配置共享 VPC 网络

Cloud Composer 1 |Cloud Composer 2 |Cloud Composer 3

本页面介绍了 Cloud Composer 的共享 VPC 网络和宿主项目要求。

通过共享 VPC,组织可以在项目级层建立预算和访问权限控制边界,并使用专用 IP 跨这些边界进行安全高效的通信。在共享 VPC 配置中,Cloud Composer 可以调用同一组织中其他 Google Cloud 项目中托管的服务,而无需将服务公开给公共互联网。

共享 VPC 的准则

Cloud Composer 环境位于服务中 项目。Cloud Composer 环境中的网络附件连接到宿主项目中的 VPC 网络。
图 1.适用于 Cloud Composer 3 的服务项目和宿主项目(点击可放大)

  • 共享 VPC 要求您指定网络和子网所属的宿主项目以及与该宿主项目关联的服务项目。当 Cloud Composer 参与共享 VPC 时,Cloud Composer 环境位于服务项目中。

  • 确保 Cloud Composer 环境的内部 IP 地址范围与您的 VPC 网络范围没有冲突

准备工作

  1. 找到以下项目 ID 和项目编号

    • 宿主项目:共享 VPC 网络所属的项目。
    • 服务项目:Cloud Composer 环境所属的项目。

  2. 让您的组织做好准备

配置服务项目

如果服务项目中从未创建过 Cloud Composer 环境,请在服务项目中预配 Composer Service Agent 账号:

gcloud beta services identity create --service=composer.googleapis.com`

配置宿主项目

按照下文所述配置宿主项目。

配置网络资源

选择以下一个选项:

设置共享 VPC 并关联服务项目

  1. 如果您尚未这样做,请设置共享 VPC。如果您已经设置了共享 VPC,请跳到下一步。

  2. 关联服务项目,以用于托管 Cloud Composer 环境。

    关联项目时,保留默认的 VPC 网络权限。

向 Composer Service Agent 账号授予权限

在宿主项目中:

  1. 修改 Composer Service Agent 账号的权限, service-SERVICE_PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com)

  2. 在项目级别添加另一个角色,即 Composer Shared VPC Agent (composer.sharedVpcAgent)。

总结

您已完成服务和主机的共享 VPC 网络配置 项目。

现在,您可以将服务项目中的新环境和现有环境连接到 宿主项目的 VPC 网络您可以使用以下方法之一:

  • 将环境连接到共享 VPC 网络。Cloud Composer 会为该环境创建新的网络附加项。
  • 在服务项目中创建网络附加项,将其连接到共享 VPC 网络,然后将一个或多个环境连接到此网络附加项。

如需详细了解两者之间的差异 方法,请参阅 将 VPC 网络连接到您的环境

后续步骤