Configurer un VPC partagé

Cloud Composer 1 | Cloud Composer 2

Cette page décrit les exigences du réseau VPC partagé et du projet hôte pour Cloud Composer.

Un VPC partagé permet aux organisations de définir des budgets et des limites de contrôle d'accès au niveau d'un projet, tout en permettant une communication sécurisée et efficace à l'aide d'adresses IP privées sur ces réseaux. . Dans la configuration du VPC partagé, Cloud Composer peut appeler des services hébergés dans d'autres projets Google Cloud de la même organisation sans exposer les services à l'Internet public.

Consignes pour le VPC partagé

Projets de service et hôte pour Cloud Composer
Figure 1. Projets de service et d'hôte pour Cloud Composer
  • Le VPC partagé nécessite de désigner un projet hôte auquel appartiennent les réseaux et les sous-réseaux, et un projet de service qui est associé au projet hôte. Lorsque Cloud Composer participe à un VPC partagé, l'environnement Cloud Composer se trouve dans le projet de service.

  • Pour configurer le VPC partagé, sélectionnez les plages d'adresses IP suivantes dans le projet hôte:

    • Plage d'adresses IP principale du sous-réseau utilisé par les nœuds GKE que Cloud Composer utilise comme couche Compute Engine.
    • Plage d'adresses IP secondaire utilisée par les services GKE
    • Plage d'adresses IP secondaire utilisée par les pods GKE
  • Les plages d'adresses IP secondaires ne peuvent chevaucher aucune autre plage secondaire de ce VPC.

  • Assurez-vous que les plages secondaires sont suffisamment grandes pour s'adapter à la taille du cluster et à sa croissance prévue.

    Les préfixes de réseau des plages secondaires ne peuvent pas dépasser les valeurs suivantes. Spécifiez des préfixes réseau égaux ou inférieurs à ces valeurs. Plus la valeur est faible, plus les plages CIDR sont larges.

    - Pods: `/21`
    - Services: `/27`
    

    Consultez la section Créer un cluster de VPC natif pour obtenir des consignes sur la configuration des plages secondaires pour les pods et les services.

  • La plage d'adresses principale du sous-réseau doit tenir compte de la croissance anticipée et prendre en compte les adresses IP réservées.

    Le préfixe réseau de la plage d'adresses principale du sous-réseau ne peut pas être supérieur à /29. Spécifiez un préfixe réseau égal ou inférieur à cette valeur. La spécification d'une valeur inférieure permet d'obtenir une plage CIDR plus large.

Préparation

  1. Trouvez les identifiants et les numéros des projets suivants :

    • Projet hôte : le projet contenant le réseau VPC partagé.
    • Projet de service: projet contenant l'environnement Cloud Composer.
  2. Préparez votre organisation.

  3. Activez l'API GKE dans vos projets hôte et de service.

Configurer le projet hôte

Configurez le projet hôte comme décrit ci-dessous.

Configurer les ressources réseau

Choisissez l'une des options suivantes pour allouer et configurer des ressources réseau. Pour chaque option, vous devez nommer les plages d'adresses IP secondaires des pods et des services.

Configurer un VPC partagé et associer le projet de service

  1. Si ce n'est pas déjà fait, configurez un VPC partagé. Si vous avez déjà configuré le VPC partagé, passez à l'étape suivante.

  2. Associez le projet de service que vous utilisez pour héberger des environnements Cloud Composer.

    Lors de l'association d'un projet, conservez les autorisations par défaut du réseau VPC.

Modifier les autorisations pour le compte de service des API Google

Dans le projet hôte, modifiez les autorisations du compte de service des API Google, SERVICE_PROJECT_NUMBER@cloudservices.gserviceaccount.com.

Pour ce compte, ajoutez un autre rôle, compute.networkUser, au niveau du projet. Il s'agit d'une exigence pour les groupes d'instances gérés utilisés avec le VPC partagé, car ce type de compte de service effectue des tâches telles que la création d'instance.

Modifier les autorisations des comptes de service GKE

Dans le projet hôte, modifiez les autorisations des comptes de service GKE (service-SERVICE_PROJECT_NUMBER@container-engine-robot.iam.gserviceaccount.com).

Pour chaque compte de service, ajoutez un autre rôle, compute.networkUser.

Cette autorisation doit être accordée au niveau du sous-réseau pour permettre à un compte de service de configurer les appairages VPC requis par Cloud Composer.

Modifier les autorisations pour le compte de service GKE du projet de service

Dans le projet hôte, modifiez les autorisations du compte de service GKE du projet de service.

Pour ce compte, ajoutez un autre rôle, Host Service Agent User.

Cela permet au compte de service GKE du projet de service d'utiliser le compte de service GKE du projet hôte pour configurer les ressources réseau partagées.

Configurer la connectivité à *.pkg.dev

Dans le projet hôte, assurez-vous que le DNS *.pkg.dev renvoie 199.36.153.4/30.

Pour ce faire, créez une zone comme suit: CNAME *.pkg.dev -> pkg.dev. A pkg.dev. -> 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7.

Modifier les autorisations du compte de service de l'agent Composer

  1. Dans le projet hôte, s'il s'agit du premier environnement Cloud Composer, provisionnez le compte de service de l'agent Composer : gcloud beta services identity create --service=composer.googleapis.com.

  2. Dans le projet hôte :

    1. Modifier les autorisations du compte de service de l'agent Composer (service-SERVICE_PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com)

    2. Pour ce compte, ajoutez un autre rôle:

      • Pour les environnements Adresse IP privée, ajoutez le rôle Composer Shared VPC Agent.

      • Pour les environnements IP publics, ajoutez le rôle Compute Network User.

Vous avez terminé la configuration du réseau VPC partagé pour le projet hôte.

Étape suivante