공유 VPC 네트워킹 구성

Cloud Composer 3 | Cloud Composer 2 | Cloud Composer 1

이 페이지에서는 Cloud Composer의 공유 VPC 네트워크 및 호스트 프로젝트 요구사항을 설명합니다.

조직에서는 공유 VPC를 사용하여 프로젝트 수준에서 예산 및 액세스 제어 경계를 설정하고, 비공개 IP를 사용하여 안전하고 효율적인 경계 간 통신을 수행할 수 있습니다. 공유 VPC 구성에서 Cloud Composer는 서비스를 공개 인터넷에 노출하지 않고도 동일한 조직의 다른 Google Cloud 프로젝트에서 호스팅되는 서비스를 호출할 수 있습니다.

공유 VPC 가이드라인

• 공유 VPC를 사용하려면 네트워크와 서브네트워크가 속한 호스트 프로젝트와 호스트 프로젝트에 연결된 서비스 프로젝트를 지정해야 합니다. Cloud Composer가 공유 VPC에 참여하면 Cloud Composer 환경이 서비스 프로젝트에 포함됩니다.

• Cloud Composer 환경의 내부 IP 범위와 VPC 네트워크 범위가 충돌하지 않는지 확인합니다.

• Cloud Composer 3에는 전환 DNS 홉이 하나로 제한되어 있으므로 DNS 구성이 이를 허용하는지 확인하세요.

준비

1. 다음 프로젝트 ID와 프로젝트 번호를 찾습니다.

   • 호스트 프로젝트: 공유 VPC 네트워크가 포함된 프로젝트
   • 서비스 프로젝트: Cloud Composer 환경이 포함된 프로젝트

2. 조직을 준비합니다.

서비스 프로젝트 구성

Cloud Composer 환경이 서비스 프로젝트에 생성되지 않은 경우 서비스 프로젝트에서 Composer 서비스 에이전트 계정을 프로비저닝합니다.

gcloud beta services identity create --service=composer.googleapis.com

호스트 프로젝트 구성

추가로 설명된 것처럼 호스트 프로젝트를 구성합니다.

네트워킹 리소스 구성

다음 옵션 중 하나를 선택합니다.

• 옵션 1. 새 VPC 네트워크 및 서브넷을 만듭니다.

• 옵션 2. 기존 VPC 네트워크에 서브넷을 만듭니다.

• 옵션 3. 기존 VPC 네트워크와 서브넷을 사용합니다.

공유 VPC 설정 및 서비스 프로젝트 연결

1. 아직 수행하지 않은 경우 공유 VPC를 설정합니다. 공유 VPC를 이미 설정한 경우 다음 단계로 건너뜁니다.

2. Cloud Composer 환경을 호스팅하는 데 사용할 서비스 프로젝트를 연결합니다.

   프로젝트를 연결할 때 기본 VPC 네트워크 권한을 그대로 둡니다.

Composer 서비스 에이전트 계정에 권한 부여

호스트 프로젝트에서 다음을 수행합니다.

1. Composer 서비스 에이전트 계정 service-SERVICE_PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com에 대해 권한을 수정합니다.

2. 프로젝트 수준에서 다른 역할인 Composer 공유 VPC 에이전트(composer.sharedVpcAgent)를 추가합니다.

결론

서비스 및 호스트 프로젝트 모두에 대한 공유 VPC 네트워크 구성을 완료했습니다.

이제 서비스 프로젝트의 새 환경과 기존 환경을 호스트 프로젝트의 VPC 네트워크에 연결할 수 있습니다. 다음 방법 중 하나를 사용할 수 있습니다.

• 환경을 공유 VPC 네트워크에 연결합니다. Cloud Composer에서 환경에 대한 새 네트워크 연결을 만듭니다.
• 서비스 프로젝트에서 네트워크 연결을 만들고 공유 VPC 네트워크에 연결한 후 환경 하나 이상을 이 네트워크 연결에 연결합니다.

설명된 두 가지 방식의 차이점에 대한 안내와 자세한 내용은 환경에 VPC 네트워크 연결을 참조하세요.

다음 단계

• VPC 네트워크를 환경에 연결합니다.
• Cloud Composer 환경을 만듭니다.