Diese Seite wurde von der Cloud Translation API übersetzt.

Dienste mit Private Service Connect veröffentlichen

Als Dienstersteller können Sie Private Service Connect verwenden, um Dienste mithilfe interner IP-Adressen in Ihrem VPC-Netzwerk zu veröffentlichen. Ihre veröffentlichten Dienste sind für Dienstnutzer über interne IP-Adressen in den VPC-Netzwerken der Nutzer zugänglich.

In dieser Anleitung wird beschrieben, wie Sie Private Service Connect verwenden, um einen Dienst zu veröffentlichen. So veröffentlichen Sie einen Dienst:

Hosten Sie den Dienst auf einem unterstützten Load-Balancer mit einer unterstützten Konfiguration.
Erstellen Sie einen Dienstanhang, der auf die Weiterleitungsregel verweist, die dem Load-Balancer zugeordnet ist.

Private Service Connect bietet zwei Methoden, um eine Verbindung zu veröffentlichten Diensten herzustellen:

Diese Endpunkttypen erfordern etwas unterschiedliche Erstellerkonfigurationen. Weitere Informationen finden Sie unter Features und Kompatibilität.

Rollen

Die folgende IAM-Rolle bietet die Berechtigungen, die zum Ausführen der Aufgaben in dieser Anleitung erforderlich sind.

Compute-Netzwerkadministrator (roles/compute.networkAdmin)

Hinweise

Weitere Informationen zum Veröffentlichen von Diensten, einschließlich Einschränkungen, finden Sie unter Veröffentlichte Dienste.
Entscheiden Sie, ob der Dienst von allen Projekten aus zugänglich sein soll oder ob Sie steuern möchten, welche Projekte auf Ihren Dienst zugreifen können.
Entscheiden Sie, ob dieser Dienst Endpunkte, Back-Ends oder beides unterstützen soll. Weitere Informationen zu Endpunkten und Back-Ends finden Sie unter Private Service Connect-Typen.

Weitere Informationen zu den Anforderungen an die Dienstkonfiguration finden Sie unter Features und Kompatibilität.
Entscheiden Sie, ob Sie einen Domainnamen für den Dienst konfigurieren möchten. Dadurch wird die DNS-Konfiguration für Endpunkte von Dienstnutzern automatisiert. Wenn Sie einen Domainnamen konfigurieren, muss das IAM-Hauptkonto, das den Dienst veröffentlicht, bestätigen, dass es Inhaberberechtigungen für die Domain in der Google Search Console hat. Wenn Sie einen Domainnamen konfigurieren, aber nicht der Inhaber der Domain sind, schlägt die Veröffentlichung des Dienstes fehl. Rufen Sie die Google Search Console auf, um die Inhaberschaft zu prüfen.

Der Domainname, den Sie im Dienstanhang angeben, kann eine Subdomain der von Ihnen bestätigten Domain sein. Sie können beispielsweise example.com bestätigen und dann einen Dienstanhang mit dem Domainnamen us-west1.p.example.com erstellen.

Unterstützten Load Balancer erstellen

Erstellen Sie zum Hosten des Dienstes einen der folgenden Load Balancer in einem VPC-Netzwerk des Diensterstellers:

Informationen zu unterstützten Konfigurationen für jeden Load-Balancer-Typ finden Sie unter Features und Kompatibilität.

Sie können jeden Dienstanhang mit der Weiterleitungsregel eines einzelnen Load Balancers verknüpfen. Es ist nicht möglich, mehreren Dienstanhängen dieselbe Weiterleitungsregel zuzuordnen.

Die IP-Version der Weiterleitungsregel Ihres Load Balancers (IPv4 oder IPv6) wirkt sich darauf aus, welche Nutzer eine Verbindung zu Ihrem veröffentlichten Dienst herstellen können. Weitere Informationen finden Sie unter Übersetzung von IP-Versionen.

Bei regionalen internen Proxy-Network-Load-Balancern können sich die Back-Ends in Google Cloud, in anderen Clouds, in einer lokalen Umgebung oder in einer beliebigen Kombination dieser Standorte befinden.

Sie können auch einen Dienst veröffentlichen, der in einem internen Passthrough Network Load Balancer in Google Kubernetes Engine gehostet wird. Diese Konfiguration, einschließlich des Load Balancers und der Konfiguration des Dienstanhangs, wird unter Internen Passthrough Network Load Balancer mit Private Service Connect erstellen in der GKE-Dokumentation beschrieben.

Subnetz für Private Service Connect erstellen

Erstellen Sie ein oder mehrere dedizierte Subnetze für die Verwendung von Private Service Connect. Sie müssen das Subnetz in derselben Region wie den Load Balancer des Dienstes erstellen.

Wenn Sie die Google Cloud Console zum Veröffentlichen eines Dienstes verwenden, können Sie die Subnetze während dieses Verfahrens erstellen.

Sie können ein Private Service Connect-Subnetz in einem freigegebenen VPC-Hostprojekt erstellen.

Ein reguläres Subnetz kann nicht in ein Private Service Connect-Subnetz umgewandelt werden.

Wenn Sie einen Dienst veröffentlichen möchten, der IPv6-Traffic verarbeitet, müssen Sie ein Dual-Stack-Subnetz mit einem internen IPv6-Adressbereich verwenden.

Weitere Informationen zum Hinzufügen weiterer IP-Adressen zu einem vorhandenen Dienst finden Sie unter Subnetze zu einem veröffentlichten Dienst hinzufügen oder daraus entfernen.

Erforderliche Berechtigungen für diese Aufgabe

Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Berechtigungen oder eine der folgenden IAM-Rollen.

Berechtigungen

compute.subnetworks.create

Rollen

Informationen finden Sie unter Rollen.

Console

Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

Zur Seite VPC-Netzwerke
Klicken Sie auf den Namen eines VPC-Netzwerks, um die zugehörige Seite VPC-Netzwerkdetails aufzurufen.
Klicken Sie auf Subnetze.
Klicken Sie auf Subnetz hinzufügen. Führen Sie im angezeigten Steuerfeld die folgenden Schritte aus:
1. Geben Sie einen Namen an.
2. Wählen Sie eine Region aus.
3. Wählen Sie im Abschnitt Zweck die Option Private Service Connect aus.
4. Wählen Sie einen IP-Stacktyp aus.
5. Geben Sie einen IPv4-Bereich ein. Beispiel: 10.10.10.0/24.
6. Wenn Sie ein Dual-Stack-Subnetz erstellen, legen Sie den IPv6-Zugriffstyp auf Intern fest.
7. Klicken Sie auf Hinzufügen.

gcloud

So erstellen Sie ein Nur-IPv4-Private Service Connect-Subnetz:

gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK_NAME \
    --region=REGION \
    --range=SUBNET_RANGE \
    --purpose=PRIVATE_SERVICE_CONNECT

So erstellen Sie ein Dual-Stack-Private Service Connect-Subnetz:

gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK_NAME \
    --region=REGION \
    --stack-type=IPV4_IPV6 \
    --ipv6-access-type=INTERNAL \
    --range=SUBNET_RANGE \
    --purpose=PRIVATE_SERVICE_CONNECT

Ersetzen Sie Folgendes:

SUBNET_NAME: der Name, der dem Subnetz zugewiesen werden soll.
NETWORK_NAME: der Name der VPC für das neue Subnetz.
REGION: die Region für das neue Subnetz. Dies muss dieselbe Region sein wie der Dienst, den Sie veröffentlichen.
SUBNET_RANGE: der IPv4-Adressbereich, der für das Subnetz verwendet werden soll, z. B. 10.10.10.0/24.

API

So erstellen Sie ein Nur-IPv4-Private Service Connect-Subnetz:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks

{
  "ipCidrRange": "SUBNET_RANGE",
  "name": "SUBNET_NAME",
  "network": "projects/PROJECT_ID/global/networks/NETWORK_NAME",
  "purpose": "PRIVATE_SERVICE_CONNECT",
}

So erstellen Sie ein Dual-Stack-Private Service Connect-Subnetz:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks

{
  "ipCidrRange": "SUBNET_RANGE",
  "name": "SUBNET_NAME",
  "network": "projects/PROJECT_ID/global/networks/NETWORK_NAME",
  "purpose": "PRIVATE_SERVICE_CONNECT",
  "stackType": "IPV4_IPV6",
  "ipv6AccessType": "INTERNAL"
}

Ersetzen Sie Folgendes:

PROJECT_ID: das Projekt für das Subnetz.
REGION: die Region für das neue Subnetz. Dies muss dieselbe Region sein wie der Dienst, den Sie veröffentlichen.
SUBNET_RANGE: der IPv4-Adressbereich, der für das Subnetz verwendet werden soll. Beispiel: 10.10.10.0/24.
SUBNET_NAME: der Name, der dem Subnetz zugewiesen werden soll.
NETWORK_NAME: der Name des VPC-Netzwerks für das neue Subnetz.

Firewallregeln konfigurieren

Konfigurieren Sie Firewallregeln, um Traffic zwischen den Endpunkten oder Back-Ends und dem Dienstanhang zuzulassen. Clientanfragen stammen aus verschiedenen Standorten, je nach Private Service Connect-Typ.

Private Service Connect-Typ	IP-Adressbereiche für Client-Traffic	Details
Endpunkt (basierend auf einer Weiterleitungsregel)	Die IP-Adressbereiche der Private Service Connect-Subnetze, die mit diesem Dienst verknüpft sind.	Wenn Sie das Standardnetzwerk verwenden, lässt die bereits ausgefüllte Regel `default-allow-internal` diesen Traffic zu, es sei denn, sie wird durch eine Regel mit höherer Priorität blockiert.
Backend (basierend auf einem globalen externen Application Load Balancer)	`130.211.0.0/22` `35.191.0.0/16`	Globale externe Application Load Balancer werden auf Google Front Ends (GFEs) implementiert, die diese IP-Adressbereiche verwenden.

Wenn Ihre Firewall-Konfiguration keinen Traffic vom entsprechenden Endpunkttyp zulässt, konfigurieren Sie die Firewallregeln so, dass er zugelassen wird.

In der folgenden Beispielkonfiguration können Sie VPC-Firewallregeln erstellen, um Traffic von Client-IP-Adressbereichen zu den Backend-VMs im Load-Balancer des Producer-Dienstes zuzulassen. Diese Konfiguration setzt voraus, dass die Backend-VMs mit einem Netzwerk-Tag konfiguriert wurden.

Beispiel für eine Regel für eingehenden Traffic:

gcloud compute firewall-rules create NAME \
    --network=NETWORK_NAME \
    --direction=ingress \
    --action=allow \
    --target-tags=TAG \
    --source-ranges=CLIENT_IP_RANGES_LIST \
    --rules=RULES_LIST

Ersetzen Sie Folgendes:

NAME: der Name der Firewallregel.
NETWORK_NAME: das Netzwerk, das den Dienst und das Private Service Connect-Subnetz enthält.
TAG ist das Ziel-Tag, das auf die Backend-VMs im Load-Balancer des Producer-Dienstes angewendet wird.
CLIENT_IP_RANGES_LIST sind die IP-Adressbereiche, aus denen der Clienttraffic stammt. Weitere Informationen finden Sie in der vorherigen Tabelle.
RULES_LIST: eine durch Kommas getrennte Liste von Protokollen und Zielports, auf die die Regel angewendet wird. Beispiel: tcp,udp.

Beispiel für eine Regel für ausgehenden Traffic:

gcloud compute firewall-rules create NAME \
    --network=NETWORK_NAME \
    --direction=egress \
    --action=allow \
    --target-tags=TAG \
    --destination-ranges=CLIENT_IP_RANGES_LIST \
    --rules=RULES_LIST

Ersetzen Sie Folgendes:

NAME: der Name der Firewallregel.
NETWORK_NAME: das Netzwerk, das den Dienst und das Private Service Connect-Subnetz enthält.
TAG ist das Ziel-Tag, das auf die Backend-VMs im Load-Balancer des Producer-Dienstes angewendet wird.
CLIENT_IP_RANGES_LIST sind die IP-Adressbereiche, aus denen der Clienttraffic stammt. Weitere Informationen finden Sie in der vorherigen Tabelle.
RULES_LIST: eine durch Kommas getrennte Liste von Protokollen und Zielports, auf die die Regel angewendet wird. Beispiel: tcp,udp.

Weitere Informationen zum Konfigurieren von VPC-Firewallregeln finden Sie unter VPC-Firewallregeln. Informationen zum Konfigurieren hierarchischer Firewallregeln, um diesen Traffic zuzulassen, finden Sie unter Hierarchische Firewallrichtlinien.

Dienst veröffentlichen

Zum Veröffentlichen eines Dienstes erstellen Sie einen Dienstanhang. Sie können den Dienst auf zwei Arten verfügbar machen:

Sie können einen Dienst mit automatischer Genehmigung veröffentlichen.
Sie können einen Dienst mit expliziter Genehmigung veröffentlichen.

Erstellen Sie den Dienstanhang in derselben Region wie den Load-Balancer des Dienstes.

Jeder Dienstanhang kann auf ein oder mehrere Private Service Connect-Subnetze verweisen. Ein Private Service Connect-Subnetz kann jedoch nicht in mehr als einem Dienstanhang verwendet werden.

Dienst mit automatischer Genehmigung veröffentlichen

Folgen Sie dieser Anleitung, um einen Dienst zu veröffentlichen und allen Nutzern automatisch die Verbindung zu diesem Dienst zu ermöglichen. Wenn Sie Nutzerverbindungen explizit genehmigen möchten, lesen Sie die Informationen unter Dienst mit expliziter Genehmigung veröffentlichen.

Wenn Sie einen Dienst veröffentlichen, erstellen Sie einen Dienstanhang. Dienstnutzer verwenden die Details des Dienstanhangs, um eine Verbindung zu Ihrem Dienst herzustellen.

Wenn Sie die Informationen zur Nutzerverbindung lesen möchten, können Sie das PROXY-Protokoll für unterstützte Dienste aktivieren. Informationen zu unterstützten Diensten finden Sie unter Features und Kompatibilität. Weitere Informationen zum PROXY-Protokoll finden Sie unter Informationen zur Nutzerverbindung aufrufen.

Sie können Single-Stack- und Dual-Stack-Subnetze demselben Dienstanhang zuordnen. Wenn Ihr Load Balancer für IPv6-Traffic konfiguriert ist, müssen Sie Dual-Stack-Subnetze verwenden.

Wenn Sie einen Dienst mit automatischer Genehmigung veröffentlichen, gilt das Limit für weitergegebene Verbindungen für jedes Nutzerprojekt, das eine Verbindung zu Ihrem Dienstanhang herstellt.

Erforderliche Berechtigungen für diese Aufgabe

Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Berechtigungen oder eine der folgenden IAM-Rollen.

Berechtigungen

compute.subnetworks.use
compute.serviceAttachments.create

Rollen

Informationen finden Sie unter Rollen.

Console

Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

Zu Private Service Connect
Klicken Sie auf den Tab Veröffentlichte Dienste.
Klicken Sie auf Dienst veröffentlichen.
Wählen Sie den Load-Balancer-Typ für den Dienst aus, den Sie veröffentlichen möchten:
- Interner Passthrough-Network Load Balancer
- Regionaler interner Proxy-Network Load Balancer
- Regionaler interner Application Load Balancer
Wählen Sie den internen Load-Balancer aus, der den Dienst hostet, den Sie veröffentlichen möchten. Die Felder für Netzwerk und Region werden mit den Details für den ausgewählten internen Load-Balancer ausgefüllt.

Dienstprojektadministratoren können einen internen Load Balancer mit einer IP-Adresse aus einem freigegebenen VPC-Netzwerk auswählen. Weitere Informationen finden Sie unter Freigegebene VPC.
Wenn Sie dazu aufgefordert werden, wählen Sie die Weiterleitungsregel des Dienstes aus, den Sie veröffentlichen möchten.
Geben Sie unter Dienstname einen Namen für den Dienstanhang ein.
Wählen Sie ein oder mehrere Subnetze für Private Service Connect für den Dienst aus. Die Liste enthält Subnetze aus dem VPC-Netzwerk des ausgewählten internen Load Balancers, einschließlich Subnetze, die über die freigegebene VPC für ein Dienstprojekt freigegeben werden.

Wenn für die Dienstanwendung ein interner Load Balancer mit einer IP-Adresse aus einem freigegebene VPC-Netzwerk verwendet wird, müssen Sie ein freigegebenes Subnetz aus demselben freigegebene VPC-Netzwerk auswählen.

Wenn Sie ein neues Subnetz hinzufügen möchten, können Sie eines erstellen:
1. Klicken Sie auf Neues Subnetz reservieren.
2. Geben Sie einen Namen und optional eine Beschreibung für das Subnetz ein.
3. Wählen Sie eine Region für das Subnetz aus.
4. Wählen Sie einen IP-Stacktyp aus.
5. Geben Sie den IPv4-Bereich ein, der für das Subnetz verwendet werden soll, und klicken Sie auf Hinzufügen.
Wenn Sie Informationen zu Nutzerverbindungen aufrufen möchten, wählen Sie Proxyprotokoll verwenden aus.
Wählen Sie Alle Verbindungen automatisch akzeptieren aus.
Wenn Sie den Verbindungsabgleich deaktivieren möchten, entfernen Sie das Häkchen aus dem Kästchen Verbindungsabgleich aktivieren.
Optional: Klicken Sie auf Erweiterte Konfiguration und gehen Sie so vor:
1. Wenn Sie einen Domainnamen konfigurieren möchten, geben Sie einen Domainnamen mit einem nachgestellten Punkt ein.
  
  Das empfohlene Format für den Domainnamen ist REGION.p.DOMAIN..
  
  Sie müssen Inhaber des Domainnamens sein. Weitere Informationen finden Sie unter DNS-Konfiguration.
2. Geben Sie ein Limit für von NCC weitergegebene Verbindungen ein. Wenn keine Angabe erfolgt, ist der Standardwert 250.
Klicken Sie auf Dienst hinzufügen.

gcloud

gcloud compute service-attachments create ATTACHMENT_NAME \
    --region=REGION \
    --producer-forwarding-rule=RULE_NAME \
    --connection-preference=ACCEPT_AUTOMATIC \
    --nat-subnets=PSC_SUBNET_LIST \
    [ --propagated-connection-limit=PROPAGATED_CONNECTION_LIMIT ] \
    [ --enable-proxy-protocol ] \
    [ --domain-names=DOMAIN_NAME ]

Ersetzen Sie Folgendes:

ATTACHMENT_NAME: der Name, der dem Dienstanhang zugewiesen werden soll.
REGION: die Region für den neuen Dienstanhang. Es muss dieselbe Region sein wie der Dienst, den Sie veröffentlichen.
RULE_NAME: der Name der Weiterleitungsregel, die dem zu veröffentlichenden Dienst zugeordnet ist.

Dienstprojektadministratoren können die Weiterleitungsregel eines internen Load Balancers mit einer IP-Adresse aus einem freigegebenen VPC-Netzwerk angeben. Weitere Informationen finden Sie unter Freigegebene VPC.
PSC_SUBNET_LIST: eine durch Kommas getrennte Liste mit einem oder mehreren Subnetznamen, die mit diesem Dienstanhang verwendet werden sollen.

Wenn Sie einen Dienstansatz mit einer Weiterleitungsregel mit einer IP-Adresse aus einem freigegebene VPC-Netzwerk erstellen, verwenden Sie freigegebene Subnetze aus demselben freigegebene VPC-Netzwerk. Geben Sie für jedes freigegebene Subnetz den vollständigen Ressourcen-URI an, z. B. --nat-subnets=projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET.
PROPAGATED_CONNECTION_LIMIT: das propagierte Verbindungslimit pro Projekt. Der Standardwert ist 250.
DOMAIN_NAME: ein DNS-Domainname für den Dienst, einschließlich eines abschließenden Punkts. Empfohlenes Format:REGION.p.DOMAIN.

Weitere Informationen finden Sie unter DNS-Konfiguration.

API

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments
{
  "name": "ATTACHMENT_NAME",
  "connectionPreference": "ACCEPT_AUTOMATIC",
  "targetService": "RULE_URI",
  "enableProxyProtocol": false,
  "natSubnets": [
    "PSC_SUBNET_1_URI",
    "PSC_SUBNET_2_URI"
  ],
  "propagatedConnectionLimit": "PROPAGATED_CONNECTION_LIMIT",
  "domainNames": [
    "DOMAIN_NAME"
  ]
}

Ersetzen Sie Folgendes:

PROJECT_ID: das Projekt für den Dienstanhang.
REGION: die Region für den neuen Dienstanhang. Es muss dieselbe Region sein wie der Dienst, den Sie veröffentlichen.
ATTACHMENT_NAME: der Name, der dem Dienstanhang zugewiesen werden soll.
RULE_URI: der URI der Weiterleitungsregel, die dem Dienst zugeordnet ist, den Sie veröffentlichen.

Dienstprojektadministratoren können die Weiterleitungsregel eines internen Load Balancers mit einer IP-Adresse aus einem freigegebenen VPC-Netzwerk angeben. Weitere Informationen finden Sie unter Freigegebene VPC.
PSC_SUBNET_1_URI und PSC_SUBNET_2_URI: die für diesen Dienstanhang zu verwendenden Subnetz-URIs. Sie können ein oder mehrere Subnetze anhand des URI angeben.

Wenn Sie einen Dienstansatz mit einer Weiterleitungsregel mit einer IP-Adresse aus einem freigegebene VPC-Netzwerk erstellen, verwenden Sie freigegebene Subnetze aus demselben freigegebene VPC-Netzwerk.
DOMAIN_NAME: ein DNS-Domainname für den Dienst, einschließlich eines abschließenden Punkts. Empfohlenes Format:REGION.p.DOMAIN.

Weitere Informationen finden Sie unter DNS-Konfiguration.
PROPAGATED_CONNECTION_LIMIT: das propagierte Verbindungslimit pro Projekt. Der Standardwert ist 250.

Dienst mit expliziter Genehmigung veröffentlichen

Folgen Sie dieser Anleitung, um einen Dienst zu veröffentlichen, wenn Sie Nutzer explizit genehmigen möchten, bevor sie eine Verbindung zu diesem Dienst herstellen können. Wenn Sie Nutzerverbindungen automatisch genehmigen möchten, lesen Sie die Informationen unter Dienst mit automatischer Genehmigung veröffentlichen.

Wenn Sie einen Dienst veröffentlichen, erstellen Sie einen Dienstanhang. Dienstnutzer verwenden die Details des Dienstanhangs, um eine Verbindung zu Ihrem Dienst herzustellen.

Jeder Dienstanhang hat eine Annahmeliste und eine Ablehnungsliste, anhand derer bestimmt werden kann, welche Endpunkte eine Verbindung zum Dienst herstellen können. Ein bestimmter Dienstanhang kann entweder Projekte oder Netzwerke in diesen Listen verwenden, aber nicht beides. Die Angabe von Nutzern nach Ordner wird nicht unterstützt.

Wenn Sie Nutzer nicht mehr basierend auf dem Projekt, sondern basierend auf dem Netzwerk akzeptieren möchten oder umgekehrt, gehen Sie so vor:

Sie können alle genehmigten Projekte oder Netzwerke in einem einzigen Vorgang ersetzen.
Wenn Sie denselben Zugriff wie zuvor gewähren möchten, müssen die neuen Annahme- und Ablehnungslisten den vorherigen entsprechen.

Wenn Sie ein Projekt oder Netzwerk sowohl auf die Annahmeliste als auch auf die Ablehnungsliste setzen, werden Verbindungsanfragen von diesem Projekt oder Netzwerk abgelehnt.

Wenn Ihre Nutzerannahme- und Ablehnungslisten sich auf Projekte beziehen, gilt das weitergegebene Verbindungslimit für Nutzerprojekte. Wenn Ihre Zulassungs- und Ablehnungslisten auf VPC-Netzwerke verweisen, gilt das Limit für weitergeleitete Verbindungen für Nutzer-VPC-Netzwerke.

Erforderliche Berechtigungen für diese Aufgabe

Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Berechtigungen oder eine der folgenden IAM-Rollen.

Berechtigungen

compute.subnetworks.use
compute.serviceAttachments.create

Rollen

Informationen finden Sie unter Rollen.

Console

Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

Zu Private Service Connect
Klicken Sie auf den Tab Veröffentlichte Dienste.
Klicken Sie auf Dienst veröffentlichen.
Wählen Sie den Load-Balancer-Typ für den Dienst aus, den Sie veröffentlichen möchten:
- Interner Passthrough-Network Load Balancer
- Regionaler interner Proxy-Network Load Balancer
- Regionaler interner Application Load Balancer
Wählen Sie den internen Load-Balancer aus, der den Dienst hostet, den Sie veröffentlichen möchten. Die Felder für Netzwerk und Region werden mit den Details für den ausgewählten internen Load-Balancer ausgefüllt.

Dienstprojektadministratoren können einen internen Load Balancer mit einer IP-Adresse aus einem freigegebenen VPC-Netzwerk auswählen. Weitere Informationen finden Sie unter Freigegebene VPC.
Wenn Sie dazu aufgefordert werden, wählen Sie die Weiterleitungsregel des Dienstes aus, den Sie veröffentlichen möchten.
Geben Sie unter Dienstname einen Namen für den Dienstanhang ein.
Wählen Sie ein oder mehrere Subnetze für Private Service Connect für den Dienst aus. Die Liste enthält Subnetze aus dem VPC-Netzwerk des ausgewählten internen Load Balancers, einschließlich Subnetze, die über die freigegebene VPC für ein Dienstprojekt freigegeben werden.

Wenn für die Dienstanwendung ein interner Load Balancer mit einer IP-Adresse aus einem freigegebene VPC-Netzwerk verwendet wird, müssen Sie ein freigegebenes Subnetz aus demselben freigegebene VPC-Netzwerk auswählen.

Wenn Sie ein neues Subnetz hinzufügen möchten, können Sie eines erstellen:
1. Klicken Sie auf Neues Subnetz reservieren.
2. Geben Sie einen Namen und optional eine Beschreibung für das Subnetz ein.
3. Wählen Sie eine Region für das Subnetz aus.
4. Wählen Sie einen IP-Stacktyp aus.
5. Geben Sie den IPv4-Bereich ein, der für das Subnetz verwendet werden soll, und klicken Sie auf Hinzufügen.
Wenn Sie Informationen zu Nutzerverbindungen aufrufen möchten, wählen Sie Proxyprotokoll verwenden aus.
Wenn Sie Verbindungen für ausgewählte Projekte akzeptieren möchten, wählen Sie Verbindungen für ausgewählte Projekte akzeptieren aus.
1. Gehen Sie für jedes Projekt, von dem Sie Verbindungen akzeptieren möchten, so vor:
  1. Klicken Sie auf Akzeptiertes Projekt hinzufügen und geben Sie Folgendes ein:
    - Die Projekt-ID oder Projektnummer des Projekts, von dem Sie Verbindungen akzeptieren möchten.
    - Ein Verbindungslimit, um die maximale Anzahl von Endpunkten aus dem angegebenen Projekt anzugeben, die eine Verbindung herstellen können.
2. Optional: Klicken Sie für jedes Projekt, von dem Sie Verbindungen explizit ablehnen möchten, auf Abgelehntes Projekt hinzufügen und geben Sie dann die Projekt-ID oder Projektnummer ein.
Wenn Sie Verbindungen für ausgewählte Netzwerke akzeptieren möchten, wählen Sie Verbindungen für ausgewählte Netzwerke akzeptieren aus.
1. Führen Sie für jedes Netzwerk, von dem Sie Verbindungen akzeptieren möchten, die folgenden Schritte aus:
  1. Klicken Sie auf Akzeptiertes Netzwerk hinzufügen und geben Sie Folgendes ein:
    - Die Projekt-ID oder Projektnummer des übergeordneten Projekts des Netzwerks, von dem Sie Verbindungen akzeptieren möchten.
    - Der Name des Netzwerks, von dem Sie Verbindungen akzeptieren möchten.
    - Ein Verbindungslimit, um die maximale Anzahl von Endpunkten aus dem angegebenen Netzwerk anzugeben, die eine Verbindung herstellen können.
2. Optional: Klicken Sie für jedes Netzwerk, von dem Sie Verbindungen explizit ablehnen möchten, auf Abgelehntes Netzwerk hinzufügen und geben Sie die ID oder die Projektnummer des übergeordneten Projekts des Netzwerks und den Namen des Netzwerks ein.
Wenn Sie den Verbindungsabgleich deaktivieren möchten, entfernen Sie das Häkchen aus dem Kästchen Verbindungsabgleich aktivieren.
Optional: Klicken Sie auf Erweiterte Konfiguration und gehen Sie so vor:
1. Wenn Sie einen Domainnamen konfigurieren möchten, geben Sie einen Domainnamen mit einem nachgestellten Punkt ein.
  
  Das empfohlene Format für den Domainnamen ist REGION.p.DOMAIN..
  
  Sie müssen Inhaber des Domainnamens sein. Weitere Informationen finden Sie unter DNS-Konfiguration.
2. Geben Sie ein Limit für von NCC weitergegebene Verbindungen ein. Wenn keine Angabe erfolgt, ist der Standardwert 250.
Klicken Sie auf Dienst hinzufügen.

gcloud

gcloud compute service-attachments create ATTACHMENT_NAME \
    --region=REGION \
    --producer-forwarding-rule=RULE_NAME \
    --connection-preference=ACCEPT_MANUAL \
    --consumer-accept-list=ACCEPTED_PROJECT_OR_NETWORK_1=LIMIT_1,ACCEPTED_PROJECT_OR_NETWORK_2=LIMIT_2 \
    --consumer-reject-list=REJECTED_PROJECT_OR_NETWORK_1,REJECTED_PROJECT_OR_NETWORK_2 \
    --nat-subnets=PSC_SUBNET_LIST \
    [ --propagated-connection-limit=PROPAGATED_CONNECTION_LIMIT ] \
    [ --enable-proxy-protocol ] \
    [ --domain-names=DOMAIN_NAME ] \
    [ --reconcile-connections ]

Ersetzen Sie Folgendes:

ATTACHMENT_NAME: der Name, der dem Dienstanhang zugewiesen werden soll.
REGION: die Region für den neuen Dienstanhang. Es muss dieselbe Region sein wie der Dienst, den Sie veröffentlichen.
RULE_NAME: der Name der Weiterleitungsregel, die dem zu veröffentlichenden Dienst zugeordnet ist.

Dienstprojektadministratoren können die Weiterleitungsregel eines internen Load Balancers mit einer IP-Adresse aus einem freigegebenen VPC-Netzwerk angeben. Weitere Informationen finden Sie unter Freigegebene VPC.
ACCEPTED_PROJECT_OR_NETWORK_1 und ACCEPTED_PROJECT_OR_NETWORK_2: die Projekt-IDs, Projektnamen oder Netzwerk-URIs, die akzeptiert werden sollen. --consumer-accept-list ist optional und kann ein oder mehrere Projekte oder Netzwerke enthalten, jedoch nicht eine Kombination aus beiden.
LIMIT_1 und LIMIT_2: die Verbindungslimits für die Projekte oder Netzwerke. Das Verbindungslimit gibt die Anzahl der Nutzerendpunkte oder -Back-Ends an, die eine Verbindung zu diesem Dienst herstellen können. Für jedes akzeptierte Projekt oder Netzwerk muss ein Verbindungslimit konfiguriert sein.
REJECTED_PROJECT_OR_NETWORK_1 und REJECTED_PROJECT_OR_NETWORK_2: die Projekt-IDs, Projektnamen oder Netzwerk-URIs, die abgelehnt werden sollen. --consumer-reject-list ist optional und kann ein oder mehrere Projekte oder Netzwerke enthalten, jedoch nicht eine Kombination aus beiden.
PSC_SUBNET_LIST: eine durch Kommas getrennte Liste mit einem oder mehreren Subnetznamen, die mit diesem Dienstanhang verwendet werden sollen.

Wenn Sie einen Dienstansatz mit einer Weiterleitungsregel mit einer IP-Adresse aus einem freigegebene VPC-Netzwerk erstellen, verwenden Sie freigegebene Subnetze aus demselben freigegebene VPC-Netzwerk. Geben Sie für jedes freigegebene Subnetz den vollständigen Ressourcen-URI an, z. B. --nat-subnets=projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET.
PROPAGATED_CONNECTION_LIMIT: das propagierte Verbindungslimit. Der Standardwert ist 250.
DOMAIN_NAME: ein DNS-Domainname für den Dienst, einschließlich eines abschließenden Punkts. Empfohlenes Format:REGION.p.DOMAIN.

Weitere Informationen finden Sie unter DNS-Konfiguration.

API

Wenn Sie einen Dienst veröffentlichen und Nutzer basierend auf dem Projekt explizit genehmigen möchten, senden Sie die folgende Anfrage:
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments
{
  "name": "ATTACHMENT_NAME",
  "region": "REGION",
  "connectionPreference": "ACCEPT_MANUAL",
  "targetService": "RULE_URI",
  "enableProxyProtocol": false,
  "natSubnets": [
    "PSC_SUBNET_1_URI",
    "PSC_SUBNET_2_URI"
  ],
  "consumerRejectLists": [
    "REJECTED_PROJECT_1",
    "REJECTED_PROJECT_2"
  ],
  "consumerAcceptLists": [
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "projectIdOrNum": "ACCEPTED_PROJECT_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "propagatedConnectionLimit": "PROPAGATED_CONNECTION_LIMIT",
  "domainNames": [
    "DOMAIN_NAME"
  ]
}
```
Ersetzen Sie Folgendes:
- PROJECT_ID: das Projekt für den Dienstanhang.
- REGION: die Region für den Dienstanhang.
- ATTACHMENT_NAME: der Name, der dem Dienstanhang zugewiesen werden soll.
- RULE_URI: der URI der Weiterleitungsregel, die dem Dienst zugeordnet ist, den Sie veröffentlichen.
  
  Dienstprojektadministratoren können die Weiterleitungsregel eines internen Load Balancers mit einer IP-Adresse aus einem freigegebenen VPC-Netzwerk angeben. Weitere Informationen finden Sie unter Freigegebene VPC.
- PSC_SUBNET_1_URI und PSC_SUBNET_2_URI: die für diesen Dienstanhang zu verwendenden Subnetz-URIs. Sie können ein oder mehrere Subnetze anhand des URI angeben.
  
  Wenn Sie einen Dienstansatz mit einer Weiterleitungsregel mit einer IP-Adresse aus einem freigegebene VPC-Netzwerk erstellen, verwenden Sie freigegebene Subnetze aus demselben freigegebene VPC-Netzwerk.
- REJECTED_PROJECT_1 und REJECTED_PROJECT_2: die Projekt-IDs oder ‑nummern der Projekte, die abgelehnt werden sollen. consumerRejectLists ist optional und kann ein oder mehrere Projekte enthalten.
- ACCEPTED_PROJECT_1 und ACCEPTED_PROJECT_2: die Projekt-IDs oder ‑nummern der zu akzeptierenden Projekte. consumerAcceptLists ist optional und kann ein oder mehrere Projekte enthalten.
- LIMIT_1 und LIMIT_2: die Verbindungslimits für die Projekte. Das Verbindungslimit gibt die Anzahl der Nutzerendpunkte oder -Back-Ends an, die eine Verbindung zu diesem Dienst herstellen können. Für jedes akzeptierte Projekt muss ein Verbindungslimit konfiguriert sein.
- PROPAGATED_CONNECTION_LIMIT: das propagierte Verbindungslimit. Der Standardwert ist 250.
- DOMAIN_NAME: ein DNS-Domainname für den Dienst, einschließlich eines abschließenden Punkts. Empfohlenes Format: REGION.p.DOMAIN. Weitere Informationen finden Sie unter DNS-Konfiguration.
Wenn Sie einen Dienst veröffentlichen und Nutzer basierend auf dem VPC-Netzwerk ausdrücklich genehmigen möchten, senden Sie die folgende Anfrage:
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments
{
  "name": "ATTACHMENT_NAME",
  "region": "REGION",
  "connectionPreference": "ACCEPT_MANUAL",
  "targetService": "RULE_URI",
  "enableProxyProtocol": false,
  "natSubnets": [
    "PSC_SUBNET_1_URI",
    "PSC_SUBNET_2_URI"
  ],
  "consumerRejectLists": [
    "projects/REJECTED_PROJECT_ID_1/global/networks/REJECTED_NETWORK_1",
    "projects/REJECTED_PROJECT_ID_2/global/networks/REJECTED_NETWORK_2"
  ],
  "consumerAcceptLists": [
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_1/global/networks/ACCEPTED_NETWORK_1",
      "connectionLimit": "LIMIT_1"
    },
    {
      "networkUrl": "projects/ACCEPTED_PROJECT_ID_2/global/networks/ACCEPTED_NETWORK_2",
      "connectionLimit": "LIMIT_2"
    }
  ],
  "propagatedConnectionLimit": PROPAGATED_CONNECTION_LIMIT,
  "domainNames": [
    "DOMAIN_NAME"
  ]
}
```
Ersetzen Sie Folgendes:
- REJECTED_PROJECT_ID_1 und REJECTED_PROJECT_ID_2: die IDs der übergeordneten Projekte der Netzwerke, die Sie ablehnen möchten. consumerRejectLists ist optional und kann ein oder mehrere Projekte enthalten.
- REJECTED_NETWORK_1 und REJECTED_NETWORK_2: die Namen der Netzwerke, die Sie ablehnen möchten.
- ACCEPTED_PROJECT_ID_1 und ACCEPTED_PROJECT_ID_2: die IDs der übergeordneten Projekte der Netzwerke, die Sie akzeptieren möchten. consumerAcceptLists ist optional und kann ein oder mehrere Projekte enthalten.
- ACCEPTED_NETWORK_1 und ACCEPTED_NETWORK_2: die Namen der Netzwerke, die Sie akzeptieren möchten.
- LIMIT_1 und LIMIT_2: die Verbindungslimits für die Netzwerke. Das Verbindungslimit gibt die Anzahl der Nutzerendpunkte oder -Back-Ends an, die eine Verbindung zu diesem Dienst herstellen können. Für jedes akzeptierte Projekt muss ein Verbindungslimit konfiguriert sein.
- PROPAGATED_CONNECTION_LIMIT: das propagierte Verbindungslimit. Der Standardwert ist 250.
- DOMAIN_NAME: ein DNS-Domainname für den Dienst, einschließlich eines abschließenden Punkts. Empfohlenes Format: REGION.p.DOMAIN. Weitere Informationen finden Sie unter DNS-Konfiguration.
Damit Sie einen Dienst mit aktiviertem Verbindungsabgleich veröffentlichen können, senden Sie eine Anfrage, die den vorherigen Anfragen ähnelt, aber fügen Sie das folgende Feld hinzu:
```
{
  ...
  "reconcileConnections": true
  ...
}
```

Informationen zur Nutzerverbindung ansehen

Informationen zum Aufrufen von Informationen zur Nutzerverbindung mit dem PROXY-Protokoll finden Sie unter Informationen zur Nutzerverbindung aufrufen.

Anfragen für den Zugriff auf einen veröffentlichten Dienst verwalten

Wenn Sie einen veröffentlichten Dienst mit expliziter Genehmigung haben, können Sie Verbindungsanfragen von Nutzerprojekten oder Netzwerken akzeptieren oder ablehnen. Weitere Informationen finden Sie unter Anfragen für den Zugriff auf einen veröffentlichten Dienst verwalten.

Sie können auch zwischen der automatischen und der expliziten Projektzulassung für einen veröffentlichten Dienst wechseln. Weitere Informationen finden Sie unter Verbindungseinstellung für einen veröffentlichten Dienst ändern.

Subnetze zu einem veröffentlichten Dienst hinzufügen oder daraus entfernen

Sie können einem veröffentlichten Dienst Subnetze hinzufügen oder daraus entfernen. Weitere Informationen finden Sie unter Subnetze zu einem veröffentlichten Dienst hinzufügen oder daraus entfernen.

Veröffentlichte Dienste auflisten

Sie können alle Dienste auflisten.

Erforderliche Berechtigungen für diese Aufgabe

Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Berechtigungen oder eine der folgenden IAM-Rollen.

Berechtigungen

compute.serviceAttachments.list

Rollen

Informationen finden Sie unter Rollen.

Console

Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

Zu Private Service Connect
Klicken Sie auf den Tab Veröffentlichte Dienste.

Die Anhänge für Private Service Connect-Dienste werden angezeigt.

gcloud

Listen Sie Dienstanhänge auf.
```
gcloud compute service-attachments list [--regions=REGION_LIST]
```
Ersetzen Sie Folgendes:
- REGION_LIST: eine durch Kommas getrennte Liste mit einer oder mehreren Regionen, für die Sie Dienstanhänge aufrufen möchten. Beispiel: us-central1oder us-west1,us-central1.

API

Sie können alle Dienstanhänge in einer bestimmten Region oder in allen Regionen anzeigen.

So rufen Sie alle Dienstanhänge in einer Region auf:

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments

Alle Dienstanhänge in allen Regionen anzeigen:
```
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/serviceAttachments
```
Ersetzen Sie Folgendes:
- PROJECT_ID: das Projekt für den Dienstanhang.
- REGION: die Region für den Dienstanhang.
- ATTACHMENT_NAME: der Name des Dienstanhangs.

Details für einen veröffentlichten Dienst ansehen

Sie können die Konfigurationsdetails eines veröffentlichten Dienstes aufrufen. Sie können sich einige Konfigurationsdetails in der Google Cloud Console anzeigen lassen, z. B. den URI des Dienstanhangs, den Dienstnutzer mit Ihrem Dienst verbinden müssen. Verwenden Sie die Google Cloud CLI oder die API, um alle Details anzuzeigen, einschließlich der pscConnectionId-Werte für die Nutzer des Dienstanhangs.

Erforderliche Berechtigungen für diese Aufgabe

Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Berechtigungen oder eine der folgenden IAM-Rollen.

Berechtigungen

compute.serviceAttachments.get

Rollen

Informationen finden Sie unter Rollen.

Console

Sie können Details zu einem veröffentlichten Dienst aufrufen. Das Feld Dienstanhang enthält den URI des Dienstanhangs.

Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

Zu Private Service Connect
Klicken Sie auf den Tab Veröffentlichte Dienste.
Klicken Sie auf den Dienst, den Sie aufrufen möchten.

gcloud

Sie können Details zu einem veröffentlichten Dienst aufrufen. Das Feld selfLink enthält den URI des Dienstanhangs.

gcloud compute service-attachments describe \
    ATTACHMENT_NAME --region=REGION

API

Sie können Details zu einem veröffentlichten Dienst aufrufen. Das Feld selfLink enthält den URI des Dienstanhangs.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

Ersetzen Sie Folgendes:

PROJECT_ID: das Projekt für den Dienstanhang.
REGION: die Region für den Dienstanhang.
ATTACHMENT_NAME: der Name des Dienstanhangs.

Veröffentlichten Dienst löschen

Sie können einen veröffentlichten Dienst löschen, auch wenn Nutzerverbindungen mit dem Dienstanhang bestehen. Wenn Sie den veröffentlichten Dienst löschen, wird nur der Dienstanhang entfernt. Der zugehörige Load-Balancer wird nicht gelöscht. Wenn Sie einen veröffentlichten Dienst löschen, gilt Folgendes:

Traffic von Endpunkten (basierend auf Weiterleitungsregeln) wird nicht mehr an den Load Balancer gesendet.
Traffic von Back-Ends (basierend auf globalen Application Load Balancern) wird an den Load Balancer gesendet, bis er gelöscht wurde.

Erforderliche Berechtigungen für diese Aufgabe

Zum Ausführen dieser Aufgabe benötigen Sie die folgenden Berechtigungen oder eine der folgenden IAM-Rollen.

Berechtigungen

compute.serviceAttachments.delete

Rollen

Informationen finden Sie unter Rollen.

Console

Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

Zu Private Service Connect
Klicken Sie auf den Tab Veröffentlichte Dienste.
Klicken Sie auf den Dienst, den Sie löschen möchten.
Klicken Sie auf Löschen.

gcloud

gcloud compute service-attachments delete \
    ATTACHMENT_NAME --region=REGION

API

DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/serviceAttachments/ATTACHMENT_NAME

Ersetzen Sie Folgendes:

PROJECT_ID: das Projekt für den Dienstanhang.
REGION: die Region für den Dienstanhang.
ATTACHMENT_NAME: der Name des Dienstanhangs.

Bekannte Probleme

Verbindungstrennungen nach dem Upgrade des Google-Anbieters für Terraform

Wenn Sie den Google-Anbieter für Terraform mit Versionen vor 4.76.0 verwendet haben, um Dienstanhänge zu erstellen, führen Sie kein Upgrade auf Version 4.76.0 bis 4.81.x durch. Wenn Sie terraform apply nach einem Upgrade auf die Versionen 4.76.0 bis 4.81.x ausführen, kann es sein, dass Terraform unbeabsichtigt die Dienstanhänge löscht und neu erstellt und bestehende Private Service Connect-Verbindungen schließt. Durch neu erstellte Dienstanhänge werden Private Service Connect-Verbindungen nicht automatisch wiederhergestellt.

Wenn Sie ein Upgrade auf Version 4.82.0 durchführen und dann terraform apply ausführen, werden Ihre Dienstanhänge nicht gelöscht, aber die Einstellung Verbindungen abgleichen wird auf „true“ gesetzt. Wenn die Einstellung zuvor auf „false“ gesetzt war, werden einige Private Service Connect-Verbindungen möglicherweise geschlossen.

Upgrade auf Google-Anbieterversionen 4.76.0 bis 4.81.x In diesem Szenario enthält die Ausgabe von terraform plan Folgendes:
```
-/+ resource "google_compute_service_attachment" "SERVICE_NAME" {
  ...
        ~ reconcile_connections = false -> true # forces replacement
  ...
```
Achtung :Wenn Sie diese Warnung ignorieren und die Änderungen anwenden, löscht Terraform den Dienstanhang und erstellt ihn neu. Alle vorhandenen Private Service Connect-Verbindungen werden geschlossen und neue Verbindungen werden nicht automatisch wiederhergestellt.

Verwenden Sie die Problemumgehung, um dieses Problem zu vermeiden.
Upgrade auf Google-Anbieterversionen 4.82.0. In diesem Szenario enthält die Ausgabe von terraform plan Folgendes:
```
~ reconcile_connections = false -> true
```
Wenn Sie diese Warnung ignorieren und die Änderungen anwenden, aktualisiert Terraform den Dienstanhang, um den Verbindungsabgleich zu aktivieren. Je nach Verbindungsstatus werden durch das Ändern von false in true möglicherweise einige vorhandene Verbindungen geschlossen. Weitere Informationen finden Sie unter Verbindungsabgleich.

Verwenden Sie die Problemumgehung, um dieses Problem zu vermeiden.

Problemumgehung

Wir empfehlen ein Upgrade des Google-Anbieters für Terraform auf Version 4.82.0 oder höher. Diese Version verhindert das versehentliche Löschen und Neuerstellen von Dienstanhängen.

Wenn Sie nicht sofort ein Upgrade durchführen können oder ein Upgrade durchführen können, aber auch verhindern möchten, dass Terraform die Verbindungsabgleichseinstellung ändert, aktualisieren Sie Ihre Terraform-Konfiguration so, dass die Einstellung für den Verbindungsabgleich explizit festgelegt wird.

Sehen Sie sich die detaillierte Konfiguration für den Dienstanhang an und notieren Sie sich die Einstellung reconcileConnections.
```
$ gcloud compute service-attachments describe SERVICE_NAME --region=REGION
```
Die Ausgabe enthält das Feld reconcileConnections, das „true“ oder „false“ sein kann.
```
reconcileConnections: false
```
Aktualisieren Sie Ihre Terraform-Konfigurationsdatei explizit, um dieselbe Einstellung zu verwenden, die für den Dienstanhang verwendet wird.
```
resource "google_compute_service_attachment" "SERVICE_NAME" {
  ...
  reconcile_connections    = false
}
```
Eine Beispielkonfiguration finden Sie unter Abgleich von Verbindungen eines Dienstanhangs auf GitHub.

Patchupdates für Dienstanhänge

Wenn Sie einen Dienstanhang mit der PATCH API aktualisieren, müssen Sie alle Felder für den Dienstanhang im Anfragetext angeben, nicht nur die Felder, die Sie aktualisieren. Verwenden Sie serviceAttachments.get, um alle Felder abzurufen.

Fehlerbehebung

Fehler beim Aktualisieren eines Dienstanhangs

Wenn beim Aktualisieren eines Dienstanhangs die folgende Fehlermeldung angezeigt wird, enthält die Annahmeliste oder die Ablehnungsliste möglicherweise gelöschte Projekte: The resource PROJECT was not found.

Entfernen Sie die gelöschten Projekte aus der Konfiguration des Dienstanhangs, um das Problem zu beheben.

Verwenden Sie den Befehl gcloud compute service-attachments describe, um die Konfiguration des Dienstanhangs aufzurufen, den Sie ändern möchten.

So geben Sie die Annahmeliste in einem Format aus, das Sie später zum Aktualisieren des Dienstanhangs verwenden können:

gcloud compute service-attachments describe ATTACHMENT_NAME \
  --region=REGION --flatten="consumerAcceptLists[]" \
  --format="csv[no-heading,separator='='](consumerAcceptLists.projectIdOrNum,consumerAcceptLists.connectionLimit)" \
  | xargs | sed -e 's/ /,/g'

Die Ausgabe der Annahmeliste sieht in etwa so aus:

PROJECT_1=LIMIT_1,PROJECT_2=LIMIT_2,PROJECT_3=LIMIT_3

So geben Sie die Ablehnungsliste in einem Format aus, das Sie später zum Aktualisieren des Dienstanhangs verwenden können:
```
gcloud compute service-attachments describe ATTACHMENT_NAME \
  --region=REGION \
  --format="value[delimiter=','](consumerRejectLists[])"
```
Die Ausgabe der Ablehnungsliste sieht in etwa so aus:
```
PROJECT_1,PROJECT_2,PROJECT_3
```

Bearbeiten Sie die Befehlsausgabe, um alle gelöschten Projekte aus der Annahmeliste und aus der Ablehnungsliste zu entfernen.

Aktualisieren Sie den Dienstanhang, um die gelöschten Projekte zu entfernen.

So aktualisieren Sie die Annahmeliste:

gcloud compute service-attachments update ATTACHMENT_NAME \
  --region=REGION \
  --consumer-accept-list=UPDATED_ACCEPT_LIST

So aktualisieren Sie die Ablehnungsliste:

gcloud compute service-attachments update ATTACHMENT_NAME \
  --region=REGION \
  --consumer-reject-list=UPDATED_REJECT_LIST

Es besteht keine Verbindung.

Wenn ein Nutzer einen Endpunkt oder ein Backend erstellt hat, der auf Ihren Dienstanhang verweist, aber keine Verbindung hergestellt wird, prüfen Sie den Verbindungsstatus des Dienstanhangs. Der Verbindungsstatus kann möglicherweise auf Schritte hinweisen, mit denen Sie das Problem beheben können.

Zeitüberschreitung bei Nutzerverbindungen

Wenn Nutzerverbindungen ein Zeitlimit erreichen, prüfen Sie, ob Ihr Dienst lang andauernde Verbindungen benötigt. Das Zeitlimit für Inaktivität hergestellter TCP-Verbindungen für Private Service Connect-NAT beträgt 20 Minuten. Wenn für Ihren Dienst eine längere Zeitüberschreitung erforderlich ist, müssen Sie möglicherweise einige Konfigurationsänderungen vornehmen, damit die Verbindungen nicht ablaufen. Weitere Informationen finden Sie unter NAT-Spezifikationen.

Weitergeleitete Verbindungen werden nicht hergestellt

Informationen zur Fehlerbehebung bei weitergegebenen Verbindungen finden Sie unter Fehlerbehebung beim Network Connectivity Center.