Configurar una VPC compartida

En esta página, se describen los requisitos de proyecto host y de la red de VPC compartida para Cloud Composer.

La VPC compartida permite que las organizaciones establezcan límites de presupuesto y de control de acceso a nivel de proyecto y, al mismo tiempo, posibilita una comunicación segura y eficiente mediante IP privadas en esos límites. En la configuración de la VPC compartida, Cloud Composer puede invocar servicios alojados en otros proyectos de Google Cloud en la misma organización sin exponer los servicios a la Internet pública.

Aviso importante:

  • La VPC compartida requiere que designes un proyecto host al que pertenecen las redes y subredes, y un proyecto de servicio, que se adjunta al proyecto host. Cuando Cloud Composer participa en una VPC compartida, el entorno de Cloud Composer está en el proyecto de servicio.
  • Para configurar una VPC compartida, selecciona los siguientes rangos de IP en el proyecto host:
    • Rango de IP principal de la subred que usan los nodos de GKE que Cloud Composer usa como capa de procesamiento
    • Rango de IP secundario para servicios de GKE
    • Rango de IP secundario para Pods de GKE
  • Los rangos de IP secundarios no pueden superponerse con ningún otro rango secundario en esta VPC.
  • Asegúrate de que los rangos secundarios sean lo suficientemente grandes como para adaptarse al tamaño del clúster y el crecimiento previsto. Por ejemplo, los prefijos de red de los rangos secundarios para un entorno de Cloud Composer de 3 nodos no deben superar los siguientes valores:

    • Pods: /22
    • Servicios: /27

    Consulta Crea un clúster nativo de la VPC a fin de obtener pautas sobre la configuración de rangos secundarios para pods y servicios.

  • El rango de direcciones principal de la subred debe adaptarse al crecimiento previsto y debe tener en cuenta las direcciones IP reservadas. En el ejemplo de entorno de 3 nodos anterior, el prefijo de red del rango de direcciones principal de la subred no debe ser mayor que /29.

Prepárese

  1. Busca los siguientes ID del proyecto y números de proyecto:
    • Proyecto host: el proyecto que contiene la red de VPC compartida.
    • Proyecto de servicio: el proyecto que contiene el entorno de Cloud Composer.
  2. Prepara tu organización.
  3. Habilita la API de GKE en el proyecto de servicio y el proyecto host.

Configuración del proyecto host

  1. Elige una de las siguientes opciones para asignar y configurar recursos de red. Para cada opción, debes asignar un nombre a los rangos de IP secundarias para los pods y los servicios.

  2. Configura la VPC compartida y vincula un proyecto de servicio, el cual usarás para alojar entornos de Cloud Composer. Si la VPC compartida ya existe, ve directamente al paso Adjunta un proyecto de servicio. Cuando adjuntes un proyecto, deja los permisos de la red de VPC predeterminada en su lugar.

  3. En el proyecto host, otorga la función compute.networkUser a las cuentas de servicio de GKE (service-SERVICE_PROJECT_NUMBER@container-engine-robot.iam.gserviceaccount.com). Para ello, ve a la lista de redes de VPC y selecciona la red de destino. Se debe otorgar este permiso a nivel de la red para permitir que la cuenta de servicio configure el arquetipo de intercambio de tráfico de VPC que requiere Cloud Composer.

  4. Otorga la función Host Service Agent User a la cuenta de servicio de GKE del proyecto de servicio. Con esto, la cuenta de servicio de GKE del proyecto de servicio podrá usar la cuenta de servicio de GKE del proyecto host a fin de configurar los recursos de la red compartida.

  5. Si este es el primer entorno de Cloud Composer en el proyecto actual, primero debes aprovisionar la cuenta de servicio del agente de Composer: gcloud beta services identity create --service=composer.googleapis.com.

  6. Otorga a una cuenta de servicio de agente de Composer (service-SERVICE_PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com) una función de usuario de la red de Compute.

    • Si creas un entorno IP privada, agrega el permiso compute.networks.addPeering.

Completaste la configuración de la red de VPC compartida para el proyecto host.

Próximos pasos

Con el SDK de Cloud, crea un entorno de Cloud Composer y proporciona la red y la subred del proyecto host como parámetros de configuración.