Configurare i connettori nei progetti di servizio VPC condiviso
Se la tua organizzazione utilizza VPC condiviso, puoi configurare i connettori di accesso VPC serverless nel progetto di servizio o nel progetto host. Questa guida mostra come configurare un connettore nel progetto di servizio.
Se devi configurare un connettore nel progetto host, consulta Configurare i connettori nel progetto host. Per scoprire i vantaggi di ciascun metodo, consulta Connessione a una VPC condiviso condivisa.
In linea generale, devi seguire questi passaggi:
- Concedere le autorizzazioni
- Creare una subnet
- Nella pagina Configurazione dell'accesso VPC serverless, compila i passaggi descritti nelle seguenti sezioni:
Concedi le autorizzazioni agli account di servizio nei tuoi progetti di servizio
Per ogni progetto di servizio che utilizzerà i connettori VPC, un amministratore VPC condiviso deve concedere il ruolo Utente di rete Compute (compute.networkUser
) nel progetto host agli account di servizio cloudservices
e vpcaccess
.
Per concedere il ruolo:
Utilizza questi comandi:
gcloud projects add-iam-policy-binding HOST_PROJECT_ID \ --role "roles/compute.networkUser" \ --member "serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-vpcaccess.iam.gserviceaccount.com"
gcloud projects add-iam-policy-binding HOST_PROJECT_ID \ --role "roles/compute.networkUser" \ --member "serviceAccount:SERVICE_PROJECT_NUMBER@cloudservices.gserviceaccount.com"
Se l'account di servizio
@gcp-sa-vpcaccess
non esiste, attiva l'API Serverless VPC Access nel progetto di servizio e riprova:gcloud services enable vpcaccess.googleapis.com
Se preferisci non concedere a questi account di servizio l'accesso all'intera rete VPC condiviso e vuoi concedere l'accesso solo a sottoreti specifiche, puoi concedere questi ruoli a questi account di servizio solo su sottoreti specifiche.
Crea una subnet
Quando utilizzi il VPC condiviso, l'amministratore del VPC condiviso deve creare una sottorete per ogni connettore. Segui la documentazione sull'aggiunta di una subnet per aggiungere una subnet /28
alla rete VPC condiviso. Questa subnet deve trovarsi nella stessa regione dei servizi serverless che utilizzeranno il connettore.
Passaggi successivi
- Nella pagina Configurazione dell'accesso VPC serverless, compila i passaggi descritti nelle seguenti sezioni: