Administra los servicios publicados

En esta página, se describe cómo administrar las solicitudes de acceso a un servicio publicado y cómo cambiar la preferencia de conexión de un servicio publicado.

Cuando publicas un servicio, puedes controlar qué consumidores pueden conectarse a él si configuras la preferencia de conexión para el servicio. La preferencia de conexión puede ser una de las siguientes opciones:

Aceptar conexiones de forma automática en todos los proyectos (ACCEPT_AUTOMATIC): cualquier consumidor puede conectarse al servicio.
Aceptar conexiones para los proyectos seleccionados (ACCEPT_MANUAL): tú controlas qué consumidores pueden conectarse al servicio.

Para obtener más información sobre la publicación de un servicio, consulta Publica servicios administrados mediante Private Service Connect.

Roles

La siguiente función de IAM proporciona los permisos necesarios para realizar las tareas de esta guía.

Administrador de red de Compute (roles/compute.networkAdmin)

Administra solicitudes para acceder a un servicio publicado

Si publicaste un servicio con aprobación explícita del proyecto, puedes aceptar o rechazar solicitudes de conexión de proyectos de consumidor.

Si agregas un proyecto a la lista de aceptación y a la de denegación, se rechazan las solicitudes de conexión de ese proyecto.

Después de que se acepta una conexión de extremo del consumidor para un servicio, el extremo puede conectarse al servicio hasta que se borra el adjunto de servicio. Esto se aplica sin importar si el proyecto se aceptó de forma explícita o si el extremo del consumidor se conectó cuando se configuró la preferencia de conexión para aceptar conexiones de forma automática.

Si quitas un proyecto de la lista de aceptación, cualquier extremo de consumidor aceptado previamente en ese proyecto puede conectarse al servicio. Se deben aceptar las conexiones de los extremos de consumidor nuevos en ese proyecto antes de que se pueda conectar el extremo.
Si agregas un proyecto a la lista de rechazo, cualquier extremo de consumidor aceptado previamente en ese proyecto puede conectarse al servicio. Se rechazan las conexiones desde los extremos de consumidor nuevos en ese proyecto.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.serviceAttachments.update

Funciones

Consulta Roles para obtener información sobre las funciones.

Console

En la consola de Google Cloud, ve a la página Private Service Connect.

Ir a Private Service Connect
Haz clic en la pestaña Servicios publicados.
Haz clic en el servicio que deseas gestionar.
En la sección Proyectos conectados, encontrarás los proyectos que intentaron conectarse a este servicio. Marca la casilla de verificación junto a uno o más proyectos y haz clic en Aceptar o Rechazar.

gcloud

Describe el adjunto de servicio que deseas modificar.

gcloud compute service-attachments describe \
    ATTACHMENT_NAME --region=REGION

El resultado es similar al siguiente ejemplo. Si hay conexiones de consumidores pendientes, se enumeran con el estado PENDING.

En este resultado de ejemplo, el proyecto CONSUMER_PROJECT_1 está en la lista de aceptación, por lo que se acepta ENDPOINT_1 y se puede conectar al servicio. El proyecto CONSUMER_PROJECT_2 no está en la lista de aceptación, por lo que ENDPOINT_2 está pendiente. Después de agregar CONSUMER_PROJECT_2 a la lista de aceptación, el estado de ENDPOINT_2 cambia a ACCEPTED, y el extremo puede conectarse al servicio.

connectedEndpoints:
- endpoint: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_1/regions/REGION_1/forwardingRules/ENDPOINT_1
  pscConnectionId: 'ENDPOINT_1_ID'
  status: ACCEPTED
- endpoint: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/ENDPOINT_2
  pscConnectionId: 'ENDPOINT_2_ID'
  status: PENDING
connectionPreference: ACCEPT_MANUAL
consumerAcceptLists:
- connectionLimit: LIMIT_1
  projectIdOrNum: CONSUMER_PROJECT_1
creationTimestamp: 'TIMESTAMP'
description: 'DESCRIPTION'
enableProxyProtocol: false
fingerprint: FINGERPRINT
id: 'ID'
kind: compute#serviceAttachment
name: NAME
natSubnets:
- https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/subnetworks/PSC_SUBNET
pscServiceAttachmentId:
  high: 'PSC_ATTACH_ID_HIGH'
  low: 'PSC_ATTACH_ID_LOW'
region: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION
selfLink: https://www.googleapis.com/compute/v1/projects/projects/PRODUCER_PROJECT/regions/REGION/serviceAttachments/ATTACHMENT_NAME
targetService: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/forwardingRules/PRODUCER_FWD_RULE

Acepta o rechaza proyectos de consumidor.

Puedes especificar --consumer-accept-list o --consumer-reject-list, o ambos. Puedes especificar varios valores en --consumer-accept-list y --consumer-reject-list.
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --consumer-accept-list=ACCEPTED_PROJECT_1=LIMIT_1,ACCEPTED_PROJECT_2=LIMIT_2 \
    --consumer-reject-list=REJECTED_PROJECT_1,REJECTED_PROJECT_2
```
Reemplaza lo siguiente:
- ATTACHMENT_NAME: Es el nombre que se asignará al adjunto de servicio.
- REGION: Es la región en la que se encuentra el adjunto de servicio.
- ACCEPTED_PROJECT_1 y ACCEPTED_PROJECT_2: Los proyectos que se aceptarán. consumerAcceptList es opcional y puede contener uno o más proyectos.
- LIMIT_1 y LIMIT_2: Son los límites de conexión de los proyectos. El límite de conexiones es la cantidad de extremos de consumidor Private Service Connect que se pueden conectar a este servicio. Cada proyecto aceptado debe tener configurado un límite de conexiones.
- REJECTED_PROJECT_1 y REJECTED_PROJECT_2: Son los proyectos que se rechazarán. --consumer-reject-list es opcional y puede contener uno o más proyectos.

API

Describe el adjunto de servicio que deseas modificar.

Si hay conexiones de consumidores pendientes, se enumeran con el estado PENDING.
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
Acepta o rechaza los proyectos de consumidor.
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
```
{
  ...
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1"
      "connectionLimit": "LIMIT_1",
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2"
      "connectionLimit": "LIMIT_2",
    }
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2",
  ],
  ...
}
```
Reemplaza lo siguiente:
- PROJECT_ID: Es el proyecto del adjunto de servicio.
- REGION: Es la región del adjunto del servicio.
- ATTACHMENT_NAME: Es el nombre que se asignará al adjunto de servicio.
- REJECTED_PROJECT_1 y REJECTED_PROJECT_2: Son los proyectos que se rechazarán. consumerRejectList es opcional y puede contener uno o más proyectos.
- ACCEPTED_PROJECT_1 y ACCEPTED_PROJECT_2: Los proyectos que se aceptarán. consumerAcceptList es opcional y puede contener uno o más proyectos.
- LIMIT_1 y LIMIT_2: Son los límites de conexión de los proyectos. El límite de conexiones es la cantidad de extremos de consumidor Private Service Connect que se pueden conectar a este servicio. Cada proyecto aceptado debe tener configurado un límite de conexiones.

Cambia la preferencia de conexión de un servicio publicado

Puedes cambiar entre la aceptación automática y explícita del proyecto para un servicio publicado.

El cambio de la aceptación automática a la aceptación explícita no afecta los extremos de consumidor que se conectaron al servicio antes de este cambio. Los extremos de consumidor existentes se pueden conectar al servicio publicado hasta que se borre el adjunto de servicio. Se deben aceptar los extremos de consumidor nuevos para que puedan conectarse al servicio. Consulta Administra solicitudes de acceso a un servicio publicado para obtener más información.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.serviceAttachments.update

Funciones

Consulta Roles para obtener información sobre las funciones.

Console

En la consola de Google Cloud, ve a la página Private Service Connect.

Ir a Private Service Connect
Haz clic en la pestaña Servicios publicados.
Haz clic en el servicio que deseas actualizar y, luego, en Editar.
Selecciona la preferencia de conexión que quieras:
- Aceptar conexiones para los proyectos seleccionados
- Aceptar conexiones de forma automática para todos los proyectos
Si cambias a Aceptar conexiones para los proyectos seleccionados, puedes proporcionar los detalles de los proyectos que deseas permitir o agregarlos más adelante.
1. Haz clic en Agregar proyecto aceptado.
2. Ingresa el Proyecto y el Límite de conexión.
Haz clic en Guardar.

gcloud

Cambia la preferencia de conexión del adjunto de servicio de ACCEPT_AUTOMATIC a ACCEPT_MANUAL.

Puedes controlar qué proyectos pueden conectarse a tu servicio mediante --consumer-accept-list y --consumer-reject-list. Puedes configurar las listas de aceptación y rechazo cuando cambias la preferencia de conexión, o actualizar las listas más tarde.
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_MANUAL \
    [ --consumer-accept-list=ACCEPTED_PROJECT_1=LIMIT_1,ACCEPTED_PROJECT_2=LIMIT_2] \
    [ --consumer-reject-list=REJECTED_PROJECT_1,REJECTED_PROJECT_2 ]
```
Reemplaza lo siguiente:
- ATTACHMENT_NAME: Es el nombre del adjunto de servicio.
- REGION: Es la región en la que se encuentra el adjunto de servicio.
- ACCEPTED_PROJECT_1 y ACCEPTED_PROJECT_2: Los proyectos que se aceptarán. --consumer-accept-list es opcional y puede contener uno o más proyectos.
- LIMIT_1 y LIMIT_2: Son los límites de conexión de los proyectos. El límite de conexiones es la cantidad de extremos de consumidor Private Service Connect que se pueden conectar a este servicio. Cada proyecto aceptado debe tener configurado un límite de conexiones.
- REJECTED_PROJECT_1 y REJECTED_PROJECT_2: Son los proyectos que se rechazarán. --consumer-reject-list es opcional y puede contener uno o más proyectos.
Cambia la preferencia de conexión del adjunto de servicio de ACCEPT_MANUAL a ACCEPT_AUTOMATIC.

Si tienes valores en la lista de aceptación o rechazo, configúralos como vacíos cuando cambies la preferencia de conexión ("").
```
gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --connection-preference=ACCEPT_AUTOMATIC \
    --consumer-accept-list="" \
    --consumer-reject-list=""
```
Reemplaza lo siguiente:
- ATTACHMENT_NAME: Es el nombre del adjunto de servicio.
- REGION: Es la región en la que se encuentra el adjunto de servicio.

API

Cambia la preferencia de conexión del adjunto de servicio de ACCEPT_AUTOMATIC a ACCEPT_MANUAL.
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
```
{
  ...
  "connectionPreference": "ACCEPT_MANUAL",
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1"
      "connectionLimit": "LIMIT_1",
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2"
      "connectionLimit": "LIMIT_2",
    }
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2",
  ],
  ...
}
```
Reemplaza lo siguiente:
- PROJECT_ID: Es el proyecto del adjunto de servicio.
- REGION: Es la región del adjunto del servicio.
- ATTACHMENT_NAME: Es el nombre que se asignará al adjunto de servicio.
- REJECTED_PROJECT_1 y REJECTED_PROJECT_2: Son los proyectos que se rechazarán. consumerRejectList es opcional y puede contener uno o más proyectos.
- ACCEPTED_PROJECT_1 y ACCEPTED_PROJECT_2: Los proyectos que se aceptarán. consumerAcceptList es opcional y puede contener uno o más proyectos.
- LIMIT_1 y LIMIT_2: Son los límites de conexión de los proyectos. El límite de conexiones es la cantidad de extremos de consumidor Private Service Connect que se pueden conectar a este servicio. Cada proyecto aceptado debe tener configurado un límite de conexiones.
Cambia la preferencia de conexión del adjunto de servicio de ACCEPT_MANUAL a ACCEPT_AUTOMATIC.

Si los campos consumerAcceptLists o consumerRejectLists especifican algún proyecto, configúralos como vacíos cuando cambies la preferencia de conexión a ACCEPT_AUTOMATIC.
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
```
```
{
  ...
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "consumerAcceptLists": [ ],
  "consumerRejectLists": [ ],
  ...
}
```
Reemplaza lo siguiente:
- PROJECT_ID: Es el proyecto del adjunto de servicio.
- REGION: Es la región del adjunto del servicio.
- ATTACHMENT_NAME: Es el nombre del adjunto de servicio.

Agrega o quita subredes de un servicio publicado

Puedes editar un servicio publicado para agregar o quitar subredes de Private Service Connect de la configuración.

Por ejemplo, es posible que debas hacer que más direcciones IP estén disponibles para un servicio existente. Para agregar más direcciones, realiza una de las siguientes acciones:

Crea otra subred de Private Service Connect y edita el adjunto del servicio para agregar la subred nueva.
Edita la subred para expandir el rango IPv4.

Si quitas una subred de Private Service Connect de un servicio publicado, no se liberan las direcciones IP de la subred. Las direcciones IP se liberan solo cuando se borran los extremos del consumidor de Private Service Connect o se borran las VM del cliente que acceden a los extremos de Private Service Connect.

Si cambias la configuración de la subred, actualiza tus reglas de firewall para permitir que las solicitudes de las subredes nuevas lleguen a las VMs de backend.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o una de las siguientes funciones de IAM.

Permisos

compute.serviceAttachments.update

Funciones

Consulta Roles para obtener información sobre las funciones.

Console

En la consola de Google Cloud, ve a la página Private Service Connect.

Ir a Private Service Connect
Haz clic en la pestaña Servicios publicados.
Haz clic en el servicio que deseas actualizar y, luego, en Editar.
Modifica las subredes que se usan para este servicio.

Si deseas agregar una subred nueva, puedes crear una:
1. Haz clic en Reservar subred nueva.
2. Ingresa un Nombre y una Descripción opcional para la subred.
3. Selecciona una Región para la subred.
4. Ingresa el Rango de IP que se usará en la subred y haz clic en Agregar.
Haz clic en Guardar.

gcloud

Actualiza las subredes de Private Service Connect que se usan para este adjunto de servicio.

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --nat-subnets=PSC_SUBNET_LIST

Reemplaza lo siguiente:

ATTACHMENT_NAME: Es el nombre del adjunto de servicio.
REGION: Es la región en la que se encuentra el adjunto de servicio.
PSC_SUBNET_LIST: Una lista separada por comas de una o más subredes que se usarán con este adjunto de servicio.

API

Actualiza las subredes de Private Service Connect que se usan para este adjunto de servicio.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

{
  ...
  "natSubnets": [
    "PSC_SUBNET1_URI",
    "PSC_SUBNET2_URI",
  ],
  ...
}

Reemplaza lo siguiente:

PROJECT_ID: Es el proyecto del adjunto de servicio.
REGION: Es la región del adjunto del servicio.
ATTACHMENT_NAME: Es el nombre que se asignará al adjunto de servicio.
PSC_SUBNET1_URI y PSC_SUBNET2_URI: Son los URI de las subredes que deseas usar con este adjunto de servicio. Puedes especificar una subred o más.