הגדרת כללי מדיניות לחיבור שירותים

בדף הזה מוסבר איך מנהל רשת יכול להגדיר מדיניות של חיבור שירות כדי ליצור אוטומציה של קישוריות פרטית לשירות מנוהל.

לפני שמתחילים

התפקידים הנדרשים

כדי לקבל את ההרשאות שנדרשות להגדרת רשת וליצירת מדיניות של חיבור שירות, צריך לבקש מהאדמין להקצות לכם ב-IAM את התפקיד אדמין רשת של Compute (roles/compute.networkAdmin) בפרויקט. להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

כדי להשתמש במדיניות חיבור לשירות עם VPC משותף, צריך להעניק תפקידים לחשבונות השירות של Network Connectivity בפרויקטים של השירות והמארח. חשבונות השירות האלה מוגדרים באופן אוטומטי כשיוצרים מדיניות של חיבור שירות, אבל אפשר להסיר את התפקידים באופן ידני. אם מופיעות שגיאות לגבי הרשאות חסרות, יכול להיות שאדמין של חשבון שירות יצטרך להקצות את התפקידים מחדש. מידע נוסף זמין במאמר הגדרת חשבונות שירות ל-VPC משותף.

יצירת מדיניות לחיבור שירות

מדיניות חיבור לשירות מאפשרת לכם להעניק הרשאה לסוג השירות שצוין ליצור חיבור Private Service Connect בין רשתות VPC של ספק וצרכן.

אפשר ליצור מדיניות אחת לכל שילוב של סוג שירות, אזור ורשת VPC. המדיניות מכתיבה את האוטומציה של קישוריות השירות לשילוב הספציפי הזה.

כשמגדירים מדיניות, בוחרים רשת משנה אחת או יותר. רשתות המשנה האלה משמשות להקצאת כתובות IP לנקודות הקצה שנוצרות באמצעות המדיניות. סוג ה-stack של רשת משנה משפיע על גרסת ה-IP האפשרית של נקודות הקצה שאפשר לפרוס. אפשר להשתמש באותה רשת משנה בכמה מדיניות חיבור אם המדיניות חלה על אותו אזור.

לדוגמה, אם רוצים להשתמש באוטומציה של קישוריות שירות עם שני שירותים בשלושה אזורים שונים, צריך ליצור שש מדיניות. אפשר להשתמש בשלוש רשתות משנה לפחות – אחת לכל אזור.

אחרי שיוצרים מדיניות של חיבור לשירות, אפשר לעדכן רק את רשתות המשנה, את המגבלה על החיבור ואת היקף מופע השירות של המדיניות. אם אתם צריכים לעדכן שדות אחרים, אתם צריכים למחוק את המדיניות וליצור מדיניות חדשה.

המסוף

  1. נכנסים לדף Private Service Connect במסוף Google Cloud .

    מעבר אל Private Service Connect

  2. לוחצים על הכרטיסייה Connection Policies (מדיניות חיבור).

  3. לוחצים על יצירת מדיניות לקישור.

  4. מזינים שם למדיניות החיבור.

  5. מציינים את סוג השירות.

    • בשירותי Google, מבצעים את הפעולות הבאות:
      1. בקטע פרטי השירות, בוחרים באפשרות שירותי Google.
      2. בוחרים את סוג השירות מהתפריט Service class.
    • לשירותים של צד שלישי, מבצעים את הפעולות הבאות:
      1. בקטע פרטי שירות, בוחרים באפשרות שירות של צד שלישי.
      2. בשדה Service class, מזינים את שם מחלקת השירות.

  6. בקטע Endpoints scope, בוחרים Network ו-Region שהמדיניות הזו חלה עליהם.

  7. בקטע Endpoints configuration (הגדרת נקודות קצה), בוחרים רשת משנה אחת או יותר מהתפריט Subnetworks (רשתות משנה). רשתות המשנה משמשות להקצאת כתובות IP לנקודות קצה.

  8. אופציונלי: מציינים מגבלת חיבור למדיניות. המגבלה קובעת כמה נקודות קצה אפשר ליצור באמצעות מדיניות החיבור הזו. אם משמיטים את השדה הזה, אין הגבלה.

  9. כברירת מחדל, נקודות קצה נוצרות עבור מופעי שירות שנמצאים באותו פרויקט כמו מדיניות הקישור. אם בחרתם שירות נתמך של Google, תוכלו להגדיר את מדיניות הקישור כדי לאפשר לכם להתחבר למופעי שירות שנמצאים בחלק אחר של ההיררכיה של מנהל המשאבים.

    כדי לבחור צמתים שונים ב-Resource Manager:

    1. בוחרים באפשרות היקף מותאם אישית של מופע שירות.
    2. בוחרים את הארגונים, התיקיות והפרויקטים שמכילים את מופעי השירות שרוצים להתחבר אליהם.

  10. לוחצים על יצירת מדיניות.

gcloud

משתמשים בפקודה service-connection-policies create.

gcloud network-connectivity service-connection-policies create POLICY_NAME \
    --network=NETWORK \
    --project=PROJECT_ID \
    --region=REGION \
    --service-class=SERVICE_CLASS \
    --subnets=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETS \
    --psc-connection-limit=LIMIT \
    --description=DESCRIPTION \
    --producer-instance-location=SERVICE_INSTANCE_SCOPE \
    --allowed-google-producers-resource-hierarchy-level=LIST_OF_NODES

מחליפים את מה שכתוב בשדות הבאים:

  • POLICY_NAME: השם של מדיניות חיבור השירות.
  • NETWORK: הרשת שבה רוצים להחיל את המדיניות הזו.
  • PROJECT_ID: מזהה הפרויקט או מספר הפרויקט של רשת ה-VPC. ברשתות VPC משותפות, צריך לפרוס את מדיניות חיבור השירות בפרויקט המארח, ואין תמיכה בה בפרויקטים של שירותים.
  • REGION: האזור שבו המדיניות הזו חלה. צריכה להיות מדיניות זהה לכל אזור שבו רוצים להפוך את הקישוריות לשירות לאוטומטית.
  • SERVICE_CLASS: מזהה המשאב של סוג השירות שסופק על ידי היצרן.
  • SUBNETS: רשת משנה אחת או יותר של צרכנים רגילים שמשמשות להקצאת כתובות IP לנקודות קצה של Private Service Connect. רשתות המשנה צריכות להיות באותו אזור כמו מדיניות החיבור לשירות. אפשר להשתמש מחדש באותה רשת משנה בכמה מדיניות חיבור, אם המדיניות חלה על אותו אזור. אפשר להזין כמה רשתות משנה ברשימה מופרדת בפסיקים.
  • LIMIT: המספר המקסימלי של נקודות קצה שאפשר ליצור באמצעות המדיניות הזו. אם לא מציינים ערך, אין מגבלה.
  • DESCRIPTION: תיאור אופציונלי של מדיניות חיבור השירות.
  • SERVICE_INSTANCE_SCOPE: בשירותים נתמכים בניהול Google, מציין אם המדיניות הזו יוצרת באופן אוטומטי חיבורים למופעי שירות שנמצאים במיקומים מותאמים אישית של מנהל המשאבים. אם הערך הוא none, נוצרות נקודות קצה שמתחברות למופעי שירות שנמצאים באותו פרויקט כמו מדיניות חיבור השירות (או במקרה של VPC משותף, בפרויקטים מקושרים). ערך ברירת המחדל הוא none. אם מגדירים את הערך custom-resource-hierarchy-levels, מציינים את המיקומים המותאמים אישית באמצעות הדגל --allowed-google-producers-resource-hierarchy-level.
  • LIST_OF_NODES: בשביל שירותים מנוהלים נתמכים של Google, מציינים רשימה של צמתים של מנהל המשאבים (פרויקטים, תיקיות וארגונים) שמכילים את מופעי השירות שאליהם רוצים להתחבר. השדה הזה מסומן רק אם הדגל --producer-instance-location מוגדר לערך custom-resource-hierarchy-levels. הרשימה יכולה להכיל כל שילוב של פרויקטים, תיקיות וארגונים. לדוגמה לרשימה, אפשר לעיין בדוגמה הבאה: 
    "projects/1111111111",
"folders/2222222222",
"folders/3333333333",
"organizations/4444444444"

לדוגמה, הפקודה הבאה יוצרת מדיניות לחיבור שירות עבור מחלקת השירות google-cloud-sql שפורסמה על ידי Google. אפשר להשתמש במדיניות כדי להפוך את החיבור למופעי שירות שנפרסו ב-shared-db-service-project לאוטומטי. לנקודות קצה של Private Service Connect שנוצרות באמצעות המדיניות הזו מוקצות כתובות IP מתת-הרשת endpoint-subnet. אפשר ליצור עד 10 נקודות קצה באמצעות המדיניות הזו.

gcloud network-connectivity service-connection-policies create google-cloud-sql-policy \
    --network=default \
    --project=my-project \
    --region=us-central1 \
    --service-class=google-cloud-sql \
    --subnets=endpoint-subnet \
    --psc-connection-limit=10 \
    --producer-instance-location=custom-resource-hierarchy-levels \
    --allowed-producer-instance-scope=projects/shared-db-service-project

Terraform

אתם יכולים להשתמש במשאב של Terraform כדי ליצור מדיניות של חיבור שירות.

# Create a VPC network
resource "google_compute_network" "default" {
  name                    = "consumer-network"
  auto_create_subnetworks = false
}

# Create a subnetwork
resource "google_compute_subnetwork" "default" {
  name          = "consumer-subnet"
  ip_cidr_range = "10.0.0.0/16"
  region        = "us-central1"
  network       = google_compute_network.default.id
}

# Create a service connection policy
resource "google_network_connectivity_service_connection_policy" "default" {
  name          = "service-connection-policy"
  location      = "us-central1"
  service_class = "gcp-memorystore-redis"
  network       = google_compute_network.default.id
  psc_config {
    subnetworks = [google_compute_subnetwork.default.id]
    limit       = 2
  }
}

כדי ללמוד איך להחיל הגדרות ב-Terraform או להסיר אותן, ראו פקודות בסיסיות ב-Terraform.

API

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • PROJECT_ID: מזהה הפרויקט.
  • REGION: האזור של מדיניות חיבור השירות.
  • POLICY_NAME: השם של מדיניות חיבור השירות.
  • DESCRIPTION: תיאור אופציונלי של מדיניות חיבור השירות.
  • NETWORK: הרשת של מדיניות חיבור השירות.
  • LIMIT: המספר המקסימלי של נקודות קצה שאפשר ליצור באמצעות המדיניות הזו. אם לא מציינים ערך, אין מגבלה.
  • SUBNET: רשת משנה אחת או יותר של צרכנים רגילים שמשמשות להקצאת כתובות IP לנקודות קצה של Private Service Connect. תתי הרשתות צריכות להיות באותו אזור כמו מדיניות חיבור השירות. אפשר להשתמש שוב באותה רשת משנה בכמה כללי מדיניות של חיבורים אם כללי המדיניות חולקים את אותו אזור. אפשר להזין כמה כתובות URI של רשתות משנה ברשימה שמופרדת בפסיקים.
  • SERVICE_CLASS: מזהה המשאב של מחלקת השירות שסופק על ידי היצרן.
  • PRODUCER_INSTANCE_LOCATION: PRODUCER_INSTANCE_LOCATION_UNSPECIFIED (ברירת מחדל) או CUSTOM_RESOURCE_HIERARCHY_LEVELS.
  • LIST_OF_NODES: רשימה של צמתים של מנהל המשאבים (פרויקטים, תיקיות וארגונים) שמכילים את מופעי השירות שאליהם רוצים להתחבר. השדה הזה מסומן רק אם הדגל PRODUCER_INSTANCE_LOCATION מוגדר לערך CUSTOM_RESOURCE_HIERARCHY_LEVELS. הרשימה יכולה להכיל כל שילוב של פרויקטים, תיקיות וארגונים. לדוגמה לרשימה, אפשר לעיין בדוגמה הבאה: 
        "projects/1111111111",
    "folders/2222222222",
    "folders/3333333333",
    "organizations/4444444444"

ה-method של ה-HTTP וכתובת ה-URL: 

POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies?serviceConnectionPolicyId=POLICY_NAME

תוכן בקשת JSON: 

{
  "description": "DESCRIPTION",
  "network": "projects/PROJECT_ID/global/networks/NETWORK",
  "pscConfig": {
    "limit": "LIMIT",
    "subnetworks": [
      "projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET"
    ]
    "producerInstanceLocation": "CUSTOM_RESOURCE_HIERARCHY_LEVELS",
    "allowedGoogleProducersResourceHierarchyLevel": [
      LIST_OF_NODES
    ]
  },
  "serviceClass": "SERVICE_CLASS"
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "name": "projects/project-id/locations/us-central1/operations/operation-1692118768698-602f91a204523-8c6a2d93-d5c20a6a",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.networkconnectivity.v1.OperationMetadata",
    "createTime": "2023-08-15T16:59:29.236110917Z",
    "target": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-name",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

הצגת רשימת כללי המדיניות של חיבורי שירות

המסוף

  1. נכנסים לדף Private Service Connect במסוף Google Cloud .

    כניסה אל Private Service Connect

  2. לוחצים על הכרטיסייה Connection Policies (מדיניות חיבור).

  3. מוצגים כללי המדיניות של החיבור.

gcloud

משתמשים בפקודה service-connection-policies list.

gcloud network-connectivity service-connection-policies list \
    --region=REGION

מחליפים את REGION באזור שבו רוצים להציג את מדיניות החיבור לשירות.

API

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • PROJECT_ID: מזהה הפרויקט.
  • REGION: האזור שבו רוצים להציג את מדיניות חיבור השירות.

ה-method של ה-HTTP וכתובת ה-URL: 

GET https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "serviceConnectionPolicies": [
    {
      "name": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-1",
      "createTime": "2023-08-15T15:33:54.712819865Z",
      "updateTime": "2023-08-15T15:33:54.945630882Z",
      "description": "descriptor",
      "network": "projects/project-id/global/networks/network-two",
      "serviceClass": "service-class",
      "infrastructure": "PSC",
      "pscConfig": {
        "subnetworks": [
          "projects/project-id/regions/us-west1/subnetworks/us-west1-subnet"
        ],
        "limit": "12"
      },
      "etag": "zCqDFBG1dS7B4gNdJKPR98YMUXpSrBIz0tZB_hwOIZI"
    },
    {
      "name": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-2",
      "createTime": "2023-08-15T16:59:29.230257109Z",
      "updateTime": "2023-08-15T16:59:29.508994923Z",
      "description": "descriptor",
      "network": "projects/project-id/global/networks/custom-test",
      "serviceClass": "service-class",
      "infrastructure": "PSC",
      "pscConfig": {
        "subnetworks": [
          "projects/project-id/regions/us-central1/subnetworks/subnet-one"
        ],
        "limit": "25"
      },
      "etag": "nB603i61nRGMZpNjWoWMM6wRzsgM8QN9C9v5QFLyOa8"
    }
  ]
}

תיאור מדיניות לחיבור שירותים

המסוף

  1. נכנסים לדף Private Service Connect במסוף Google Cloud .

    כניסה אל Private Service Connect

  2. לוחצים על הכרטיסייה Connection Policies (מדיניות חיבור).

  3. לוחצים על מדיניות חיבור השירות שרוצים להציג.

gcloud

משתמשים בפקודה service-connection-policies describe.

gcloud network-connectivity service-connection-policies describe POLICY_NAME \
    --region=REGION

מחליפים את מה שכתוב בשדות הבאים:

  • POLICY_NAME: השם של מדיניות חיבור השירות שרוצים לתאר.
  • REGION: האזור של מדיניות חיבור השירות שרוצים לתאר.

API

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • PROJECT_ID: מזהה הפרויקט.
  • REGION: האזור של מדיניות חיבור השירות.
  • POLICY_NAME: השם של מדיניות חיבור השירות שרוצים לתאר.

ה-method של ה-HTTP וכתובת ה-URL: 

GET https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "name": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-name",
  "createTime": "2023-08-15T16:59:29.230257109Z",
  "updateTime": "2023-08-15T16:59:29.508994923Z",
  "description": "description",
  "network": "projects/project-id/global/networks/custom-test",
  "serviceClass": "gcp-memorystore-redis",
  "infrastructure": "PSC",
  "pscConfig": {
    "subnetworks": [
      "projects/project-id/regions/us-central1/subnetworks/subnet-one"
    ],
    "limit": "25"
  },
  "etag": "nB603i61nRGMZpNjWoWMM6wRzsgM8QN9C9v5QFLyOa8"
}

עדכון של מדיניות חיבור לשירות

אפשר לעדכן את רשתות המשנה, את המגבלות על החיבור ואת היקף מופע השירות במדיניות של חיבור שירות.

אם מסירים רשת משנה ממדיניות חיבור השירות, יחולו ההגבלות הבאות:

  • נקודות קצה קיימות של Private Service Connect לא מושפעות.
  • נקודות קצה חדשות לא משתמשות ברשת המשנה שהוסרה.

אם מעדכנים את המגבלה על החיבורים במדיניות חיבור לשירות, הדברים הבאים תקפים:

  • הנקודות הקיימות לא מושפעות.
  • אם מגבלת החיבורים החדשה נמוכה ממספר נקודות הקצה הקיים שמשויכות למדיניות, האוטומציה של קישוריות השירות חוסמת את היצירה של נקודות קצה חדשות שמשתמשות במדיניות הזו.
  • אם מגבלת החיבורים החדשה גבוהה ממספר נקודות הקצה הקיים שמשויכות למדיניות, אפשר ליצור נקודות קצה שנחסמו בעבר בגלל מגבלת החיבורים.

אם מעדכנים מדיניות של חיבור לשירות ולא מציינים מגבלת חיבור, המדיניות המעודכנת לא כוללת מגבלת חיבור.

אם מעדכנים את היקף מופע השירות במדיניות של חיבור לשירות, לא תהיה לכך השפעה על נקודות קצה קיימות.

המסוף

  1. נכנסים לדף Private Service Connect במסוף Google Cloud .

    כניסה אל Private Service Connect

  2. לוחצים על הכרטיסייה Connection Policies (מדיניות חיבור).

  3. לוחצים על מדיניות חיבור השירות שרוצים לערוך.

  4. לוחצים על Edit.

  5. מבצעים את העדכונים במדיניות החיבור לשירות.

  6. לוחצים על עדכון המדיניות.

gcloud

משתמשים בפקודה service-connection-policies update.

gcloud network-connectivity service-connection-policies update POLICY_NAME \
    --region=REGION \
    --project=PROJECT_ID \
    --subnets=SUBNETS \
    --psc-connection-limit=LIMIT
    --producer-instance-location=SERVICE_INSTANCE_SCOPE \
    --allowed-google-producers-resource-hierarchy-level=LIST_OF_NODES
  • POLICY_NAME: השם של מדיניות חיבור השירות.
  • REGION: האזור של מדיניות חיבור השירות. אי אפשר לעדכן את האזור של מדיניות.
  • PROJECT_ID: מזהה הפרויקט או מספר הפרויקט של המדיניות.
  • SUBNETS: רשת משנה אחת או יותר של צרכנים רגילים שמשמשות להקצאת כתובות IP לנקודות קצה של Private Service Connect. רשתות המשנה צריכות להיות באותו אזור כמו מדיניות החיבור לשירות. אפשר להשתמש מחדש באותה רשת משנה בכמה מדיניות חיבור, אם המדיניות חלה על אותו אזור. אפשר להזין כמה רשתות משנה ברשימה מופרדת בפסיקים.
  • LIMIT: המספר המקסימלי של נקודות קצה שאפשר ליצור באמצעות המדיניות הזו. אם לא מציינים ערך, אין מגבלה.
  • SERVICE_INSTANCE_SCOPE: בשירותים נתמכים בניהול Google, מציין אם המדיניות הזו יוצרת באופן אוטומטי חיבורים למופעי שירות שנמצאים במיקומים מותאמים אישית של מנהל המשאבים. אם הערך הוא none, נוצרות נקודות קצה שמתחברות למופעי שירות שנמצאים באותו פרויקט כמו מדיניות חיבור השירות (או במקרה של VPC משותף, בפרויקטים מקושרים). זה ערך ברירת המחדל. אם מגדירים את הערך custom-resource-hierarchy-levels, מציינים את המיקומים המותאמים אישית באמצעות הדגל --allowed-google-producers-resource-hierarchy-level.
  • LIST_OF_NODES: בשביל שירותים מנוהלים נתמכים של Google, מציינים רשימה של צמתים של מנהל המשאבים (פרויקטים, תיקיות וארגונים) שמכילים את מופעי השירות שאליהם רוצים להתחבר. השדה הזה מסומן רק אם הדגל --producer-instance-location מוגדר לערך custom-resource-hierarchy-levels. הרשימה יכולה להכיל כל שילוב של פרויקטים, תיקיות וארגונים. לדוגמה לרשימה, אפשר לעיין בדוגמה הבאה: 
    "projects/1111111111",
"folders/2222222222",
"folders/3333333333",
"organizations/4444444444"

API

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • PROJECT_ID: מזהה הפרויקט.
  • REGION: האזור של מדיניות חיבור השירות. אי אפשר לעדכן את האזור של מדיניות.
  • POLICY_NAME: השם של מדיניות חיבור השירות.
  • LIMIT: המספר המקסימלי של נקודות קצה שאפשר ליצור באמצעות המדיניות הזו. אם לא מציינים ערך, אין מגבלה.
  • SUBNET: רשת משנה אחת או יותר של צרכנים רגילים שמשמשות להקצאת כתובות IP לנקודות קצה של Private Service Connect. תתי הרשתות צריכות להיות באותו אזור כמו מדיניות חיבור השירות. אפשר להשתמש באותה רשת משנה בכמה כללי מדיניות של חיבורים אם כללי המדיניות חולקים את אותו אזור. אפשר להזין כמה כתובות URI של רשתות משנה ברשימה שמופרדת בפסיקים.
  • NETWORK: הרשת של מדיניות חיבור השירות.

ה-method של ה-HTTP וכתובת ה-URL: 

PATCH https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME

תוכן בקשת JSON: 

{
  "pscConfig": {
    "limit": "LIMIT",
    "subnetworks": [
      "projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET"
    ]
  },
  "network": "projects/PROJECT_ID/global/networks/NETWORK"
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "name": "projects/project-id/locations/us-central1/operations/operation-1692118768698-602f91a204523-8c6a2d93-d5c20a6a",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.networkconnectivity.v1.OperationMetadata",
    "createTime": "2023-08-15T16:59:29.236110917Z",
    "target": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-name",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

מחיקה של מדיניות חיבור לשירות

אפשר למחוק מדיניות של חיבור שירות אם סיימתם להשתמש בשירות או אם אתם רוצים להפסיק את האוטומציה של הקישוריות. אם יש חיבורים פעילים של Private Service Connect שמשויכים למדיניות, המחיקה של המדיניות נחסמת. לפני שמוחקים מדיניות של חיבור שירות, צריך למחוק את כל החיבורים הפעילים על ידי הוצאה משימוש של כל מופעי השירות המשויכים.

המסוף

  1. נכנסים לדף Private Service Connect במסוף Google Cloud .

    כניסה אל Private Service Connect

  2. לוחצים על הכרטיסייה Connection Policies (מדיניות חיבור).

  3. בוחרים את מדיניות החיבור לשירות שרוצים למחוק ולוחצים על מחיקה.

gcloud

משתמשים בפקודה service-connection-policies delete.

gcloud network-connectivity service-connection-policies delete POLICY_NAME \
    --region=REGION

מחליפים את מה שכתוב בשדות הבאים:

  • POLICY_NAME: השם של מדיניות חיבור השירות שרוצים למחוק.
  • REGION: האזור של מדיניות חיבור השירות שרוצים למחוק.

API

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • PROJECT_ID: מזהה הפרויקט.
  • REGION: האזור של מדיניות חיבור השירות.
  • POLICY_NAME: השם של מדיניות חיבור השירות שרוצים למחוק.

ה-method של ה-HTTP וכתובת ה-URL: 

DELETE https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "name": "projects/project-id/locations/us-central1/operations/operation-1692128792549-602fb6f98194a-e0275435-36edc095",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.networkconnectivity.v1.OperationMetadata",
    "createTime": "2023-08-15T19:46:32.605032867Z",
    "target": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-name",
    "verb": "delete",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

הגדרת חשבונות שירות ל-VPC משותף

חשבונות שירות מוגדרים אוטומטית כשמשתמשים במדיניות של חיבור שירות עם VPC משותף, אבל אפשר להסיר את התפקידים באופן ידני. אם מופיעות שגיאות לגבי הרשאות חסרות, נסו להקצות את התפקידים שוב.

כדי להקצות את התפקידים הנדרשים, אדמין של חשבון שירות יכול לבצע את הפעולות הבאות.

הקצאת תפקידים לחשבון שירות בפרויקט שירות

gcloud

  1. מקצים את התפקיד Network Connectivity Service Agent (roles/networkconnectivity.serviceAgent) לחשבון השירות של Network Connectivity Service בפרויקט השירות. מקצים את התפקיד בפרויקט השירות.

    gcloud projects add-iam-policy-binding SERVICE_PROJECT_NUMBER \
    --member=serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-networkconnectivity.iam.gserviceaccount.com \
    --role=roles/networkconnectivity.serviceAgent

    מחליפים את הערך SERVICE_PROJECT_NUMBER במספר הפרויקט של פרויקט השירות.

  2. מקצים את התפקיד Compute Network User ‏(roles/compute.networkUser) לחשבון השירות של Network Connectivity בפרויקט השירות. מבצעים אחת מהפעולות הבאות.

    • מעניקים את התפקיד בפרויקט המארח.

      gcloud projects add-iam-policy-binding HOST_PROJECT_NUMBER \
    --member=serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-networkconnectivity.iam.gserviceaccount.com \
    --role=roles/compute.networkUser

      מחליפים את HOST_PROJECT_NUMBER במספר הפרויקט של הפרויקט המארח.

    • מקצים את התפקיד בכל אחת מרשתות המשנה בפרויקט המארח שמשויכות למדיניות חיבור השירות. משתמשים בפקודה הבאה לכל רשת משנה.

      gcloud compute networks subnets add-iam-policy-binding SUBNET \
    --member=serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-networkconnectivity.iam.gserviceaccount.com \
    --role=roles/compute.networkUser \
    --region=REGION \
    --project=HOST_PROJECT_NUMBER

      מחליפים את מה שכתוב בשדות הבאים:

      • SUBNET: השם של תת-הרשת שמשויכת למדיניות חיבור השירות.
      • REGION: האזור של רשת המשנה.

הקצאת תפקיד לחשבון שירות בפרויקט המארח

gcloud

  1. מקצים את התפקיד Network Connectivity Service Agent ‏(roles/networkconnectivity.serviceAgent) לחשבון השירות של Network Connectivity בפרויקט המארח. מקצים את התפקיד בפרויקט המארח.

    gcloud projects add-iam-policy-binding HOST_PROJECT_NUMBER \
    --member=serviceAccount:service-HOST_PROJECT_NUMBER@gcp-sa-networkconnectivity.iam.gserviceaccount.com \
    --role=roles/networkconnectivity.serviceAgent

    מחליפים את HOST_PROJECT_NUMBER במספר הפרויקט של הפרויקט המארח.

המאמרים הבאים