共有 VPC ネットワークを構成する

Cloud Composer 1 | Cloud Composer 2

このページでは、Cloud Composer の共通 VPC ネットワークとホスト プロジェクトの要件について説明します。

共通 VPC により、組織はプロジェクト レベルで予算とアクセス制御の境界を確立する一方、その境界を越えてプライベート IP を使用する安全で効率的な通信を実現できます。共有 VPC 構成では、Cloud Composer は、公共のインターネットにサービスを公開することなく、同じ組織内の他の Google Cloud プロジェクトでホストされているサービスを呼び出すことができます。

共有 VPC のガイドライン

Cloud Composer 環境はサービス プロジェクトに配置されます。Cloud Composer 環境のネットワーク アタッチメントが、ホスト プロジェクトの VPC ネットワークに接続されています。
図 1.Cloud Composer 3 のサービス プロジェクトとホスト プロジェクト(クリックして拡大)

  • 共有 VPC を使用するには、ネットワークとサブネットワークが属するホスト プロジェクトとホスト プロジェクトに関連付けられたサービス プロジェクトを指定する必要があります。Cloud Composer が共有 VPC に参加すると、Cloud Composer 環境はサービス プロジェクトに含められます。

  • Cloud Composer 環境の内部 IP 範囲と VPC ネットワーク範囲に競合がないことを確認してください。

準備

  1. 次のプロジェクト ID とプロジェクト番号を確認します

    • ホスト プロジェクト: 共有 VPC ネットワークを含むプロジェクト。
    • サービス プロジェクト: Cloud Composer 環境を含むプロジェクト。
  2. 組織を準備します

サービス プロジェクトを構成する

Cloud Composer 環境がサービス プロジェクトで作成されていない場合は、サービス プロジェクトで Composer のサービス エージェント アカウントをプロビジョニングします。

gcloud beta services identity create --service=composer.googleapis.com`

ホスト プロジェクトを設定する

詳細な説明に従いホスト プロジェクトを構成します。

ネットワーキング リソースを構成する

次のいずれかのオプションを選択します。

共有 VPC を設定してサービス プロジェクトを接続する

  1. まだ行っていない場合は、共有 VPC を設定します。共有 VPC をすでに設定している場合は、次のステップに進みます。

  2. Cloud Composer 環境をホストするために使用するサービス プロジェクトを接続します

    プロジェクトを接続する際は、デフォルトの VPC ネットワーク権限をそのままにします。

Composer サービス エージェント サービス アカウントに権限を付与します。

ホスト プロジェクトでは、以下のことが行われます。

  1. Composer サービス エージェント アカウント(service-SERVICE_PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com)の権限を編集します。

  2. プロジェクト レベルで別のロールである Composer の共有 VPC エージェントcomposer.sharedVpcAgent)を追加します。

まとめ

サービス プロジェクトとホスト プロジェクトの両方で共有 VPC ネットワークの構成が完了しました。

これで、サービス プロジェクト内の新規および既存の環境をホスト プロジェクトの VPC ネットワークに接続できるようになりました。代わりに、次のいずれかの方法を使用できます。

  • 環境を共有 VPC ネットワークに接続します。Cloud Composer によって、その環境のために新しいネットワーク アタッチメントが作成されます。
  • サービス プロジェクトでネットワーク アタッチメントを作成して、共有 VPC ネットワークに接続し、1 つ以上の環境をこのネットワーク アタッチメントに接続します。

この 2 つの方法の手順と違いについては、VPC ネットワークを環境に接続するをご覧ください。

次のステップ