Esta página se ha traducido con Cloud Translation API.

Configurar políticas de conexión de servicio

En esta página se describe cómo puede configurar un administrador de red las políticas de conexión de servicio para automatizar la conectividad privada a un servicio gestionado.

Antes de empezar

Asegúrate de que el servicio gestionado que quieres implementar admite políticas de conexión de servicio.

Para obtener más información sobre los servicios que admiten políticas de conexión de servicios, consulta Servicios admitidos.
Debe conocer el nombre de la clase de servicio de la instancia de servicio gestionado para la que quiere desplegar la conectividad.
Consulta información sobre los puntos finales de Private Service Connect.
Necesitas una red de nube privada virtual (VPC) y una subred.
Debes habilitar la API Compute Engine en tu proyecto.
Debe habilitar la API Network Connectivity en su proyecto.
Debes habilitar la API Service Consumer Management en el proyecto de consumidor en el que se despliegan los endpoints de Private Service Connect. Esta API permite Google Cloud crear la cuenta de servicio de conectividad de red que implementa puntos finales de Private Service Connect.

Roles obligatorios

Para obtener los permisos que necesitas para configurar una red y crear una política de conexión de servicio, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Administrador de redes de Compute (roles/compute.networkAdmin) en tu proyecto.

Para usar políticas de conexión de servicio con una VPC compartida, se deben conceder roles a las cuentas de servicio de conectividad de red en los proyectos de servicio y host. Estas cuentas de servicio se configuran automáticamente cuando se crea una política de conexión de servicio, pero los roles se pueden quitar manualmente. Si ves errores sobre permisos que faltan, es posible que un administrador de cuentas de servicio tenga que volver a conceder los roles. Para obtener más información, consulta Configurar cuentas de servicio para VPC compartida.

Crear una política de conexión de servicio

Una política de conexión de servicio te permite autorizar la clase de servicio especificada para crear una conexión de Private Service Connect entre redes de VPC de productores y consumidores.

Puede crear una política como máximo por cada combinación de clase de servicio, región y red de VPC. Una política determina la automatización de la conectividad de servicios para esa combinación específica.

Cuando configuras una política, seleccionas una o varias subredes. Estas subredes se usan para asignar direcciones IP a los endpoints que se crean a través de la política. El tipo de pila de una subred afecta a la versión de IP posible de los endpoints que puedes implementar. Puedes reutilizar la misma subred en varias políticas de conexión si las políticas comparten la misma región.

Por ejemplo, si quieres usar la automatización de la conectividad de servicios con dos servicios en tres regiones diferentes, crea seis políticas. Puedes usar un mínimo de tres subredes, una por cada región.

Después de crear una política de conexión de servicio, solo puedes actualizar las subredes, el límite de conexión y el ámbito de la instancia de servicio de la política. Si necesitas actualizar otros campos, elimina la política y crea una nueva.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

networkconnectivity.serviceConnectionPolicies.create

Roles

Administrador de red de Compute (roles/compute.networkAdmin)

Consola

En la Google Cloud consola, ve a la página Private Service Connect.

Ir a Private Service Connect
Haga clic en la pestaña Políticas de conexión.
Haz clic en Crear política de conexión.
Introduce un Nombre para la política de conexión.
Especifica la clase de servicio.
- En el caso de los servicios de Google, haz lo siguiente:
  1. En Detalles del servicio, selecciona Servicios de Google.
  2. Selecciona la clase de servicio en el menú Clase de servicio.
- En el caso de los servicios de terceros, haz lo siguiente:
  1. En Detalles del servicio, selecciona Servicio de terceros.
  2. En Clase de servicio, introduce el nombre de la clase de servicio.
En la sección Ámbito de los endpoints, selecciona una red y una región a las que se aplique esta política.
En la sección Configuración de los endpoints, seleccione una o varias subredes en el menú Subredes. Las subredes se usan para asignar direcciones IP a los endpoints.
Opcional: Especifica un límite de conexión para la política. El límite determina cuántos endpoints se pueden crear mediante esta política de conexión. Si se omite, no hay límite.
De forma predeterminada, los endpoints se crean para las instancias de servicio que están en el mismo proyecto que la política de conexión. Si has seleccionado un servicio de Google compatible, puedes configurar la política de conexión para conectarte a instancias de servicio que se encuentren en otra parte de la jerarquía de Resource Manager.

Para seleccionar diferentes nodos de Resource Manager, haz lo siguiente:
1. Selecciona Ámbito de instancia de servicio personalizado.
2. Elige las organizaciones, carpetas y proyectos que contengan instancias de servicio a las que quieras conectarte.
Haz clic en Crear política.

gcloud

Usa el comando service-connection-policies create.

gcloud network-connectivity service-connection-policies create POLICY_NAME \
    --network=NETWORK \
    --project=PROJECT_ID \
    --region=REGION \
    --service-class=SERVICE_CLASS \
    --subnets=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETS \
    --psc-connection-limit=LIMIT \
    --description=DESCRIPTION \
    --producer-instance-location=SERVICE_INSTANCE_SCOPE \
    --allowed-google-producers-resource-hierarchy-level=LIST_OF_NODES

Haz los cambios siguientes:

POLICY_NAME: el nombre de tu política de conexión de servicio.
NETWORK: la red a la que se aplica esta política.
PROJECT_ID: el ID o el número del proyecto de la red VPC. En el caso de las redes de VPC compartida, las políticas de conexión de servicio deben implementarse en el proyecto del host y no se admiten en los proyectos de servicio.
REGION: la región en la que se aplicará esta política. Debe haber una política para cada región en la que quiera automatizar la conectividad de los servicios.
SERVICE_CLASS: identificador de recurso de la clase de servicio proporcionado por el productor.
SUBNETS: una o varias subredes de consumidor normales que se usan para asignar direcciones IP a los puntos finales de Private Service Connect. Las subredes deben estar en la misma región que la política de conexión de servicio. Puede reutilizar la misma subred en varias políticas de conexión si las políticas comparten la misma región. Puede introducir varias subredes en una lista separada por comas.
LIMIT: número máximo de endpoints que se pueden crear con esta política. Si no se especifica ningún valor, significa que no hay límite.
DESCRIPTION: una descripción opcional de la política de conexión de servicios.
SERVICE_INSTANCE_SCOPE: en el caso de los servicios gestionados de Google compatibles, especifica si esta política automatiza las conexiones a instancias de servicio que se encuentran en ubicaciones personalizadas de Resource Manager. Si se define como none, se crean endpoints que se conectan a instancias de servicio que están en el mismo proyecto que la política de conexión de servicio (o, en el caso de la VPC compartida, en proyectos conectados). El valor predeterminado es none. Si se define como custom-resource-hierarchy-levels, especifica las ubicaciones personalizadas mediante la marca --allowed-google-producers-resource-hierarchy-level.
LIST_OF_NODES: en el caso de los servicios gestionados por Google compatibles, especifica una lista de nodos de Resource Manager (proyectos, carpetas y organizaciones) que contienen las instancias del servicio al que quieres conectarte. Este campo solo se comprueba cuando la marca --producer-instance-location tiene el valor custom-resource-hierarchy-levels. La lista puede contener cualquier combinación de proyectos, carpetas y organizaciones. Para ver una lista de ejemplo, consulta lo siguiente:
```
"projects/1111111111",
"folders/2222222222",
"folders/3333333333",
"organizations/4444444444"
```

Por ejemplo, el siguiente comando crea una política de conexión de servicio para la clase de servicio google-cloud-sql publicada por Google. Esta política se puede usar para automatizar la conectividad a instancias de servicio implementadas en shared-db-service-project. Los endpoints de Private Service Connect que se crean con esta política tienen asignadas direcciones IP de la subred endpoint-subnet. Se pueden crear un máximo de 10 endpoints con esta política.

gcloud network-connectivity service-connection-policies create google-cloud-sql-policy \
    --network=default \
    --project=my-project \
    --region=us-central1 \
    --service-class=google-cloud-sql \
    --subnets=endpoint-subnet \
    --psc-connection-limit=10 \
    --producer-instance-location=custom-resource-hierarchy-levels \
    --allowed-producer-instance-scope=projects/shared-db-service-project

Terraform

Puedes usar el recurso de Terraform para crear una política de conexión de servicio.

# Create a VPC network
resource "google_compute_network" "default" {
  name                    = "consumer-network"
  auto_create_subnetworks = false
}

# Create a subnetwork
resource "google_compute_subnetwork" "default" {
  name          = "consumer-subnet"
  ip_cidr_range = "10.0.0.0/16"
  region        = "us-central1"
  network       = google_compute_network.default.id
}

# Create a service connection policy
resource "google_network_connectivity_service_connection_policy" "default" {
  name          = "service-connection-policy"
  location      = "us-central1"
  service_class = "gcp-memorystore-redis"
  network       = google_compute_network.default.id
  psc_config {
    subnetworks = [google_compute_subnetwork.default.id]
    limit       = 2
  }
}

Para saber cómo aplicar o quitar una configuración de Terraform, consulta Comandos básicos de Terraform.

API

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

PROJECT_ID: el ID de tu proyecto.
REGION: la región de la política de conexión de tu servicio.
POLICY_NAME: el nombre de tu política de conexión de servicio.
DESCRIPTION: una descripción opcional de tu política de conexión de servicios.
NETWORK: la red de la política de conexión de tu servicio.
LIMIT: número máximo de endpoints que se pueden crear con esta política. Si no se especifica ningún valor, significa que no hay límite.
SUBNET: una o varias subredes de consumidor normales que se usan para asignar direcciones IP a los puntos finales de Private Service Connect. Las subredes deben estar en la misma región que la política de conexión de servicio. Puedes reutilizar la misma subred en varias políticas de conexión si las políticas comparten la misma región. Puedes introducir varios URIs de subred en una lista separada por comas.
SERVICE_CLASS: identificador de recurso de la clase de servicio proporcionado por el productor.
PRODUCER_INSTANCE_LOCATION: PRODUCER_INSTANCE_LOCATION_UNSPECIFIED (predeterminado) o CUSTOM_RESOURCE_HIERARCHY_LEVELS.
LIST_OF_NODES: una lista de nodos de Resource Manager (proyectos, carpetas y organizaciones) que contienen las instancias de servicio a las que quieres conectarte. Este campo solo se comprueba cuando la marca PRODUCER_INSTANCE_LOCATION tiene el valor CUSTOM_RESOURCE_HIERARCHY_LEVELS. La lista puede contener cualquier combinación de proyectos, carpetas y organizaciones. Para ver una lista de ejemplo, consulta lo siguiente:
```
    "projects/1111111111",
    "folders/2222222222",
    "folders/3333333333",
    "organizations/4444444444"
    
```

Método HTTP y URL:

POST https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies?serviceConnectionPolicyId=POLICY_NAME

Cuerpo JSON de la solicitud:

{
  "description": "DESCRIPTION",
  "network": "projects/PROJECT_ID/global/networks/NETWORK",
  "pscConfig": {
    "limit": "LIMIT",
    "subnetworks": [
      "projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET"
    ]
    "producerInstanceLocation": "CUSTOM_RESOURCE_HIERARCHY_LEVELS",
    "allowedGoogleProducersResourceHierarchyLevel": [
      LIST_OF_NODES
    ]
  },
  "serviceClass": "SERVICE_CLASS"
}

Para enviar tu solicitud, despliega una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Nota: En el siguiente comando se presupone que has iniciado sesión en la CLI de gcloud con tu cuenta de usuario ejecutando gcloud init o gcloud auth login , o bien usando Cloud Shell, que inicia sesión automáticamente en la CLI de gcloud . Para comprobar la cuenta activa, ejecuta el comando gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies?serviceConnectionPolicyId=POLICY_NAME"

PowerShell (Windows)

Nota: El siguiente comando presupone que has iniciado sesión en la CLI de gcloud con tu cuenta de usuario ejecutando gcloud init o gcloud auth login . Para comprobar la cuenta activa, ejecuta el comando gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies?serviceConnectionPolicyId=POLICY_NAME" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la siguiente:

{
  "name": "projects/project-id/locations/us-central1/operations/operation-1692118768698-602f91a204523-8c6a2d93-d5c20a6a",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.networkconnectivity.v1.OperationMetadata",
    "createTime": "2023-08-15T16:59:29.236110917Z",
    "target": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-name",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

Mostrar políticas de conexión de servicio

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

networkconnectivity.serviceConnectionPolicies.list

Roles

Administrador de red de Compute (roles/compute.networkAdmin)

Consola

En la Google Cloud consola, ve a la página Private Service Connect.

Ir a Private Service Connect
Haga clic en la pestaña Políticas de conexión.
Se muestran las políticas de conexión.

gcloud

Usa el comando service-connection-policies list.

gcloud network-connectivity service-connection-policies list \
    --region=REGION

Sustituye REGION por la región en la que quieras enumerar las políticas de conexión de servicio.

API

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

PROJECT_ID: el ID de tu proyecto.
REGION: la región en la que se van a enumerar las políticas de conexión de servicio.

Método HTTP y URL:

GET https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies

Para enviar tu solicitud, despliega una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Ejecuta el comando siguiente:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies"

PowerShell (Windows)

Ejecuta el comando siguiente:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la siguiente:

{
  "serviceConnectionPolicies": [
    {
      "name": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-1",
      "createTime": "2023-08-15T15:33:54.712819865Z",
      "updateTime": "2023-08-15T15:33:54.945630882Z",
      "description": "descriptor",
      "network": "projects/project-id/global/networks/network-two",
      "serviceClass": "service-class",
      "infrastructure": "PSC",
      "pscConfig": {
        "subnetworks": [
          "projects/project-id/regions/us-west1/subnetworks/us-west1-subnet"
        ],
        "limit": "12"
      },
      "etag": "zCqDFBG1dS7B4gNdJKPR98YMUXpSrBIz0tZB_hwOIZI"
    },
    {
      "name": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-2",
      "createTime": "2023-08-15T16:59:29.230257109Z",
      "updateTime": "2023-08-15T16:59:29.508994923Z",
      "description": "descriptor",
      "network": "projects/project-id/global/networks/custom-test",
      "serviceClass": "service-class",
      "infrastructure": "PSC",
      "pscConfig": {
        "subnetworks": [
          "projects/project-id/regions/us-central1/subnetworks/subnet-one"
        ],
        "limit": "25"
      },
      "etag": "nB603i61nRGMZpNjWoWMM6wRzsgM8QN9C9v5QFLyOa8"
    }
  ]
}

Describe una política de conexión de servicio

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

networkconnectivity.serviceConnectionPolicies.get

Roles

Administrador de red de Compute (roles/compute.networkAdmin)

Consola

En la Google Cloud consola, ve a la página Private Service Connect.

Ir a Private Service Connect
Haga clic en la pestaña Políticas de conexión.
Haz clic en la política de conexión de servicio que quieras ver.

gcloud

Usa el comando service-connection-policies describe.

gcloud network-connectivity service-connection-policies describe POLICY_NAME \
    --region=REGION

Haz los cambios siguientes:

POLICY_NAME: el nombre de la política de conexión de servicio que quieras describir.
REGION: la región de la política de conexión de servicio que quieras describir.

API

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

PROJECT_ID: el ID de tu proyecto.
REGION: la región de tu política de conexión de servicio.
POLICY_NAME: el nombre de la política de conexión de servicio que se va a describir.

Método HTTP y URL:

GET https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME

Para enviar tu solicitud, despliega una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Ejecuta el comando siguiente:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME"

PowerShell (Windows)

Ejecuta el comando siguiente:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la siguiente:

{
  "name": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-name",
  "createTime": "2023-08-15T16:59:29.230257109Z",
  "updateTime": "2023-08-15T16:59:29.508994923Z",
  "description": "description",
  "network": "projects/project-id/global/networks/custom-test",
  "serviceClass": "gcp-memorystore-redis",
  "infrastructure": "PSC",
  "pscConfig": {
    "subnetworks": [
      "projects/project-id/regions/us-central1/subnetworks/subnet-one"
    ],
    "limit": "25"
  },
  "etag": "nB603i61nRGMZpNjWoWMM6wRzsgM8QN9C9v5QFLyOa8"
}

Actualizar una política de conexión de servicio

Puedes actualizar las subredes, el límite de conexiones y el ámbito de la instancia de servicio de una política de conexión de servicio.

Si quitas una subred de la política de conexión de servicio, se aplicará lo siguiente:

Esto no afecta a los endpoints de Private Service Connect actuales.
Los nuevos endpoints no usan la subred eliminada.

Si actualizas el límite de conexiones de una política de conexión de servicio, se aplicará lo siguiente:

Los endpoints que ya tengas no se verán afectados.
Si el nuevo límite de conexiones es inferior al número de endpoints asociados a la política, la automatización de la conectividad de servicios impide la creación de nuevos endpoints que usen esta política.
Si el nuevo límite de conexiones es superior al número de endpoints asociados a la política, se podrán crear endpoints que antes estaban bloqueados por el límite de conexiones.

Si actualiza una política de conexión de servicio y no especifica un límite de conexiones, la política actualizada no tendrá ningún límite de conexiones.

Si actualizas el ámbito de la instancia de servicio de una política de conexión de servicio, los puntos finales no se verán afectados.

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

networkconnectivity.serviceConnectionPolicies.update

Roles

Administrador de red de Compute (roles/compute.networkAdmin)

Consola

En la Google Cloud consola, ve a la página Private Service Connect.

Ir a Private Service Connect
Haga clic en la pestaña Políticas de conexión.
Haga clic en la política de conexión de servicio que quiera editar.
Haz clic en Editar.
Haz los cambios en la política de conexión de servicio.
Haz clic en Actualizar política.

gcloud

Usa el comando service-connection-policies update.

gcloud network-connectivity service-connection-policies update POLICY_NAME \
    --region=REGION \
    --project=PROJECT_ID \
    --subnets=SUBNETS \
    --psc-connection-limit=LIMIT
    --producer-instance-location=SERVICE_INSTANCE_SCOPE \
    --allowed-google-producers-resource-hierarchy-level=LIST_OF_NODES

POLICY_NAME: el nombre de tu política de conexión de servicio.
REGION: la región de la política de conexión de servicio. No puedes actualizar la región de una política.
PROJECT_ID: el ID o el número del proyecto de la política.
SUBNETS: una o varias subredes de consumidor normales que se usan para asignar direcciones IP a los puntos finales de Private Service Connect. Las subredes deben estar en la misma región que la política de conexión de servicio. Puede reutilizar la misma subred en varias políticas de conexión si las políticas comparten la misma región. Puede introducir varias subredes en una lista separada por comas.
LIMIT: número máximo de endpoints que se pueden crear con esta política. Si no se especifica ningún valor, significa que no hay límite.
SERVICE_INSTANCE_SCOPE: en el caso de los servicios gestionados de Google compatibles, especifica si esta política automatiza las conexiones a instancias de servicio que se encuentran en ubicaciones personalizadas de Resource Manager. Si se define como none, se crean endpoints que se conectan a instancias de servicio que están en el mismo proyecto que la política de conexión de servicio (o, en el caso de la VPC compartida, en proyectos conectados). Este es el valor predeterminado. Si se define como custom-resource-hierarchy-levels, especifica las ubicaciones personalizadas mediante la marca --allowed-google-producers-resource-hierarchy-level.
LIST_OF_NODES: en el caso de los servicios gestionados por Google compatibles, especifica una lista de nodos de Resource Manager (proyectos, carpetas y organizaciones) que contienen las instancias del servicio al que quieres conectarte. Este campo solo se comprueba cuando la marca --producer-instance-location tiene el valor custom-resource-hierarchy-levels. La lista puede contener cualquier combinación de proyectos, carpetas y organizaciones. Para ver una lista de ejemplo, consulta lo siguiente:
```
"projects/1111111111",
"folders/2222222222",
"folders/3333333333",
"organizations/4444444444"
```

API

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

PROJECT_ID: el ID de tu proyecto.
REGION: la región de tu política de conexión de servicio. No puedes actualizar la región de una política.
POLICY_NAME: el nombre de tu política de conexión de servicio.
LIMIT: número máximo de endpoints que se pueden crear con esta política. Si no se especifica ningún valor, significa que no hay límite.
SUBNET: una o varias subredes de consumidor normales que se usan para asignar direcciones IP a los puntos finales de Private Service Connect. Las subredes deben estar en la misma región que la política de conexión de servicio. Puedes reutilizar la misma subred en varias políticas de conexión si las políticas comparten la misma región. Puedes introducir varios URIs de subred en una lista separada por comas.
NETWORK: la red de tu política de conexión de servicio.

Método HTTP y URL:

PATCH https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME

Cuerpo JSON de la solicitud:

{
  "pscConfig": {
    "limit": "LIMIT",
    "subnetworks": [
      "projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET"
    ]
  },
  "network": "projects/PROJECT_ID/global/networks/NETWORK"
}

Para enviar tu solicitud, despliega una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

curl -X PATCH \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME"

PowerShell (Windows)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PATCH `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la siguiente:

{
  "name": "projects/project-id/locations/us-central1/operations/operation-1692118768698-602f91a204523-8c6a2d93-d5c20a6a",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.networkconnectivity.v1.OperationMetadata",
    "createTime": "2023-08-15T16:59:29.236110917Z",
    "target": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-name",
    "verb": "create",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

Eliminar una política de conexión de servicio

Permisos que se necesitan para completar esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o uno de los siguientes roles de gestión de identidades y accesos.

Permisos

networkconnectivity.serviceConnectionPolicies.delete

Roles

Administrador de red de Compute (roles/compute.networkAdmin)

Puedes eliminar una política de conexión de servicio si ya no la necesitas o si quieres dejar de automatizar la conectividad. No se puede eliminar la política si hay conexiones de Private Service Connect activas asociadas a ella. Antes de eliminar una política de conexión de servicio, elimina todas las conexiones activas desactivando todas las instancias de servicio asociadas.

Consola

En la Google Cloud consola, ve a la página Private Service Connect.

Ir a Private Service Connect
Haga clic en la pestaña Políticas de conexión.
Selecciona las políticas de conexión de servicios que quieras eliminar y, a continuación, haz clic en Eliminar.

gcloud

Usa el comando service-connection-policies delete.

gcloud network-connectivity service-connection-policies delete POLICY_NAME \
    --region=REGION

Haz los cambios siguientes:

POLICY_NAME: el nombre de la política de conexión de servicio que quieras eliminar.
REGION: la región de la política de conexión de servicio que quieras eliminar.

API

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

PROJECT_ID: el ID de tu proyecto.
REGION: la región de tu política de conexión de servicio.
POLICY_NAME: nombre de la política de conexión de servicio que se va a eliminar.

Método HTTP y URL:

DELETE https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME

Para enviar tu solicitud, despliega una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Ejecuta el comando siguiente:

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME"

PowerShell (Windows)

Ejecuta el comando siguiente:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://networkconnectivity.googleapis.com/v1/projects/PROJECT_ID/locations/REGION/serviceConnectionPolicies/POLICY_NAME" | Select-Object -Expand Content

Deberías recibir una respuesta JSON similar a la siguiente:

{
  "name": "projects/project-id/locations/us-central1/operations/operation-1692128792549-602fb6f98194a-e0275435-36edc095",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.networkconnectivity.v1.OperationMetadata",
    "createTime": "2023-08-15T19:46:32.605032867Z",
    "target": "projects/project-id/locations/us-central1/serviceConnectionPolicies/policy-name",
    "verb": "delete",
    "requestedCancellation": false,
    "apiVersion": "v1"
  },
  "done": false
}

Configurar cuentas de servicio para VPC compartida

Las cuentas de servicio se configuran automáticamente cuando se usan políticas de conexión de servicio con una VPC compartida, pero los roles se pueden quitar manualmente. Si ves errores sobre permisos que faltan, prueba a volver a asignar los roles.

Para conceder los roles necesarios, un usuario con el rol Administrador de cuentas de servicio puede hacer lo siguiente.

Asignar roles a la cuenta de servicio en el proyecto de servicio

gcloud

Asigna el rol Agente de servicio de Network Connectivity (roles/networkconnectivity.serviceAgent) a la cuenta de servicio de Network Connectivity del proyecto de servicio. Asigna el rol en el proyecto de servicio.
```
gcloud projects add-iam-policy-binding SERVICE_PROJECT_NUMBER \
    --member=serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-networkconnectivity.iam.gserviceaccount.com \
    --role=roles/networkconnectivity.serviceAgent
```
Sustituye SERVICE_PROJECT_NUMBER por el número del proyecto de servicio.
Asigna el rol Usuario de red de Compute (roles/compute.networkUser) a la cuenta de servicio de conectividad de red del proyecto de servicio. Realice una de las siguientes acciones.
- Otorgue el rol en el proyecto del host.
```
gcloud projects add-iam-policy-binding HOST_PROJECT_NUMBER \
    --member=serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-networkconnectivity.iam.gserviceaccount.com \
    --role=roles/compute.networkUser
```
  Sustituye HOST_PROJECT_NUMBER por el número del proyecto host.
- Concede el rol en cada una de las subredes del proyecto del host que estén asociadas a la política de conexión de servicio. Usa el siguiente comando para cada subred.
```
gcloud compute networks subnets add-iam-policy-binding SUBNET \
    --member=serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-networkconnectivity.iam.gserviceaccount.com \
    --role=roles/compute.networkUser \
    --region=REGION \
    --project=HOST_PROJECT_NUMBER
```
  Haz los cambios siguientes:
  - SUBNET: el nombre de la subred asociada a tu política de conexión de servicio.
  - REGION: la región de la subred.

Conceder un rol a una cuenta de servicio en un proyecto host

gcloud

Asigna el rol Agente de servicio de conectividad de red (roles/networkconnectivity.serviceAgent) a la cuenta de servicio de conectividad de red del proyecto host. Concede el rol en el proyecto host.
```
gcloud projects add-iam-policy-binding HOST_PROJECT_NUMBER \
    --member=serviceAccount:service-HOST_PROJECT_NUMBER@gcp-sa-networkconnectivity.iam.gserviceaccount.com \
    --role=roles/networkconnectivity.serviceAgent
```
Sustituye HOST_PROJECT_NUMBER por el número del proyecto host.

Siguientes pasos

Desplegar una instancia de servicio gestionado mediante políticas de conexión de servicio