Un VPC condiviso consente a un'organizzazione di connettersi risorse da più progetti a una rete Virtual Private Cloud (VPC) comune in modo che possano comunicare tra loro in modo sicuro ed efficiente utilizzando IP interni di quella rete.
Quando utilizzi una rete VPC condivisa, designi un progetto come progetto host VPC condiviso e colleghi uno o più progetti di servizio. Le reti VPC nel progetto host VPC condivisa sono chiamate reti VPC condivise. Risorse idonee dai progetti di servizio possono utilizzare subnet della rete VPC condiviso.
Usa un VPC condiviso con Migrate to Virtual Machines
Quando l'ambiente di migrazione alle VM utilizza un VPC condiviso, devi assicurarti di aver configurato correttamente le autorizzazioni per poter eseguire il deployment di una VM di cui è stata eseguita la migrazione nel progetto di destinazione Compute Engine.
Ad esempio, supponiamo che tu abbia il seguente ambiente:
- Progetto A - Progetto host Migrate to Virtual Machines
- Progetto B - Definizioni di progetto host e subnet del VPC condiviso
- Progetto C: progetto di destinazione Migrate to Virtual Machines e progetto di servizio VPC condiviso
In questo esempio, definisci un VPC condiviso nel progetto B. Il progetto B è indicato come progetto host VPC condiviso.
Poi esegui la migrazione di una VM a un'istanza Compute Engine nel progetto C, Progetto di destinazione Migrate to Virtual Machines, dove il progetto C accede a VPC condiviso. In questo esempio, il progetto C è definito progetto di servizio VPC condiviso. Devi aver già configurato il progetto C funzionare come progetto di servizio del progetto B, come descritto in Provisioning del VPC condiviso, prima di eseguire il deployment in esecuzione in un'istanza Compute Engine.
Tuttavia, prima di poter eseguire il deployment dell'istanza Compute Engine, devi anche assicurarti che l'account di servizio predefinito di Migrate to Virtual Machines nel progetto A disponga delle autorizzazioni richieste. In particolare, Migrate to Virtual Machines richiede
Ruolo compute.networkUser nelle subnet nell'host del VPC condiviso
progetto.
La sezione seguente descrive come configurare il service account predefinito di Migrate to Virtual Machines.
Configura l'account di servizio predefinito Migrate to Virtual Machines
Un account di servizio predefinito viene creato nel progetto host durante la creazione della prima migrazione, come descritto in Installare il connettore Migrate.
Per eseguire il deployment di un'istanza Compute Engine in un progetto di destinazione che accede a un
VPC condiviso, devi aggiungere il ruolo compute.networkUser alla
nel progetto host del VPC condiviso alla rete Migrate to Virtual Machines.
l'account di servizio predefinito. Per aggiungere questo ruolo hai a disposizione due opzioni:
Assegnare l'account di servizio predefinito Migrate to Virtual Machines Amministratore progetto di servizio con accesso solo ad alcune subnet nel Progetto host VPC condiviso. Questa opzione fornisce un mezzo granulare per definire gli amministratori dei progetti di servizio concedendo loro il ruolo
compute.networkUsersolo per alcune subnet nel progetto host VPC condiviso.Consulta Amministratori progetti di servizio per alcune subnet per i passaggi di questa procedura.
Consenti all'account di servizio predefinito di Migrate to Virtual Machines di essere un amministratore del progetto di servizio con accesso a tutte le subnet nel progetto host VPC condiviso. In questo caso, concedi il ruolo di
compute.networkUserper dal progetto host del VPC condiviso all'impostazione predefinita Migrate to Virtual Machines l'account di servizio. L'account di servizio predefinito ha quindi accesso a tutti esistenti e future nel progetto host del VPC condiviso.
Per configurare l'account di servizio predefinito Migrate to Virtual Machines per l'accesso tutte le subnet nel progetto host del VPC condiviso:
Apri la pagina Migrate to Virtual Machines nella console Google Cloud:
Seleziona la scheda Target.
Nella parte superiore della pagina è presente una casella informativa che mostra l'indirizzo email dell'account di servizio predefinito di Migrazione a macchine virtuali nel seguente formato:
service-M4CE_HOST_PROJECT_NUMBER@gcp-sa-vmmigration.iam.gserviceaccount.comCopia l'indirizzo email.
Utilizza questo indirizzo email per concedere il ruolo
compute.networkUsernella Progetto host VPC condiviso all'account di servizio predefinito Migrate to Virtual Machines:gcloud projects add-iam-policy-binding VPC_HOST_PROJECT_ID \ --member=serviceAccount:service-M4CE_HOST_PROJECT_NUMBER@gcp-sa-vmmigration.iam.gserviceaccount.com \ --role=roles/compute.networkUser
Per ulteriori informazioni sull'assegnazione di ruoli e autorizzazioni a un account utente, consulta: Concessione, modifica e revoca dell'accesso alle risorse.