A VPC partilhada permite que uma organização ligue recursos de vários projetos a uma rede de nuvem virtual privada (VPC) para que possam comunicar entre si de forma segura e eficiente através de IPs internos dessa rede.
Quando usa a VPC partilhada, designa um projeto como um projeto anfitrião de VPC partilhada e anexa um ou mais projetos de serviço ao mesmo. As redes VPC no projeto anfitrião de VPC partilhada são denominadas redes VPC partilhadas. Os recursos elegíveis dos projetos de serviço podem usar sub-redes na rede de VPC partilhada.
Use a VPC partilhada com o Migrate to Virtual Machines
Quando o seu ambiente do Migrate to Virtual Machines usa uma VPC partilhada, tem de garantir que configurou as autorizações corretamente para poder implementar uma VM migrada no projeto de destino do Compute Engine.
Por exemplo, tem o seguinte ambiente:
- Projeto A – Migrar para o projeto anfitrião do Migrate to Virtual Machines
- Projeto B: projeto anfitrião da VPC partilhada e definições de sub-rede
- Projeto C: projeto de destino do Migrate to Virtual Machines e projeto de serviço da VPC partilhada
Neste exemplo, define uma VPC partilhada no projeto B. O projeto B é denominado projeto anfitrião da VPC partilhada.
Em seguida, migra uma VM para uma instância do Compute Engine no projeto C, o projeto de destino do Migrate to Virtual Machines, onde o projeto C acede à VPC partilhada. Neste exemplo, o projeto C é denominado projeto de serviço de VPC partilhada. Tem de ter configurado o projeto C para funcionar como um projeto de serviço do projeto B, conforme descrito no artigo Aprovisionar VPC partilhada, antes de implementar a instância do Compute Engine.
No entanto, antes de poder implementar a instância do Compute Engine, também tem de se certificar de que a conta de serviço predefinida do Migrate to Virtual Machines no projeto A tem as autorizações necessárias. Especificamente, a migração para máquinas virtuais requer a função de
compute.networkUser nas sub-redes no projeto
anfitrião de VPC partilhada.
A secção seguinte descreve como configurar a conta de serviço predefinida do Migrate to Virtual Machines.
Configure a conta de serviço predefinida do Migrate to Virtual Machines
É criada uma conta de serviço predefinida no projeto anfitrião durante a criação da primeira migração, conforme descrito em Instale o Migrate Connector.
Para implementar uma instância do Compute Engine num projeto de destino que aceda a uma VPC partilhada, tem de adicionar a função compute.networkUser nas sub-redes no projeto anfitrião da VPC partilhada à conta de serviço predefinida do Migrate to Virtual Machines. Tem duas opções para adicionar esta função:
Atribua à conta de serviço predefinida do Migrate to Virtual Machines a função de administrador do projeto de serviço com acesso apenas a algumas das sub-redes no projeto anfitrião de VPC partilhada. Esta opção oferece um meio detalhado de definir administradores do projeto de serviço, concedendo-lhes a função
compute.networkUserapenas para algumas sub-redes no projeto anfitrião de VPC partilhada.Consulte Administradores do projeto de serviço para algumas sub-redes para ver os passos deste procedimento.
Permita que a conta de serviço predefinida do Migrate to Virtual Machines seja um administrador do projeto de serviço com acesso a todas as sub-redes no projeto anfitrião da VPC partilhada. Neste caso, concede a função de
compute.networkUserao projeto anfitrião de VPC partilhada à conta de serviço predefinida do Migrate to Virtual Machines. A conta de serviço predefinida tem então acesso a todas as sub-redes existentes e futuras no projeto anfitrião da VPC partilhada.
Para configurar a conta de serviço predefinida do Migrate to Virtual Machines para acesso a todas as sub-redes no projeto anfitrião da VPC partilhada:
Abra a página Migrate to Virtual Machines na Google Cloud consola:
Selecione o separador Alvos.
Na parte superior da página, encontra uma caixa de informações que mostra o endereço de email da conta de serviço predefinida do Migrate to Virtual Machines no formato:
service-M4CE_HOST_PROJECT_NUMBER@gcp-sa-vmmigration.iam.gserviceaccount.comCopie o endereço de email.
Use esse endereço de email para conceder a função
compute.networkUserno projeto anfitrião de VPC partilhada à conta de serviço predefinida do Migrate to Virtual Machines:gcloud projects add-iam-policy-binding VPC_HOST_PROJECT_ID \ --member=serviceAccount:service-M4CE_HOST_PROJECT_NUMBER@gcp-sa-vmmigration.iam.gserviceaccount.com \ --role=roles/compute.networkUser
Para mais informações sobre a atribuição de funções e autorizações a uma conta de utilizador, consulte o artigo Conceder, alterar e revogar o acesso a recursos.