Eine gemeinsam genutzte VPC ermöglicht einer Organisation, Ressourcen von mehreren Projekten mit einem gemeinsamen VPC-Netzwerk zu verbinden, sodass sie sicher und effizient über interne IP-Adressen dieses Netzwerks miteinander kommunizieren können.
Wenn Sie eine gemeinsam genutzte VPC verwenden, legen Sie ein Projekt als Hostprojekt der gemeinsam genutzten VPC fest und fügen ihm ein oder mehrere Dienstprojekte hinzu. Die VPC-Netzwerke im Hostprojekt der gemeinsam genutzten VPC werden als gemeinsam genutzte VPC-Netzwerke bezeichnet. Zulässige Ressourcen aus Dienstprojekten können Subnetze im gemeinsam genutzten VPC-Netzwerk verwenden.
Gemeinsam genutzte VPC mit Migrate to Virtual Machines verwenden
Wenn die Umgebung für Migrate to Virtual Machines eine gemeinsam genutzte VPC verwendet, müssen Sie prüfen, ob Sie die Berechtigungen korrekt konfiguriert haben, damit Sie eine migrierte VM im Compute Engine-Zielprojekt bereitstellen können.
Angenommen, Sie haben die folgende Umgebung:
- Projekt A – Migrate to Virtual Machines-Hostprojekt
- Projekt B – Hostprojekt der gemeinsam genutzten VPC und Subnetzdefinitionen
- Projekt C – Zielprojekt für Migrate to Virtual Machines und Dienstprojekt der gemeinsam genutzten VPC
In diesem Beispiel definieren Sie eine gemeinsam genutzte VPC in Projekt B. Projekt B wird als Hostprojekt der gemeinsam genutzten VPC bezeichnet.
Anschließend migrieren Sie eine VM zu einer Compute Engine-Instanz in Projekt C, dem Migrate to Virtual Machines-Zielprojekt, in dem Projekt C auf die gemeinsam genutzte VPC zugreift. In diesem Beispiel wird Projekt C als Dienstprojekt der gemeinsam genutzten VPC bezeichnet. Sie müssen Projekt C bereits als Dienstprojekt für Projekt B konfiguriert haben, wie unter Gemeinsam genutzte VPC bereitstellen erläutert, bevor Sie die Compute Engine-Instanz bereitstellen.
Bevor Sie die Compute Engine-Instanz bereitstellen können, müssen Sie jedoch auch dafür sorgen, dass das Standarddienstkonto für Migrate to Virtual Machines in Projekt A die erforderlichen Berechtigungen hat. Insbesondere erfordert Migrate to Virtual Machines die Rolle compute.networkUser für die Subnetzwerke im Hostprojekt der gemeinsam genutzten VPC.
Im folgenden Abschnitt wird beschrieben, wie Sie das Standarddienstkonto von Migrate to Virtual Machines konfigurieren.
Standarddienstkonto von Migrate to Virtual Machines konfigurieren
Ein Standarddienstkonto wird im Hostprojekt während der Erstellung der ersten Migration erstellt, wie unter Migrate Connector installieren beschrieben.
Um eine Compute Engine-Instanz in einem Zielprojekt bereitzustellen, das auf eine gemeinsam genutzte VPC zugreift, müssen Sie die Rolle compute.networkUser, die für die Subnetzwerke im Hostprojekt der gemeinsam genutzten VPC gilt, zum Standarddienstkonto von Migrate to Virtual Machines hinzufügen. Zum Hinzufügen dieser Rolle haben Sie zwei Möglichkeiten:
Weisen Sie dem Migrate to Virtual Machines-Standarddienstkonto die Rolle Dienstprojektadministrator zu, die Zugriff auf einige der Subnetze im Hostprojekt der gemeinsam genutzten VPC hat. Mit dieser Option können Sie Dienstprojektadministratoren differenziert definieren, indem Sie ihnen die Rolle
compute.networkUsernur für einige Subnetze im Hostprojekt der gemeinsam genutzten VPC zuweisen.Die Schritte für dieses Verfahren finden Sie unter Dienstprojektadministratoren für bestimmte Subnetze.
Weisen Sie dem Standarddienstkonto für Migrate to Virtual Machines die Rolle Dienstprojektadministrator zu, die Zugriff auf alle Subnetze im Hostprojekt der gemeinsam genutzten VPC hat. In diesem Fall gewähren Sie dem Standarddienstkonto für Migrate to Virtual Machines die Rolle
compute.networkUserfür das Hostprojekt der gemeinsam genutzten VPC. Das Standarddienstkonto hat dann Zugriff auf alle vorhandenen und zukünftigen Subnetze im Hostprojekt der gemeinsam genutzten VPC.
So konfigurieren Sie das Standarddienstkonto für Migrate to Virtual Machines für den Zugriff auf alle Subnetze im Hostprojekt der gemeinsam genutzten VPC:
Öffnen Sie in der Google Cloud Console die Seite „Migrate to Virtual Machines“:
Wählen Sie den Tab Ziele aus.
Oben auf der Seite befindet sich ein Informationsfeld mit der E-Mail-Adresse des Migrate to Virtual Machines-Standarddienstkontos im folgenden Format:
service-M4CE_HOST_PROJECT_NUMBER@gcp-sa-vmmigration.iam.gserviceaccount.comKopieren Sie die E-Mail-Adresse.
Verwenden Sie diese E-Mail-Adresse, um dem Standarddienstkonto von Migrate to Virtual Machines die Rolle
compute.networkUserfür das Hostprojekt der gemeinsam genutzten VPC zuzuweisen:gcloud projects add-iam-policy-binding VPC_HOST_PROJECT_ID \ --member=serviceAccount:service-M4CE_HOST_PROJECT_NUMBER@gcp-sa-vmmigration.iam.gserviceaccount.com \ --role=roles/compute.networkUser
Weitere Informationen zum Zuweisen von Rollen und Berechtigungen zu einem Nutzerkonto finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.