Algumas ou todas as informações nesta página podem não se aplicar ao Cloud de Confiance by S3NS. Consulte o artigo Diferenças em relação ao Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Acerca do controlo do acesso a serviços publicados

Esta página descreve as funcionalidades que pode usar para controlar o acesso aos serviços publicados através do Private Service Connect.

Preferências de ligação

Cada anexo de serviço tem uma preferência de ligação que controla se as ligações são aceites automaticamente.

Aceitar automaticamente todas as ligações. A associação de serviço aceita automaticamente todos os pedidos de ligação de entrada de qualquer consumidor.
Aceitar explicitamente ligações de consumidores selecionados. O anexo de serviço só aceita pedidos de ligação de entrada se o consumidor estiver na lista de aceitação de consumidores do anexo de serviço. Pode especificar consumidores por projeto, rede VPC ou ponto final do Private Service Connect individual (Pré-visualização). Não pode incluir diferentes tipos de consumidores na mesma lista de aceitação ou rejeição de consumidores.

Para qualquer preferência de ligação, as ligações aceites podem ser substituídas e rejeitadas por uma política da organização que bloqueia as ligações recebidas.

Recomendamos que aceite explicitamente as associações para consumidores selecionados. Aceitar automaticamente todas as ligações pode ser adequado se controlar o acesso dos consumidores por outros meios e quiser ativar o acesso permissivo ao seu serviço.

Listas de aceitação e rejeição de consumidores

As listas de aceitação de consumidores e as listas de rejeição de consumidores são uma funcionalidade de segurança dos anexos de serviços. Estas listas permitem que os produtores de serviços especifiquem que consumidores podem estabelecer ligações do Private Service Connect aos respetivos serviços. Quando um anexo de serviço está configurado para aprovação explícita, só é aceite uma nova ligação se o consumidor estiver na lista de aceitação e não na lista de rejeição. As atualizações às listas de consumidores só afetam novas associações, a menos que a opção Conciliação de associações esteja ativada.

As listas de aceitação e rejeição de consumidores permitem-lhe especificar consumidores de uma das seguintes formas:

Projeto
Rede da VPC
Ponto final do Private Service Connect (pré-visualização)

Este método não se aplica a back-ends do Private Service Connect.

Se adicionar o mesmo consumidor às listas de aceitação e rejeição, esse consumidor fica bloqueado e não pode estabelecer ligação ao anexo de serviço. A especificação de consumidores por pasta não é suportada.

Ambas as listas de consumidores de uma associação de serviço têm de conter o mesmo tipo de consumidor. Por exemplo, se adicionar um projeto a uma lista de aceitação, não pode adicionar uma rede VPC nem um URI de ponto final a nenhuma das listas, a menos que substitua o projeto na lista de aceitação pelo novo tipo de consumidor.

Se quiser publicar um serviço que aceite diferentes tipos de consumidores, pode criar vários anexos de serviços que se ligam ao mesmo serviço. Cada anexo de serviço pode ser configurado com a sua própria preferência de ligação e listas de consumidores.

Pode alterar o tipo de consumidor em listas de consumidores sem interromper as associações, mas tem de fazer a alteração numa única atualização. Caso contrário, a operação falha.

Existem limites para o número de consumidores que pode adicionar às listas de aceitação e rejeição:

Pode adicionar um máximo de 5000 valores à lista de aceitação de consumidores.
Pode adicionar um máximo de 64 valores à lista de rejeição de consumidores.

As listas de consumidores controlam se um ponto final ou um back-end pode estabelecer ligação a um serviço publicado, mas não controlam quem pode enviar pedidos para esse ponto final. Por exemplo, suponhamos que um consumidor tem uma rede de VPC partilhada com dois projetos de serviço associados. Se um serviço publicado tiver service-project1 na lista de aceitação de consumidores e service-project2 na lista de rejeição de consumidores, aplica-se o seguinte:

Um consumidor em service-project1 pode criar um ponto final que se liga ao serviço publicado.
Um consumidor em service-project2 não pode criar um ponto final que se ligue ao serviço publicado.
Um cliente em service-project2 pode enviar pedidos para o ponto final em service-project1, se não existirem regras ou políticas de firewall que impeçam esse tráfego.

Para obter informações sobre como as listas de aceitação de consumidores interagem com as políticas da organização, consulte o artigo Interação entre as listas de aceitação de consumidores e as políticas da organização.

Limites da lista de aceitação de consumidores

As listas de aceitação de consumidores têm limites de associação. Estes limites definem o número total de ligações de pontos finais do Private Service Connect que uma associação de serviço pode aceitar do projeto consumidor especificado ou da rede VPC.

Os produtores podem usar limites de ligação para impedir que os consumidores individuais esgotem os endereços IP ou as quotas de recursos na rede VPC do produtor. Cada ligação do Private Service Connect aceite é subtraída ao limite configurado para um projeto ou uma rede VPC do consumidor. Os limites são definidos quando cria ou atualiza listas de aceitação de consumidores. Pode ver as associações de um anexo de serviço quando descreve um anexo de serviço.

Por exemplo, considere um caso em que um anexo de serviço tem uma lista de aceitação de consumidores que inclui project-1 e project-2, ambos com um limite de uma ligação. O projeto project-1 pede duas associações, o projeto project-2 pede uma associação e o projeto project-3 pede uma associação. Uma vez que o project-1 tem um limite de uma ligação, a primeira ligação é aceite e a segunda permanece pendente. A ligação de project-2 é aceite e a ligação de project-3 permanece pendente. A segunda associação de project-1 pode ser aceite aumentando o limite para project-1. Se project-3 for adicionado à lista de aceitação do consumidor, essa associação passa de pendente para aceite.

Conciliação da ligação

A conciliação de ligações determina se as atualizações às listas de aceitação ou rejeição de um anexo de serviço podem afetar as ligações existentes do Private Service Connect. Se a conciliação de associações estiver ativada, a atualização das listas de aceitação ou rejeição pode terminar as associações existentes. As associações que foram rejeitadas anteriormente podem ser aceites. Se a conciliação de associações estiver desativada, a atualização das listas de aceitação ou rejeição só afeta as associações novas e pendentes.

Por exemplo, considere uma associação de serviço que tenha várias ligações aceites de Project-A. Project-A está na lista de aceitação do anexo de serviço. O anexo de serviço é atualizado removendo Project-A da lista de aceitação.

Se a conciliação de ligações estiver ativada, todas as ligações existentes de Project-A transitam para PENDING, o que termina a conetividade de rede entre as duas redes VPC e interrompe imediatamente o tráfego de rede.

Se a conciliação de associações estiver desativada, as associações existentes de Project-A não são afetadas. O tráfego de rede pode continuar a fluir através das ligações do Private Service Connect existentes. No entanto, não são permitidas novas ligações do Private Service Connect.

Para obter informações sobre a configuração da conciliação de ligações para novas associações de serviços, consulte o artigo Publique um serviço com aprovação explícita.

Para ver informações sobre a configuração da conciliação de associações para anexos de serviços existentes, consulte o artigo Configure a conciliação de associações.

Aceite ou rejeite ligações de pontos finais do Private Service Connect

Pode aceitar ou rejeitar ligações individuais de pontos finais do Private Service Connect adicionando o URI baseado no ID do ponto final a uma das listas de consumidores de uma associação de serviço. Esta abordagem, que é recomendada para serviços multi-inquilinos, oferece o controlo mais detalhado para gerir ligações. A aceitação de consumidores por ponto final do Private Service Connect aplica-se apenas a pontos finais do Private Service Connect e não suporta back-ends do Private Service Connect.

Ao contrário dos projetos ou das redes VPC, só pode aceitar ou rejeitar um ponto final do Private Service Connect individual depois de o consumidor criar o ponto final. Isto deve-se ao facto de o URI exclusivo de um ponto final não ser conhecido até o consumidor criar o ponto final. A adição de um ponto final a uma lista de aceitação de consumidores envolve os seguintes passos:

O produtor publica um serviço que requer aprovação explícita, sem adicionar valores à lista de aceitação do consumidor.
Um consumidor cria um ponto final que se liga ao serviço publicado. A associação é visível no anexo de serviço com o estado Pending.
Para encontrar o URI baseado no ID do ponto final pendente, o produtor pode descrever a associação do serviço ou o consumidor pode descrever o ponto final.
O produtor adiciona o URI baseado no ID do ponto final à lista de aceitação do consumidor. A associação é estabelecida e o respetivo estado é alterado para Accepted.