VPC Bersama memungkinkan organisasi menghubungkan resource dari beberapa project ke jaringan Virtual Private Cloud (VPC) yang umum sehingga resource tersebut dapat berkomunikasi satu sama lain secara aman dan efisien menggunakan IP internal dari jaringan tersebut.
Saat menggunakan VPC Bersama, Anda menetapkan suatu project sebagai project host VPC Bersama dan menautkan satu atau beberapa project layanan ke project tersebut. Jaringan VPC dalam project host VPC Bersama disebut Jaringan VPC Bersama. Resource yang memenuhi syarat dari project layanan dapat menggunakan subnet di jaringan VPC Bersama.
Menggunakan VPC Bersama dengan Migrate to Virtual Machines
Jika lingkungan Migrate to Virtual Machines menggunakan VPC Bersama, Anda harus memastikan bahwa Anda telah mengonfigurasi izin dengan benar sehingga dapat men-deploy VM yang dimigrasikan ke project target Compute Engine.
Misalnya, Anda memiliki lingkungan berikut:
- Project A - Project host Migrate to Virtual Machines
- Project B - Project host VPC Bersama dan definisi subnet
- Project C - Project target Migrate to Virtual Machines dan project layanan VPC Bersama
Dalam contoh ini, Anda menentukan VPC Bersama di Project B. Project B disebut sebagai project host VPC Bersama.
Kemudian, Anda memigrasikan VM ke instance Compute Engine di Project C, yaitu project target Migrate to Virtual Machines, tempat Project C mengakses VPC Bersama. Dalam contoh ini, Project C disebut sebagai project layanan VPC Bersama. Anda harus sudah mengonfigurasi Project C agar berfungsi sebagai project layanan Project B, seperti yang dijelaskan dalam Menyediakan VPC Bersama, sebelum men-deploy instance Compute Engine.
Namun, sebelum dapat men-deploy instance Compute Engine, Anda juga harus memastikan bahwa akun layanan default Migrate to Virtual Machines di Project A memiliki izin yang diperlukan. Secara khusus, Migrate to Virtual Machines memerlukan peran compute.networkUser di subnetwork dalam project host VPC Bersama.
Bagian berikut menjelaskan cara mengonfigurasi akun layanan default Migrasi ke Virtual Machines.
Mengonfigurasi akun layanan default Migrate to Virtual Machines
Akun layanan default dibuat di project host selama pembuatan migrasi pertama, seperti yang dijelaskan dalam Menginstal Konektor Migrasi.
Untuk men-deploy instance Compute Engine ke project target yang mengakses VPC Bersama, Anda harus menambahkan peran compute.networkUser di subjaringan dalam project host VPC Bersama ke akun layanan default Migrasi ke Virtual Machine. Anda memiliki dua opsi untuk menambahkan peran ini:
Tetapkan akun layanan default Migrate to Virtual Machines menjadi Admin Project Layanan dengan akses hanya ke beberapa subnet di project host VPC Bersama. Opsi ini memberikan cara yang terperinci untuk menentukan Admin Project Layanan dengan memberi mereka peran
compute.networkUserhanya untuk beberapa subnet dalam project host VPC Bersama.Lihat Admin Project Layanan untuk beberapa subnet untuk mengetahui langkah-langkah dalam prosedur ini.
Izinkan akun layanan default Migrate to Virtual Machines menjadi Admin Project Layanan dengan akses ke semua subnet di project host VPC Bersama. Dalam hal ini, Anda memberikan peran
compute.networkUseruntuk project host VPC Bersama ke akun layanan default Migrasi ke Virtual Machines. Akun layanan default kemudian memiliki akses ke semua subnet yang ada dan yang akan datang di project host VPC Bersama.
Untuk mengonfigurasi akun layanan default Migrasi ke Virtual Machine untuk akses ke semua subnet di project host VPC Bersama:
Buka halaman Migrate to Virtual Machines di konsol Google Cloud:
Pilih tab Targets.
Di bagian atas halaman terdapat kotak informasi yang menampilkan alamat email akun layanan default Migrasi ke Virtual Machine dalam bentuk:
service-M4CE_HOST_PROJECT_NUMBER@gcp-sa-vmmigration.iam.gserviceaccount.comSalin alamat email.
Gunakan alamat email tersebut untuk memberikan peran
compute.networkUserdi project host VPC Bersama ke akun layanan default Migrate to Virtual Machines:gcloud projects add-iam-policy-binding VPC_HOST_PROJECT_ID \ --member=serviceAccount:service-M4CE_HOST_PROJECT_NUMBER@gcp-sa-vmmigration.iam.gserviceaccount.com \ --role=roles/compute.networkUser
Untuk mengetahui informasi selengkapnya tentang cara menetapkan peran dan izin ke akun pengguna, lihat Memberikan, mengubah, dan mencabut akses ke resource.