Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Gestire i servizi pubblicati

In questa pagina viene descritto come gestire le richieste di accesso a un servizio pubblicato e come modificare la preferenza di connessione per un servizio pubblicato.

Quando pubblichi un servizio, puoi controllare quali consumer possono connettersi al servizio configurando le relative preferenze di connessione. La preferenza di connessione può essere una delle seguenti:

  • Accettare automaticamente connessioni per tutti i progetti (ACCEPT_AUTOMATIC): qualsiasi consumer può connettersi al servizio.

  • Accettare connessioni per progetti selezionati (ACCEPT_MANUAL): puoi controllare quali consumatori possono connettersi al servizio.

Per ulteriori informazioni sulla pubblicazione di un servizio, consulta Pubblicare servizi gestiti mediante Private Service Connect.

Ruoli

Il seguente ruolo IAM fornisce le autorizzazioni necessarie per eseguire le attività di questa guida.

Gestire le richieste di accesso a un servizio pubblicato

Se hai pubblicato un servizio con approvazione esplicita dei progetti, puoi accettare o rifiutare le richieste di connessione dai progetti consumer.

Se aggiungi un progetto sia all'elenco di accettazione che a quello di negazione, le richieste di connessione di quel progetto vengono rifiutate.

Una volta accettato un collegamento per l'endpoint consumer per un servizio, l'endpoint può connettersi al servizio fino a quando il collegamento al servizio non viene eliminato. Questo si applica se il progetto è stato accettato in modo esplicito o perché l'endpoint consumer collegato quando la preferenza di connessione è stata impostata in modo da accettare automaticamente le connessioni.

  • Se rimuovi un progetto dall'elenco di accettazione, tutti gli endpoint consumer accettati in precedenza in quel progetto possono connettersi al servizio. Le connessioni dai nuovi endpoint consumer in quel progetto devono essere accettate prima che l'endpoint possa connettersi.

  • Se aggiungi un progetto all'elenco dei rifiuti, qualsiasi endpoint consumer accettato in precedenza in quel progetto può connettersi al servizio. Le connessioni dai nuovi endpoint consumer in quel progetto vengono rifiutate dalla connessione al servizio.

Console

  1. Nella console Google Cloud, vai alla pagina Private Service Connect.

    Vai a Private Service Connect

  2. Fai clic sulla scheda Servizi pubblicati.

  3. Fai clic sul servizio che vuoi gestire.

  4. Nella sezione Progetti connessi sono elencati i progetti che hanno tentato di connettersi a questo servizio. Seleziona la casella di controllo accanto a uno o più progetti e fai clic su Accetta o Rifiuta.

gcloud

  1. Descrivi l'allegato di servizio che vuoi modificare.

    gcloud compute service-attachments describe \
        ATTACHMENT_NAME --region=REGION
    

    L'output è simile all'esempio seguente. Eventuali connessioni in attesa per i consumatori sono elencate con stato PENDING.

    In questo output di esempio, il progetto CONSUMER_PROJECT_1 è nell'elenco di accettazione, quindi ENDPOINT_1 è accettato e può connettersi al servizio. Il progetto CONSUMER_PROJECT_2 non è nell'elenco di accettazione, quindi ENDPOINT_2 è in attesa. Dopo l'aggiunta di CONSUMER_PROJECT_2 all'elenco di accettazione, lo stato di ENDPOINT_2 diventa ACCEPTED e l'endpoint può connettersi al servizio.

    connectedEndpoints:
    - endpoint: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_1/regions/REGION_1/forwardingRules/ENDPOINT_1
      pscConnectionId: 'ENDPOINT_1_ID'
      status: ACCEPTED
    - endpoint: https://www.googleapis.com/compute/v1/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/ENDPOINT_2
      pscConnectionId: 'ENDPOINT_2_ID'
      status: PENDING
    connectionPreference: ACCEPT_MANUAL
    consumerAcceptLists:
    - connectionLimit: LIMIT_1
      projectIdOrNum: CONSUMER_PROJECT_1
    creationTimestamp: 'TIMESTAMP'
    description: 'DESCRIPTION'
    enableProxyProtocol: false
    fingerprint: FINGERPRINT
    id: 'ID'
    kind: compute#serviceAttachment
    name: NAME
    natSubnets:
    - https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/subnetworks/PSC_SUBNET
    pscServiceAttachmentId:
      high: 'PSC_ATTACH_ID_HIGH'
      low: 'PSC_ATTACH_ID_LOW'
    region: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION
    selfLink: https://www.googleapis.com/compute/v1/projects/projects/PRODUCER_PROJECT/regions/REGION/serviceAttachments/ATTACHMENT_NAME
    targetService: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/forwardingRules/PRODUCER_FWD_RULE
    
  2. Accettare o rifiutare i progetti consumer.

    Puoi specificare --consumer-accept-list, --consumer-reject-list o entrambi. Puoi specificare più valori in --consumer-accept-list e --consumer-reject-list.

    gcloud compute service-attachments update ATTACHMENT_NAME \
        --region=REGION \
        --consumer-accept-list=ACCEPTED_PROJECT_1=LIMIT_1,ACCEPTED_PROJECT_2=LIMIT_2 \
        --consumer-reject-list=REJECTED_PROJECT_1,REJECTED_PROJECT_2
    

    Sostituisci quanto segue:

    • ATTACHMENT_NAME: il nome da assegnare al collegamento del servizio.

    • REGION: la regione in cui si trova il collegamento del servizio.

    • ACCEPTED_PROJECT_1 e ACCEPTED_PROJECT_2: i progetti da accettare. consumerAcceptList è facoltativo e può contenere uno o più progetti.

    • LIMIT_1 e LIMIT_2: i limiti di connessioni per i progetti. Il limite di connessioni è il numero di endpoint consumer Private Service Connect che possono connettersi a questo servizio. Per ogni progetto accettato deve essere configurato un limite di connessione.

    • REJECTED_PROJECT_1 e REJECTED_PROJECT_2: i progetti da rifiutare. --consumer-reject-list è facoltativo e può contenere uno o più progetti.

API

  1. Descrivi l'allegato di servizio che vuoi modificare.

    Se sono presenti connessioni consumer in attesa, vengono elencate con lo stato PENDING.

    GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
    
  2. Accettare o rifiutare i progetti consumer.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
    
    {
      ...
      "consumerAcceptLists": [
        {
          "projectIdOrNum": "ACCEPTED_PROJECT_1"
          "connectionLimit": "LIMIT_1",
        },
        {
          "projectIdOrNum": "ACCEPTED_PROJECT_2"
          "connectionLimit": "LIMIT_2",
        }
      ],
      "consumerRejectLists": [
        "REJECTED_PROJECT_1",
        "REJECTED_PROJECT_2",
      ],
      ...
    }
    

    Sostituisci quanto segue:

    • PROJECT_ID: il progetto per il collegamento del servizio.

    • REGION: la regione per il collegamento del servizio.

    • ATTACHMENT_NAME: il nome da assegnare al collegamento del servizio.

    • REJECTED_PROJECT_1 e REJECTED_PROJECT_2: i progetti da rifiutare. consumerRejectList è facoltativo e può contenere uno o più progetti.

    • ACCEPTED_PROJECT_1 e ACCEPTED_PROJECT_2: i progetti da accettare. consumerAcceptList è facoltativo e può contenere uno o più progetti.

    • LIMIT_1 e LIMIT_2: i limiti di connessione per i progetti. Il limite di connessioni è il numero di endpoint consumer di Private Service Connect che possono connettersi a questo servizio. Per ogni progetto accettato deve essere configurato un limite di connessioni.

Modificare la preferenza di connessione per un servizio pubblicato

Puoi passare dall'accettazione automatica al progetto esplicito per un servizio pubblicato e viceversa.

Il passaggio dall'accettazione automatica all'accettazione esplicita non influisce sugli endpoint consumer che erano connessi al servizio prima di questa modifica. Gli endpoint consumer esistenti possono connettersi al servizio pubblicato fino all'eliminazione del collegamento del servizio. I nuovi endpoint consumer devono essere accettati prima che possano connettersi al servizio. Per ulteriori informazioni, consulta Gestione delle richieste di accesso a un servizio pubblicato.

Console

  1. Nella console Google Cloud, vai alla pagina Private Service Connect.

    Vai a Private Service Connect

  2. Fai clic sulla scheda Servizi pubblicati.

  3. Fai clic sul servizio che vuoi aggiornare e quindi su Modifica.

  4. Seleziona la preferenza di connessione desiderata:

    • Accetta connessioni per progetti selezionati
    • Accettare automaticamente le connessioni per tutti i progetti
  5. Se stai passando ad Accetta connessioni per progetti selezionati, puoi fornire dettagli sui progetti da consentire o aggiungerli in un secondo momento.

    1. Fai clic su Aggiungi progetto accettato.
    2. Inserisci il Progetto e il Limite di connessione.
  6. Fai clic su Salva.

gcloud

  • Cambia la preferenza di connessione per il collegamento al servizio da ACCEPT_AUTOMATIC a ACCEPT_MANUAL.

    Puoi controllare quali progetti possono connettersi al tuo servizio utilizzando --consumer-accept-list e --consumer-reject-list. Puoi configurare gli elenchi Accetta e Rifiuta quando modifichi la preferenza di connessione o aggiornarli in un secondo momento.

    gcloud compute service-attachments update ATTACHMENT_NAME \
        --region=REGION \
        --connection-preference=ACCEPT_MANUAL \
        [ --consumer-accept-list=ACCEPTED_PROJECT_1=LIMIT_1,ACCEPTED_PROJECT_2=LIMIT_2] \
        [ --consumer-reject-list=REJECTED_PROJECT_1,REJECTED_PROJECT_2 ]
    

    Sostituisci quanto segue:

    • ATTACHMENT_NAME: il nome dell'allegato del servizio.

    • REGION: la regione in cui si trova il collegamento del servizio.

    • ACCEPTED_PROJECT_1 e ACCEPTED_PROJECT_2: i progetti da accettare. --consumer-accept-list è facoltativo e può contenere uno o più progetti.

    • LIMIT_1 e LIMIT_2: i limiti di connessione per i progetti. Il limite di connessioni è il numero di endpoint consumer di Private Service Connect che possono connettersi a questo servizio. Per ogni progetto accettato deve essere configurato un limite di connessioni.

    • REJECTED_PROJECT_1 e REJECTED_PROJECT_2: i progetti da rifiutare. --consumer-reject-list è facoltativo e può contenere uno o più progetti.

  • Cambia la preferenza di connessione per il collegamento al servizio da ACCEPT_MANUAL a ACCEPT_AUTOMATIC.

    Se sono presenti valori nell'elenco di accettazione o di rifiuto, impostali su vuoti quando modifichi la preferenza di connessione ("").

    gcloud compute service-attachments update ATTACHMENT_NAME \
        --region=REGION \
        --connection-preference=ACCEPT_AUTOMATIC \
        --consumer-accept-list="" \
        --consumer-reject-list=""
    

    Sostituisci quanto segue:

    • ATTACHMENT_NAME: il nome dell'allegato del servizio.

    • REGION: la regione in cui si trova il collegamento del servizio.

API

  • Cambia la preferenza di connessione per il collegamento al servizio da ACCEPT_AUTOMATIC a ACCEPT_MANUAL.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
    
    {
      ...
      "connectionPreference": "ACCEPT_MANUAL",
      "consumerAcceptLists": [
        {
          "projectIdOrNum": "ACCEPTED_PROJECT_1"
          "connectionLimit": "LIMIT_1",
        },
        {
          "projectIdOrNum": "ACCEPTED_PROJECT_2"
          "connectionLimit": "LIMIT_2",
        }
      ],
      "consumerRejectLists": [
        "REJECTED_PROJECT_1",
        "REJECTED_PROJECT_2",
      ],
      ...
    }
    

    Sostituisci quanto segue:

    • PROJECT_ID: il progetto per il collegamento del servizio.

    • REGION: la regione per il collegamento del servizio.

    • ATTACHMENT_NAME: il nome da assegnare al collegamento del servizio.

    • REJECTED_PROJECT_1 e REJECTED_PROJECT_2: i progetti da rifiutare. consumerRejectList è facoltativo e può contenere uno o più progetti.

    • ACCEPTED_PROJECT_1 e ACCEPTED_PROJECT_2: i progetti da accettare. consumerAcceptList è facoltativo e può contenere uno o più progetti.

    • LIMIT_1 e LIMIT_2: i limiti di connessione per i progetti. Il limite di connessioni è il numero di endpoint consumer di Private Service Connect che possono connettersi a questo servizio. Per ogni progetto accettato deve essere configurato un limite di connessioni.

  • Cambia la preferenza di connessione per il collegamento al servizio da ACCEPT_MANUAL a ACCEPT_AUTOMATIC.

    Se i campi consumerAcceptLists o consumerRejectLists specificano progetti, impostali su vuoti quando modifichi la preferenza di connessione su ACCEPT_AUTOMATIC.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
    
    {
      ...
      "connectionPreference": "ACCEPT_AUTOMATIC",
      "consumerAcceptLists": [ ],
      "consumerRejectLists": [ ],
      ...
    }
    

    Sostituisci quanto segue:

    • PROJECT_ID: il progetto per il collegamento del servizio.

    • REGION: la regione per il collegamento del servizio.

    • ATTACHMENT_NAME: il nome dell'allegato del servizio.

Aggiungere o rimuovere subnet da un servizio pubblicato

Puoi modificare un servizio pubblicato per aggiungere o rimuovere le subnet di Private Service Connect dalla configurazione.

Ad esempio, potrebbe essere necessario rendere disponibili più indirizzi IP per un servizio esistente. Per aggiungere altri indirizzi, procedi in uno dei seguenti modi:

Se rimuovi una subnet di Private Service Connect da un servizio pubblicato, gli indirizzi IP nella subnet non vengono rilasciati. Gli indirizzi IP vengono rilasciati solo quando gli endpoint privati di Private Service Connect vengono eliminati o quando le VM client che accedono agli endpoint di Private Service Connect vengono eliminate.

Se modifichi la configurazione della subnet, aggiorna le regole del firewall per consentire alle richieste delle nuove subnet di raggiungere le VM di backend.

Console

  1. Nella console Google Cloud, vai alla pagina Private Service Connect.

    Vai a Private Service Connect

  2. Fai clic sulla scheda Servizi pubblicati.

  3. Fai clic sul servizio che vuoi aggiornare e quindi su Modifica.

  4. Modifica le subnet utilizzate per questo servizio.

    Se vuoi aggiungere una nuova subnet, puoi crearne una:

    1. Fai clic su Prenota nuova subnet.
    2. Inserisci un Nome e una Descrizione facoltativa per la subnet.
    3. Seleziona una regione per la subnet.
    4. Inserisci l'intervallo IP da utilizzare per la subnet e fai clic su Aggiungi.
  5. Fai clic su Salva.

gcloud

Aggiorna le subnet di Private Service Connect utilizzate per questo collegamento al servizio.

gcloud compute service-attachments update ATTACHMENT_NAME \
    --region=REGION \
    --nat-subnets=PSC_SUBNET_LIST

Sostituisci quanto segue:

  • ATTACHMENT_NAME: il nome dell'allegato del servizio.

  • REGION: la regione in cui si trova il collegamento del servizio.

  • PSC_SUBNET_LIST: separati da virgole di una o più subnet da utilizzare con questo collegamento di servizio.

API

Aggiorna le subnet di Private Service Connect utilizzate per questo collegamento al servizio.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

{
  ...
  "natSubnets": [
    "PSC_SUBNET1_URI",
    "PSC_SUBNET2_URI",
  ],
  ...
}

Sostituisci quanto segue:

  • PROJECT_ID: il progetto per il collegamento del servizio.

  • REGION: la regione per il collegamento del servizio.

  • ATTACHMENT_NAME: il nome da assegnare al collegamento del servizio.

  • PSC_SUBNET1_URI e PSC_SUBNET2_URI: URI delle subnet che vuoi utilizzare con questo collegamento del servizio. Puoi specificare una o più subnet.