2026 年 9 月 15 日，所有 Cloud Composer 1 版本以及 Cloud Composer 2 的 2.0.x 版本都将按计划终止服务。您将无法使用这些版本的环境。建议您规划迁移到 Cloud Composer 3。Cloud Composer 2 版本 2.1.x 及更高版本仍受支持，不受此变更的影响。

此页面由 Cloud Translation API 翻译。

配置共享 VPC 网络

Cloud Composer 3 | Cloud Composer 2 | Cloud Composer 1

本页面介绍了 Cloud Composer 的共享 VPC 网络和宿主项目要求。

通过共享 VPC，组织可以在项目级层建立预算和访问权限控制边界，并使用专用 IP 跨这些边界进行安全高效的通信。在共享 VPC 配置中，Cloud Composer 可以调用同一组织中其他 Google Cloud 项目托管的服务，而无需将服务公开给公共互联网。

共享 VPC 的准则

Cloud Composer 环境位于服务项目中。Cloud Composer 环境中的网络连接会连接到宿主项目中的 VPC 网络。 — **图 1.** 适用于 Cloud Composer 3 的服务项目和宿主项目（点击可放大）

共享 VPC 要求您指定网络和子网所属的宿主项目以及与该宿主项目关联的服务项目。当 Cloud Composer 参与共享 VPC 时，Cloud Composer 环境位于服务项目中。
确保 Cloud Composer 环境的内部 IP 范围与 VPC 网络范围没有冲突。
Cloud Composer 3 限制为只能进行一次传递性 DNS 跃点，请确保您的 DNS 配置允许这样做。
Cloud Composer 3 不支持用户定义的 .internal DNS 区域。如果您为 .internal 创建 DNS 区域，则无法访问该区域。

准备工作

找到以下项目 ID 和项目编号：
- 宿主项目：共享 VPC 网络所属的项目。
- 服务项目：Cloud Composer 环境所属的项目。
让您的组织做好准备。

配置服务项目

如果服务项目中从未创建过 Cloud Composer 环境，请在服务项目中预配 Composer Service Agent 账号：

gcloud beta services identity create --service=composer.googleapis.com

配置宿主项目

按照下文所述配置宿主项目。

配置网络资源

请从下列选项中选择一项：

选项 1。创建新的 VPC 网络和子网。
选项 2。在现有 VPC 网络中创建子网。
方法 3. 使用现有的 VPC 网络和子网。

设置共享 VPC 并关联服务项目

如果您尚未这样做，请设置共享 VPC。如果您已经设置了共享 VPC，请跳到下一步。
关联服务项目，以用于托管 Cloud Composer 环境。

关联项目时，保留默认的 VPC 网络权限。

向 Composer 服务代理账号授予权限

在宿主项目中：

拥有 Composer Service Agent 账号 (service-SERVICE_PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com) 的修改权限
在项目级层添加另一个角色，即 Composer Shared VPC Agent (composer.sharedVpcAgent)。

总结

您已完成服务项目和宿主项目的共享 VPC 网络配置。

现在，您可以将服务项目中的新环境和现有环境连接到宿主项目的 VPC 网络。您可以采用以下任一方法：

将环境连接到共享 VPC 网络。Cloud Composer 会为环境创建新的网络连接。
在服务项目中创建网络连接，将其连接到共享 VPC 网络，并将一个或多个环境连接到此网络连接。

如需了解相关说明以及上述两种方法的区别，请参阅将 VPC 网络连接到您的环境。