Freigegebene VPC konfigurieren

Cloud Composer 1 Cloud Composer 2

Auf dieser Seite werden die Anforderungen für das freigegebene VPC-Netzwerk und das Hostprojekt für Cloud Composer beschrieben.

Mit der freigegebenen VPC können Unternehmen Beschränkungen für Budget und Zugriffssteuerung auf Projektebene festlegen und dabei eine sichere und effiziente Kommunikation mit privaten IP-Adressen innerhalb dieser Beschränkungen ermöglichen. Bei der Konfiguration der freigegebenen VPC kann Cloud Composer Dienste aufrufen, die in anderen Google Cloud-Projekten in derselben Organisation gehostet werden, ohne Dienste im öffentlichen Internet verfügbar zu machen.

Richtlinien für freigegebene VPCs

Dienst- und Hostprojekte für Cloud Composer
Abbildung 1: Dienst- und Hostprojekte für Cloud Composer
  • Geben Sie für die freigegebene VPC ein Hostprojekt an, zu dem Netzwerke und Subnetzwerke gehören, sowie ein Dienstprojekt, das dem Hostprojekt zugeordnet ist. Wenn Cloud Composer an einer freigegebenen VPC teilnimmt, befindet sich die Cloud Composer-Umgebung im Dienstprojekt.

  • Wählen Sie zum Einrichten einer freigegebenen VPC die folgenden IP-Bereiche im Hostprojekt aus:

    • Primärer IP-Bereich des Subnetzes, das von GKE-Knoten verwendet wird, die Cloud Composer als Compute Engine-Ebene verwendet
    • Sekundärer IP-Bereich für GKE-Dienste.
    • Sekundärer IP-Bereich für GKE-Pods.
  • Sekundäre IP-Bereiche dürfen sich nicht mit anderen sekundären Bereichen in dieser VPC überschneiden.

  • Achten Sie darauf, dass sekundäre Bereiche groß genug für die Clustergröße und die Umgebungsskalierung sind.

    Unter VPC-native Cluster erstellen finden Sie Richtlinien zum Konfigurieren von sekundären Bereichen für Pods und Dienste.

  • Der primäre Adressbereich des Subnetzwerks muss ausreichend groß sein, um dem erwarteten Wachstum standhalten und die reservierten IP-Adressen unterbringen zu können.

Vorbereitung

  1. Ermitteln Sie die folgenden Projekt-IDs und Projektnummern:

    • Hostprojekt: Das Projekt mit dem freigegebenen VPC-Netzwerk.
    • Dienstprojekt: Das Projekt mit der Cloud Composer-Umgebung.
  2. Organisation vorbereiten.

  3. Aktivieren Sie die GKE API in Ihren Host- und Dienstprojekten.

Hostprojekt konfigurieren

Konfigurieren Sie das Hostprojekt wie unten beschrieben.

Netzwerkressourcen konfigurieren

Wählen Sie eine der folgenden Optionen aus, um Netzwerkressourcen zuzuweisen und zu konfigurieren. Für jede Option müssen Sie die sekundären IP-Bereiche für Pods und Dienste benennen.

Freigegebene VPC einrichten und das Dienstprojekt anhängen

  1. Richten Sie eine freigegebene VPC ein, falls noch nicht geschehen. Wenn Sie bereits eine freigegebene VPC eingerichtet haben, fahren Sie mit dem nächsten Schritt fort.

  2. Hängen Sie das Dienstprojekt an, das Sie zum Hosten von Cloud Composer-Umgebungen verwenden.

    Übernehmen Sie beim Anhängen eines Projekts die standardmäßigen VPC-Netzwerkberechtigungen.

Berechtigungen für das Google APIs-Dienstkonto bearbeiten

Bearbeiten Sie im Hostprojekt die Berechtigungen für das Google APIs-Dienstkonto SERVICE_PROJECT_NUMBER@cloudservices.gserviceaccount.com.

Fügen Sie für dieses Konto auf Projektebene eine weitere Rolle hinzu, compute.networkUser. Dies ist eine Anforderung für verwaltete Instanzgruppen, die mit einer freigegebenen VPC verwendet werden, da diese Art von Dienstkonto Aufgaben wie die Instanzerstellung ausführt.

Berechtigungen für GKE-Dienstkonten bearbeiten

Bearbeiten Sie im Hostprojekt die Berechtigungen für die GKE-Dienstkonten service-SERVICE_PROJECT_NUMBER@container-engine-robot.iam.gserviceaccount.com.

Fügen Sie für jedes Dienstkonto eine weitere Rolle, compute.networkUser hinzu.

Weisen Sie diese Rolle auf Subnetzebene zu, damit ein Dienstkonto die für Cloud Composer erforderlichen VPC-Peering einrichten kann. Alternativ können Sie diese Rolle für das gesamte Hostprojekt zuweisen. In diesem Fall ist das GKE-Dienstkonto des Dienstprojekts berechtigt, ein beliebiges Subnetz im Hostprojekt zu verwenden.

Berechtigungen für das GKE-Dienstkonto des Dienstprojekts bearbeiten

Bearbeiten Sie im Hostprojekt die Berechtigungen für das GKE-Dienstkonto des Dienstprojekts.

Fügen Sie für dieses Konto die weitere Rolle Host Service Agent User hinzu.

Dadurch kann das GKE-Dienstkonto des Dienstprojekts das GKE-Dienstkonto des Hostprojekts nutzen, um gemeinsam verwendete Netzwerkressourcen zu konfigurieren.

Konfigurieren Sie die Verbindung zu *.pkg.dev

Prüfen Sie im Hostprojekt, ob das DNS *.pkg.dev aufgelöst wird in199.36.153.4/30.

Dazu erstellen Sie eine neue Zone als CNAME *.pkg.dev -> pkg.dev. A pkg.dev. -> 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7

Berechtigungen für das Composer-Agent-Dienstkonto bearbeiten

  1. Wenn dies die erste Cloud Composer-Umgebung im Hostprojekt ist, stellen Sie das Dienstkonto des Composer-Agents bereit: gcloud beta services identity create --service=composer.googleapis.com.

  2. Im Hostprojekt:

    1. Berechtigungen für das Composer-Agent-Dienstkonto service-SERVICE_PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com bearbeiten

    2. Fügen Sie für dieses Konto eine weitere Rolle hinzu:

      • Fügen Sie für private IP-Umgebungen die Composer Shared VPC Agent-Rolle hinzu.

      • Fügen Sie für öffentliche IP-Umgebungen die Compute Network User-Rolle hinzu.

Sie haben nun die Konfiguration des freigegebenen VPC-Netzwerks für das Hostprojekt abgeschlossen.

Nächste Schritte