在共享 VPC 服务项目中配置连接器

如果您的组织使用共享 VPC,则您可以在服务项目或宿主项目中设置无服务器 VPC 访问通道连接器。本指南介绍如何在服务项目中设置连接器。

如果您需要在宿主项目中设置连接器,请参阅在宿主项目中配置连接器。 如需了解每种方法的优点,请参阅连接到共享 VPC 网络

大体而言,您必须执行以下步骤:

  1. 授予权限
  2. 创建子网
  3. 配置无服务器 VPC 访问通道页面中,完成以下各部分中的步骤:

向服务项目中的服务账号授予权限

对于将使用 VPC 连接器的每个服务项目,Shared VPC Admin 必须向服务项目 cloudservicesvpcaccess 服务账号授予宿主项目中的 Compute Network User 角色 (compute.networkUser)。

如需授予角色:

  1. 使用以下命令:

    gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
    --role "roles/compute.networkUser" \
    --member "serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-vpcaccess.iam.gserviceaccount.com"
    gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
    --role "roles/compute.networkUser" \
    --member "serviceAccount:SERVICE_PROJECT_NUMBER@cloudservices.gserviceaccount.com"
  2. 如果 @gcp-sa-vpcaccess 服务账号不存在,请在服务项目中启用 Serverless VPC Access API,然后重试:

    gcloud services enable vpcaccess.googleapis.com

如果您不想向这些服务账号授予整个共享 VPC 网络的访问权限,而希望只授予特定子网的访问权限,则可以改为仅向这些服务账号授予特定子网的这些角色

创建子网

使用共享 VPC 时,Shared VPC Admin 必须为每个连接器创建一个子网。按照添加子网文档的说明将 /28 子网添加到共享 VPC 网络。此子网必须与将使用连接器的无服务器服务位于同一区域。

后续步骤