管理已发布的服务
本页面介绍了如何管理对已发布服务的访问请求、如何更改已发布服务的连接偏好设置,以及如何配置连接协调。
每个服务连接都有一个连接偏好设置,用于控制是否自动接受连接。
- 自动接受所有连接。服务连接会自动接受来自任何使用方的所有入站连接请求。
- 明确接受来自所选使用方的连接。仅当使用方在服务连接的使用方接受列表中时,服务连接才会接受入站连接请求。您可以按项目、VPC 网络或单独的 Private Service Connect 端点(预览版)指定使用方。您不能在同一使用方接受或拒绝列表中包含不同类型的使用方。
对于任一连接偏好设置,已被接受的连接都可能会被阻止传入连接的组织政策覆盖并被拒绝。
我们建议您明确接受来自所选使用方的连接。如果您通过其他方式控制使用方访问权限并希望启用对服务的宽松访问权限,则自动接受所有连接可能比较合适。
如需详细了解如何发布服务,请参阅发布服务。
角色
以下 IAM 角色提供了执行本指南中的任务所需的权限。
- Compute Network Admin
(
roles/compute.networkAdmin)
管理对已发布服务的访问权限
如果您已发布经过明确批准的服务,则可以通过更新使用方列表来接受或拒绝连接。 如需接受连接,请将请求连接的使用方的项目、VPC 网络或各个 Private Service Connect 端点添加到服务的使用方接受列表。您可以通过更新使用方拒绝列表来明确拒绝连接,方法相同。
您可以在使用方请求连接之前或之后,将项目或 VPC 网络添加到使用方列表。您只能在连接请求之后添加端点,因为在创建端点之前,端点的 URI 是未知的。
使用方列表中的所有值必须属于同一类型。例如,您无法同时基于使用方项目和各个端点接受某些连接。如果您将同一值同时添加到接受列表和拒绝列表,则来自相应使用方的连接请求会被拒绝。
默认情况下,对使用方列表的更改只会影响新的或待处理的连接。 除非您已启用连接协调,否则之前接受的连接不会终止。
控制台
您可以通过接受或拒绝现有连接请求,或者通过更新使用方接受和拒绝列表,来管理经过明确批准的服务的访问权限。这两种方法具有相同的结果,且会更新相同的使用方列表。
查看已发布服务的详细信息
在 Cloud de Confiance 控制台中,前往 Private Service Connect 页面。
点击已发布服务标签页。
点击要管理的服务。
接受或拒绝连接请求
- 如果您的服务配置为根据使用方项目接受连接,则已连接的项目部分会列出已尝试连接到此服务的项目。选中一个或多个项目旁边的复选框,然后点击接受项目或拒绝项目。
- 如果您的服务配置为接受各个 Private Service Connect 端点,请点击正在等待批准,查看尝试连接到此服务的端点。选中一个或多个端点旁边的复选框,然后点击接受端点或拒绝端点。
- 如果您的服务配置为根据 VPC 网络接受使用方,则只能通过更新使用方接受和拒绝列表来接受或拒绝连接,如以下部分所述。
更新使用方接受和拒绝列表
- 点击修改服务详细信息。
- 可选:选择新的连接偏好设置。
完成以下适用步骤。您可以针对要添加的每个使用方重复此步骤。
- 对于接受选定项目的连接,请点击添加接受的项目,然后输入项目和连接限制。
- 对于接受选定网络的连接,点击添加接受的网络,然后输入项目、VPC 网络和连接限制。
对于接受选定端点的连接,点击添加接受的端点,然后输入项目和端点的 ID。
您可以查看已发布的服务,然后在正在等待批准部分中查看端点 ID 的值,从而找到端点的 ID。
gcloud
如需查看您要修改的服务连接的现有连接和待处理连接,请使用
gcloud beta compute service-attachments describe命令。gcloud beta compute service-attachments describe ATTACHMENT_NAME \ --region=REGION替换以下内容:
ATTACHMENT_NAME:服务连接的名称。REGION:服务连接的区域。
输出类似于以下示例。如果存在任何待处理的使用方连接,则这些连接会以
PENDING状态列出。endpointWithId字段中会显示 Private Service Connect 端点的基于 ID 的 URI,您可以使用该 URI 接受或拒绝各个端点。在此示例输出中,项目
CONSUMER_PROJECT_1位于接受列表中,因此接受ENDPOINT_1并且可以连接到相应服务。项目CONSUMER_PROJECT_2不在接受列表中,因此ENDPOINT_2处于待处理状态。将CONSUMER_PROJECT_2添加到接受列表后,ENDPOINT_2的状态会更改为ACCEPTED,并且端点可以连接到相应服务。connectedEndpoints: - consumerNetwork: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_1/global/networks/CONSUMER_NETWORK_1 endpoint: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_1/regions/REGION_1/forwardingRules/ENDPOINT_1 endpointWithId: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_1/regions/REGION_1/forwardingRules/RESOURCE_ID_1 pscConnectionId: 'ENDPOINT_1_ID' status: ACCEPTED - consumerNetwork: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_2/global/networks/CONSUMER_NETWORK_2 endpoint: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/ENDPOINT_2 endpointWithId: https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/RESOURCE_ID_2 pscConnectionId: 'ENDPOINT_2_ID' status: PENDING connectionPreference: ACCEPT_MANUAL consumerAcceptLists: - connectionLimit: LIMIT_1 projectIdOrNum: CONSUMER_PROJECT_1 creationTimestamp: 'TIMESTAMP' description: 'DESCRIPTION' enableProxyProtocol: false fingerprint: FINGERPRINT id: 'ID' kind: compute#serviceAttachment name: NAME natSubnets: - https://www.googleapis.com/compute/beta/projects/PRODUCER_PROJECT/regions/REGION/subnetworks/PSC_SUBNET pscServiceAttachmentId: high: 'PSC_ATTACH_ID_HIGH' low: 'PSC_ATTACH_ID_LOW' region: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION selfLink: https://www.googleapis.com/compute/v1/projects/projects/PRODUCER_PROJECT/regions/REGION/serviceAttachments/ATTACHMENT_NAME targetService: https://www.googleapis.com/compute/v1/projects/PRODUCER_PROJECT/regions/REGION/forwardingRules/PRODUCER_FWD_RULE
如需接受或拒绝使用方连接,请执行以下操作。
如需根据项目或 VPC 网络接受或拒绝使用方,请使用
gcloud compute service-attachments update命令。您可以指定
--consumer-accept-list和/或--consumer-reject-list。您可以在--consumer-accept-list和--consumer-reject-list中指定多个值。 您可以添加 VPC 项目或网络,但不能同时添加项目和网络。gcloud compute service-attachments update ATTACHMENT_NAME \ --region=REGION \ --consumer-accept-list=ACCEPTED_PROJECT_OR_NETWORK_1=LIMIT_1,ACCEPTED_PROJECT_OR_NETWORK_2=LIMIT_2 \ --consumer-reject-list=REJECTED_PROJECT_OR_NETWORK_1,REJECTED_PROJECT_OR_NETWORK_2替换以下内容:
ATTACHMENT_NAME:服务连接的名称。REGION:服务连接所在区域。ACCEPTED_PROJECT_OR_NETWORK_1和ACCEPTED_PROJECT_OR_NETWORK_2:要接受的项目 ID、项目名称或网络网址。--consumer-accept-list是可选项,可以包含一个或多个项目或网络,但不能同时包含这两种类型。LIMIT_1和LIMIT_2:项目或网络的连接限制。连接限制是指可以连接到此服务的使用方端点的数量。REJECTED_PROJECT_OR_NETWORK_1和REJECTED_PROJECT_OR_NETWORK_2:要拒绝的项目 ID、项目名称或网络网址。--consumer-reject-list是可选项,可以包含一个或多个项目或网络,但不能同时包含这两种类型。
如需接受或拒绝各个 Private Service Connect 端点(预览版),请使用
gcloud beta compute service-attachments update命令。gcloud beta compute service-attachments update ATTACHMENT_NAME \ --region=REGION \ --consumer-accept-list=ACCEPTED_ENDPOINT_URI_1,ACCEPTED_ENDPOINT_URI_2 \ --consumer-reject-list=REJECTED_ENDPOINT_URI_1,REJECTED_ENDPOINT_URI_2替换以下内容:
ACCEPTED_ENDPOINT_URI_1和ACCEPTED_ENDPOINT_URI_2:要接受的一个或多个 Private Service Connect 端点的基于 ID 的 URI。如需查找 Private Service Connect 端点的基于 ID 的 URI,请描述已连接的服务连接并检查endpointWithId字段,或描述 Private Service Connect 端点并检查selfLinkWithId字段。--consumer-accept-list为可选项。例如,在本部分开头的示例输出中,待处理的 Private Service Connect 端点的基于 ID 的 URI 为
https://www.googleapis.com/compute/beta/projects/CONSUMER_PROJECT_2/regions/REGION_2/forwardingRules/RESOURCE_ID_2REJECTED_ENDPOINT_URI_1和REJECTED_ENDPOINT_URI_2:要拒绝的一个或多个 Private Service Connect 端点的基于 ID 的 URI。--consumer-reject-list为可选项。
API
如需描述您要修改的服务连接,请向
serviceAttachments.get方法发送请求。HTTP 方法和网址:
GET https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
替换以下内容:
PROJECT_ID:服务连接的项目。REGION:该服务连接的区域。ATTACHMENT_NAME:服务连接的名称。
如果存在任何待处理的使用方连接,则这些连接会以
PENDING状态列出。endpointWithId字段中会显示 Private Service Connect 端点的基于 ID 的 URI,您可以使用该 URI 接受或拒绝各个端点。请记下
fingerprint值,您会在下一步中使用它。如需接受或拒绝使用方项目或网络,请向
serviceAttachments.patch方法发送请求。您可以按项目或 VPC 网络在接受和拒绝使用方之间进行更改,但不能在同一请求中同时添加项目和网络。
如需根据项目接受或拒绝使用方,请发送以下请求。
HTTP 方法和网址:
PATCH https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
请求 JSON 正文:
{ "consumerAcceptLists": [ { "projectIdOrNum": "ACCEPTED_PROJECT_1", "connectionLimit": "LIMIT_1" }, { "projectIdOrNum": "ACCEPTED_PROJECT_2", "connectionLimit": "LIMIT_2" } ], "consumerRejectLists": [ "REJECTED_PROJECT_1", "REJECTED_PROJECT_2" ], "fingerprint" : "FINGERPRINT" }替换以下内容:
PROJECT_ID:服务连接的项目。REGION:该服务连接的区域。ATTACHMENT_NAME:服务连接的名称。ACCEPTED_PROJECT_1和ACCEPTED_PROJECT_2:要接受的项目的 ID 或编号。consumerAcceptList是可选项,可以包含一个或多个项目。LIMIT_1和LIMIT_2:相应项目的连接限制。连接限制是指可以连接到此服务的使用方端点的数量。REJECTED_PROJECT_1和REJECTED_PROJECT_2:要拒绝的项目的 ID 或编号。consumerRejectList是可选项,可以包含一个或多个项目。FINGERPRINT:您在上一步中获取的服务连接最新指纹。
如需根据 VPC 网络接受或拒绝使用方,请发送以下请求。
HTTP 方法和网址:
PATCH https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
请求 JSON 正文:
{ "consumerAcceptLists": [ { "networkUrl": "projects/ACCEPTED_PROJECT_ID_1/global/network/ACCEPTED_NETWORK_1", "connectionLimit": "LIMIT_1" }, { "networkUrl": "projects/ACCEPTED_PROJECT_ID_2/global/network/ACCEPTED_NETWORK_2", "connectionLimit": "LIMIT_2" } ], "consumerRejectLists": [ "projects/REJECTED_PROJECT_ID_1/global/networks/REJECTED_NETWORK_1", "projects/REJECTED_PROJECT_ID_2/global/network/REJECTED_NETWORK_2" ], "fingerprint": "FINGERPRINT" }替换以下内容:
ACCEPTED_PROJECT_ID_1和ACCEPTED_PROJECT_ID_2:您要接受的网络的父级项目的 ID。consumerAcceptLists是可选项,可以包含一个或多个网络。ACCEPTED_NETWORK_1和ACCEPTED_NETWORK_2:您要接受的网络的名称。LIMIT_1和LIMIT_2:网络的连接限制。连接限制是指可以连接到此服务的使用方端点的数量。REJECTED_PROJECT_ID_1和REJECTED_PROJECT_ID_2:您要拒绝的网络的父级项目的 ID。consumerRejectLists是可选项,可以包含一个或多个网络。REJECTED_NETWORK_1和REJECTED_NETWORK_2:您要拒绝的网络的名称。
如需根据各个 Private Service Connect 端点(预览版)接受或拒绝使用方,请发送以下请求。
HTTP 方法和网址:
PATCH https://compute.s3nsapis.fr/compute/beta/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
请求 JSON 正文:
{ "consumerAcceptLists": [ { "endpointUrl": "ACCEPTED_ENDPOINT_URI_1" }, { "endpointUrl": "ACCEPTED_ENDPOINT_URI_2" } ], "consumerRejectLists": [ "REJECTED_ENDPOINT_URI_1", "REJECTED_ENDPOINT_URI_2" ], "fingerprint": "FINGERPRINT" }替换以下内容:
ACCEPTED_ENDPOINT_URI_1和ACCEPTED_ENDPOINT_URI_2:要接受的一个或多个 Private Service Connect 端点的基于 ID 的 URI。如需查找 Private Service Connect 端点的基于 ID 的 URI,请描述已连接的服务连接并检查endpointWithId字段,或描述端点并检查selfLinkWithId字段。基于 ID 的 URI 示例:https://www.googleapis.com/compute/beta/projects/consumer-project/regions/us-central1/forwardingRules/1234567890此列表是可选的。
REJECTED_ENDPOINT_URI_1和REJECTED_ENDPOINT_URI_2:要拒绝的一个或多个 Private Service Connect 端点的基于 ID 的 URI。此列表是可选的。
更改已发布服务的连接偏好设置
对于已发布服务,您可以在自动接受使用方与明确接受使用方之间切换。此更改对现有连接的影响取决于是否为服务连接启用了连接协调。
如果停用了连接协调,更改连接偏好设置不会影响现有的 ACCEPTED 或 REJECTED 连接:
- 当您从自动接受切换到明确接受时,新连接必须位于使用方接受列表中才能被
ACCEPTED。 - 当您从明确接受切换到自动接受时,任何现有的
PENDING连接都会自动ACCEPTED。
如果启用了连接协调,系统会根据新的连接偏好设置重新评估所有现有连接:
- 当您从自动接受切换到明确接受时,来自不在使用方接受列表中的使用方的任何现有连接都会更改为
PENDING,并且这些连接会终止。 - 当您从明确接受更改为自动接受时,所有现有的
PENDING和REJECTED连接都会更改为ACCEPTED。
如需详细了解如何更新服务的使用方接受列表,请参阅管理对已发布服务的访问请求。
控制台
在 Cloud de Confiance 控制台中,前往 Private Service Connect 页面。
点击已发布服务标签页。
点击要更新的服务,然后点击修改服务详细信息。
选择要为此服务使用的新连接偏好设置。
可选:如果您要切换为使用明确接受,则可以立即将使用方添加到接受列表中,也可以稍后再添加。 如需接受使用方,请执行以下操作之一。您可以针对要添加的每个使用方重复此步骤。
- 对于接受选定项目的连接,请点击添加接受的项目,然后输入项目和连接限制。
- 对于接受选定网络的连接,点击添加接受的网络,然后输入项目、VPC 网络和连接限制。
- 对于接受选定端点的连接,点击添加接受的端点,然后输入项目和端点的 ID。
点击保存。
gcloud
如需将服务连接的连接偏好设置从
ACCEPT_AUTOMATIC更改为ACCEPT_MANUAL,请使用gcloud compute service-attachments update命令。您可以使用
--consumer-accept-list和--consumer-reject-list控制哪些项目可以连接到您的服务。您可以在更改连接偏好设置时配置接受列表和拒绝列表,也可以稍后更新这些列表。gcloud compute service-attachments update ATTACHMENT_NAME \ --region=REGION \ --connection-preference=ACCEPT_MANUAL \ [ --consumer-accept-list=ACCEPTED_PROJECT_OR_NETWORK_1=LIMIT_1,ACCEPTED_PROJECT_OR_NETWORK_2=LIMIT_2] \ [ --consumer-reject-list=REJECTED_PROJECT_OR_NETWORK_1,REJECTED_PROJECT_OR_NETWORK_2 ]请替换以下内容:
ATTACHMENT_NAME:服务连接的名称。REGION:服务连接所在区域。ACCEPTED_PROJECT_OR_NETWORK_1和ACCEPTED_PROJECT_OR_NETWORK_2:要接受的项目 ID、项目名称或网络网址。--consumer-accept-list是可选项,可以包含一个或多个项目或网络,但不能同时包含这两种类型。LIMIT_1和LIMIT_2:相应项目的连接限制。连接限制是指可以连接到此服务的使用方端点的数量。REJECTED_PROJECT_OR_NETWORK_1和REJECTED_PROJECT_OR_NETWORK_2:要拒绝的项目 ID、项目名称或网络网址。--consumer-reject-list是可选项,可以包含一个或多个项目或网络,但不能同时包含这两种类型。
如需将服务连接的连接偏好设置从
ACCEPT_MANUAL更改为ACCEPT_AUTOMATIC,请使用以下命令。如果您的接受列表或拒绝列表中包含值,请在更改连接偏好设置 (
"") 时将这些值设置为空。gcloud compute service-attachments update ATTACHMENT_NAME \ --region=REGION \ --connection-preference=ACCEPT_AUTOMATIC \ --consumer-accept-list="" \ --consumer-reject-list=""请替换以下内容:
ATTACHMENT_NAME:服务连接的名称。REGION:服务连接所在区域。
API
如需获取服务连接的
fingerprint,请向serviceAttachments.get方法发送请求。HTTP 方法和网址:
GET https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
替换以下内容:
PROJECT_ID:服务连接的项目。REGION:该服务连接的区域。ATTACHMENT_NAME:服务连接的名称。
请记下
fingerprint值,您会在下一步中使用它。如需更改服务连接的连接偏好设置,请向
serviceAttachments.patch方法发送请求。如需将连接偏好设置从
ACCEPT_AUTOMATIC更改为ACCEPT_MANUAL,并根据项目更新使用方接受和拒绝列表,请发出以下请求。HTTP 方法和网址:
PATCH https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
请求 JSON 正文:
{ "connectionPreference": "ACCEPT_MANUAL", "consumerAcceptLists": [ { "projectIdOrNum": "ACCEPTED_PROJECT_1" "connectionLimit": "LIMIT_1", }, { "projectIdOrNum": "ACCEPTED_PROJECT_2" "connectionLimit": "LIMIT_2", } ], "consumerRejectLists": [ "REJECTED_PROJECT_1", "REJECTED_PROJECT_2", ], "fingerprint" : "FINGERPRINT" }替换以下内容:
PROJECT_ID:服务连接的项目。REGION:该服务连接的区域。ATTACHMENT_NAME:服务连接的名称。ACCEPTED_PROJECT_1和ACCEPTED_PROJECT_2:要接受的项目的项目 ID 或编号。consumerAcceptList是可选项,可以包含一个或多个项目。LIMIT_1和LIMIT_2:相应项目的连接限制。连接限制是指可以连接到此服务的使用方端点的数量。REJECTED_PROJECT_1和REJECTED_PROJECT_2:要拒绝的项目的 ID 或编号。consumerRejectList是可选项,可以包含一个或多个项目。FINGERPRINT:您在第 1 步中获取的服务连接最新指纹。
如需将连接偏好设置从
ACCEPT_AUTOMATIC更改为ACCEPT_MANUAL,并根据 VPC 网络更新使用方接受和拒绝列表,请发出以下请求。HTTP 方法和网址:
PATCH https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
请求 JSON 正文:
{ "connectionPreference": "ACCEPT_MANUAL", "consumerAcceptLists": [ { "networkUrl": "projects/ACCEPTED_PROJECT_ID_1/global/networks/ACCEPTED_NETWORK_1", "connectionLimit": "LIMIT_1" }, { "networkUrl": "projects/ACCEPTED_PROJECT_ID_2/global/networks/ACCEPTED_NETWORK_2", "connectionLimit": "LIMIT_2" } ], "consumerRejectLists": [ "projects/REJECTED_PROJECT_ID_1/global/networks/REJECTED_NETWORK_1", "projects/REJECTED_PROJECT_ID_2/global/network/REJECTED_NETWORK_2" ], "fingerprint" : "FINGERPRINT" }替换以下内容:
ACCEPTED_PROJECT_ID_1和ACCEPTED_PROJECT_ID_2:您要接受的网络的父级项目的 ID。consumerAcceptLists是可选项,可以包含一个或多个网络。ACCEPTED_NETWORK_1和ACCEPTED_NETWORK_2:您要接受的网络的名称。LIMIT_1和LIMIT_2:网络的连接限制。连接限制是指可以连接到此服务的使用方端点的数量。REJECTED_PROJECT_ID_1和REJECTED_PROJECT_ID_2:您要拒绝的网络的父级项目的 ID。consumerRejectLists是可选项,可以包含一个或多个网络。REJECTED_NETWORK_1和REJECTED_NETWORK_2:您要拒绝的网络的名称。FINGERPRINT:您在第 1 步中获取的服务连接最新指纹。
如需将服务连接的连接偏好设置从
ACCEPT_MANUAL更改为ACCEPT_AUTOMATIC,请发出以下请求。如果
consumerAcceptLists或consumerRejectLists字段指定了任何使用方,请在将连接偏好设置更改为ACCEPT_AUTOMATIC时将其设置为空。HTTP 方法和网址:
PATCH https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
请求 JSON 正文:
{ "connectionPreference": "ACCEPT_AUTOMATIC", "consumerAcceptLists": [ ], "consumerRejectLists": [ ], "fingerprint" : "FINGERPRINT" }替换以下内容:
PROJECT_ID:服务连接的项目。REGION:该服务连接的区域。ATTACHMENT_NAME:服务连接的名称。FINGERPRINT:您在第 1 步中获取的服务连接最新指纹。
配置连接协调
您可以为现有服务连接启用或停用连接协调功能。
控制台
在 Cloud de Confiance 控制台中,前往 Private Service Connect 页面。
点击已发布服务标签页。
点击要更新的服务,然后点击修改服务详细信息。
选中或清除启用连接协调复选框,然后点击保存。
gcloud
如需启用连接协调,请使用
service-attachments update命令。gcloud compute service-attachments update ATTACHMENT_NAME \ --region=REGION \ --reconcile-connections替换以下内容:
ATTACHMENT_NAME:服务连接的名称。REGION:服务连接的区域。
如需停用连接协调,请使用以下命令:
gcloud compute service-attachments update ATTACHMENT_NAME \ --region=REGION \ --no-reconcile-connections
API
如需获取服务连接的
fingerprint,请向serviceAttachments.get方法发送请求。HTTP 方法和网址:
GET https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
替换以下内容:
PROJECT_ID:服务连接的项目。REGION:该服务连接的区域。ATTACHMENT_NAME:服务连接的名称。
请记下
fingerprint值,您会在下一步中使用它。向
serviceAttachments.patch方法发送请求。HTTP 方法和网址:
PATCH https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
请求 JSON 正文:
{ "reconcileConnections": RECONCILIATION, "fingerprint": "FINGERPRINT" }替换以下内容:
PROJECT_ID:服务连接的项目。REGION:该服务连接的区域。ATTACHMENT_NAME:服务连接的名称。RECONCILIATION:是否启用连接协调。选项为true或false。FINGERPRINT:您在上一步中获取的服务连接最新指纹。
为已发布的服务添加子网或从中移除子网
您可以修改已发布的服务,以添加 Private Service Connect 子网。
例如,您可能需要为现有服务提供更多 IP 地址。如需添加更多地址,请执行以下操作之一:
创建另一个 Private Service Connect 子网,并修改服务连接,以添加新子网。
修改子网,以扩展 IPv4 范围。
同样,您可以修改已发布的服务,以移除 Private Service Connect 子网。但是,如果子网的任何 IP 地址正用于执行 Private Service Connect 的 SNAT,则移除子网将失败。
如果您更改了子网配置,请更新防火墙规则以允许来自新子网的请求到达后端虚拟机。
控制台
在 Cloud de Confiance 控制台中,前往 Private Service Connect 页面。
点击已发布服务标签页。
点击您要更新的服务,然后点击修改服务详情。
修改用于此服务的子网。
如果要添加新子网,您可以按照如下方式创建一个:
- 点击预留新子网。
- 输入子网的名称和(可选)说明。
- 为子网选择区域。
- 输入用于子网的 IP 范围,然后点击添加。
点击保存。
gcloud
如需更新用于此服务连接的 Private Service Connect 子网,请使用 gcloud compute service-attachments update 命令。
gcloud compute service-attachments update ATTACHMENT_NAME \
--region=REGION \
--nat-subnets=PSC_SUBNET_LIST
替换以下内容:
ATTACHMENT_NAME:服务连接的名称。REGION:服务连接所在区域。PSC_SUBNET_LIST:用于此服务连接的一个或多个子网的英文逗号分隔列表。
API
如需获取服务连接的
fingerprint,请向serviceAttachments.get方法发送请求。HTTP 方法和网址:
GET https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
替换以下内容:
PROJECT_ID:服务连接的项目。REGION:该服务连接的区域。ATTACHMENT_NAME:服务连接的名称。
请记下
fingerprint值,您会在下一步中使用它。如需更新用于此服务连接的 Private Service Connect 子网,请向
serviceAttachments.patch方法发送请求。HTTP 方法和网址:
PATCH https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME
请求 JSON 正文:
{ "natSubnets": [ "PSC_SUBNET1_URI", "PSC_SUBNET2_URI" ], "fingerprint": "FINGERPRINT" }替换以下内容:
PROJECT_ID:服务连接的项目。REGION:该服务连接的区域。ATTACHMENT_NAME:服务连接的名称。PSC_SUBNET1_URI和PSC_SUBNET2_URI:您要用于此服务连接的子网的 URI。您可以指定一个或多个子网。FINGERPRINT:您在上一步中获取的服务连接最新指纹。