配置共享 VPC

本页面介绍了 Cloud Composer 的共享 VPC 网络和宿主项目要求。

通过共享 VPC,组织可以在项目级层建立预算和访问权限控制边界,并使用专用 IP 跨这些边界进行安全高效的通信。在 Cloud Composer 环境中,使用共享 VPC 网络意味着工作流可以调用同一组织中其他 Google Cloud Platform 项目所托管的服务,而无需向公共互联网公开服务。

准备工作

  • 共享 VPC 要求您指定网络和子网所属的宿主项目以及与该宿主项目关联的服务项目。当 Cloud Composer 参与共享 VPC 时,Cloud Composer 环境位于服务项目中。

  • 您必须配置 Cloud Composer 环境连接到的子网,以用于别名 IP。如果您的网络不需要特定的次要 IP 范围,您必须使用以下两个次要 IP 范围:

    • Pod:composer-pods
    • 服务:composer-services
  • 确保次要范围足以满足集群大小和预期增长的需求。例如,对于 3 节点 Cloud Composer 环境,次要范围的网络前缀长度不得超过以下值:

    • Pod:/22
    • 服务:/24
  • 由于各环境之间不能共用次要范围,并且次要范围需要使用唯一的子网名称,因此参与共享 VPC 的每个 Cloud Composer 环境都需要有专用的子网。子网的主要地址范围应当能够适应预期增长的需求,并且必须考虑预留 IP 地址。以前面的 3 节点环境为例,子网的主要地址范围的网络前缀长度不应超过 /29

配置宿主项目

  1. 找到以下项目 ID 和项目编号
    • 宿主项目:包含共享 VPC 网络的项目。
    • 服务项目:包含 Cloud Composer 环境的项目。
  2. 让您的组织做好准备
  3. 在宿主项目和服务项目中启用 GKE API
  4. 选择以下任一选项以分配和配置网络资源。对于每个选项,您必须为 pod 和服务的次要 IP 地址范围提供名称。为您的网络指定次要范围名称,或为 composer-podscomposer-services 范围(默认值)命名。
  5. 在该子网中,启用共享 VPC 并向 GKE 服务帐号授予 compute.networkUser 角色
  6. 在该宿主项目中,向 GKE 服务机器人授予 Host Service Agent User 角色

您已完成宿主项目的共享 VPC 网络配置。

后续步骤

使用 Cloud SDK 创建 Cloud Composer 环境,并以配置参数的形式提供宿主项目的网络和子网。

此页内容是否有用?请给出您的反馈和评价:

发送以下问题的反馈:

此网页
Cloud Composer