiten, um Private Service Connect-Subnetze zur Konfiguration hinzuzufügen oder daraus zu entfernen.
Möglicherweise müssen Sie mehr IP-Adressen für einen vorhandenen Dienst verfügbar machen. Führen Sie einen der folgenden Schritte aus, um weitere Adressen hinzuzufügen:
Erstellen Sie ein weiteres Private Service Connect-Subnetz und bearbeiten Sie den Dienstanhang, um das neue Subnetz hinzuzufügen.
Bearbeiten Sie das Subnetz, um den IPv4-Bereich zu erweitern.
Wenn Sie ein Private Service Connect-Subnetz aus einem veröffentlichten Dienst entfernen, werden die IP-Adressen im Subnetz nicht freigegeben. Die IP-Adressen werden nur freigegeben, wenn die Private Service Connect-Endpunkte des Nutzers gelöscht werden oder die Client-VMs, die auf die Private Service Connect-Endpunkte zugreifen, gelöscht werden.
Wenn Sie die Subnetzkonfiguration ändern, aktualisieren Sie Ihre Firewallregeln so, dass Anfragen von den neuen Subnetzen die Back-End-VMs erreichen.
Console
Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.
Klicken Sie auf den Tab Veröffentlichte Dienste.
Klicken Sie auf den Dienst, den Sie aktualisieren möchten, und dann auf Bearbeiten.
Ändern Sie die für diesen Dienst verwendeten Subnetze.
Wenn Sie ein neues Subnetz hinzufügen möchten, können Sie eines erstellen:
- Klicken Sie auf Neues Subnetz reservieren.
- Geben Sie einen Namen und optional eine Beschreibung für das Subnetz ein.
- Wählen Sie eine Region für das Subnetz aus.
- Geben Sie den IP-Bereich ein, der für das Subnetz verwendet werden soll, und klicken Sie auf Hinzufügen.
Klicken Sie auf Speichern.
gcloud
Aktualisieren Sie die für diesen Dienstanhang verwendeten Private Service Connect-Subnetze.
gcloud compute service-attachments update ATTACHMENT_NAME \ --region=REGION \ --nat-subnets=PSC_SUBNET_LIST
Dabei gilt:
ATTACHMENT_NAME
: der Name des Dienstanhangs.REGION
: die Region, in der sich der Dienstanhang befindet.PSC_SUBNET_LIST
: eine durch Kommas getrennte Liste mit einem oder mehreren Subnetzen, die mit diesem Dienstanhang verwendet werden sollen.
API
Aktualisieren Sie die für diesen Dienstanhang verwendeten Private Service Connect-Subnetze.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
{
...
"natSubnets": [
"PSC_SUBNET1_URI",
"PSC_SUBNET2_URI",
],
...
}
Dabei gilt:
PROJECT_ID
: das Projekt für den Dienstanhang.REGION
: die Region für den Dienstanhang.ATTACHMENT_NAME
: der Name, der dem Dienstanhang zugewiesen werden soll.PSC_SUBNET1_URI
undPSC_SUBNET2_URI
: URI der Subnetze, die Sie mit diesem Dienstanhang verwenden möchten. Sie können eine oder mehrere Subnetze angeben.