En la VPC compartida, una organización puede conectar recursos de varios proyectos a una red de nube privada virtual (VPC) común para que se comuniquen entre sí de manera segura y eficiente mediante las IP internas de esa red.
Cuando usas una VPC compartida, debes designar un proyecto como proyecto host de VPC compartida y conectarle uno o más proyectos de servicio. Las redes de VPC en el proyecto host de la VPC compartida se denominan redes de VPC compartida. Los recursos aptos de los proyectos de servicio pueden usar subredes en la red de VPC compartida.
Usa la VPC compartida con Migrate to Virtual Machines
Cuando el entorno de Migrate to Virtual Machines usa una VPC compartida, debes asegurarte de haber configurado los permisos correctamente para poder implementar una VM migrada en el proyecto de destino de Compute Engine.
Por ejemplo, tienes el siguiente entorno:
- Proyecto A: Proyecto host de Migrate to Virtual Machines
- Proyecto B: proyecto host de la VPC compartida y definiciones de subred
- Proyecto C: Proyecto de destino de Migrate to Virtual Machines y proyecto de servicio de la VPC compartida
En este ejemplo, se define una VPC compartida en el Proyecto B. El Proyecto B se conoce como el proyecto host de la VPC compartida.
Luego, migras una VM a una instancia de Compute Engine en el Proyecto C, el proyecto de destino de Migrate to Virtual Machines, donde el Proyecto C accede a la VPC compartida. En este ejemplo, el Proyecto C se conoce como el proyecto de servicio de VPC compartida. Debes haber configurado el Proyecto C para que tenga una función como servicio del Proyecto B, como se describe en Aprovisiona la VPC compartida antes de implementar la instancia de Compute Engine.
Sin embargo, antes de que puedas implementar la instancia de Compute Engine, también debes asegurarte de que la cuenta de servicio predeterminada de Migrate to Virtual Machines del Proyecto A tenga los permisos necesarios. En particular, Migrate to Virtual Machines requiere el rol compute.networkUser en las subredes del proyecto host de VPC compartida.
En la siguiente sección, se describe cómo configurar la cuenta de servicio predeterminada de Migrate to Virtual Machines.
Configura la cuenta de servicio predeterminada de Migrate to Virtual Machines
Se crea una cuenta de servicio predeterminada en el proyecto host durante la creación de la primera migración, como se describe en Instala Migrate Connector.
Para implementar una instancia de Compute Engine en un proyecto de destino que acceda a una VPC compartida, debes agregar el rol compute.networkUser en las subredes del proyecto host de VPC compartida a la cuenta de servicio predeterminada de Migrate to Virtual Machines. Tienes dos opciones para agregar esta función:
Asigna la cuenta de servicio predeterminada de Migrate to Virtual Machines como administrador del proyecto de servicio con acceso solo a algunas de las subredes del proyecto host de la VPC compartida. Esta opción proporciona un medio detallado a fin de definir a los administradores de proyectos de servicio, ya que se otorga la función
compute.networkUsersolo para algunas subredes en el proyecto host de VPC compartida.Consulta Administradores de proyectos de servicio para algunas subredes a fin de conocer los pasos de este procedimiento.
Permite que la cuenta de servicio predeterminada de Migrate to Virtual Machines sea administrador de proyecto de servicio con acceso a todas las subredes del proyecto host de la VPC compartida. En este caso, otorgas el rol
compute.networkUserpara el proyecto host de la VPC compartida a la cuenta de servicio predeterminada de Migrate to Virtual Machines. La cuenta de servicio predeterminada tendrá acceso a todas las subredes existentes y futuras en el proyecto host de la VPC compartida.
Si deseas configurar la cuenta de servicio predeterminada de Migrate to Virtual Machines para acceder a todas las subredes en el proyecto host de la VPC compartida, sigue estos pasos:
Abre la página Migrate to Virtual Machines en la consola de Google Cloud:
Selecciona la pestaña Destinos.
En la parte superior de la página, hay un cuadro de información que muestra la dirección de correo electrónico de la cuenta de servicio predeterminada de Migrate to Virtual Machines con el siguiente formato:
service-M4CE_HOST_PROJECT_NUMBER@gcp-sa-vmmigration.iam.gserviceaccount.comCopia la dirección de correo electrónico.
Usa esa dirección de correo electrónico para otorgar el rol
compute.networkUseren el proyecto host de la VPC compartida a la cuenta de servicio predeterminada de Migrate to Virtual Machines:gcloud projects add-iam-policy-binding VPC_HOST_PROJECT_ID \ --member=serviceAccount:service-M4CE_HOST_PROJECT_NUMBER@gcp-sa-vmmigration.iam.gserviceaccount.com \ --role=roles/compute.networkUser
Para obtener más información sobre cómo asignar funciones y permisos a una cuenta de usuario, consulta Cómo otorgar, cambiar y revocar el acceso a los recursos.