Richtlinien für Dienstverbindungen konfigurieren

Auf dieser Seite wird beschrieben, wie ein Netzwerkadministrator Richtlinien für Dienstverbindungen konfigurieren kann, um private Verbindungen zu einem verwalteten Dienst zu automatisieren.

Vorbereitung

  • Achten Sie darauf, dass der verwaltete Dienst, den Sie bereitstellen möchten, Richtlinien für Dienstverbindungen unterstützt. Die Bereitstellung von Diensten mithilfe von Richtlinien für Dienstverbindungen ist in einer eingeschränkten Vorschau verfügbar. Weitere Informationen zu Diensten, die Richtlinien für Dienstverbindungen unterstützen, finden Sie unter Unterstützte Dienste.

  • Sie müssen den Namen der Dienstklasse für die verwaltete Dienstinstanz, für die Sie die Verbindung bereitstellen möchten, kennen.

  • Weitere Informationen zu Private Service Connect-Endpunkten.

  • Sie benötigen ein Virtual Private Cloud (VPC)-Netzwerk und ein Subnetz.

  • Sie müssen in Ihrem Projekt die Compute Engine API aktivieren.

  • Sie müssen die Network Connectivity API in Ihrem Projekt aktivieren.

  • Sie müssen die Service Consumer Management API in dem Nutzerprojekt aktivieren, in dem die Private Service Connect-Endpunkte bereitgestellt werden. Diese API ermöglicht es Google Cloud, das Network Connectivity-Dienstkonto zu erstellen, das Private Service Connect-Endpunkte bereitstellt.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Compute-Netzwerkadministrator (roles/compute.networkAdmin) zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren eines Netzwerks und zum Erstellen einer Richtlinie für Dienstverbindungen benötigen.

Damit Sie Dienstverbindungsrichtlinien mit freigegebener VPC verwenden können, müssen Network Connectivity-Dienstkonten Rollen für das Dienst- und Hostprojekt zugewiesen sein. Diese Dienstkonten werden automatisch konfiguriert, wenn eine Richtlinie für Dienstverbindungen erstellt wird. Die Rollen können jedoch manuell entfernt werden. Wenn Fehler zu fehlenden Berechtigungen angezeigt werden, muss ein Dienstkontoadministrator die Rollen möglicherweise noch einmal zuweisen. Weitere Informationen finden Sie unter Dienstkonten für freigegebene VPC konfigurieren.

Richtlinie für Dienstverbindungen erstellen

Mit einer Richtlinie für Dienstverbindungen können Sie die angegebene Dienstklasse zum Erstellen einer Private Service Connect-Verbindung zwischen VPC-Netzwerken von Erstellern und Nutzern autorisieren.

Sie können für jede Dienstklassen-, Regions- und VPC-Netzwerkkombination maximal eine Richtlinie erstellen. Eine Richtlinie legt die Automatisierung der Dienstverbindung für genau diese Kombination fest. Wenn Sie eine Richtlinie konfigurieren, wählen Sie ein Subnetz aus. Das Subnetz wird verwendet, um den Endpunkten IP-Adressen zuzuweisen, die über die Richtlinie erstellt werden. Sie können dasselbe Subnetz in mehreren Verbindungsrichtlinien verwenden, wenn die Richtlinien dieselbe Region verwenden.

Wenn Sie beispielsweise die Automatisierung der Dienstverbindung für zwei Dienste in drei verschiedenen Regionen verwenden möchten, erstellen Sie sechs Richtlinien. Sie können mindestens drei Subnetze verwenden – eines für jede Region.

Nachdem Sie eine Richtlinie für Dienstverbindungen erstellt haben, können Sie nur die Subnetze und Verbindungslimits der Richtlinie aktualisieren. Wenn Sie andere Felder aktualisieren möchten, löschen Sie die Richtlinie und erstellen Sie eine neue.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Verbindungsrichtlinien.

  3. Klicken Sie auf Verbindungsrichtlinie erstellen.

  4. Geben Sie einen Namen für die Verbindungsrichtlinie ein.

  5. Geben Sie die Dienstklasse an.

    • Gehen Sie bei Google-Diensten so vor:
      1. Wählen Sie für Source service class (Klasse des Quelldiensts) die Option Google-Dienste aus.
      2. Wählen Sie im Menü Dienstklasse die Dienstklasse aus.
    • Gehen Sie bei Drittanbieterdiensten so vor:
      1. Wählen Sie für Source service class (Dienstklasse der Quelle) die Option 3rd party services (Drittanbieterdienste) aus.
      2. Geben Sie für Dienstklasse den Namen der Dienstklasse ein.
  6. Wählen Sie im Bereich Bereich der Zielendpunkte ein Netzwerk und eine Region aus, für die diese Richtlinie gilt.

  7. Wählen Sie im Bereich Richtlinie ein oder mehrere Subnetze aus dem Menü Subnetzwerke aus. Die Subnetze werden verwendet, um Endpunkten IP-Adressen zuzuweisen.

  8. Optional: Geben Sie für die Richtlinie ein Verbindungslimit an. Das Limit bestimmt, wie viele Endpunkte über diese Verbindungsrichtlinie erstellt werden können. Wenn dieses Feld weggelassen wird, gibt es kein Limit.

  9. Klicken Sie auf Richtlinie erstellen.

gcloud

Führen Sie den Befehl service-connection-policies create aus.

gcloud network-connectivity service-connection-policies create POLICY_NAME \
    --network=NETWORK \
    --project=PROJECT_ID \
    --region=REGION \
    --service-class=SERVICE_CLASS \
    --subnets=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETS \
    --psc-connection-limit=LIMIT \
    --description=DESCRIPTION

Ersetzen Sie dabei Folgendes:

  • POLICY_NAME: der Name Ihrer Dienstverbindungsrichtlinie.
  • NETWORK: das Netzwerk, auf das diese Richtlinie angewendet werden soll.
  • PROJECT_ID: die Projekt-ID oder Nummer des Projekts des VPC-Netzwerks. Für freigegebene VPC-Netzwerke gilt, dass Richtlinien für Dienstverbindungen im Hostprojekt bereitgestellt werden müssen und in Dienstprojekten nicht unterstützt werden.
  • REGION: die Region, auf die diese Richtlinie angewendet werden soll. Für jede Region, in der Sie die Dienstverbindung automatisieren möchten, muss dieselbe Richtlinie vorhanden sein.
  • SERVICE_CLASS: vom Ersteller bereitgestellte Ressourcenkennzeichnung der Dienstklasse.
  • SUBNETS: ein oder mehrere reguläre Nutzersubnetze, die zum Zuweisen von IP-Adressen für Private Service Connect-Endpunkte verwendet werden. Diese IP-Adressen werden automatisch zugewiesen und an den Pool des Subnetzes zurückgegeben, wenn verwaltete Dienstinstanzen erstellt und gelöscht werden. Die Subnetze müssen sich in derselben Region wie die Richtlinie für Dienstverbindungen befinden. Sie können dasselbe Subnetzwerk in mehreren Verbindungsrichtlinien verwenden, wenn die Richtlinien dieselbe Region verwenden. Sie können mehrere Subnetze in einer durch Kommas getrennten Liste angeben.
  • LIMIT: die maximale Anzahl von Endpunkten, die mithilfe dieser Richtlinie erstellt werden können. Wenn keine Angabe erfolgt, gibt es kein Limit.
  • DESCRIPTION ist eine optionale Beschreibung der Richtlinie für Dienstverbindungen

Mit dem folgenden Befehl wird beispielsweise eine Richtlinie für Dienstverbindungen für die Dienstklasse gcp-database-service erstellt, die IP-Adressen aus dem Subnetz managed-services zuweist. Mit dieser Richtlinie können maximal 10 Private Service Connect-Endpunkte erstellt werden. Die Endpunkte müssen in Projekten erstellt werden, die sich in derselben Organisation wie die verwaltete Dienstinstanz befinden.

gcloud network-connectivity service-connection-policies create gcp-database-cxn-policy \
    --network=default \
    --project=my-project \
    --region=us-central1 \
    --service-class=gcp-database-service \
    --subnets=managed-service-subnet \
    --psc-connection-limit=10

Terraform

Sie können die Terraform-Ressource verwenden, um eine Richtlinie für Dienstverbindungen zu erstellen.

# Create a VPC network
resource "google_compute_network" "default" {
  name                    = "consumer-network"
  auto_create_subnetworks = false
}

# Create a subnetwork
resource "google_compute_subnetwork" "default" {
  name          = "consumer-subnet"
  ip_cidr_range = "10.0.0.0/16"
  region        = "us-central1"
  network       = google_compute_network.default.id
}

# Create a service connection policy
resource "google_network_connectivity_service_connection_policy" "default" {
  name          = "service-connection-policy"
  location      = "us-central1"
  service_class = "gcp-memorystore-redis"
  network       = google_compute_network.default.id
  psc_config {
    subnetworks = [google_compute_subnetwork.default.id]
    limit       = 2
  }
}

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

API

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID: die Projekt-ID.
  • REGION: die Region Ihrer Dienstverbindungsrichtlinie.
  • POLICY_NAME: der Name Ihrer Dienstverbindungsrichtlinie.
  • DESCRIPTION: eine optionale Beschreibung Ihrer Dienstverbindungsrichtlinie.
  • NETWORK: das Netzwerk Ihrer Dienstverbindungsrichtlinie.
  • LIMIT: die maximale Anzahl von Endpunkten, die mithilfe dieser Richtlinie erstellt werden können. Wenn keine Angabe erfolgt, gibt es kein Limit.
  • SUBNET: ein oder mehrere reguläre Nutzersubnetze, die zum Zuweisen von IP-Adressen für Private Service Connect-Endpunkte verwendet werden. Diese IP-Adressen werden automatisch zugewiesen und an den Pool des Subnetzes zurückgegeben, wenn verwaltete Dienstinstanzen erstellt und gelöscht werden. Die Subnetze müssen sich in derselben Region wie die Richtlinie für Dienstverbindungen befinden. Sie können dasselbe Subnetzwerk in mehreren Verbindungsrichtlinien verwenden, wenn die Richtlinien dieselbe Region verwenden. Sie können mehrere Subnetz-URLs in einer durch Kommas getrennten Liste angeben.
  • SERVICE_CLASS: vom Ersteller bereitgestellte Ressourcenkennzeichnung der Dienstklasse.

HTTP-Methode und URL:

POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies?serviceConnectionPolicyId=POLICY_NAME

JSON-Text anfordern:

{
  "description": "DESCRIPTION",
  "network": "projects/PROJECT_ID/global/networks/NETWORK",
  "pscConfig": {
    "limit": "LIMIT",
    "subnetworks": [
      "projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET"
    ]
  },
  "serviceClass": "SERVICE_CLASS"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "projects/project-id/locations/us-central1/operations/operation-1692118768698-602f91a204523-8c6a2d93-d5c20a6a",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.networkconnectivity.v1.OperationMetadata",
    "createTime": "2023-08-15T16:59:29.236110917Z",
    "target": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-name",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

Richtlinien für Dienstverbindungen auflisten

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Verbindungsrichtlinien.

  3. Die Verbindungsrichtlinien werden angezeigt.

gcloud

Führen Sie den Befehl service-connection-policies list aus.

gcloud network-connectivity service-connection-policies list \
    --region=REGION

Ersetzen Sie REGION durch die Region, in der Sie die Richtlinien für Dienstverbindungen auflisten möchten.

API

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID: die Projekt-ID.
  • REGION: die Region, in der Dienstverbindungsrichtlinien aufgeführt werden sollen.

HTTP-Methode und URL:

GET https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "serviceConnectionPolicies": [
    {
      "name": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-1",
      "createTime": "2023-08-15T15:33:54.712819865Z",
      "updateTime": "2023-08-15T15:33:54.945630882Z",
      "description": "descriptor",
      "network": "projects/project-id/global/networks/network-two",
      "serviceClass": "service-class",
      "infrastructure": "PSC",
      "pscConfig": {
        "subnetworks": [
          "projects/project-id/regions/us-west1/subnetworks/us-west1-subnet"
        ],
        "limit": "12"
      },
      "etag": "zCqDFBG1dS7B4gNdJKPR98YMUXpSrBIz0tZB_hwOIZI"
    },
    {
      "name": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-2",
      "createTime": "2023-08-15T16:59:29.230257109Z",
      "updateTime": "2023-08-15T16:59:29.508994923Z",
      "description": "descriptor",
      "network": "projects/project-id/global/networks/custom-test",
      "serviceClass": "service-class",
      "infrastructure": "PSC",
      "pscConfig": {
        "subnetworks": [
          "projects/project-id/regions/us-central1/subnetworks/subnet-one"
        ],
        "limit": "25"
      },
      "etag": "nB603i61nRGMZpNjWoWMM6wRzsgM8QN9C9v5QFLyOa8"
    }
  ]
}

Richtlinie für Dienstverbindungen beschreiben

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Verbindungsrichtlinien.

  3. Klicken Sie auf die Richtlinie für die Dienstverbindung, die Sie aufrufen möchten.

gcloud

Führen Sie den Befehl service-connection-policies describe aus.

gcloud network-connectivity service-connection-policies describe POLICY_NAME \
    --region=REGION

Ersetzen Sie dabei Folgendes:

  • POLICY_NAME: der Name der Richtlinie für Dienstverbindungen, die Sie beschreiben möchten.
  • REGION: Region der Richtlinie für Dienstverbindungen, die Sie beschreiben möchten.

API

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID: die Projekt-ID.
  • REGION: die Region Ihrer Dienstverbindungsrichtlinie.
  • POLICY_NAME: der Name der zu beschreibenden Richtlinie für Dienstverbindungen.

HTTP-Methode und URL:

GET https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-name",
  "createTime": "2023-08-15T16:59:29.230257109Z",
  "updateTime": "2023-08-15T16:59:29.508994923Z",
  "description": "description",
  "network": "projects/project-id/global/networks/custom-test",
  "serviceClass": "gcp-memorystore-redis",
  "infrastructure": "PSC",
  "pscConfig": {
    "subnetworks": [
      "projects/project-id/regions/us-central1/subnetworks/subnet-one"
    ],
    "limit": "25"
  },
  "etag": "nB603i61nRGMZpNjWoWMM6wRzsgM8QN9C9v5QFLyOa8"
}

Dienstverbindungsrichtlinie aktualisieren

Sie können die Subnetze und das Verbindungslimit für eine Richtlinie für Dienstverbindungen aktualisieren.

Wenn Sie ein Subnetz aus der Dienstverbindungsrichtlinie entfernen, gilt Folgendes:

  • Vorhandene Private Service Connect-Endpunkte sind nicht betroffen.
  • Neue Endpunkte verwenden nicht das entfernte Subnetz.

Wenn Sie das Verbindungslimit einer Richtlinie für Dienstverbindungen aktualisieren, gilt:

  • Vorhandene Endpunkte sind nicht betroffen.
  • Wenn das neue Verbindungslimit niedriger ist als die vorhandene Anzahl an Endpunkten, die der Richtlinie zugeordnet sind, blockiert die Automatisierung der Dienstverbindungen das Erstellen neuer Endpunkte, die diese Richtlinie verwenden.
  • Wenn das neue Verbindungslimit höher als die vorhandene Anzahl von Endpunkten ist, die der Richtlinie zugeordnet sind, können Endpunkte, die zuvor durch das Verbindungslimit blockiert wurden, erstellt werden.

Wenn Sie eine Dienstverbindungsrichtlinie aktualisieren und kein Verbindungslimit angeben, hat die aktualisierte Richtlinie kein Verbindungslimit.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Verbindungsrichtlinien.

  3. Klicken Sie auf die Richtlinie für Dienstverbindungen, die Sie bearbeiten möchten.

  4. Klicken Sie auf Bearbeiten.

  5. So aktualisieren Sie die Unternetzwerke der Richtlinie:

    1. Klicken Sie auf Subnetzwerke und wählen Sie dann die Subnetzwerke aus, die mit dieser Richtlinie verknüpft werden sollen.
    2. Klicken Sie auf OK.
  6. Wenn Sie das Verbindungslimit der Richtlinie aktualisieren möchten, geben Sie im Feld Verbindungslimit einen neuen Wert ein.

  7. Klicken Sie auf Richtlinie aktualisieren.

gcloud

Führen Sie den Befehl service-connection-policies update aus.

gcloud network-connectivity service-connection-policies update POLICY_NAME \
    --region=REGION
    --project=PROJECT_ID
    --subnets=SUBNETS
    --psc-connection-limit=LIMIT
  • POLICY_NAME: der Name Ihrer Dienstverbindungsrichtlinie.
  • REGION: die Region der Dienstverbindungsrichtlinie. Sie können die Region einer Richtlinie nicht aktualisieren.
  • PROJECT_ID: Die ID oder Nummer des Projekts der Richtlinie.
  • SUBNETS: ein oder mehrere reguläre Nutzersubnetze, die zum Zuweisen von IP-Adressen für Private Service Connect-Endpunkte verwendet werden. Diese IP-Adressen werden automatisch zugewiesen und an den Pool des Subnetzes zurückgegeben, wenn verwaltete Dienstinstanzen erstellt und gelöscht werden. Die Subnetze müssen sich in derselben Region wie die Richtlinie für Dienstverbindungen befinden. Sie können dasselbe Subnetzwerk in mehreren Verbindungsrichtlinien verwenden, wenn die Richtlinien dieselbe Region verwenden. Sie können mehrere Subnetze in einer durch Kommas getrennten Liste angeben.
  • LIMIT: die maximale Anzahl von Endpunkten, die mithilfe dieser Richtlinie erstellt werden können. Wenn keine Angabe erfolgt, gibt es kein Limit.

API

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID: die Projekt-ID.
  • REGION: die Region Ihrer Dienstverbindungsrichtlinie. Sie können die Region einer Richtlinie nicht aktualisieren.
  • POLICY_NAME: der Name Ihrer Dienstverbindungsrichtlinie.
  • LIMIT: die maximale Anzahl von Endpunkten, die mithilfe dieser Richtlinie erstellt werden können. Wenn keine Angabe erfolgt, gibt es kein Limit.
  • SUBNET: ein oder mehrere reguläre Nutzersubnetze, die zum Zuweisen von IP-Adressen für Private Service Connect-Endpunkte verwendet werden. Diese IP-Adressen werden automatisch zugewiesen und an den Pool des Subnetzes zurückgegeben, wenn verwaltete Dienstinstanzen erstellt und gelöscht werden. Die Subnetze müssen sich in derselben Region wie die Richtlinie für Dienstverbindungen befinden. Sie können dasselbe Subnetzwerk in mehreren Verbindungsrichtlinien verwenden, wenn die Richtlinien dieselbe Region verwenden. Sie können mehrere Subnetz-URLs in einer durch Kommas getrennten Liste angeben.
  • NETWORK: das Netzwerk Ihrer Dienstverbindungsrichtlinie.

HTTP-Methode und URL:

PATCH https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME

JSON-Text anfordern:

{
  "pscConfig": {
    "limit": "LIMIT",
    "subnetworks": [
      "projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET"
    ]
  },
  "network": "projects/PROJECT_ID/global/networks/NETWORK"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "projects/project-id/locations/us-central1/operations/operation-1692118768698-602f91a204523-8c6a2d93-d5c20a6a",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.networkconnectivity.v1.OperationMetadata",
    "createTime": "2023-08-15T16:59:29.236110917Z",
    "target": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-name",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

Richtlinie für Dienstverbindungen löschen

Sie können eine Richtlinie für Dienstverbindungen löschen, wenn Sie den Dienst nicht mehr verwenden oder die Automatisierung der Konnektivität beenden möchten. Das Löschen der Richtlinie ist blockiert, wenn aktive Private Service Connect-Verbindungen mit der Richtlinie verknüpft sind. Bevor Sie eine Richtlinie für Dienstverbindungen löschen, löschen Sie alle aktiven Verbindungen, indem Sie alle zugehörigen Dienstinstanzen außer Betrieb nehmen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Private Service Connect auf.

    Zu Private Service Connect

  2. Klicken Sie auf den Tab Verbindungsrichtlinien.

  3. Wählen Sie die Richtlinien für Dienstverbindungen aus, die Sie löschen möchten, und klicken Sie dann auf Löschen.

gcloud

Führen Sie den Befehl service-connection-policies delete aus.

gcloud network-connectivity service-connection-policies delete POLICY_NAME \
    --region=REGION

Ersetzen Sie dabei Folgendes:

  • POLICY_NAME: der Name der Richtlinie für Dienstverbindungen, die Sie löschen möchten.
  • REGION: die Region der Richtlinie für Dienstverbindungen, die Sie löschen möchten.

API

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • PROJECT_ID: die Projekt-ID.
  • REGION: die Region Ihrer Dienstverbindungsrichtlinie.
  • POLICY_NAME: der Name der Richtlinie für Dienstverbindungen, die gelöscht werden soll.

HTTP-Methode und URL:

DELETE https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Sie sollten eine JSON-Antwort ähnlich wie diese erhalten:

{
  "name": "projects/project-id/locations/us-central1/operations/operation-1692128792549-602fb6f98194a-e0275435-36edc095",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.networkconnectivity.v1.OperationMetadata",
    "createTime": "2023-08-15T19:46:32.605032867Z",
    "target": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-name",
    "verb": "delete",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

Dienstkonten für freigegebene VPC konfigurieren

Dienstkonten werden automatisch konfiguriert, wenn Sie Dienstverbindungsrichtlinien mit freigegebener VPC verwenden. Die Rollen können jedoch manuell entfernt werden. Wenn Fehler aufgrund fehlender Berechtigungen angezeigt werden, versuchen Sie, die Rollen noch einmal zu gewähren.

Zum Zuweisen der erforderlichen Rollen kann ein Dienstkontoadministrator Folgendes tun:

Rollen dem Dienstkonto im Dienstprojekt zuweisen

gcloud

  1. Weisen Sie dem Network Connectivity-Dienstkonto des Dienstprojekts die Rolle „Network Connectivity-Dienst-Agent“ (roles/networkconnectivity.serviceAgent) zu. Weisen Sie die Rolle für das Dienstprojekt zu.

    gcloud projects add-iam-policy-binding SERVICE_PROJECT_NUMBER \
        --member=serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-networkconnectivity.iam.gserviceaccount.com \
        --role=roles/networkconnectivity.serviceAgent
    

    Ersetzen Sie SERVICE_PROJECT_NUMBER durch die Projektnummer des Dienstprojekts.

  2. Weisen Sie dem Network Connectivity-Dienstkonto des Dienstprojekts die Rolle „Compute-Netzwerknutzer“ (roles/compute.networkUser) zu. Führen Sie einen der folgenden Schritte aus:

    • Weisen Sie die Rolle für das Hostprojekt zu.

      gcloud projects add-iam-policy-binding HOST_PROJECT_NUMBER \
          --member=serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-networkconnectivity.iam.gserviceaccount.com \
          --role=roles/compute.networkUser
      

      Ersetzen Sie HOST_PROJECT_NUMBER durch die Projektnummer des Hostprojekts.

    • Gewähren Sie die Rolle für jedes der Subnetze im Hostprojekt, das mit der Richtlinie für Dienstverbindungen verknüpft ist. Verwenden Sie für jedes Subnetz den folgenden Befehl.

      gcloud compute networks subnets add-iam-policy-binding SUBNET \
          --member=serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-networkconnectivity.iam.gserviceaccount.com \
          --role=roles/compute.networkUser \
          --region=REGION \
          --project=HOST_PROJECT_NUMBER
      

      Ersetzen Sie dabei Folgendes:

      • SUBNET: der Name des Subnetzes, das Ihrer Dienstverbindungsrichtlinie zugeordnet ist.
      • REGION: die Region des Subnetzes.

Rolle dem Dienstkonto im Hostprojekt zuweisen

gcloud

  1. Weisen Sie dem Network Connectivity-Dienstkonto des Dienstprojekts die Rolle „Network Connectivity-Dienst-Agent“ (roles/networkconnectivity.serviceAgent) zu. Weisen Sie die Rolle für das Hostprojekt zu.

    gcloud projects add-iam-policy-binding HOST_PROJECT_NUMBER \
        --member=serviceAccount:service-HOST_PROJECT_NUMBER@gcp-sa-networkconnectivity.iam.gserviceaccount.com \
        --role=roles/networkconnectivity.serviceAgent
    

    Ersetzen Sie HOST_PROJECT_NUMBER durch die Projektnummer des Hostprojekts.

Nächste Schritte