יכול להיות שחלק מהמידע בדף הזה או כולו לא רלוונטי ל-Cloud de Confiance by S3NS. פרטים נוספים מופיעים במאמר מה ההבדל מ-Google Cloud.

מידע על שליטה בגישה לשירותים שפורסמו

בדף הזה מוסבר על התכונות שבהן אפשר להשתמש כדי לשלוט בגישה לשירותים שמתפרסמים באמצעות Private Service Connect.

העדפות חיבור

לכל קובץ מצורף של שירות יש העדפת חיבור שקובעת אם החיבורים יתקבלו באופן אוטומטי.

אישור אוטומטי של כל החיבורים. קובץ השירות מקבל אוטומטית את כל בקשות החיבור הנכנסות מכל צרכן.
אישור מפורש של חיבורים מצרכנים נבחרים. החיבור של קובץ השירות יתבצע רק אם הצרכן נמצא ברשימת הצרכנים המורשים של קובץ השירות. אפשר לציין צרכנים לפי פרויקט, רשת VPC או נקודת קצה ספציפית של Private Service Connect (גרסת Preview). אי אפשר לכלול סוגים שונים של צרכנים באותה רשימת צרכנים שהסכימו או דחו את התנאים.

בכל אחת מהעדפות החיבור, אפשר לבטל את החיבורים שאושרו ולדחות אותם באמצעות מדיניות ארגונית שחוסמת חיבורים נכנסים.

מומלץ לאשר באופן מפורש את החיבורים עבור צרכנים נבחרים. יכול להיות שיהיה לכם נוח לאשר אוטומטית את כל החיבורים אם אתם שולטים בגישת הצרכנים באמצעים אחרים ורוצים לאפשר גישה לשירות שלכם.

רשימות של צרכנים שאושרו ונדחו

רשימות של צרכנים שאפשר להוסיף ורשימות של צרכנים שאסור להוסיף הן תכונות אבטחה של קבצים מצורפים לשירות. הרשימות האלה מאפשרות לבעלי שירותים מנוהלים לציין אילו צרכנים יכולים ליצור חיבורים של Private Service Connect לשירותים שלהם. כשמגדירים אישור מפורש לחיבור שירות, חיבור חדש מתקבל רק אם הלקוח נמצא ברשימת האישורים ולא ברשימת הדחיות. עדכונים ברשימות של צרכנים משפיעים רק על חיבורים חדשים, אלא אם מפעילים את התאמת חיבורים.

רשימות הצרכנים המורשים והלא מורשים מאפשרות לכם לציין צרכנים באחת מהדרכים הבאות:

פרויקט
רשת VPC
נקודת קצה מסוג Private Service Connect‏ (Preview)

השיטה הזו לא רלוונטית לקצוות עורפיים של Private Service Connect.

אם מוסיפים את אותו צרכן לרשימות של אישור ודחייה, הצרכן הזה לא יכול להתחבר ל-service attachment. ציון צרכנים לפי תיקייה אינו נתמך.

שתי רשימות הצרכנים של קובץ מצורף לשירות צריכות להכיל את אותו סוג של צרכן. לדוגמה, אם מוסיפים פרויקט לרשימת ההיתרים, אי אפשר להוסיף לרשימה רשת VPC או URI של נקודת קצה, אלא אם מחליפים את הפרויקט ברשימת ההיתרים בסוג החדש של צרכן.

אם רוצים לפרסם שירות שמקבל סוגים שונים של צרכנים, אפשר ליצור כמה קבצים מצורפים של שירותים שמתחברים לאותו שירות. אפשר להגדיר לכל קובץ מצורף של שירות העדפות חיבור משלו ורשימות צרכנים משלו.

אפשר לשנות את סוג הצרכן ברשימות צרכנים בלי להפריע לחיבורים, אבל השינוי חייב להתבצע בעדכון אחד. אחרת, הפעולה תיכשל.

יש הגבלות על מספר הצרכנים שאפשר להוסיף לרשימות ההסכמה והדחייה:

אפשר להוסיף עד 5,000 ערכים לרשימת הצרכנים המותרים.
אפשר להוסיף עד 64 ערכים לרשימת הדחיות של הצרכנים.

רשימות צרכנים קובעות אם נקודת קצה או קצה עורפי יכולים להתחבר לשירות שפורסם, אבל הן לא קובעות מי יכול לשלוח בקשות לנקודת הקצה הזו. לדוגמה, נניח שלצרכן יש רשת VPC משותפת שמצורפים אליה שני פרויקטים של שירותים. אם שירות שפורסם כולל את service-project1 ברשימת הצרכנים המורשים ואת service-project2 ברשימת הצרכנים הדחויים, התנאים הבאים חלים:

צרכן ב-service-project1 יכול ליצור נקודת קצה שמתחברת לשירות שפורסם.
צרכן ב-service-project2 לא יכול ליצור נקודת קצה שמתחברת לשירות שפורסם.
לקוח ב-service-project2 יכול לשלוח בקשות לנקודת הקצה ב-service-project1, אם אין כללי חומת אש או מדיניות שמונעים את התנועה הזו.

מידע על האינטראקציה בין רשימות היתרים לצרכנים לבין מדיניות הארגון זמין במאמר אינטראקציה בין רשימות היתרים לצרכנים לבין מדיניות הארגון.

מגבלות על רשימות של צרכנים שאושרו

יש מגבלות על מספר החיבורים ברשימות של צרכנים שאפשר לקבל מהם בקשות. ההגבלות האלה קובעות את המספר הכולל של נקודות קצה וחיבורי קצה עורפיים של Private Service Connect שניתן לקבל מצרכן הפרויקט או מרשת ה-VPC שצוינו. אין השפעה להגדרת מגבלות חיבור לרשימות של כתובות IP שאפשר לגשת אליהן שמבוססות על נקודת קצה מסוג Private Service Connect, כי רק נקודת קצה אחת יכולה להתאים למזהה URI נתון.

מפיקים יכולים להשתמש בהגבלות על חיבורים כדי למנוע מצרכנים בודדים לנצל את כל כתובות ה-IP או את מכסות המשאבים ברשת ה-VPC של המפיק. כל חיבור שאושר ב-Private Service Connect מוריד מהמגבלה שהוגדרה לפרויקט של צרכן או לרשת VPC. ההגבלות נקבעות כשיוצרים או מעדכנים רשימות של צרכנים שהביעו הסכמה. אפשר לראות את החיבורים של קובץ מצורף לשירות כשמתארים קובץ מצורף לשירות.

לדוגמה, נניח שיש קובץ מצורף לשירות עם רשימת צרכנים שאושרו שכוללת את project-1 ואת project-2, ולכל אחד מהם יש מגבלה של חיבור אחד. בפרויקט project-1 נדרשים שני חיבורים, בפרויקט project-2 נדרש חיבור אחד ובפרויקט project-3 נדרש חיבור אחד. ב-project-1 יש הגבלה של חיבור אחד, ולכן החיבור הראשון מתקבל והחיבור השני נשאר בהמתנה. החיבור מ-project-2 אושר, והחיבור מ-project-3 עדיין בהמתנה. אפשר לאשר את החיבור השני מ-project-1 על ידי הגדלת המגבלה של project-1. אם מוסיפים את project-3 לרשימת הצרכנים המאושרים, החיבור הזה עובר ממצב בהמתנה למצב מאושר.

התאמת החיבור

התאמת החיבור קובעת אם עדכונים לרשימות הקבלה או הדחייה של קובץ מצורף לשירות יכולים להשפיע על חיבורים קיימים של Private Service Connect. אם ההתאמה של החיבורים מופעלת, עדכון של רשימות האישור או הדחייה עלול להפסיק חיבורים קיימים. יכול להיות שחיבורים שנדחו בעבר יאושרו. אם השבתתם את תיאום החיבורים, עדכון רשימות ההסכמה או הדחייה ישפיע רק על חיבורים חדשים וממתינים.

לדוגמה, נניח שיש קובץ מצורף לשירות עם כמה חיבורים שאושרו מ-Project-A. ‫Project-A מופיע ברשימת ההיתרים של קובץ השירות. קובץ ה-Service Attachment מתעדכן על ידי הסרת Project-A מרשימת ההיתרים.

אם הפעלתם את האפשרות 'התאמת חיבורים', כל החיבורים הקיימים מ-Project-A יעברו ל-PENDING, מה שיגרום לסיום הקישוריות בין שתי רשתות ה-VPC ויפסיק מיד את תעבורת הרשת.

אם השבתתם את ההתאמה של החיבורים, זה לא ישפיע על חיבורים קיימים מ-Project-A. תעבורת הנתונים ברשת יכולה להמשיך לזרום דרך חיבורי Private Service Connect הקיימים. עם זאת, אי אפשר ליצור חיבורים חדשים של Private Service Connect.

מידע על הגדרת תיאום חיבורים לצירופי שירות חדשים זמין במאמר פרסום שירות עם אישור מפורש.

מידע על הגדרת תיאום חיבורים לצירופי שירות קיימים זמין במאמר הגדרת תיאום חיבורים.

אישור או דחייה של חיבורים לנקודות קצה של Private Service Connect

אתם יכולים לאשר או לדחות חיבורים של נקודות קצה מסוג Private Service Connect בנפרד, על ידי הוספת ה-URI מבוסס-ה-ID של נקודת הקצה לאחת מרשימות הצרכנים של קובץ השירות. הגישה הזו, שמומלצת לשירותים עם דיירים מרובים, מספקת את השליטה המפורטת ביותר בניהול החיבורים. האפשרות 'קבלת צרכנים באמצעות נקודת קצה של Private Service Connect' חלה רק על נקודות קצה של Private Service Connect ולא תומכת בעורפי קצה של Private Service Connect.

בניגוד לפרויקטים או לרשתות VPC, אפשר רק לאשר או לדחות נקודת קצה ספציפית של Private Service Connect אחרי שהצרכן יוצר את נקודת הקצה. הסיבה לכך היא שאי אפשר לדעת את ה-URI הייחודי של נקודת הקצה עד שהצרכן יוצר את נקודת הקצה. כדי להוסיף נקודת קצה לרשימת הלקוחות המורשים, צריך לבצע את השלבים הבאים:

הבעלים של השירות המנוהל מפרסם שירות שדורש אישור מפורש, בלי להוסיף ערכים לרשימת ההסכמה של צרכן השירות.
צרכן יוצר נקודת קצה שמתחברת לשירות שפורסם. החיבור מוצג בקובץ המצורף לשירות עם הסטטוס Pending.
כדי למצוא את ה-URI מבוסס-ה-ID של נקודת הקצה בהמתנה, הבעלים של השירות יכול להוסיף תיאור לחיבור השירות, או שהצרכן יכול להוסיף תיאור לנקודת הקצה.
הבעלים של השירות המנוהל מוסיף את ה-URI מבוסס המזהה של נקודת הקצה לרשימת ההיתרים של צרכן השירות. החיבור נוצר והסטטוס שלו משתנה ל-Accepted.