配置共享 VPC

Cloud Composer 1 | Cloud Composer 2

本页面介绍了 Cloud Composer 的共享 VPC 网络和宿主项目要求。

通过共享 VPC,组织可以在项目级层建立预算和访问权限控制边界,并使用专用 IP 跨这些边界进行安全高效的通信。在共享 VPC 配置中,Cloud Composer 可以调用同一组织中其他 Google Cloud 项目中托管的服务,而无需将服务公开给公共互联网。

共享 VPC 的准则

适用于 Cloud Composer 的服务和宿主项目
图 1. 适用于 Cloud Composer 的服务项目和宿主项目
  • 共享 VPC 要求您指定网络和子网所属的宿主项目以及与该宿主项目关联的服务项目。当 Cloud Composer 参与共享 VPC 时,Cloud Composer 环境位于服务项目中。

  • 如需设置共享 VPC,请在宿主项目中选择以下 IP 范围:

    • Cloud Composer 用作其 Compute Engine 层的 GKE 节点所用子网的主要 IP 范围
    • GKE 服务的次要 IP 范围
    • GKE pod 的次要 IP 范围
  • 次要 IP 范围不能与此 VPC 中的任何其他次要范围重叠。

  • 确保次要范围足以适应集群大小环境扩缩需求

    请参阅创建 VPC 原生集群,了解有关如何配置 pod 的次要范围服务的次要范围的准则。

  • 子网的主要地址范围应当能够适应预期增长的需求,并且必须考虑预留 IP 地址

  • 如果您将 IP 伪装代理专用 IP 配置用于您的环境,请将节点和 Pod 的 IP 范围添加到 ip-masq-agent ConfigMap 的 nonMasqueradeCIDRs 部分。如需了解详情,请参阅配置 IP 伪装代理

准备工作

  1. 找到以下项目 ID 和项目编号

    • 宿主项目:共享 VPC 网络所属的项目。
    • 服务项目:Cloud Composer 环境所属的项目。
  2. 让您的组织做好准备

  3. 在宿主项目和服务项目中启用 GKE API

  4. 如果您在 VPC SC 中配置专用 IP 模式或专用 IP 模式的 Cloud Composer,请按照专用 IP 说明VPC SC 说明中所述的方法配置 DNS 和防火墙规则

配置宿主项目

按照下文所述配置宿主项目。

(专用 IP)启用专用 Google 访问权限

如果您计划使用专用 IP 环境,请为宿主项目中的子网启用专用 Google 访问通道。您可以在下一步为新子网或现有子网配置网络资源时执行此操作。

如果您打算使用公共 IP 环境,我们仍然建议为宿主项目中的子网启用专用 Google 访问通道。如果您选择不使用专用 Google 访问通道,则请勿阻止隐式 IPv4 允许出站防火墙规则允许的流量 - 因为需要这样做,才能成功到达 *.googleapis.com 端点。

配置网络资源

选择以下任一选项以分配和配置网络资源。对于每个选项,您必须为 pod 和服务的次要 IP 范围命名。

设置共享 VPC 并关联服务项目

  1. 如果您尚未这样做,请设置共享 VPC。如果您已经设置了共享 VPC,请跳到下一步。

  2. 关联服务项目,以用于托管 Cloud Composer 环境。

    关联项目时,保留默认的 VPC 网络权限。

拥有 Google API 服务帐号的修改权限

在宿主项目中,拥有 Google API 服务帐号 SERVICE_PROJECT_NUMBER@cloudservices.gserviceaccount.com 的修改权限。

对于此帐号,请在项目级层添加其他角色 compute.networkUser。这是与共享 VPC 一起使用的代管式实例组的一项要求,因为此类型的服务帐号会执行创建实例等任务。

拥有 GKE 服务帐号的修改权限

在宿主项目中,拥有 GKE 服务帐号 service-SERVICE_PROJECT_NUMBER@container-engine-robot.iam.gserviceaccount.com 的修改权限。

对于每个服务帐号,请添加其他角色 compute.networkUser

在子网级别授予此角色,以允许服务帐号设置 Cloud Composer 所需的 VPC 对等互连。请注意,在这种情况下,您需要明确指定环境要使用的子网,因为 GKE 集群可能缺少在此网络中找到该子网的权限。

或者,您也可以为整个宿主项目授予此角色。在这种情况下,服务项目的 GKE 服务帐号有权使用宿主项目中的任何子网。

拥有服务项目的 GKE 服务帐号的修改权限

在宿主项目中,拥有服务项目的 GKE 服务帐号的修改权限。

对于此帐号,请添加其他角色 Host Service Agent User

这样,服务项目的 GKE 服务帐号便可使用宿主项目的 GKE 服务帐号来配置共享网络资源。

配置与“*.pkg.dev”的连接

在宿主项目中,确保 DNS *.pkg.dev 解析为您为专用 Google 访问通道定义的范围。以下示例将使用 199.36.153.4/30

为此,按以下方式创建新区域:CNAME *.pkg.dev -> pkg.dev. A pkg.dev. -> 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7

拥有 Composer Agent 服务帐号的修改权限

  1. 在服务项目中,如果这是第一个 Cloud Composer 环境,请配置 Composer 代理服务帐号:gcloud beta services identity create --service=composer.googleapis.com

  2. 在宿主项目中:

    1. 拥有 Composer Agent 服务帐号 (service-SERVICE_PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com) 的修改权限

    2. 对于此帐号,请添加其他角色:

      • 对于专用 IP 环境,请添加 Composer Shared VPC Agent 角色。

      • 对于公共 IP 环境,请添加 Compute Network User 角色。

您已完成宿主项目的共享 VPC 网络配置。

后续步骤