Configurer des connecteurs dans le projet hôte de VPC partagé

Si votre organisation utilise un VPC partagé, vous pouvez configurer un connecteur d'accès au VPC sans serveur dans le projet de service ou le projet hôte. Ce guide explique comment configurer un connecteur dans le projet hôte.

Si vous devez configurer un connecteur dans un projet de service, consultez la section Configurer des connecteurs dans des projets de service. Pour en savoir plus sur les avantages offerts par chacune de ces deux méthodes, consultez la section Se connecter à un réseau VPC partagé.

Avant de commencer

  1. Vérifiez les rôles IAM (Identity and Access Management) pour le compte que vous utilisez actuellement. Le compte actif doit disposer des rôles suivants sur le projet hôte :

  2. Sélectionnez le projet hôte dans l'environnement de votre choix.

Console

  1. Accédez au tableau de bord de la console Google Cloud.

    Accéder au tableau de bord de la console Google Cloud

  2. Dans la barre de menu située en haut du tableau de bord, cliquez sur le menu déroulant du projet et sélectionnez le projet hôte.

gcloud

Dans gcloud CLI, définissez le projet par défaut sur le projet hôte en exécutant la commande suivante dans votre terminal :

gcloud config set project HOST_PROJECT_ID

Remplacez les éléments suivants :

  • HOST_PROJECT_ID : ID du projet hôte de VPC partagé.

Créez un connecteur d'accès au VPC sans serveur.

Pour envoyer des requêtes à votre réseau VPC et recevoir les réponses correspondantes, vous devez créer un connecteur d'accès au VPC sans serveur. Vous pouvez créer un connecteur à l'aide de la console Google Cloud, de Google Cloud CLI ou de Terraform :

Console

  1. Activez l'API d'accès au VPC sans serveur (Serverless VPC Access) pour votre projet :

    Activer l'API

  2. Accédez à la page de présentation de l'accès au VPC sans serveur.

    Accéder à l'accès au VPC sans serveur

  3. Cliquez sur Créer un connecteur.

  4. Dans le champ Nom, saisissez le nom du connecteur. Le nom doit respecter la convention d'attribution de noms de Compute Engine et comporter moins de 21 caractères. Les tirets (-) comptent pour deux caractères.

  5. Dans le champ Région, sélectionnez une région pour votre connecteur. Elle doit correspondre à la région de votre service sans serveur.

    Si votre service se trouve dans la région us-central ou europe-west, utilisez us-central1 ou europe-west1.

  6. Dans le champ Réseau, sélectionnez le réseau VPC auquel associer le connecteur.

  7. Cliquez sur le menu déroulant Sous-réseau :

    Sélectionnez un sous-réseau /28 non utilisé.

    • Les sous-réseaux doivent être utilisés exclusivement par le connecteur. Ils ne peuvent pas être utilisés par d'autres ressources telles que les VM, Private Service Connect et les équilibreurs de charge.
    • Pour vérifier que votre sous-réseau n'est pas utilisé par Private Service Connect ni Cloud Load Balancing, vérifiez que l'objectif du sous-réseau purpose est bien PRIVATE en exécutant la commande suivante dans gcloud CLI :
      gcloud compute networks subnets describe SUBNET_NAME
      
      Remplacez SUBNET_NAME par le nom de votre sous-réseau.
  8. (Facultatif) Pour définir les options de scaling afin de renforcer le contrôle du connecteur, cliquez sur Afficher les paramètres de scaling pour afficher le formulaire de scaling.

    1. Définissez le nombre minimal et maximal d'instances de votre connecteur ou utilisez les valeurs par défaut, qui sont 2 (min.) et 10 (max.). Le connecteur effectue un scaling horizontal jusqu'à la valeur maximale spécifiée à mesure que le trafic augmente, mais il ne réduit pas le nombre d'instances lorsque le trafic diminue. Vous devez utiliser des valeurs comprises entre 2 et 10, et la valeur MIN doit être inférieure à la valeur MAX.
    2. Dans le menu déroulant Type d'instance, choisissez le type de machine à utiliser pour le connecteur ou utilisez la valeur par défaut e2-micro. Notez la barre latérale des coûts sur la droite lorsque vous choisissez le type d'instance, qui affiche des estimations de bande passante et de coûts.
  9. Cliquez sur Créer.

  10. Une coche verte apparaît à côté du nom du connecteur lorsque celui-ci est prêt à être utilisé.

gcloud

  1. Mettez à jour les composants gcloud vers la dernière version :

    gcloud components update
    
  2. Activez l'API Serverless VPC Access pour votre projet :

    gcloud services enable vpcaccess.googleapis.com
    
  3. Créez un connecteur d'accès au VPC sans serveur :

    gcloud compute networks vpc-access connectors create CONNECTOR_NAME \
    --region=REGION \
    --subnet=SUBNET \
    --subnet-project=HOST_PROJECT_ID \
    # Optional: specify minimum and maximum instance values between 2 and 10, default is 2 min, 10 max.
    --min-instances=MIN \
    --max-instances=MAX \
    # Optional: specify machine type, default is e2-micro
    --machine-type=MACHINE_TYPE

    Remplacez les éléments suivants :

    • CONNECTOR_NAME : nom du connecteur. Le nom doit respecter la convention d'attribution de noms de Compute Engine et comporter moins de 21 caractères. Les tirets (-) comptent pour deux caractères.
    • REGION : région de votre connecteur. Elle doit correspondre à la région de votre service sans serveur. Si votre service se trouve dans la région us-central ou europe-west, utilisez us-central1 ou europe-west1.
    • SUBNET : nom d'un sous-réseau /28 inutilisé
      • Les sous-réseaux doivent être utilisés exclusivement par le connecteur. Ils ne peuvent pas être utilisés par d'autres ressources telles que les VM, Private Service Connect et les équilibreurs de charge.
      • Pour vérifier que votre sous-réseau n'est pas utilisé par Private Service Connect ni Cloud Load Balancing, vérifiez que l'objectif du sous-réseau purpose est bien PRIVATE en exécutant la commande suivante dans gcloud CLI :
        gcloud compute networks subnets describe SUBNET_NAME
        
        Remplacez les éléments suivants :
        • SUBNET_NAME : nom de votre sous-réseau
    • HOST_PROJECT_ID : ID du projet hôte
    • MIN : nombre minimal d'instances à utiliser pour le connecteur. Saisissez un nombre entier compris entre 2 et 9. La valeur par défaut est 2. Pour en savoir plus sur le scaling des connecteurs, consultez la page Débit et scaling.
    • MAX : nombre maximal d'instances à utiliser pour le connecteur. Saisissez un nombre entier compris entre 3 et 10. La valeur par défaut est 10. Si le trafic l'exige, le connecteur effectue un scaling horizontal jusqu'aux instances [MAX], mais il ne réduit pas le nombre d'instances. Pour en savoir plus sur le scaling des connecteurs, consultez la page Débit et scaling.
    • MACHINE_TYPE : f1-micro, e2-micro ou e2-standard-4. Pour en savoir plus sur le débit du connecteur, y compris le type de machine et le scaling, consultez la section Débit et scaling.

    Pour plus d'informations et d'arguments facultatifs, consultez la documentation de référence sur gcloud.

  4. Avant d'utiliser le connecteur, vérifiez qu'il est dans l'état READY :

    gcloud compute networks vpc-access connectors describe CONNECTOR_NAME \
    --region=REGION

    Remplacez les éléments suivants :

    • CONNECTOR_NAME : nom du connecteur. Il s'agit du nom que vous avez spécifié à l'étape précédente.
    • REGION : région du connecteur. Il s'agit de la région que vous avez spécifiée à l'étape précédente.

    Le résultat doit contenir la ligne state: READY.

Terraform

Vous pouvez utiliser une ressource Terraform pour activer l'API vpcaccess.googleapis.com.

resource "google_project_service" "vpcaccess-api" {
  project = var.project_id # Replace this with your project ID in quotes
  service = "vpcaccess.googleapis.com"
}

Vous pouvez utiliser les modules Terraform pour créer un réseau et un sous-réseau VPC, puis créer le connecteur.

module "test-vpc-module" {
  source       = "terraform-google-modules/network/google"
  version      = "~> 9.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "my-serverless-network"
  mtu          = 1460

  subnets = [
    {
      subnet_name   = "serverless-subnet"
      subnet_ip     = "10.10.10.0/28"
      subnet_region = "us-central1"
    }
  ]
}

module "serverless-connector" {
  source     = "terraform-google-modules/network/google//modules/vpc-serverless-connector-beta"
  version    = "~> 9.0"
  project_id = var.project_id
  vpc_connectors = [{
    name        = "central-serverless"
    region      = "us-central1"
    subnet_name = module.test-vpc-module.subnets["us-central1/serverless-subnet"].name
    # host_project_id = var.host_project_id # Specify a host_project_id for shared VPC
    machine_type  = "e2-standard-4"
    min_instances = 2
    max_instances = 7
    }
    # Uncomment to specify an ip_cidr_range
    #   , {
    #     name          = "central-serverless2"
    #     region        = "us-central1"
    #     network       = module.test-vpc-module.network_name
    #     ip_cidr_range = "10.10.11.0/28"
    #     subnet_name   = null
    #     machine_type  = "e2-standard-4"
    #     min_instances = 2
    #   max_instances = 7 }
  ]
  depends_on = [
    google_project_service.vpcaccess-api
  ]
}

Fournir un accès au connecteur

Accordez l'accès au connecteur en attribuant le rôle IAM Utilisateur de l'accès au VPC sans serveur sur le projet hôte au compte principal qui déploie votre service App Engine.

Console

  1. Ouvrez la page IAM.

    Accéder à IAM

  2. Cliquez sur le menu déroulant du projet et sélectionnez le projet hôte.

  3. Cliquez sur Ajouter.

  4. Dans le champ Nouveaux comptes principaux, ajoutez le compte principal qui déploie votre service App Engine.

  5. Dans le champ Rôle, sélectionnez Rôle d'utilisateur pour l'accès au VPC sans serveur.

  6. Cliquez sur Enregistrer.

gcloud

Exécutez la commande suivante dans votre terminal :

gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
--member=PRINCIPAL \
--role=roles/vpcaccess.user

Remplacez les éléments suivants :

  • HOST_PROJECT_ID : ID du projet hôte de VPC partagé.
  • PRINCIPAL : compte principal qui déploie votre service App Engine. En savoir plus sur l'option --member.

Rendre le connecteur visible

Pour afficher le connecteur, les comptes principaux doivent disposer de certains rôles d'affichage sur le projet hôte et sur le projet de service. Pour que votre connecteur apparaisse lorsque les comptes principaux affichent les connecteurs disponibles dans la console Google Cloud ou depuis leur terminal, ajoutez des rôles IAM aux comptes principaux qui déploient les services App Engine.

Attribuer des rôles IAM sur le projet hôte

Sur le projet hôte, attribuez aux comptes principaux qui déploient les services App Engine le rôle Lecteur d'accès au VPC sans serveur (vpcaccess.viewer).

Console

  1. Ouvrez la page IAM.

    Accéder à IAM

  2. Cliquez sur le menu déroulant du projet et sélectionnez le projet hôte.

  3. Cliquez sur Ajouter.

  4. Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail du compte principal pour lequel le connecteur du projet de service doit être visible. Vous pouvez saisir plusieurs adresses e-mail dans ce champ.

  5. Dans le champ Rôle, sélectionnez Lecteur d'accès au VPC sans serveur.

  6. Cliquez sur Enregistrer.

gcloud

Exécutez la commande suivante dans votre terminal :

gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
--member=PRINCIPAL \
--role=roles/vpcaccess.viewer

Remplacez les éléments suivants :

  • HOST_PROJECT_ID : ID du projet hôte de VPC partagé.
  • PRINCIPAL : compte principal qui déploie les services App Engine. En savoir plus sur l'option --member.

Attribuer des rôles IAM sur le projet de service

Sur le projet de service, accordez aux comptes principaux qui déploient les services App Engine le rôle Lecteur de réseau Compute (compute.networkViewer).

Console

  1. Ouvrez la page IAM.

    Accéder à IAM

  2. Cliquez sur le menu déroulant du projet et sélectionnez le projet de service.

  3. Cliquez sur Ajouter.

  4. Dans le champ Nouveaux comptes principaux, saisissez l'adresse e-mail du compte principal pour lequel le connecteur du projet de service doit être visible. Vous pouvez saisir plusieurs adresses e-mail dans ce champ.

  5. Dans le champ Rôle, sélectionnez Lecteur de réseau Compute.

  6. Cliquez sur Enregistrer.

gcloud

Exécutez la commande suivante dans votre terminal :

gcloud projects add-iam-policy-binding SERVICE_PROJECT_ID \
--member=PRINCIPAL \
--role=roles/compute.networkViewer

Remplacez les éléments suivants :

  • SERVICE_PROJECT_ID : ID du projet de service.
  • PRINCIPAL : compte principal qui déploie les services App Engine. En savoir plus sur l'option --member.

Configurer votre service pour utiliser un connecteur

Pour chaque service App Engine qui nécessite l'accès à votre VPC partagé, vous devez spécifier le connecteur du service. La procédure suivante montre comment configurer votre service pour utiliser un connecteur.

  1. Désactivez le service de récupération d'URL par défaut et arrêtez toute utilisation explicite de la bibliothèque urlfetch. L'accès au VPC sans serveur n'est pas compatible avec le service de récupération d'URL.

  2. Ajoutez l'élément vpc_access_connector au fichier app.yaml de votre service :

    vpc_access_connector:
    name: projects/HOST_PROJECT_ID/locations/REGION/connectors/CONNECTOR_NAME
    

    Remplacez les éléments suivants :

    • HOST_PROJECT_ID : ID du projet hôte de VPC partagé.
    • REGION : région de votre connecteur
    • CONNECTOR_NAME : nom de votre connecteur
  3. Déployez le service :

    gcloud app deploy

Après le déploiement, votre service peut envoyer des requêtes à votre réseau VPC partagé et recevoir les réponses correspondantes.

Étapes suivantes