Version 5.0

Configurer des autorisations pour un VPC partagé

Un VPC partagé permet à une organisation de connecter des ressources provenant de différents projets à un réseau cloud privé virtuel (VPC) commun, afin que ces ressources puissent communiquer entre elles de manière sécurisée et efficace en utilisant les adresses IP internes de ce réseau.

Lorsque vous utilisez un VPC partagé, vous désignez un projet en tant que projet hôte de VPC partagé et vous lui associez un ou plusieurs projets de service. Les réseaux VPC du projet hôte de VPC partagé sont appelés réseaux VPC partagés. Les ressources éligibles des projets de service peuvent utiliser des sous-réseaux du réseau VPC partagé.

Utiliser un VPC partagé avec Migrate for Compute Engine

Lorsque votre environnement Migrate for Compute Engine utilise un VPC partagé, vous devez vous assurer que vous avez correctement configuré les autorisations pour pouvoir déployer une VM migrée vers le projet cible Compute Engine.

Par exemple, vous disposez de l'environnement suivant:

  • Projet A : projet hôte Migrate for Compute Engine
  • Projet B : définitions des sous-réseaux et projet hôte du VPC partagé
  • Projet C : projet cible Migrate for Compute Engine et projet de service VPC partagé

Dans cet exemple, vous définissez un VPC partagé dans le projet B. Le projet B est appelé projet hôte de VPC partagé.

Vous migrez ensuite une VM vers une instance Compute Engine dans le projet C, à savoir le projet cible Migrate for Compute Engine, où le projet C accède au VPC partagé. Dans cet exemple, le projet C est appelé projet de service du VPC partagé. Avant de déployer l'instance Compute Engine, vous devez avoir déjà configuré le projet C pour qu'il fonctionne comme un projet de service du projet B, comme décrit dans la section Provisionner un VPC partagé.

Toutefois, pour pouvoir déployer l'instance Compute Engine, vous devez également vous assurer que le compte de service par défaut de Migrate for Compute Engine sur le projet A dispose des autorisations requises. Plus précisément, Migrate for Compute Engine requiert le rôle compute.networkUser sur les sous-réseaux du projet hôte de VPC partagé.

La section suivante explique comment configurer le compte de service par défaut de Migrate for Compute Engine.

Configurer le compte de service par défaut de Migrate for Compute Engine

Lorsque vous activez l'API Migrate for Compute Engine sur le projet hôte, Migrate for Compute Engine crée automatiquement un compte de service par défaut sur le projet hôte.

Pour déployer une instance Compute Engine sur un projet cible qui accède à un VPC partagé, vous devez ajouter le rôle compute.networkUser sur les sous-réseaux du projet hôte de VPC partagé au compte de service par défaut de Migrate for Compute Engine. Deux options s'offrent à vous pour ajouter ce rôle :

  • Attribuez au compte de service par défaut de Migrate for Compute Engine le rôle d'administrateur de projet de service avec un accès uniquement à certains sous-réseaux du projet hôte de VPC partagé. Cette option offre un moyen précis de définir les administrateurs de projet de service en leur accordant le rôle compute.networkUser uniquement pour certains sous-réseaux du projet hôte de VPC partagé.

    Consultez Administrateurs de projet de service pour certains sous-réseaux pour connaître la procédure à suivre.

  • Autorisez le compte de service par défaut de Migrate for Compute Engine à être administrateur de projet de service avec accès à tous les sous-réseaux du projet hôte de VPC partagé. Dans ce cas, vous attribuez le rôle compute.networkUser dans le projet hôte de VPC partagé au compte de service par défaut de Migrate for Compute Engine. Le compte de service par défaut a alors accès à tous les sous-réseaux existants et futurs du projet hôte de VPC partagé.

    La procédure ci-dessous décrit les étapes de cette méthode.

Pour configurer le compte de service par défaut de Migrate for Compute Engine afin d'accéder à tous les sous-réseaux du projet hôte de VPC partagé :

  1. Ouvrez la page Migrate for Compute Engine dans Google Cloud Console:

    Accéder à la page Migrate for Compute Engine

  2. Sélectionnez l'onglet Cibles.

    En haut de la page, une zone d'informations affiche l'adresse e-mail du compte de service Migrate for Compute Engine par défaut au format suivant :

    service-M4CE_HOST_PROJECT_NUMBER@gcp-sa-vmmigration.iam.gserviceaccount.com

  3. Copiez l'adresse e-mail.

  4. Utilisez cette adresse e-mail pour attribuer le rôle compute.networkUser dans le projet hôte du VPC partagé au compte de service Migrate for Compute Engine par défaut:

    gcloud projects add-iam-policy-binding VPC_HOST_PROJECT_ID \
       --member=serviceAccount:service-M4CE_HOST_PROJECT_NUMBER@gcp-sa-vmmigration.iam.gserviceaccount.com \
       --role=roles/compute.networkUser

Pour en savoir plus sur l'attribution de rôles et l'octroi d'autorisations à un compte utilisateur, consultez la page Accorder, modifier et révoquer les accès à des ressources.