Gestire i servizi pubblicati
In questa pagina viene descritto come gestire le richieste di accesso a un servizio pubblicato e come modificare la preferenza di connessione per un servizio pubblicato.
Quando pubblichi un servizio, puoi controllare quali consumer possono connettersi al servizio configurando le relative preferenze di connessione. La preferenza di connessione può essere una delle seguenti:
Accettare automaticamente connessioni per tutti i progetti (
ACCEPT_AUTOMATIC
): qualsiasi consumer può connettersi al servizio.Accettare connessioni per progetti selezionati (
ACCEPT_MANUAL
): puoi controllare quali consumatori possono connettersi al servizio.
Per ulteriori informazioni sulla pubblicazione di un servizio, consulta Pubblicare servizi gestiti mediante Private Service Connect.
Ruoli
Il seguente ruolo IAM fornisce le autorizzazioni necessarie per eseguire le attività di questa guida.
- Amministratore rete Compute
(
roles/compute.networkAdmin
)
Gestire le richieste di accesso a un servizio pubblicato
Se hai pubblicato un servizio con approvazione esplicita dei progetti, puoi accettare o rifiutare le richieste di connessione dai progetti consumer.
Se aggiungi un progetto sia all'elenco di accettazione che a quello di negazione, le richieste di connessione di quel progetto vengono rifiutate.
Una volta accettato un collegamento per l'endpoint consumer per un servizio, l'endpoint può connettersi al servizio fino a quando il collegamento al servizio non viene eliminato. Questo si applica se il progetto è stato accettato in modo esplicito o perché l'endpoint consumer collegato quando la preferenza di connessione è stata impostata in modo da accettare automaticamente le connessioni.
Se rimuovi un progetto dall'elenco di accettazione, tutti gli endpoint consumer accettati in precedenza in quel progetto possono connettersi al servizio. Le connessioni dai nuovi endpoint consumer in quel progetto devono essere accettate prima che l'endpoint possa connettersi.
Se aggiungi un progetto all'elenco dei rifiuti, qualsiasi endpoint consumer accettato in precedenza in quel progetto può connettersi al servizio. Le connessioni dai nuovi endpoint consumer in quel progetto vengono rifiutate dalla connessione al servizio.
Console
Nella console Google Cloud, vai alla pagina Private Service Connect.
Fai clic sulla scheda Servizi pubblicati.
Fai clic sul servizio che vuoi gestire.
Nella sezione Progetti connessi sono elencati i progetti che hanno tentato di connettersi a questo servizio. Seleziona la casella di controllo accanto a uno o più progetti e fai clic su Accetta o Rifiuta.
gcloud
Descrivi l'allegato di servizio che vuoi modificare.
gcloud compute service-attachments describe \ ATTACHMENT_NAME --region=REGION
L'output è simile all'esempio seguente. Eventuali connessioni in attesa per i consumatori sono elencate con stato
PENDING
.In questo output di esempio, il progetto
CONSUMER_PROJECT_1
è nell'elenco di accettazione, quindiENDPOINT_1
è accettato e può connettersi al servizio. Il progettoCONSUMER_PROJECT_2
non è nell'elenco di accettazione, quindiENDPOINT_2
è in attesa. Dopo l'aggiunta diCONSUMER_PROJECT_2
all'elenco di accettazione, lo stato diENDPOINT_2
diventaACCEPTED
e l'endpoint può connettersi al servizio.connectedEndpoints: - endpoint: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_1/regions/REGION_1/forwardingRules/ENDPOINT_1 pscConnectionId: 'ENDPOINT_1_ID' status: ACCEPTED - endpoint: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/ENDPOINT_2 pscConnectionId: 'ENDPOINT_2_ID' status: PENDING connectionPreference: ACCEPT_MANUAL consumerAcceptLists: - connectionLimit: LIMIT_1 projectIdOrNum: CONSUMER_PROJECT_1 creationTimestamp: 'TIMESTAMP' description: 'DESCRIPTION' enableProxyProtocol: false fingerprint: FINGERPRINT id: 'ID' kind: compute#serviceAttachment name: NAME natSubnets: - https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/subnetworks/PSC_SUBNET pscServiceAttachmentId: high: 'PSC_ATTACH_ID_HIGH' low: 'PSC_ATTACH_ID_LOW' region: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION selfLink: https://www.googleapis.com/compute/v1/projects/projects/PRODUCER_PROJECT/regions/REGION/serviceAttachments/ATTACHMENT_NAME targetService: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/forwardingRules/PRODUCER_FWD_RULE
Accettare o rifiutare i progetti consumer.
Puoi specificare
--consumer-accept-list
,--consumer-reject-list
o entrambi. Puoi specificare più valori in--consumer-accept-list
e--consumer-reject-list
.gcloud compute service-attachments update ATTACHMENT_NAME \ --region=REGION \ --consumer-accept-list=ACCEPTED_PROJECT_1=LIMIT_1,ACCEPTED_PROJECT_2=LIMIT_2 \ --consumer-reject-list=REJECTED_PROJECT_1,REJECTED_PROJECT_2
Sostituisci quanto segue:
ATTACHMENT_NAME
: il nome da assegnare al collegamento del servizio.REGION
: la regione in cui si trova il collegamento del servizio.ACCEPTED_PROJECT_1
eACCEPTED_PROJECT_2
: i progetti da accettare.consumerAcceptList
è facoltativo e può contenere uno o più progetti.LIMIT_1
eLIMIT_2
: i limiti di connessioni per i progetti. Il limite di connessioni è il numero di endpoint consumer Private Service Connect che possono connettersi a questo servizio. Per ogni progetto accettato deve essere configurato un limite di connessione.REJECTED_PROJECT_1
eREJECTED_PROJECT_2
: i progetti da rifiutare.--consumer-reject-list
è facoltativo e può contenere uno o più progetti.
API
Descrivi l'allegato di servizio che vuoi modificare.
Se sono presenti connessioni consumer in attesa, vengono elencate con lo stato
PENDING
.GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
Accettare o rifiutare i progetti consumer.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
{ ... "consumerAcceptLists": [ { "projectIdOrNum": "ACCEPTED_PROJECT_1" "connectionLimit": "LIMIT_1", }, { "projectIdOrNum": "ACCEPTED_PROJECT_2" "connectionLimit": "LIMIT_2", } ], "consumerRejectLists": [ "REJECTED_PROJECT_1", "REJECTED_PROJECT_2", ], ... }
Sostituisci quanto segue:
PROJECT_ID
: il progetto per il collegamento del servizio.REGION
: la regione per il collegamento del servizio.ATTACHMENT_NAME
: il nome da assegnare al collegamento del servizio.REJECTED_PROJECT_1
eREJECTED_PROJECT_2
: i progetti da rifiutare.consumerRejectList
è facoltativo e può contenere uno o più progetti.ACCEPTED_PROJECT_1
eACCEPTED_PROJECT_2
: i progetti da accettare.consumerAcceptList
è facoltativo e può contenere uno o più progetti.LIMIT_1
eLIMIT_2
: i limiti di connessione per i progetti. Il limite di connessioni è il numero di endpoint consumer di Private Service Connect che possono connettersi a questo servizio. Per ogni progetto accettato deve essere configurato un limite di connessioni.
Modificare la preferenza di connessione per un servizio pubblicato
Puoi passare dall'accettazione automatica al progetto esplicito per un servizio pubblicato e viceversa.
Il passaggio dall'accettazione automatica all'accettazione esplicita non influisce sugli endpoint consumer che erano connessi al servizio prima di questa modifica. Gli endpoint consumer esistenti possono connettersi al servizio pubblicato fino all'eliminazione del collegamento del servizio. I nuovi endpoint consumer devono essere accettati prima che possano connettersi al servizio. Per ulteriori informazioni, consulta Gestione delle richieste di accesso a un servizio pubblicato.
Console
Nella console Google Cloud, vai alla pagina Private Service Connect.
Fai clic sulla scheda Servizi pubblicati.
Fai clic sul servizio che vuoi aggiornare e quindi su Modifica.
Seleziona la preferenza di connessione desiderata:
- Accetta connessioni per progetti selezionati
- Accettare automaticamente le connessioni per tutti i progetti
Se stai passando ad Accetta connessioni per progetti selezionati, puoi fornire dettagli sui progetti da consentire o aggiungerli in un secondo momento.
- Fai clic su Aggiungi progetto accettato.
- Inserisci il Progetto e il Limite di connessione.
Fai clic su Salva.
gcloud
Cambia la preferenza di connessione per il collegamento al servizio da
ACCEPT_AUTOMATIC
aACCEPT_MANUAL
.Puoi controllare quali progetti possono connettersi al tuo servizio utilizzando
--consumer-accept-list
e--consumer-reject-list
. Puoi configurare gli elenchi Accetta e Rifiuta quando modifichi la preferenza di connessione o aggiornarli in un secondo momento.gcloud compute service-attachments update ATTACHMENT_NAME \ --region=REGION \ --connection-preference=ACCEPT_MANUAL \ [ --consumer-accept-list=ACCEPTED_PROJECT_1=LIMIT_1,ACCEPTED_PROJECT_2=LIMIT_2] \ [ --consumer-reject-list=REJECTED_PROJECT_1,REJECTED_PROJECT_2 ]
Sostituisci quanto segue:
ATTACHMENT_NAME
: il nome dell'allegato del servizio.REGION
: la regione in cui si trova il collegamento del servizio.ACCEPTED_PROJECT_1
eACCEPTED_PROJECT_2
: i progetti da accettare.--consumer-accept-list
è facoltativo e può contenere uno o più progetti.LIMIT_1
eLIMIT_2
: i limiti di connessione per i progetti. Il limite di connessioni è il numero di endpoint consumer di Private Service Connect che possono connettersi a questo servizio. Per ogni progetto accettato deve essere configurato un limite di connessioni.REJECTED_PROJECT_1
eREJECTED_PROJECT_2
: i progetti da rifiutare.--consumer-reject-list
è facoltativo e può contenere uno o più progetti.
Cambia la preferenza di connessione per il collegamento al servizio da
ACCEPT_MANUAL
aACCEPT_AUTOMATIC
.Se sono presenti valori nell'elenco di accettazione o di rifiuto, impostali su vuoti quando modifichi la preferenza di connessione (
""
).gcloud compute service-attachments update ATTACHMENT_NAME \ --region=REGION \ --connection-preference=ACCEPT_AUTOMATIC \ --consumer-accept-list="" \ --consumer-reject-list=""
Sostituisci quanto segue:
ATTACHMENT_NAME
: il nome dell'allegato del servizio.REGION
: la regione in cui si trova il collegamento del servizio.
API
Cambia la preferenza di connessione per il collegamento al servizio da
ACCEPT_AUTOMATIC
aACCEPT_MANUAL
.PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
{ ... "connectionPreference": "ACCEPT_MANUAL", "consumerAcceptLists": [ { "projectIdOrNum": "ACCEPTED_PROJECT_1" "connectionLimit": "LIMIT_1", }, { "projectIdOrNum": "ACCEPTED_PROJECT_2" "connectionLimit": "LIMIT_2", } ], "consumerRejectLists": [ "REJECTED_PROJECT_1", "REJECTED_PROJECT_2", ], ... }
Sostituisci quanto segue:
PROJECT_ID
: il progetto per il collegamento del servizio.REGION
: la regione per il collegamento del servizio.ATTACHMENT_NAME
: il nome da assegnare al collegamento del servizio.REJECTED_PROJECT_1
eREJECTED_PROJECT_2
: i progetti da rifiutare.consumerRejectList
è facoltativo e può contenere uno o più progetti.ACCEPTED_PROJECT_1
eACCEPTED_PROJECT_2
: i progetti da accettare.consumerAcceptList
è facoltativo e può contenere uno o più progetti.LIMIT_1
eLIMIT_2
: i limiti di connessione per i progetti. Il limite di connessioni è il numero di endpoint consumer di Private Service Connect che possono connettersi a questo servizio. Per ogni progetto accettato deve essere configurato un limite di connessioni.
Cambia la preferenza di connessione per il collegamento al servizio da
ACCEPT_MANUAL
aACCEPT_AUTOMATIC
.Se i campi
consumerAcceptLists
oconsumerRejectLists
specificano progetti, impostali su vuoti quando modifichi la preferenza di connessione suACCEPT_AUTOMATIC
.PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
{ ... "connectionPreference": "ACCEPT_AUTOMATIC", "consumerAcceptLists": [ ], "consumerRejectLists": [ ], ... }
Sostituisci quanto segue:
PROJECT_ID
: il progetto per il collegamento del servizio.REGION
: la regione per il collegamento del servizio.ATTACHMENT_NAME
: il nome dell'allegato del servizio.
Aggiungere o rimuovere subnet da un servizio pubblicato
Puoi modificare un servizio pubblicato per aggiungere o rimuovere le subnet di Private Service Connect dalla configurazione.
Ad esempio, potrebbe essere necessario rendere disponibili più indirizzi IP per un servizio esistente. Per aggiungere altri indirizzi, procedi in uno dei seguenti modi:
Crea un'altra subnet di Private Service Connect e modifica il collegamento del servizio per aggiungere la nuova subnet.
Modifica la subnet per espandere l'intervallo IPv4.
Se rimuovi una subnet di Private Service Connect da un servizio pubblicato, gli indirizzi IP nella subnet non vengono rilasciati. Gli indirizzi IP vengono rilasciati solo quando gli endpoint privati di Private Service Connect vengono eliminati o quando le VM client che accedono agli endpoint di Private Service Connect vengono eliminate.
Se modifichi la configurazione della subnet, aggiorna le regole del firewall per consentire alle richieste delle nuove subnet di raggiungere le VM di backend.
Console
Nella console Google Cloud, vai alla pagina Private Service Connect.
Fai clic sulla scheda Servizi pubblicati.
Fai clic sul servizio che vuoi aggiornare e quindi su Modifica.
Modifica le subnet utilizzate per questo servizio.
Se vuoi aggiungere una nuova subnet, puoi crearne una:
- Fai clic su Prenota nuova subnet.
- Inserisci un Nome e una Descrizione facoltativa per la subnet.
- Seleziona una regione per la subnet.
- Inserisci l'intervallo IP da utilizzare per la subnet e fai clic su Aggiungi.
Fai clic su Salva.
gcloud
Aggiorna le subnet di Private Service Connect utilizzate per questo collegamento al servizio.
gcloud compute service-attachments update ATTACHMENT_NAME \ --region=REGION \ --nat-subnets=PSC_SUBNET_LIST
Sostituisci quanto segue:
ATTACHMENT_NAME
: il nome dell'allegato del servizio.REGION
: la regione in cui si trova il collegamento del servizio.PSC_SUBNET_LIST
: separati da virgole di una o più subnet da utilizzare con questo collegamento di servizio.
API
Aggiorna le subnet di Private Service Connect utilizzate per questo collegamento al servizio.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
{
...
"natSubnets": [
"PSC_SUBNET1_URI",
"PSC_SUBNET2_URI",
],
...
}
Sostituisci quanto segue:
PROJECT_ID
: il progetto per il collegamento del servizio.REGION
: la regione per il collegamento del servizio.ATTACHMENT_NAME
: il nome da assegnare al collegamento del servizio.PSC_SUBNET1_URI
ePSC_SUBNET2_URI
: URI delle subnet che vuoi utilizzare con questo collegamento del servizio. Puoi specificare una o più subnet.