Freigegebene VPC konfigurieren

Auf dieser Seite werden die Anforderungen für das freigegebene VPC-Netzwerk und das Hostprojekt für Cloud Composer beschrieben.

Mit der freigegebenen VPC können Unternehmen Beschränkungen für Budget und Zugriffssteuerung auf Projektebene festlegen und dabei eine sichere und effiziente Kommunikation mit privaten IP-Adressen innerhalb dieser Beschränkungen ermöglichen. Bei der Konfiguration der freigegebenen VPC kann Cloud Composer Dienste aufrufen, die in anderen Google Cloud-Projekten in derselben Organisation gehostet werden, ohne Dienste im öffentlichen Internet verfügbar zu machen.

Wichtiger Hinweis

  • Geben Sie für die freigegebene VPC ein Hostprojekt an, zu dem Netzwerke und Teilnetze gehören, sowie ein Dienstprojekt, das dem Hostprojekt zugeordnet ist. Wenn Cloud Composer an einer freigegebenen VPC teilnimmt, befindet sich die Cloud Composer-Umgebung im Dienstprojekt.
  • Wählen Sie zum Einrichten einer freigegebenen VPC die folgenden IP-Bereiche im Hostprojekt aus:
    • Primärer IP-Bereich des von GKE-Knoten verwendeten Subnetzes, das Cloud Composer als Compute-Ebene verwendet
    • Sekundärer IP-Bereich für GKE-Dienste
    • Sekundärer IP-Bereich für GKE-Pods
  • Sekundäre IP-Bereiche dürfen sich nicht mit anderen sekundären Bereichen in dieser VPC überschneiden.
  • Achten Sie darauf, dass sekundäre Bereiche an die Größe des Clusters angepasst sind und das erwartete Wachstum bewältigen können. Beispielsweise sollten die Netzwerkpräfixe der sekundären Bereiche für eine Cloud Composer-Umgebung mit drei Knoten nicht länger sein als:

    • Pods: /22
    • Dienste: /27

    Unter VPC-native Cluster erstellen finden Sie Richtlinien zum Konfigurieren von sekundären Bereichen für Pods und Dienste.

  • Der primäre Adressbereich des Subnetzwerks muss ausreichend groß sein, um dem erwarteten Wachstum standhalten und die reservierten IP-Adressen unterbringen zu können. Unter Verwendung des vorherigen Umgebungsbeispiels mit drei Knoten darf das Netzwerkpräfix des primären Adressbereichs des Subnetzes nicht länger als /29 sein.

Vorbereitung

  1. Ermitteln Sie die folgenden Projekt-IDs und Projektnummern:
    • Hostprojekt: Das Projekt mit dem freigegebenen VPC-Netzwerk.
    • Dienstprojekt: Das Projekt mit der Cloud Composer-Umgebung.
  2. Bereiten Sie Ihre Organisation vor.
  3. Aktivieren Sie die GKE API in Ihren Host- und Dienstprojekten.

Konfiguration des Hostprojekts

  1. Wählen Sie eine der folgenden Optionen aus, um Netzwerkressourcen zuzuweisen und zu konfigurieren. Für jede Option müssen Sie die sekundären IP-Bereiche für Pods und Dienste benennen.

  2. Richten Sie eine freigegebene VPC ein und hängen Sie ein Dienstprojekt an, das Sie zum Hosten von Cloud Composer-Umgebungen verwenden. Wenn die freigegebene VPC bereits vorhanden ist, gehen Sie direkt zum Schritt Dienstprojekt anhängen. Behalten Sie beim Anhängen eines Projekts die Standardberechtigungen für das VPC-Netzwerk bei.

  3. Weisen Sie den GKE-Dienstkonten im freigegebenen VPC-Subnetzwerk die Rolle compute.networkUser zu.

  4. Weisen Sie dem GKE-Dienstkonto des Dienstprojekts die Rolle Host Service Agent User zu. Dadurch kann das GKE-Dienstkonto des Dienstprojekts das GKE-Dienstkonto des Hostprojekts nutzen, um gemeinsam verwendete Netzwerkressourcen zu konfigurieren.

  5. Weisen Sie dem Dienstkonto des Composer-Agents (service-service PROJECT_ID@cloudcomposer-accounts.iam.gserviceaccount.com) die Rolle des Compute-Netzwerkadministrators zu.

Sie haben die Konfiguration des freigegebenen VPC-Netzwerks für das Hostprojekt abgeschlossen.

Nächste Schritte

Erstellen Sie mit dem Cloud SDK eine Cloud Composer-Umgebung und stellen Sie das Netzwerk und das Subnetzwerk des Hostprojekts als Konfigurationsparameter bereit.