Un VPC condiviso consente a un'organizzazione di connettersi risorse da più progetti a una rete Virtual Private Cloud (VPC) comune in modo che possano comunicare tra loro in modo sicuro ed efficiente utilizzando IP interni di quella rete.
Quando utilizzi una rete VPC condivisa, designi un progetto come progetto host VPC condiviso e colleghi uno o più progetti di servizio. Le reti VPC nel progetto host del VPC condiviso sono chiamate reti VPC condivise. Le risorse idonee degli progetti di servizio possono utilizzare le subnet nella rete VPC condivisa.
Utilizzare VPC condiviso con Migrate to Virtual Machines
Quando il tuo ambiente Migrate to Virtual Machines utilizza un VPC condiviso, devi verifica di aver configurato correttamente le autorizzazioni per poter eseguire il deployment ha eseguito la migrazione della VM al progetto di destinazione Compute Engine.
Ad esempio, supponiamo che tu abbia il seguente ambiente:
- Progetto A - Progetto host Migrate to Virtual Machines
- Progetto B - Definizioni di progetto host e subnet del VPC condiviso
- Progetto C - Esegui la migrazione al progetto di destinazione e al VPC condiviso delle macchine virtuali progetto di servizio
In questo esempio, definisci un VPC condiviso nel progetto B. Il progetto B è indicato come progetto host VPC condiviso.
Esegui quindi la migrazione di una VM a un'istanza Compute Engine nel progetto C, il progetto di destinazione Migra a macchine virtuali, in cui il progetto C accede alla VPC condivisa. In questo esempio, il Progetto C è chiamato Progetto di servizio del VPC condiviso. Prima di eseguire il deployment dell'istanza Compute Engine, devi aver già configurato il progetto C come progetto di servizio del progetto B, come descritto in Provisioning di un VPC condiviso.
Tuttavia, prima di poter eseguire il deployment dell'istanza Compute Engine, devi anche assicurarti che l'account di servizio predefinito di Migrate to Virtual Machines nel progetto A disponga delle autorizzazioni richieste. In particolare, Migrate to Virtual Machines richiede
Ruolo compute.networkUser nelle subnet nell'host del VPC condiviso
progetto.
La sezione seguente descrive come configurare Migrate to Virtual Machines l'account di servizio predefinito.
Configura il service account predefinito di Migrate to Virtual Machines
Durante la creazione dell'account di servizio predefinito nel progetto host viene creato la prima migrazione, come descritto in Installare Migrate Connector.
Per eseguire il deployment di un'istanza Compute Engine in un progetto di destinazione che accede a un
VPC condiviso, devi aggiungere il ruolo compute.networkUser alla
nel progetto host del VPC condiviso alla rete Migrate to Virtual Machines.
l'account di servizio predefinito. Hai due opzioni per aggiungere questo ruolo:
Assegna all'account di servizio predefinito di Migrate to Virtual Machines il ruolo di Amministratore del progetto di servizio con accesso solo ad alcune delle subnet nel progetto host VPC condiviso. Questa opzione fornisce un mezzo granulare per definire gli amministratori dei progetti di servizio concedendo loro il ruolo
compute.networkUsersolo per alcune subnet nel progetto host VPC condiviso.Per conoscere la procedura, consulta Amministratori dei progetti di servizio per alcune subnet.
Consenti all'account di servizio predefinito di Migrate to Virtual Machines di essere un amministratore del progetto di servizio con accesso a tutte le subnet nel progetto host VPC condiviso. In questo caso, concedi il ruolo di
compute.networkUserper dal progetto host del VPC condiviso all'impostazione predefinita Migrate to Virtual Machines l'account di servizio. L'account di servizio predefinito ha quindi accesso a tutte le subnet esistenti e future nel progetto host VPC condiviso.
Per configurare l'account di servizio predefinito Migrate to Virtual Machines per l'accesso tutte le subnet nel progetto host del VPC condiviso:
Apri la pagina Migrate to Virtual Machines nella console Google Cloud:
Seleziona la scheda Target.
Nella parte superiore della pagina è presente una casella informativa in cui è riportato l'indirizzo email del Account di servizio predefinito di Migrate to Virtual Machines nel formato:
service-M4CE_HOST_PROJECT_NUMBER@gcp-sa-vmmigration.iam.gserviceaccount.comCopia l'indirizzo email.
Utilizza questo indirizzo email per concedere il ruolo
compute.networkUseral progetto host VPC condiviso all'account di servizio predefinito di Migrate to Virtual Machines:gcloud projects add-iam-policy-binding VPC_HOST_PROJECT_ID \ --member=serviceAccount:service-M4CE_HOST_PROJECT_NUMBER@gcp-sa-vmmigration.iam.gserviceaccount.com \ --role=roles/compute.networkUser
Per ulteriori informazioni sull'assegnazione di ruoli e autorizzazioni a un account utente, consulta: Concessione, modifica e revoca dell'accesso alle risorse.