使用服務連線政策部署代管服務執行個體
本頁面說明服務執行個體管理員如何部署代管服務執行個體,以及如何使用服務連線政策設定連線。
事前準備
確認要部署的受管理服務支援服務連線政策。使用服務連線地圖部署服務的功能目前僅開放部分使用者搶先體驗。如要進一步瞭解支援服務連結地圖的服務,請參閱「支援的服務」。
您需要為要部署的虛擬私有雲網路、區域和代管服務建立服務連線政策。
必要的角色
服務執行個體管理員不需要虛擬私有雲網路的任何 IAM 權限,因為這些權限是由服務連線政策委派。不過,使用服務連線政策部署的特定代管服務可能需要 IAM 權限。如要瞭解特定代管服務所需的 IAM 權限,請參閱該服務的說明文件。
部署代管服務執行個體並設定連線
如果服務有服務連線政策,消費者服務管理員可以直接透過代管服務的管理 API 或 UI,為部署的代管服務執行個體設定連線。
如要部署受管理服務連線,請按照下列步驟操作。實際步驟可能因代管服務而異。
使用代管服務的管理 API 或 UI 部署服務執行個體,並將 Private Service Connect 指定為連線類型。服務可能會提供選項,讓您指定要部署 Private Service Connect 端點的虛擬私有雲網路。
舉例來說,您可以部署及設定 Cloud SQL 執行個體的連線。
如果所有授權檢查都通過,系統就會部署連線。網路連線服務帳戶會在指定的虛擬私有雲網路中,建立內部 IP 位址和 Private Service Connect 端點。
端點的生命週期與受管理服務執行個體的生命週期相同。除非您重新設定連線或停用服務執行個體,否則端點會保持有效且穩定
網路連線服務帳戶建立端點後,您在步驟 1 中設定的專案就會顯示端點的轉送規則。這項轉送規則表示製作人已接受連線,並包含指派給端點的 IP 位址。
使用服務連線政策建立的所有轉送規則名稱,開頭都是
sca-auto-。以下是使用服務連線政策建立的轉送規則範例。kind: compute#forwardingRule name: sca-auto-ab3f45d IPAddress: 10.33.2.8 allowPscGlobalAccess: true network: https://www.googleapis.com/compute/v1/projects/consumer-project/global/networks/vpc1 pscConnectionStatus: ACCEPTED region: https://www.googleapis.com/compute/v1/projects/consumer-project/regions/us-central1 selfLink: https://www.googleapis.com/compute/v1/projects/consumer-project/regions/us-central1/forwardingRules/sca-auto-ab3f45d serviceDirectoryRegistrations: -namespace: goog-psc-default target: https://www.googleapis.com/compute/v1/projects/producer-project/regions/us-central1/serviceAttachments/producer-sa服務可能會提供如何連線至新端點的資訊,例如提供 IP 位址。使用提供的 IP 位址,透過 Google Cloud內的內部 IP 位址與服務通訊。
如要進一步瞭解如何設定特定服務,請參閱該服務的說明文件。
停用服務連線
如要停用服務連線或停用使用服務連線政策部署的代管服務執行個體,請使用代管服務的管理 API 或 UI。刪除與代管服務相關聯的每個服務執行個體。刪除服務執行個體時,服務連線自動化功能會刪除相關聯的連線和端點。
疑難排解
本節提供透過服務連線自動化建立的連線相關疑難排解資訊。
無法建立或刪除端點
如果授權端點未如預期建立或刪除,請說明服務連線政策。pscConnections 欄位包含任何封鎖錯誤的詳細資料,以及解決方法。
解決所有問題後,服務連線自動化作業會在下次自動重試作業時,建立或刪除端點。
或者,如果您不想等待重試程序,可以使用部署的代管服務管理 API 或 UI,以有效設定要求另一個服務執行個體的部署和連線。