Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Verwaltete Dienstinstanz über Richtlinien für Dienstverbindungen bereitstellen
Auf dieser Seite wird beschrieben, wie ein Nutzerdienstadministrator mithilfe von Richtlinien für Dienstverbindungen eine Instanz eines verwalteten Dienstes bereitstellen und die Verbindung konfigurieren kann.
Vorbereitung
Achten Sie darauf, dass der verwaltete Dienst, den Sie bereitstellen möchten, Richtlinien für Dienstverbindungen unterstützt. Die Bereitstellung von Diensten mithilfe von Dienstverbindungszuordnungen ist in einer eingeschränkten Vorschau verfügbar. Weitere Informationen zu Diensten, die Richtlinien für Dienstverbindungen unterstützen, finden Sie unter Unterstützte Dienste.
Sie benötigen eine Richtlinie für Dienstverbindungen für das VPC-Netzwerk, die Region und den verwalteten Dienst, die Sie bereitstellen möchten.
Erforderliche Rollen
Nutzerdienstadministratoren benötigen keine IAM-Berechtigungen für das VPC-Netzwerk, da diese Berechtigungen von der Richtlinie für Dienstverbindungen delegiert werden. IAM-Berechtigungen sind jedoch möglicherweise für bestimmte verwaltete Dienste erforderlich, die mithilfe von Richtlinien für Dienstverbindungen bereitgestellt werden. Informationen zu den IAM-Berechtigungen, die für einen bestimmten verwalteten Dienst erforderlich sind, finden Sie in der Dokumentation des Dienstes.
Verwaltete Dienstinstanz bereitstellen und Verbindung konfigurieren
Wenn eine Richtlinie für Dienstverbindungen für einen Dienst vorhanden ist, kann ein Nutzerdienstadministrator eine verwaltete Dienstinstanz bereitstellen und die Verbindung direkt über die administrative API oder die Benutzeroberfläche des verwalteten Dienstes konfigurieren.
So stellen Sie eine Verbindung zu einem verwalteten Dienst bereit: Die Schritte können je nach verwaltetem Dienst variieren.
Geben Sie in der administrativen API oder Benutzeroberfläche des verwalteten Dienstes Private Service Connect als Verbindungstyp an. Der Dienst bietet möglicherweise die Option, das VPC-Netzwerk für die Bereitstellung von Private Service Connect-Endpunkten anzugeben.
Wenn alle Autorisierungsüberprüfungen erfolgreich sind, wird die Konnektivität bereitgestellt. Das Dienstkonto für die Netzwerkverbindung erstellt eine interne IP-Adresse und einen Private Service Connect-Endpunkt im angegebenen VPC-Netzwerk.
Der Lebenszyklus Ihres Endpunkts entspricht dem Lebenszyklus Ihrer verwalteten Dienstinstanz. Der Endpunkt bleibt aktiv und stabil, es sei denn, Sie konfigurieren die Verbindung neu oder deaktivieren die Dienstinstanz.
Nachdem das Dienstkonto für die Netzwerkverbindung den Endpunkt erstellt hat, ist die Weiterleitungsregel des Endpunkts in dem Projekt sichtbar, das Sie in Schritt 1 konfiguriert haben. Diese Weiterleitungsregel gibt an, dass die Verbindung vom Ersteller akzeptiert wurde und enthält die IP-Adresse, die dem Endpunkt zugewiesen wurde.
Die Namen aller Weiterleitungsregeln, die mithilfe von Richtlinien für Dienstverbindungen erstellt werden, beginnen mit sca-auto-. Das folgende Beispiel zeigt eine Weiterleitungsregel, die mit einer Richtlinie für Dienstverbindungen erstellt wurde.
Ihr Dienst kann Informationen dazu bereitstellen, wie Sie eine Verbindung zum neuen Endpunkt herstellen, indem Sie beispielsweise eine IP-Adresse angeben. Verwenden Sie die bereitgestellte IP-Adresse für die Kommunikation mit Ihrem Dienst über interne IP-Adressen in Google Cloud.
Weitere Informationen zum Konfigurieren eines bestimmten Dienstes finden Sie in der Dokumentation des jeweiligen Dienstes.
Außerbetriebnahme der Dienstverbindung
Verwenden Sie die administrative API oder Benutzeroberfläche des verwalteten Dienstes, um die Dienstverbindung oder eine verwaltete Dienstinstanz, die mithilfe von Richtlinien für Dienstverbindungen bereitgestellt wird, außer Betrieb zu nehmen. Löschen Sie alle Dienstinstanzen, die mit dem verwalteten Dienst verknüpft sind. Wenn Dienstinstanzen gelöscht werden, werden auch die zugehörigen Verbindungen und Endpunkte in Google Cloud gelöscht.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2024-12-06 (UTC)."],[],[],null,["# Deploy a managed service instance by using service connection policies\n\nDeploy a managed service instance by using service\nconnection policies\n======================================================================\n\nThis page describes how a service instance administrator can deploy an instance\nof a managed service and configure connectivity by using service connection\npolicies.\n\nBefore you begin\n----------------\n\n- Make sure that the managed service that you want to deploy supports\n service connection policies. Making services available for deployment by\n using service connection maps is available in a limited Preview. For more\n information about services that support service connection maps, see\n [Supported services](/vpc/docs/about-service-connectivity-automation#supported-services).\n\n- You need a [service connection policy](/vpc/docs/about-service-connection-policies)\n for the VPC network, region, and managed service that you want\n to deploy.\n\n### Required roles\n\nService instance administrators don't need any IAM permissions\nfor the VPC network because these permissions are delegated\nby the service connection policy. However, IAM permissions might\nbe required for specific managed services that are deployed by using service\nconnection policies. For information about IAM permissions that\nare required by a specific managed service, check the service's documentation.\n\nDeploy a managed service instance and configure connectivity\n------------------------------------------------------------\n\nIf a service connection policy exists for a service, a consumer service\nadministrator can configure connectivity for the managed service instance that\nthey are deploying directly through the administrative API or UI of the managed\nservice.\n\nTo deploy managed service connectivity, follow these steps. The steps might\nvary depending on the managed service.\n\n1. Use the administrative API or UI of the managed service to deploy a service\n instance, specifying Private Service Connect as your connectivity\n type. The service might provide the option to specify the VPC\n network to deploy Private Service Connect endpoints in.\n\n For example, you can\n [deploy and configure connectivity for a Cloud SQL instance](/sql/docs/mysql/configure-private-service-connect#create-cloud-sql-instance-psc-enabled-2).\n | **Note:** A service connection policy must exist for this VPC network, region, and service class. Otherwise, the service producer that's represented by the service class is not authorized to deploy connectivity on your behalf.\n2. If all [authorization checks](/vpc/docs/about-service-connectivity-automation#authorization)\n pass, then connectivity is deployed. The\n Network Connectivity Service Account creates an internal IP\n address and Private Service Connect\n endpoint in the specified VPC network.\n\n The lifecycle of your endpoint matches the lifecycle of your managed\n service instance. The endpoint remains active and stable unless you\n reconfigure connectivity or [decommission the service instance](#decommission-service)\n3. After the Network Connectivity Service Account creates your endpoint, the\n endpoint's forwarding rule is visible in the project that you configured\n in step 1. This forwarding rule indicates that the connection has been\n accepted by the producer and includes the IP address that was assigned to\n your endpoint.\n\n The names of all forwarding rules that are created by using\n service connection policies start with `sca-auto-`. The following is an\n example of a forwarding rule that was created by using a service connection\n policy. \n\n ```\n\n kind: compute#forwardingRule\n name: sca-auto-ab3f45d\n IPAddress: 10.33.2.8\n allowPscGlobalAccess: true\n network: https://www.googleapis.com/compute/v1/projects/consumer-project/global/networks/vpc1\n pscConnectionStatus: ACCEPTED\n region: https://www.googleapis.com/compute/v1/projects/consumer-project/regions/us-central1\n selfLink: https://www.googleapis.com/compute/v1/projects/consumer-project/regions/us-central1/forwardingRules/sca-auto-ab3f45d\n serviceDirectoryRegistrations:\n -namespace: goog-psc-default\n target:\n https://www.googleapis.com/compute/v1/projects/producer-project/regions/us-central1/serviceAttachments/producer-sa\n\n ```\n4. Your service might provide information about how to connect to the\n new endpoint---for example, by providing an IP address. Use the\n provided IP address to communicate with your service through internal IP\n addresses within Google Cloud.\n\n For more information about how to configure a specific service, see that\n service's documentation.\n\n| **Caution:** The managed service fully controls the lifecycle of Private Service Connect endpoints and IP addresses that are deployed by using service connection policies. Don't directly delete or update these Google Cloud resources or else you risk losing connectivity to your managed service instance. All actions to add, remove, or update connectivity for a managed service instance should be taken directly through the administrative API or UI of the managed service.\n\nDecommission service connectivity\n---------------------------------\n\nTo decommission service connectivity or decommission a managed service instance\nthat's deployed by using service connection policies, use the administrative API\nor UI of the managed service. Delete each service instance that's associated\nwith the managed service. When service instances are deleted, service\nconnectivity automation deletes the associated connections and endpoints.\n\nTroubleshooting\n---------------\n\nThis section contains information about troubleshooting connections that are\ncreated through service connectivity automation.\n\n### Endpoint creation or deletion failure\n\nIf authorized endpoints are not created or deleted as you expect,\n[describe the service connection policy](/vpc/docs/configure-service-connection-policies#describe-policy).\nThe `pscConnections` field contains details about any blocking\nerrors and how you can resolve them.\n\nAfter any issues are resolved, the endpoint is created or deleted the next time\nservice connectivity automation automatically\n[retries the operation](/vpc/docs/about-service-connectivity-automation#endpoint-automation).\n\nAlternatively, if you don't want to wait for the retry process, you can use the\nadministrative API or UI of the managed service you are deploying to request\ndeployment and connectivity for another service instance, using a valid\nconfiguration."]]
