יכול להיות שחלק מהמידע בדף הזה או כולו לא רלוונטי ל-Cloud de Confiance by S3NS. פרטים נוספים מופיעים במאמר מה ההבדל מ-Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

מידע על שליטה בגישה לשירותים שפורסמו

בדף הזה מוסבר על התכונות שבהן אפשר להשתמש כדי לשלוט בגישה לשירותים שמתפרסמים באמצעות Private Service Connect.

העדפות חיבור

לכל קובץ מצורף של שירות יש העדפת חיבור שקובעת אם החיבורים יאושרו באופן אוטומטי.

אישור אוטומטי של כל החיבורים. קובץ ה-Service Attachment מקבל אוטומטית את כל בקשות החיבור הנכנסות מכל צרכן.
מאשרים באופן מפורש חיבורים מצרכנים נבחרים. החיבור לשירות המצורף מתאפשר רק אם הצרכן נמצא ברשימת הצרכנים המורשים של השירות המצורף. אפשר לציין צרכנים לפי פרויקט, רשת VPC או נקודת קצה נפרדת של Private Service Connect. אי אפשר לכלול סוגים שונים של צרכנים באותה רשימת צרכנים שהסכימו או דחו את התנאים.

בכל אחת מהעדפות החיבור, אפשר לבטל את החיבורים שאושרו ולדחות אותם באמצעות מדיניות ארגונית שחוסמת חיבורים נכנסים.

מומלץ לאשר במפורש את החיבורים לצרכנים נבחרים. יכול להיות שיהיה לכם מתאים לאשר אוטומטית את כל החיבורים אם אתם שולטים בגישת הצרכנים באמצעים אחרים ורוצים לאפשר גישה לשירות שלכם.

רשימות של צרכנים שאושרו ונדחו

רשימות של צרכנים שאושרו ורשימות של צרכנים שנדחו הן תכונת אבטחה של קבצים מצורפים לשירות. הרשימות האלה מאפשרות לבעלי שירותים מנוהלים לציין אילו צרכנים יכולים ליצור חיבורים באמצעות Private Service Connect לשירותים שלהם. כשמגדירים אישור מפורש לצירוף שירות, חיבור חדש מתקבל רק אם הצרכן נמצא ברשימת האישור ולא ברשימת הדחייה. עדכונים ברשימות של צרכנים משפיעים רק על חיבורים חדשים, אלא אם מופעלת האפשרות התאמת חיבורים.

רשימות הצרכנים שאושרו ונדחו מאפשרות לכם לציין צרכנים באחת מהדרכים הבאות:

פרויקט
רשת VPC
נקודת קצה של Private Service Connect

השיטה הזו לא חלה על בק-אנדים של Private Service Connect.

אם מוסיפים את אותו צרכן לרשימות של אישור ודחייה, הצרכן הזה לא יכול להתחבר ל-Service Attachment. אי אפשר לציין צרכנים לפי תיקייה.

שתי רשימות הצרכנים של קובץ מצורף לשירות חייבות להכיל את אותו סוג של צרכן. לדוגמה, אם מוסיפים פרויקט לרשימת ההיתרים, אי אפשר להוסיף לרשימה רשת VPC או URI של נקודת קצה, אלא אם מחליפים את הפרויקט ברשימת ההיתרים בסוג החדש של הלקוח.

אם רוצים לפרסם שירות שמקבל סוגים שונים של צרכנים, אפשר ליצור כמה קבצים מצורפים של שירותים שמתחברים לאותו שירות. אפשר להגדיר לכל קובץ מצורף של שירות העדפות חיבור משלו ורשימות צרכנים משלו.

אפשר לשנות את סוג הצרכן ברשימות צרכנים בלי להפריע לחיבורים, אבל צריך לבצע את השינוי בעדכון אחד. אחרת, הפעולה תיכשל.

יש הגבלות על מספר הצרכנים שאפשר להוסיף לרשימות ההסכמה והדחייה:

אפשר להוסיף עד 5,000 ערכים לרשימת הצרכנים המותרים.
אפשר להוסיף עד 64 ערכים לרשימת הצרכנים שדחו את ההסכמה.

רשימות צרכנים קובעות אם נקודת קצה או קצה עורפי יכולים להתחבר לשירות שפורסם, אבל הן לא קובעות מי יכול לשלוח בקשות לנקודת הקצה הזו. לדוגמה, נניח שלצרכן יש רשת VPC משותפת שמצורפים אליה שני פרויקטים של שירותים. אם שירות שפורסם כולל את service-project1 ברשימת הצרכנים המורשים ואת service-project2 ברשימת הצרכנים הדחויים, התנאים הבאים חלים:

צרכן ב-service-project1 יכול ליצור נקודת קצה שמתחברת לשירות שפורסם.
צרכן ב-service-project2 לא יכול ליצור נקודת קצה שמתחברת לשירות שפורסם.
לקוח ב-service-project2 יכול לשלוח בקשות לנקודת הקצה ב-service-project1, אם אין כללי חומת אש או מדיניות שמונעים את התנועה הזו.

מידע על האינטראקציה בין רשימות ההיתרים לצרכנים לבין מדיניות הארגון זמין במאמר אינטראקציה בין רשימות ההיתרים לצרכנים לבין מדיניות הארגון.

מגבלות על רשימות של צרכנים שאפשר להציג להם מודעות

יש מגבלות על מספר החיבורים ברשימות של צרכנים שאפשר לקבל מהם הסכמה. המגבלות האלה מגדירות את המספר הכולל של נקודות קצה וחיבורי קצה עורפיים של Private Service Connect שניתן לקבל בחיבור שירות מפרויקט צרכן או מרשת VPC שצוינו. אין השפעה להגדרת מגבלות חיבור לרשימות של כתובות IP שאפשר לקבל מהן בקשות שמבוססות על נקודת קצה מסוג Private Service Connect, כי רק נקודת קצה אחת יכולה להתאים למזהה URI נתון.

יצרנים יכולים להשתמש בהגבלות על חיבורים כדי למנוע מצרכנים בודדים למצות את כתובות ה-IP או את מכסות המשאבים ברשת ה-VPC של היצרן. כל חיבור Private Service Connect שאושר מוריד מהמגבלה שהוגדרה לפרויקט צרכן או לרשת VPC. המגבלות מוגדרות כשיוצרים או מעדכנים רשימות של צרכנים שהסכימו לקבל הודעות. אפשר לראות את החיבורים של קובץ מצורף לשירות כשמתארים קובץ מצורף לשירות.

לדוגמה, נניח שיש קובץ מצורף לשירות עם רשימת צרכנים מורשים שכוללת את project-1 ואת project-2, ולשניהם יש מגבלה של חיבור אחד. בפרויקט project-1 נדרשים שני חיבורים, בפרויקט project-2 נדרש חיבור אחד ובפרויקט project-3 נדרש חיבור אחד. מכיוון שב-project-1 יש הגבלה של חיבור אחד, החיבור הראשון מתקבל והחיבור השני נשאר בהמתנה. החיבור מ-project-2 אושר, והחיבור מ-project-3 עדיין בהמתנה. אפשר לאשר את החיבור השני מ-project-1 על ידי הגדלת המגבלה של project-1. אם מוסיפים את project-3 לרשימת הצרכנים המורשים, החיבור הזה עובר ממצב 'בהמתנה' למצב 'אושר'.

התאמת החיבור

התהליך של התאמת החיבור קובע אם עדכונים לרשימות הקבלה או הדחייה של קובץ מצורף לשירות יכולים להשפיע על חיבורים קיימים של Private Service Connect. אם האפשרות 'התאמת חיבורים' מופעלת, עדכון של רשימות האישור או הדחייה עלול להפסיק חיבורים קיימים. יכול להיות שחיבורים שנדחו בעבר יאושרו. אם השבתתם את תיאום החיבורים, עדכון רשימות ההסכמה או הדחייה ישפיע רק על חיבורים חדשים וממתינים.

הורדת המגבלה של רשימת הכתובות שהצרכן מאשר לא תגרום לסיום של חיבורים קיימים, גם אם האפשרות'התאמת חיבורים' מופעלת.

לדוגמה, נניח שיש לכם קובץ מצורף לשירות עם כמה חיבורים מאושרים מ-Project-A. ‫Project-A מופיע ברשימת ההיתרים של קובץ השירות. קובץ ה-Service Attachment מתעדכן על ידי הסרת Project-A מהרשימה של כתובות ה-IP המורשות.

אם הפעלתם את האפשרות 'התאמת חיבורים', כל החיבורים הקיימים מ-Project-A יעברו ל-PENDING, מה שיגרום לסיום הקישוריות בין שתי רשתות ה-VPC ויפסיק מיד את תעבורת הרשת.

אם השבתתם את תיאום החיבורים, זה לא ישפיע על חיבורים קיימים מ-Project-A. תנועת הרשת יכולה להמשיך לזרום דרך החיבורים הקיימים של Private Service Connect. עם זאת, אסור ליצור חיבורים חדשים של Private Service Connect.

מידע על הגדרת תיאום חיבורים לצירופי שירות חדשים זמין במאמר פרסום שירות עם אישור מפורש.

מידע על הגדרת תיאום חיבורים לצירופי שירות קיימים זמין במאמר הגדרת תיאום חיבורים.

אישור או דחייה של חיבורים לנקודות קצה ב-Private Service Connect

אתם יכולים לאשר או לדחות חיבורים של נקודות קצה ספציפיות ב-Private Service Connect על ידי הוספת מזהה ה-URI של נקודת הקצה לאחת מרשימות הצרכנים של קובץ מצורף לשירות. הגישה הזו מומלצת לשירותים עם מספר דיירים, והיא מספקת את השליטה המפורטת ביותר בניהול החיבורים. האפשרות 'קבלת צרכנים רק דרך נקודת קצה של Private Service Connect' חלה רק על נקודות קצה של Private Service Connect ולא תומכת בבק-אנדים של Private Service Connect.

בניגוד לפרויקטים או לרשתות VPC, אפשר לאשר או לדחות נקודת קצה ספציפית של Private Service Connect רק אחרי שהצרכן יוצר את נקודת הקצה. הסיבה לכך היא שאי אפשר לדעת את ה-URI הייחודי של נקודת הקצה עד שהצרכן יוצר את נקודת הקצה. כדי להוסיף נקודת קצה לרשימת המקבלים של צרכן, צריך לבצע את השלבים הבאים:

הבעלים של השירות המנוהל מפרסם שירות שדורש אישור מפורש, בלי להוסיף ערכים לרשימת ההיתרים של צרכן השירות.
צרכן יוצר נקודת קצה שמתחברת לשירות שפורסם. החיבור מוצג בקובץ המצורף לשירות עם הסטטוס Pending.
כדי למצוא את ה-URI מבוסס-ה-ID של נקודת הקצה בהמתנה, הבעלים של השירות המנוהל יכול להוסיף תיאור לחיבור השירות, או שצרכן השירות יכול להוסיף תיאור לנקודת הקצה.
היוצר מוסיף את ה-URI מבוסס המזהה של נקודת הקצה לרשימת ההסכמה של הצרכן. החיבור נוצר והסטטוס שלו משתנה ל-Accepted.