設定共用虛擬私人雲端

本頁面說明 Cloud Composer 的共用虛擬私人雲端網路和主專案要求。

共用虛擬私人雲端可讓機構在專案層級建立預算和存取權控管邊界,同時確保透過私人 IP 進行的跨邊界通訊安全又有效率。在 Cloud Composer 環境中,如果您使用共用虛擬私人雲端網路,工作流程就能夠叫用在同機構其他 Google Cloud Platform 專案中託管的服務,而不會在公開網際網路上公開服務。

事前準備

  • 如要使用共用虛擬私人雲端網路,您必須指派網路和子網路所屬的「主專案」,以及連結至主專案的「服務專案」。當 Cloud Composer 參與共用虛擬私人雲端時,Cloud Composer 環境位在服務專案中。

  • 您必須設定 Cloud Composer 環境所連線的子網路以用於別名 IP。如果您的網路不需要特定次要 IP 範圍,您必須使用下列兩種次要 IP 範圍:

    • Pod:composer-pods
    • 服務:composer-services
  • 請確保次要範圍足以容納叢集的大小和預期的叢集成長規模。舉例來說,3 節點 Cloud Composer 環境的次要範圍網路前置字串不應超過下列值:

    • Pod:/22
    • 服務:/24
  • 由於您無法在環境之間共用次要範圍,且次要範圍需要子網路的專屬名稱,因此參與共用虛擬私人雲端的每個 Cloud Composer 環境都需要自己的子網路。子網路的主要位址範圍應要能容納預期的成長規模,並涵蓋保留 IP 位址。以前述的 3 節點環境為例,子網路主要位址範圍的網路前置字串不應超過 /29

設定主專案

  1. 尋找下列專案 ID 和專案編號
    • 主專案:包含共用虛擬私人雲端網路的專案。
    • 服務專案:包含 Cloud Composer 環境的專案。
  2. 為貴機構進行準備
  3. 在主專案和服務專案中啟用 GKE API
  4. 選擇下列其中一個選項來分配和設定網路資源。針對每個選項,您必須為 pod 和服務的次要 IP 範圍命名。您可以為網路指定次要範圍名稱,或是為 composer-podscomposer-services (預設) 範圍命名。
  5. 在子網路中啟用共用虛擬私人雲端,並將 compute.networkUser 角色授予 GKE 服務帳戶。
  6. 在主專案中,Host Service Agent User 角色授予 GKE 服務機器人。

完成上述步驟後,即可為主專案設定好共用虛擬私人雲端網路。

後續步驟

使用 Cloud SDK 建立 Cloud Composer 環境,並提供主專案的網路和子網路做為設定參數。

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Cloud Composer