Esta página foi traduzida pela API Cloud Translation.
Switch to English

Como configurar a VPC compartilhada

Nesta página, você encontra os requisitos do projeto host e da rede VPC compartilhada do Cloud Composer.

Com a VPC compartilhada, as organizações estabelecem limites de controle de acesso e orçamento no nível do projeto, além de possibilitar uma comunicação segura e eficiente usando IPs particulares nesses limites. Na configuração da VPC compartilhada, o Cloud Composer pode invocar serviços hospedados em outros projetos do Google Cloud na mesma organização sem expor serviços à Internet pública.

Observação importante:

  • A VPC compartilhada exige que você determine um projeto host, que incluirá redes e sub-redes, e um projeto de serviço, que será anexado ao de host. Quando o Cloud Composer faz parte de uma VPC compartilhada, o ambiente dele fica no projeto de serviço.
  • Para configurar a VPC compartilhada, selecione os seguintes intervalos de IP no projeto host:
    • O intervalo de IP principal da sub-rede usada pelos nós do GKE que o Cloud Composer usa como camada de computação
    • O intervalo de IP secundário de serviços do GKE
    • O intervalo de IP secundário de pods do GKE
  • Os intervalos de IP secundários não podem se sobrepor a nenhum outro intervalo secundário nessa VPC.
  • Garanta que os intervalos secundários sejam grandes o suficiente para acomodar o tamanho do cluster e o crescimento previsto. Por exemplo, os prefixos de rede dos intervalos secundários de um ambiente do Cloud Composer com três nós não podem ultrapassar os limites abaixo:

    • Pods: /22
    • Serviços: /27

    Consulte Como criar um cluster nativo de VPC para ver diretrizes sobre como configurar intervalos secundários de pods e serviços.

  • O intervalo de endereços principal da sub-rede precisa acomodar o crescimento previsto e levar em consideração os endereços IP reservados. Usando o exemplo anterior de ambiente com três nós, o prefixo de rede do intervalo de endereços principal da sub-rede não pode ser maior que /29.

preparação

  1. Encontre os IDs e números de projeto a seguir:
    • Projeto host: contém a rede VPC compartilhada.
    • Projeto de serviço: contém o ambiente do Cloud Composer.
  2. Prepare a organização.
  3. Ative a API GKE nos projetos host e de serviço.

Configuração do projeto host

  1. Escolha uma das opções a seguir para alocar e configurar os recursos de rede. Para cada opção, você precisa nomear os intervalos secundários de IPs dos pods e serviços.

  2. Configure a VPC compartilhada e anexe um projeto de serviço, que será usado para hospedar ambientes do Cloud Composer. Se a VPC compartilhada já existir, vá diretamente para a etapa Como anexar um projeto de serviço. Ao anexar um projeto, deixe as permissões de rede VPC padrão em vigor.

  3. Conceda o papel compute.networkUser à conta de serviço de APIs do Google (SERVICE_PROJECT_NUMBER@cloudservices.gserviceaccount.com) para envolvidos no projeto. Essa é uma exigência dos grupos gerenciados de instâncias usados com a VPC compartilhada, que o GKE usa, porque tarefas como a criação de instâncias são realizadas por esse tipo de conta de serviço.

  4. No projeto host, conceda o papel compute.networkUser às contas de serviço do GKE (service-SERVICE_PROJECT_NUMBER@container-engine-robot.iam.gserviceaccount.com). Para fazer isso, acesse a lista de redes VPC e selecione a rede de destino. Essa permissão precisa ser concedida no nível da rede para permitir que a conta de serviço configure a arquitetura de peering do VPC exigida pelo Cloud Composer.

  5. Conceda o papel Host Service Agent User à conta de serviço do GKE do projeto de serviço. Isso permite que essa conta no projeto de serviço use a conta de serviço do GKE do projeto host para configurar recursos de rede compartilhados.

  6. Se este for o primeiro ambiente do Cloud Composer no projeto atual, você precisará provisionar a conta de serviço do agente do Composer: gcloud beta services identity create --service=composer.googleapis.com.

  7. Conceda à conta de serviço do agente do Composer (service-SERVICE_PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com) um papel de agente de VPC compartilhada do Composer no caso de ambientes de IP particular ou um papel de usuário da rede do Compute no caso de ambientes do Composer de IP público.

Você terminou de configurar a rede VPC compartilhada do projeto host.

A seguir

Usando o SDK do Cloud, crie um ambiente do Cloud Composer e forneça a rede e a sub-rede do projeto host como parâmetros de configuração.