Como configurar a VPC compartilhada

Nesta página, você encontra os requisitos do projeto host e da rede VPC compartilhada do Cloud Composer.

Com a VPC compartilhada, as organizações estabelecem limites de controle de acesso e orçamento no nível do projeto, além de possibilitar uma comunicação segura e eficiente usando IPs particulares nesses limites. Na configuração da VPC compartilhada, o Cloud Composer pode invocar serviços hospedados em outros projetos do Google Cloud na mesma organização sem expor serviços à Internet pública.

Observação importante:

• A VPC compartilhada exige que você determine um projeto host, que incluirá redes e sub-redes, e um projeto de serviço, que será anexado ao de host. Quando o Cloud Composer faz parte de uma VPC compartilhada, o ambiente dele fica no projeto de serviço.
• Para configurar a VPC compartilhada, selecione os seguintes intervalos de IP no projeto host:
  • O intervalo de IP principal da sub-rede usada pelos nós do GKE que o Cloud Composer usa como camada de computação
  • O intervalo de IP secundário de serviços do GKE
  • O intervalo de IP secundário de pods do GKE
• Os intervalos de IP secundários não podem se sobrepor a nenhum outro intervalo secundário nessa VPC.

• Garanta que os intervalos secundários sejam grandes o suficiente para acomodar o tamanho do cluster e o crescimento previsto. Por exemplo, os prefixos de rede dos intervalos secundários de um ambiente do Cloud Composer com três nós não podem ultrapassar os limites abaixo:

  • Pods: /22
  • Serviços: /27

  Consulte Como criar um cluster nativo de VPC para ver diretrizes sobre como configurar intervalos secundários de pods e serviços.

• O intervalo de endereços principal da sub-rede precisa acomodar o crescimento previsto e levar em consideração os endereços IP reservados. Usando o exemplo anterior de ambiente com três nós, o prefixo de rede do intervalo de endereços principal da sub-rede não pode ser maior que /29.

Preparação

1. Encontre os IDs e números de projeto a seguir:
   • Projeto host: contém a rede VPC compartilhada.
   • Projeto de serviço: contém o ambiente do Cloud Composer.
2. Prepare a organização.
3. Ative a API GKE nos projetos host e de serviço.

Configuração do projeto host

1. Escolha uma das opções a seguir para alocar e configurar os recursos de rede. Para cada opção, você precisa nomear os intervalos secundários de IPs dos pods e serviços.

   • Crie uma nova rede VPC, uma sub-rede e dois intervalos de IP secundários. Ao criar a sub-rede, use o intervalo de IP principal seguindo as diretrizes acima. Como parte da definição de sub-rede, defina dois intervalos de IP secundários (para pods e serviços), conforme instruído acima.
   • Crie uma sub-rede e dois intervalos de IP secundários em uma VPC existente. Ao criar a sub-rede, use o intervalo de IP principal seguindo as diretrizes acima. Como parte da definição de sub-rede, defina dois intervalos de IP secundários (para pods e serviços), conforme instruído acima.
   • Crie dois intervalos de IP secundários em uma sub-rede e VPC. Defina dois intervalos de IP secundários (para pods e serviços) conforme instruído acima, evitando conflitos de nome e intervalo de IP com intervalos secundários existentes.

2. Configure a VPC compartilhada e anexe um projeto de serviço, que será usado para hospedar ambientes do Cloud Composer. Se a VPC compartilhada já existir, vá diretamente para a etapa Como anexar um projeto de serviço. Ao anexar um projeto, deixe as permissões de rede VPC padrão em vigor.

3. Conceda o papel compute.networkUser à conta de serviço de APIs do Google (SERVICE_PROJECT_NUMBER@cloudservices.gserviceaccount.com) para envolvidos no projeto. Essa é uma exigência dos grupos gerenciados de instâncias usados com a VPC compartilhada, que o GKE usa, porque tarefas como a criação de instâncias são realizadas por esse tipo de conta de serviço.

4. No projeto host, conceda o papel compute.networkUser às contas de serviço do GKE (service-SERVICE_PROJECT_NUMBER@container-engine-robot.iam.gserviceaccount.com). Para fazer isso, acesse a lista de redes VPC e selecione a rede de destino. Essa permissão precisa ser concedida no nível da rede para permitir que a conta de serviço configure a arquitetura de peering do VPC exigida pelo Cloud Composer.

5. Conceda o papel Host Service Agent User à conta de serviço do GKE do projeto de serviço. Isso permite que essa conta no projeto de serviço use a conta de serviço do GKE do projeto host para configurar recursos de rede compartilhados.

6. Se este for o primeiro ambiente do Cloud Composer no projeto atual, você precisará provisionar a conta de serviço do agente do Composer: gcloud beta services identity create --service=composer.googleapis.com.

7. Conceda à conta de serviço do agente do Composer (service-SERVICE_PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com) um papel de usuário da rede do Compute

   • Se estiver criando um ambiente de IP particular, adicione as permissões compute.networks.addPeering e compute.networks.removePeering.

Você terminou de configurar a rede VPC compartilhada do projeto host.

A seguir

Usando o SDK do Cloud, crie um ambiente do Cloud Composer e forneça a rede e a sub-rede do projeto host como parâmetros de configuração.