VPC Bersama memungkinkan organisasi menghubungkan resource dari beberapa project ke jaringan Virtual Private Cloud (VPC) umum sehingga dapat berkomunikasi satu sama lain dengan aman dan efisien menggunakan IP internal dari jaringan tersebut.
Saat menggunakan VPC Bersama, Anda menetapkan project sebagai project host VPC Bersama dan menambahkan satu atau beberapa project layanan ke project tersebut. Jaringan VPC dalam project host VPC Bersama disebut Jaringan VPC Bersama. Resource yang memenuhi syarat dari project layanan dapat menggunakan subnet di jaringan VPC Bersama.
Menggunakan VPC Bersama dengan Migrate to Virtual Machines
Saat lingkungan Migrate to Virtual Machines menggunakan VPC Bersama, pastikan Anda telah mengonfigurasi izin dengan benar agar dapat men-deploy VM yang dimigrasikan ke project target Compute Engine.
Misalnya, Anda memiliki lingkungan berikut:
- Project A - Project host Migrate to Virtual Machines
- Project B - Definisi subnet dan project host VPC bersama
- Project C - Migrate to Virtual Machines menargetkan project dan project layanan VPC bersama
Dalam contoh ini, Anda menentukan VPC Bersama di Project B. Project B disebut sebagai project host VPC Bersama.
Kemudian, Anda memigrasikan VM ke instance Compute Engine di Project C, project target Migrate to Virtual Machines, tempat Project C mengakses VPC Bersama. Dalam contoh ini, Project C disebut sebagai project layanan VPC Bersama. Anda harus sudah mengonfigurasi Project C agar berfungsi sebagai project layanan Project B, seperti yang dijelaskan dalam Menyediakan VPC Bersama, sebelum men-deploy instance Compute Engine.
Namun, sebelum dapat men-deploy instance Compute Engine, Anda juga harus memastikan bahwa akun layanan default Migrate to Virtual Machines di Project A memiliki izin yang diperlukan. Secara khusus, Migrate to Virtual Machines memerlukan peran compute.networkUser pada subnetwork di project host VPC Bersama.
Bagian berikut menjelaskan cara mengonfigurasi akun layanan default Migrate to Virtual Machines.
Mengonfigurasi akun layanan default Migrate to Virtual Machines
Akun layanan default dibuat di project host selama pembuatan migrasi pertama, seperti yang dijelaskan dalam Menginstal Konektor Migrate.
Untuk men-deploy instance Compute Engine ke project target yang mengakses VPC Bersama, Anda harus menambahkan peran compute.networkUser pada subnetwork di project host VPC Bersama ke akun layanan default Migrate to Virtual Machines. Anda memiliki dua opsi untuk menambahkan peran ini:
Tetapkan akun layanan default Migrate to Virtual Machines menjadi Admin Project Layanan yang memiliki akses hanya ke beberapa subnet dalam project host VPC Bersama. Opsi ini memberikan cara terperinci untuk menentukan Admin Project Layanan dengan memberinya peran
compute.networkUserhanya untuk beberapa subnet dalam project host VPC Bersama.Lihat Admin Project Layanan untuk beberapa subnet guna mengetahui langkah-langkah dalam prosedur ini.
Izinkan akun layanan default Migrate to Virtual Machines menjadi Admin Project Layanan dengan akses ke semua subnet di project host VPC Bersama. Dalam hal ini, Anda memberikan peran
compute.networkUseruntuk project host VPC Bersama ke akun layanan default Migrate to Virtual Machines. Akun layanan default kemudian memiliki akses ke semua subnet yang ada dan subnet yang akan datang dalam project host VPC Bersama.
Untuk mengonfigurasi akun layanan default Migrate to Virtual Machines untuk akses ke semua subnet dalam project host VPC Bersama:
Buka halaman Migrate to Virtual Machines di Konsol Google Cloud:
Pilih tab Target.
Di bagian atas halaman terdapat kotak informasi yang menampilkan alamat email akun layanan default Migrate to Virtual Machines dalam bentuk:
service-M4CE_HOST_PROJECT_NUMBER@gcp-sa-vmmigration.iam.gserviceaccount.comSalin alamat email.
Gunakan alamat email tersebut untuk memberikan peran
compute.networkUserpada project host VPC Bersama ke akun layanan default Migrate to Virtual Machines:gcloud projects add-iam-policy-binding VPC_HOST_PROJECT_ID \ --member=serviceAccount:service-M4CE_HOST_PROJECT_NUMBER@gcp-sa-vmmigration.iam.gserviceaccount.com \ --role=roles/compute.networkUser
Untuk informasi selengkapnya tentang menetapkan peran dan izin ke akun pengguna, lihat Memberikan, mengubah, dan mencabut akses ke resource.