Configurer des connecteurs dans des projets de service de VPC partagé

Si votre organisation utilise un VPC partagé, vous pouvez configurer des connecteurs d'accès au VPC sans serveur dans le projet de service ou le projet hôte. Ce guide explique comment configurer un connecteur dans le projet de service.

Si vous devez configurer un connecteur dans le projet hôte, consultez la section Configurer des connecteurs dans le projet hôte. Pour en savoir plus sur les avantages offerts par chacune de ces deux méthodes, consultez la section Se connecter à un réseau VPC partagé.

En règle générale, vous devez effectuer les tâches suivantes :

  1. Octroyer des autorisations
  2. Créer un sous-réseau
  3. Sur la page Configurer l'accès au VPC sans serveur, suivez les instructions des sections suivantes :

Accorder des autorisations aux comptes de service de vos projets de service

Pour chaque projet de service qui utilisera des connecteurs VPC, un administrateur VPC partagé doit accorder le rôle d'utilisateur de réseau Compute (compute.networkUser) du projet hôte au projet de service cloudservices et aux comptes de service vpcaccess.

Pour accorder le rôle , procédez comme suit :

  1. Utilisez ces commandes .

    gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
    --role "roles/compute.networkUser" \
    --member "serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-vpcaccess.iam.gserviceaccount.com"
    gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
    --role "roles/compute.networkUser" \
    --member "serviceAccount:SERVICE_PROJECT_NUMBER@cloudservices.gserviceaccount.com"
  2. Si le compte de service @gcp-sa-vpcaccess n'existe pas, activez l'API Serverless VPC Access dans le projet de service, puis réessayez :

    gcloud services enable vpcaccess.googleapis.com

Si vous préférez ne pas accorder à ces comptes de service l'accès à l'ensemble du réseau VPC partagé et ne souhaitez accorder l'accès qu'à des sous-réseaux spécifiques, vous pouvez attribuer ces rôles à ces comptes de service sur des sous-réseaux spécifiques uniquement.

Créer un sous-réseau

Lorsque vous utilisez un VPC partagé, l'administrateur de VPC partagé doit créer un sous-réseau pour chaque connecteur. Reportez-vous à la documentation sur l'ajout d'un sous-réseau pour ajouter un sous-réseau /28 au réseau VPC partagé. Ce sous-réseau doit se trouver dans la même région que les services sans serveur qui utiliseront le connecteur.

Étapes suivantes