Freigegebene VPC konfigurieren

Auf dieser Seite werden die Anforderungen für das freigegebene VPC-Netzwerk und das Hostprojekt für Cloud Composer beschrieben.

Mithilfe einer freigegebenen VPC können Organisationen Budgetgrenzen für das Budget und die Zugriffssteuerung auf Projektebene festlegen und eine sichere und effiziente Kommunikation über private IP-Adressen in diesen Grenzen. In der Konfiguration einer freigegebenen VPC kann Cloud Composer Dienste aufrufen, die in anderen Google Cloud-Projekten in derselben Organisation gehostet werden. Dabei werden keine Dienste im öffentlichen Internet verfügbar gemacht.

Richtlinien für freigegebene VPC

  • Geben Sie für die freigegebene VPC ein Hostprojekt an, zu dem Netzwerke und Subnetzwerke gehören, sowie ein Dienstprojekt, das dem Hostprojekt zugeordnet ist. Wenn Cloud Composer an einer freigegebenen VPC teilnimmt, befindet sich die Cloud Composer-Umgebung im Dienstprojekt.

    Dienst- und Hostprojekte für Cloud Composer
  • Wählen Sie die folgenden IP-Bereiche im Hostprojekt aus, um eine freigegebene VPC einzurichten:

    • Primärer IP-Bereich des Subnetzes, das von GKE-Knoten verwendet wird, die Cloud Composer als Rechenebene verwendet
    • Sekundärer IP-Bereich für GKE-Dienste
    • Sekundärer IP-Bereich für GKE-Pods
  • Sekundäre IP-Bereiche dürfen sich nicht mit anderen sekundären Bereichen in dieser VPC überschneiden.

  • Achten Sie darauf, dass sekundäre Bereiche an die Größe des Clusters angepasst sind und das erwartete Wachstum bewältigen können.

    Netzwerkpräfixe für sekundäre Bereiche können nicht über die folgenden Werte erhöht werden. Geben Sie Netzwerkpräfixe an, die gleich oder unter diesen Werten liegen. Niedrigere Werte führen zu größeren CIDR-Bereichen.

    • Pods: /21
    • Dienste: /27

    Unter VPC-native Cluster erstellen finden Sie Richtlinien zum Konfigurieren von sekundären Bereichen für Pods und Dienste.

  • Der primäre Adressbereich des Subnetzwerks muss ausreichend groß sein, um dem erwarteten Wachstum standhalten und die reservierten IP-Adressen unterbringen zu können.

    Das Netzwerkpräfix des primären Adressbereichs des Subnetzes kann nicht über /29 erhöht werden. Geben Sie ein Netzwerkpräfix an, das gleich oder unter diesem Wert liegt. Die Angabe eines niedrigeren Werts führt zu einem größeren CIDR-Bereich.

Vorbereitung

  1. Ermitteln Sie die folgenden Projekt-IDs und Projektnummern:
    • Hostprojekt: Das Projekt mit dem freigegebenen VPC-Netzwerk.
    • Dienstprojekt: Das Projekt mit der Cloud Composer-Umgebung.
  2. Organisation vorbereiten.
  3. Aktivieren Sie die GKE API in Ihren Host- und Dienstprojekten.

Hostprojektkonfiguration

  1. Wählen Sie eine der folgenden Optionen aus, um Netzwerkressourcen zuzuweisen und zu konfigurieren.

    Für jede Option müssen Sie die sekundären IP-Bereiche für Pods und Dienste benennen.

  2. Richten Sie eine freigegebene VPC ein und hängen Sie ein Dienstprojekt an, mit dem Sie Cloud Composer-Umgebungen hosten.

    • Wenn bereits eine freigegebene VPC vorhanden ist, beginnen Sie mit dem Schritt Dienstprojekt anhängen.
    • Wenn Sie ein Projekt anhängen, können Sie die standardmäßigen VPC-Netzwerkberechtigungen beibehalten.
  3. Im Hostprojekt:

    1. Berechtigungen für das Google APIs-Dienstkonto SERVICE_PROJECT_NUMBER@cloudservices.gserviceaccount.com bearbeiten.

    2. Fügen Sie für dieses Konto eine weitere Rolle compute.networkUser auf Projektebene hinzu. Dies ist eine Voraussetzung für verwaltete Instanzgruppen, die mit einer freigegebenen VPC verwendet werden, da dieser Dienstkontotyp Aufgaben wie die Instanzerstellung ausführt.

  4. Im Hostprojekt:

    1. Bearbeitung der GKE-Dienstkonten service-SERVICE_PROJECT_NUMBER@container-engine-robot.iam.gserviceaccount.com.
    2. Fügen Sie jedem Dienstkonto eine weitere Rolle hinzu compute.networkUser ,ffnen Sie dazu die VPC-Netzwerkliste und Zielnetzwerk auswählen. Diese Berechtigung muss auf Netzwerkebene erteilt werden, damit ein Dienstkonto die von Cloud Composer erforderliche VPC-Peering-Architektur einrichten kann.
  5. Im Hostprojekt:

    1. Bearbeitungsberechtigungen für das GKE-Dienstkonto des Dienstprojekts.
    2. Fügen Sie für dieses Konto die weitere Rolle Host Service Agent User hinzu. Dadurch kann das GKE-Dienstkonto des Dienstprojekts das GKE-Dienstkonto des Hostprojekts verwenden, um gemeinsam verwendete Netzwerkressourcen zu konfigurieren.
  6. Im Hostprojekt:

    1. DNS *.pkg.dev wird in 199.36.153.4/30 aufgelöst. Erstellen Sie dazu eine neue Zone als CNAME: *.pkg.dev -> pkg.dev. pkg.dev. -> 199.36.153.4, 199.36.153, 5, 199.36.153.6, 199.36.315.7
  7. Wenn dies die erste Cloud Composer-Umgebung ist, stellen Sie im Hostprojekt das Dienstkonto gcloud beta services identity create --service=composer.googleapis.com für den Composer-Agent bereit.

  8. Im Hostprojekt:

    1. Berechtigungen für das Composer-Agent-Dienstkonto service-SERVICE_PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com bearbeiten
    2. Fügen Sie für dieses Konto eine weitere Rolle hinzu:
      • Fügen Sie für Private IP-Umgebungen die Rolle Composer Shared VPC Agent hinzu.
      • Fügen Sie für öffentliche IP-Umgebungen die Rolle Compute Network User hinzu.

Sie haben nun die Konfiguration des freigegebenen VPC-Netzwerks für das Hostprojekt abgeschlossen.

Nächste Schritte

Erstellen Sie mit dem Cloud SDK eine Cloud Composer-Umgebung und stellen Sie das Netzwerk und das Subnetzwerk des Hostprojekts als Konfigurationsparameter bereit.