La VPC condivisa consente a un'organizzazione di connettere risorse di più progetti a una rete VPC (Virtual Private Cloud) comune in modo che possano comunicare tra loro in modo sicuro ed efficiente utilizzando IP interni di quella rete.
Quando utilizzi una rete VPC condivisa, designi un progetto come progetto host VPC condiviso e colleghi uno o più progetti di servizio. Le reti VPC nel progetto host VPC condiviso sono chiamate reti VPC condivise. Le risorse idonee degli progetti di servizio possono utilizzare le subnet nella rete VPC condiviso.
Utilizzare VPC condiviso con Migrate to Virtual Machines
Quando l'ambiente di Migrate to Virtual Machines utilizza un VPC condiviso, devi assicurarti di aver configurato correttamente le autorizzazioni per poter eseguire il deployment di una VM di cui è stata eseguita la migrazione nel progetto di destinazione Compute Engine.
Ad esempio, hai il seguente ambiente:
- Progetto A: progetto host Migrate to Virtual Machines
- Progetto B: definizioni di subnet e progetto host VPC condiviso
- Progetto C: progetto di destinazione Migrate to Virtual Machines e progetto di servizio VPC condiviso
In questo esempio, definisci un VPC condiviso nel progetto B. Il progetto B è definito progetto host della VPC condiviso.
Esegui quindi la migrazione di una VM a un'istanza Compute Engine nel progetto C, il progetto di destinazione Migrate to Virtual Machines, in cui il progetto C accede alla VPC condiviso. In questo esempio, il progetto C è definito progetto di servizio VPC condiviso. Prima di eseguire il deployment dell'istanza Compute Engine, devi aver già configurato il progetto C come progetto di servizio del progetto B, come descritto in Provisioning di un VPC condiviso.
Tuttavia, prima di poter eseguire il deployment dell'istanza Compute Engine, devi anche assicurarti che l'account di servizio predefinito di Migrate to Virtual Machines nel progetto A disponga delle autorizzazioni richieste. Nello specifico, Migrate to Virtual Machines richiede il ruolo compute.networkUser
nelle subnet del progetto host VPC condiviso.
La sezione seguente descrive come configurare il account di servizio predefinito di Migrate to Virtual Machines.
Configura il account di servizio predefinito di Migrate to Virtual Machines
Un account di servizio predefinito viene creato nel progetto host durante la creazione della prima migrazione, come descritto in Installare il connettore Migrate.
Per eseguire il deployment di un'istanza Compute Engine in un progetto di destinazione che accede a un VPC condiviso, devi aggiungere il ruolo compute.networkUser
alle sottoreti nel progetto host VPC condiviso all'account di servizio predefinito di Migrate to Virtual Machines. Hai due opzioni per aggiungere questo ruolo:
Assegna all'account di servizio predefinito di Migrate to Virtual Machines il ruolo di Amministratore del progetto di servizio con accesso solo ad alcune delle subnet nel progetto host VPC condiviso. Questa opzione fornisce un mezzo granulare per definire gli amministratori dei progetti di servizio concedendo loro il ruolo
compute.networkUser
solo per alcune subnet nel progetto host VPC condiviso.Per conoscere la procedura, consulta Amministratori dei progetti di servizio per alcune subnet.
Consenti all'account di servizio predefinito di Migrate to Virtual Machines di essere un amministratore del progetto di servizio con accesso a tutte le subnet nel progetto host VPC condiviso. In questo caso, devi concedere il ruolo
compute.networkUser
per il progetto host VPC condiviso all'account di servizio predefinito di Migrate to Virtual Machines. L'account di servizio predefinito ha quindi accesso a tutte le subnet esistenti e future nel progetto host VPC condiviso.
Per configurare l'account di servizio predefinito di Migrate to Virtual Machines per l'accesso a tutte le subnet nel progetto host VPC condiviso:
Apri la pagina Migrate to Virtual Machines nella console Google Cloud:
Seleziona la scheda Target.
Nella parte superiore della pagina è presente una casella informativa che mostra l'indirizzo email dell'account di servizio predefinito di Migrate to Virtual Machines nel seguente formato:
service-M4CE_HOST_PROJECT_NUMBER@gcp-sa-vmmigration.iam.gserviceaccount.com
Copia l'indirizzo email.
Utilizza questo indirizzo email per concedere il ruolo
compute.networkUser
al progetto host VPC condiviso all'account di servizio predefinito di Migrate to Virtual Machines:gcloud projects add-iam-policy-binding VPC_HOST_PROJECT_ID \ --member=serviceAccount:service-M4CE_HOST_PROJECT_NUMBER@gcp-sa-vmmigration.iam.gserviceaccount.com \ --role=roles/compute.networkUser
Per saperne di più sull'assegnazione di ruoli e autorizzazioni a un account utente, consulta Concedere, modificare e revocare l'accesso alle risorse.