공유 VPC 서비스 프로젝트에서 커넥터 구성

조직에서 공유 VPC를 사용하는 경우 서비스 프로젝트 또는 호스트 프로젝트에서 서버리스 VPC 액세스 커넥터를 설정할 수 있습니다. 이 가이드에서는 서비스 프로젝트에서 커넥터를 설정하는 방법을 보여줍니다.

호스트 프로젝트에서 커넥터를 설정해야 하는 경우 호스트 프로젝트에서 커넥터 구성을 참조하세요. 각 방법의 장점에 대한 자세한 내용은 공유 VPC 네트워크에 연결을 참조하세요.

대략적으로 다음 단계를 수행해야 합니다.

1. 권한 부여
2. 서브넷 만들기
3. 서버리스 VPC 액세스 구성 페이지에서 다음 섹션의 단계를 완료합니다.
   • 서버리스 VPC 액세스 커넥터 만들기
   • 커넥터를 사용하도록 서버리스 환경 구성
   • 커넥터의 방화벽 규칙 구성

서비스 프로젝트의 서비스 계정에 권한 부여

VPC 커넥터를 사용할 각 서비스 프로젝트의 경우, 공유 VPC 관리자는 호스트 프로젝트의 Compute Network 사용자 역할(compute.networkUser)을 서비스 프로젝트 cloudservices 및 vpcaccess 서비스 계정에 부여해야 합니다.

역할 부여 방법:

1. 다음 명령어를 사용합니다.

   gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
   --role "roles/compute.networkUser" \
   --member "serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-vpcaccess.iam.gserviceaccount.com"

   gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
   --role "roles/compute.networkUser" \
   --member "serviceAccount:SERVICE_PROJECT_NUMBER@cloudservices.gserviceaccount.com"

2. @gcp-sa-vpcaccess 서비스 계정이 없는 경우 서비스 프로젝트에서 서버리스 VPC 액세스 API를 켜고 다시 시도해 보세요.

   gcloud services enable vpcaccess.googleapis.com

이들 서비스 계정에 전체 공유 VPC 네트워크에 대한 액세스 권한을 부여하는 대신에 특정 서브넷에 대한 액세스 권한만 부여하려는 경우 특정 서브넷의 서비스 계정에만 이러한 역할을 부여할 수 있습니다.

서브넷 만들기

공유 VPC를 사용하는 경우 공유 VPC 관리자는 각 커넥터의 서브넷을 만들어야 합니다. 서브넷 추가 문서에 따라 /28 서브넷을 공유 VPC 네트워크에 추가합니다. 이 서브넷은 커넥터를 사용할 서버리스 서비스와 동일한 리전에 있어야 합니다.

다음 단계

• 서버리스 VPC 액세스 구성 페이지에서 다음 섹션의 단계를 완료합니다.
  • 서버리스 VPC 액세스 커넥터 만들기
  • 커넥터를 사용하도록 서버리스 환경 구성