Configurer un VPC partagé

Cette page décrit les exigences du réseau VPC partagé et du projet hôte pour Cloud Composer.

Un VPC partagé permet aux organisations d'établir des limites en termes de budgétisation et de contrôle des accès au niveau du projet, tout en permettant une communication sécurisée et efficace à l'aide d'adresses IP privées sur ces limites. Dans la configuration du VPC partagé, Cloud Composer peut appeler des services hébergés dans d'autres projets Google Cloud de la même organisation sans exposer ces services à l'Internet public.

Consignes relatives aux VPC partagés

  • Le VPC partagé nécessite que vous spécifiiez un projet hôte auquel appartiennent les réseaux et sous-réseaux ainsi qu'un projet de service, qui est associé au projet hôte. Lorsque Cloud Composer participe à un VPC partagé, l'environnement Cloud Composer se trouve dans le projet de service.

    Projets de service et projets hôtes pour Cloud Composer
  • Pour configurer un VPC partagé, sélectionnez les plages d'adresses IP suivantes dans le projet hôte:

    • Plage d'adresses IP principale du sous-réseau utilisé par les nœuds GKE comme couche de calcul pour Cloud Composer
    • Plage d'adresses IP secondaire pour les services GKE.
    • Plage d'adresses IP secondaire pour les pods GKE.
  • Les plages d'adresses IP secondaires ne doivent pas chevaucher d'autres plages secondaires de ce VPC.

  • Assurez-vous que les plages secondaires sont suffisamment grandes pour s'adapter à la taille et à la croissance prévue du cluster.

    Les préfixes réseau des plages secondaires ne peuvent pas être augmentés au-dessus des valeurs suivantes. Spécifiez les préfixes de réseau dont la valeur est égale ou inférieure à ces valeurs. La spécification de valeurs inférieures entraîne des plages CIDR plus grandes.

    • Pods : /21
    • Services : /27

    Consultez la section Créer un cluster de VPC natif pour obtenir des instructions sur la configuration des plages secondaires pour les pods et les services.

  • La plage d'adresses principale du sous-réseau doit tenir compte de la croissance anticipée et prendre en compte les adresses IP réservées.

    Le préfixe réseau de la plage d'adresses principale du sous-réseau ne peut pas être augmenté au-dessus de /29. Spécifiez un préfixe réseau égal ou inférieur à cette valeur. La spécification d'une valeur inférieure entraîne une plage CIDR plus grande.

Préparation

  1. Trouvez les ID et les numéros des projets suivants :
    • Projet hôte : le projet contenant le réseau VPC partagé.
    • Projet de service : le projet contenant l'environnement Cloud Composer.
  2. Préparez votre organisation.
  3. Activez l'API GKE pour vos projets hôte et de service.

Configuration du projet hôte

  1. Choisissez l'une des options suivantes pour allouer et configurer les ressources réseau.

    Pour chaque option, vous devez nommer les plages d'adresses IP secondaires pour les pods et les services.

  2. Configurez un VPC partagé et associez un projet de service que vous utilisez pour héberger des environnements Cloud Composer.

    • Si un VPC partagé existe déjà, commencez par l'étape Associer un projet de service.
    • Lorsque vous associez un projet, conservez les autorisations du réseau VPC par défaut.
  3. Dans le projet hôte :

    1. Modifier les autorisations du compte de service des API Google (SERVICE_PROJECT_NUMBER@cloudservices.gserviceaccount.com).

    2. Pour ce compte, ajoutez un autre rôle compute.networkUser au niveau du projet. Cette condition est obligatoire pour les groupes d'instances gérés utilisés avec un VPC partagé, car ce type de compte de service effectue des tâches telles que la création de l'instance.

  4. Dans le projet hôte :

    1. Modifier les autorisations pour les comptes de service GKE, service-SERVICE_PROJECT_NUMBER@container-engine-robot.iam.gserviceaccount.com.
    2. Pour chaque compte de service, ajoutez un autre rôle, compute.networkUser. Pour ce faire, accédez à la liste des réseaux VPC. sélectionnez le réseau cible. Cette autorisation doit être accordée au niveau du réseau pour permettre à un compte de service de configurer l'architecture d'appairage de VPC requise par Cloud Composer.
  5. Dans le projet hôte :

    1. Permet de modifier les autorisations du compte de service GKE du projet de service.
    2. Pour ce compte, ajoutez un autre rôle Host Service Agent User. Cela permet au compte de service GKE du projet de service d'utiliser le compte de service GKE du projet hôte pour configurer des ressources réseau partagées.
  6. Dans le projet hôte :

    1. Assurez-vous que la méthode DNS *.pkg.dev est résolue en 199.36.153.4/30. Pour ce faire, créez une zone telle que: CNAME *.pkg.dev -> pkg.dev. A pkg.dev. -> 199.36.153.4, 199.36.153,5, 199.36.153.6, 199.36.153.7
  7. Dans le projet hôte, s'il s'agit du premier environnement Cloud Composer, provisionnez le compte de service de l'agent Composer : gcloud beta services identity create --service=composer.googleapis.com.

  8. Dans le projet hôte :

    1. Modifier les autorisations pour le compte de service de l'agent Composer, service-SERVICE_PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com)
    2. Pour ce compte, ajoutez un autre rôle :
      • Pour les environnements Adresse IP privée, ajoutez le rôle Composer Shared VPC Agent.
      • Pour les environnements d'adresses IP publiques, ajoutez le rôle Compute Network User.

Vous avez terminé la configuration du réseau VPC partagé pour le projet hôte.

Étape suivante

À l'aide du SDK Cloud, créez un environnement Cloud Composer et spécifiez le réseau et le sous-réseau du projet hôte en tant que paramètres de configuration.