配置共享 VPC 网络

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

本页面介绍了 Cloud Composer 的共享 VPC 网络和宿主项目要求。

通过共享 VPC,组织可以在项目级层建立预算和访问权限控制边界,并使用专用 IP 跨这些边界进行安全高效的通信。在共享 VPC 配置中,Cloud Composer 可以调用同一组织中其他 Google Cloud 项目中托管的服务,而无需将服务公开给公共互联网。

共享 VPC 的准则

Cloud Composer 环境位于服务项目中。Cloud Composer 环境中的网络连接已连接到宿主项目中的 VPC 网络。
图 1.Cloud Composer 3 的服务和宿主项目(点击可放大)

  • 共享 VPC 要求您指定网络和子网所属的宿主项目以及与该宿主项目关联的服务项目。当 Cloud Composer 参与共享 VPC 时,Cloud Composer 环境位于服务项目中。

  • 确保 Cloud Composer 环境的内部 IP 范围与您的 VPC 网络范围不冲突

准备工作

  1. 找到以下项目 ID 和项目编号

    • 宿主项目:共享 VPC 网络所属的项目。
    • 服务项目:Cloud Composer 环境所属的项目。

  2. 让您的组织做好准备

配置服务项目

如果从未在服务项目中创建过 Cloud Composer 环境,请在服务项目中预配 Composer Service Agent 帐号:

gcloud beta services identity create --service=composer.googleapis.com`

配置宿主项目

按照下文所述配置宿主项目。

配置网络资源

请从下列选项中选择一项:

设置共享 VPC 并关联服务项目

  1. 如果您尚未这样做,请设置共享 VPC。如果您已经设置了共享 VPC,请跳到下一步。

  2. 关联服务项目,以用于托管 Cloud Composer 环境。

    关联项目时,保留默认的 VPC 网络权限。

向 Composer Service Agent 账号授予权限

在宿主项目中:

  1. 修改 Composer 服务代理账号 service-SERVICE_PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com 的权限)

  2. 在项目级再添加一个角色,即 Composer 共享 VPC Agent (composer.sharedVpcAgent)。

总结

您已完成服务和宿主项目的共享 VPC 网络配置。

现在,您可以将服务项目中的新环境和现有环境连接到宿主项目的 VPC 网络。您可以使用以下方法之一:

  • 将环境连接到共享 VPC 网络。Cloud Composer 会为环境创建新的网络连接。
  • 在服务项目中创建网络连接,将其连接到共享 VPC 网络,然后将一个或多个环境连接到此网络连接。

如需了解上述两种方法之间的差异以及更多信息,请参阅将 VPC 网络连接到您的环境

后续步骤