Como configurar a VPC compartilhada

Cloud Composer 1 | Cloud Composer 2

Nesta página, você encontra os requisitos do projeto host e da rede VPC compartilhada do Cloud Composer.

A VPC compartilhada permite que as organizações estabeleçam orçamentos e limites de controle de acesso para envolvidos no projeto, permitindo uma comunicação segura e eficiente usando IPs particulares entre eles limites. Na configuração da VPC compartilhada, o Cloud Composer pode invocar serviços hospedados em outros projetos do Google Cloud na mesma organização sem expor os serviços à Internet pública.

Diretrizes para VPC compartilhada

Projetos de serviço e host do Cloud Composer
Figura 1. Projetos de serviço e host para o Cloud Composer
  • A VPC compartilhada exige que você designe um projeto host a que redes e sub-redes pertencem e um projeto de serviço, que é anexado ao projeto host. Quando o Cloud Composer faz parte de uma VPC compartilhada, o ambiente dele fica no projeto de serviço.

  • Para configurar a VPC compartilhada, selecione os seguintes intervalos de IP no projeto host:

    • Intervalo de IP primário da sub-rede usada pelos nós do GKE que o Cloud Composer usa como camada do Compute Engine.
    • Intervalo de IP secundário para serviços do GKE.
    • Intervalo de IP secundário para pods do GKE.
  • Os intervalos de IP secundários não podem se sobrepor a nenhum outro intervalo secundário nessa VPC.

  • Verifique se os intervalos secundários são grandes o suficiente para acomodar o tamanho do cluster e o crescimento previsto.

    Os prefixos de rede de intervalos secundários não podem ser aumentados acima dos valores a seguir. Especifique prefixos de rede que sejam iguais ou abaixo desses valores. A especificação de valores mais baixos resulta em intervalos CIDR maiores.

    - Pods: `/21`
    - Services: `/27`
    

    Consulte Como criar um cluster nativo de VPC para diretrizes sobre como configurar intervalos secundários para pods e serviços.

  • O intervalo de endereços principal da sub-rede precisa acomodar o crescimento previsto e levar em consideração os endereços IP reservados.

    O prefixo de rede do intervalo de endereços principal da sub-rede não pode ser aumentado acima de /29. Especifique um prefixo de rede que seja igual ou abaixo desse valor. Especificar um valor menor resulta em um intervalo CIDR maior.

preparação

  1. Encontre os IDs e números de projeto a seguir:

    • Projeto host: contém a rede VPC compartilhada.
    • Projeto de serviço: o projeto que contém o ambiente do Cloud Composer.
  2. Prepare a organização.

  3. Ative a API GKE nos projetos host e de serviço.

Configurar o projeto host

Configure o projeto host conforme descrito.

Configurar recursos de rede

Escolha uma das opções a seguir para alocar e configurar recursos de rede. Em cada opção, é preciso nomear os intervalos de IP secundários dos pods e serviços.

Configurar a VPC compartilhada e anexar o projeto de serviço

  1. Configure a VPC compartilhada caso ainda não tenha feito isso. Se você já configurou a VPC compartilhada, pule para a próxima etapa.

  2. Anexe o projeto de serviço, que você usa para hospedar ambientes do Cloud Composer.

    Ao anexar um projeto, mantenha as permissões padrão da rede VPC em vigor.

Editar permissões da conta de serviço das APIs do Google

No projeto host, edite as permissões da conta de serviço das APIs do Google, SERVICE_PROJECT_NUMBER@cloudservices.gserviceaccount.com.

Para essa conta, adicione outro papel, compute.networkUser no nível do projeto. Esse é um requisito para grupos de instâncias gerenciadas usados com a VPC compartilhada porque esse tipo de conta de serviço realiza tarefas como a criação de instâncias.

Editar permissões para contas de serviço do GKE

No projeto host, edite as permissões das contas de serviço do GKE, service-SERVICE_PROJECT_NUMBER@container-engine-robot.iam.gserviceaccount.com.

Para cada conta de serviço, adicione outro papel, compute.networkUser.

Essa permissão precisa ser concedida no nível da sub-rede para permitir que uma conta de serviço configure os peerings de VPC exigidos pelo Cloud Composer.

Editar permissões da conta de serviço do GKE do projeto de serviço

No projeto host, edite as permissões da conta de serviço do GKE do projeto de serviço.

Nessa conta, adicione outro papel, Host Service Agent User.

Isso permite que a conta de serviço do GKE do projeto de serviço use a conta de serviço do GKE do projeto host para configurar os recursos de rede compartilhados.

Configurar conectividade com o *.pkg.dev

No projeto host, verifique se o DNS *.pkg.dev resolve para 199.36.153.4/30.

Para fazer isso, crie uma nova zona como: CNAME *.pkg.dev -> pkg.dev. A pkg.dev. -> 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7

Editar permissões da conta de serviço do agente do Cloud Composer

  1. No projeto host, se este for o primeiro ambiente do Cloud Composer, provisione a conta de serviço do agente do Composer: gcloud beta services identity create --service=composer.googleapis.com.

  2. No projeto host:

    1. Editar permissões da conta de serviço do agente do Composer, service-SERVICE_PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com)

    2. Para esta conta, adicione outro papel:

      • Para ambientes de IP particular, adicione o papel Composer Shared VPC Agent.

      • Para ambientes de IP público, adicione o papel Compute Network User.

Você concluiu a configuração da rede VPC compartilhada para o projeto host.

A seguir