Un VPC condiviso consente a un'organizzazione di connettere le risorse di più progetti a una rete Virtual Private Cloud (VPC) comune, in modo da comunicare tra loro in modo sicuro ed efficiente utilizzando gli IP interni di quella rete.
Quando utilizzi il VPC condiviso, designi un progetto come progetto host del VPC condiviso e colleghi al progetto uno o più progetti di servizio. Le reti VPC nel progetto host del VPC condiviso sono chiamate reti VPC condivise. Le risorse idonee dei progetti di servizio possono utilizzare subnet della rete VPC condiviso.
Usa un VPC condiviso con Migrate to Virtual Machines
Quando l'ambiente Migrate to Virtual Machines utilizza un VPC condiviso, devi assicurarti di aver configurato correttamente le autorizzazioni in modo da poter eseguire il deployment di una VM migrata nel progetto di destinazione Compute Engine.
Ad esempio, hai il seguente ambiente:
- Progetto A - Progetto host di Migrate to Virtual Machines
- Progetto B - Progetto host VPC condiviso e definizioni di subnet
- Progetto C - Progetto di destinazione Migrate to Virtual Machines e progetto di servizio VPC condiviso
In questo esempio, definisci un VPC condiviso nel progetto B. Il progetto B è definito progetto host del VPC condiviso.
Successivamente, eseguirai la migrazione di una VM a un'istanza Compute Engine nel progetto C, il progetto di destinazione Esegui Migrate to Virtual Machines, in cui il progetto C accede al VPC condiviso. In questo esempio, il progetto C è definito progetto di servizio VPC condiviso. Devi aver già configurato il progetto C in modo che funzioni come progetto di servizio del progetto B, come descritto in Provisioning del VPC condiviso, prima di eseguire il deployment dell'istanza di Compute Engine.
Tuttavia, prima di poter eseguire il deployment dell'istanza Compute Engine, devi anche assicurarti che l'account di servizio predefinito Migrate to Virtual Machines sul progetto A disponga delle autorizzazioni richieste. In particolare, Migrate to Virtual Machines richiede il ruolo compute.networkUser nelle subnet del progetto host del VPC condiviso.
La seguente sezione descrive come configurare l'account di servizio predefinito Migrate to Virtual Machines.
Configura l'account di servizio predefinito Migrate to Virtual Machines
Durante la creazione della prima migrazione, viene creato un account di servizio predefinito nel progetto host, come descritto in Installare Migrate Connector.
Per eseguire il deployment di un'istanza Compute Engine in un progetto di destinazione che accede a un VPC condiviso, devi aggiungere il ruolo compute.networkUser nelle subnet nel progetto host del VPC condiviso all'account di servizio predefinito Migrate to Virtual Machines. Per aggiungere questo ruolo hai due opzioni:
Assegna l'account di servizio predefinito Migrate to Virtual Machines come amministratore del progetto di servizio con accesso solo ad alcune delle subnet nel progetto host del VPC condiviso. Questa opzione fornisce un metodo granulare per definire gli amministratori del progetto di servizio concedendo loro il ruolo
compute.networkUsersolo per alcune subnet nel progetto host del VPC condiviso.Per i passaggi di questa procedura, consulta Amministratori dei progetti di servizio per alcune subnet.
Consenti all'account di servizio predefinito Migrate to Virtual Machines di essere un amministratore del progetto di servizio con accesso a tutte le subnet nel progetto host del VPC condiviso. In questo caso, concederai il ruolo
compute.networkUserper il progetto host del VPC condiviso all'account di servizio predefinito Migrate to Virtual Machines. L'account di servizio predefinito ha quindi accesso a tutte le subnet esistenti e future nel progetto host del VPC condiviso.
Per configurare l'account di servizio predefinito Migrate to Virtual Machines per l'accesso a tutte le subnet nel progetto host del VPC condiviso:
Apri la pagina Migrate to Virtual Machines nella console Google Cloud:
Vai alla pagina Migrate to Virtual Machines (Esegui la migrazione alle macchine virtuali).
Seleziona la scheda Target.
Nella parte superiore della pagina è presente una casella informativa che mostra l'indirizzo email dell'account di servizio predefinito Migrate to Virtual Machines nel formato:
service-M4CE_HOST_PROJECT_NUMBER@gcp-sa-vmmigration.iam.gserviceaccount.comCopia l'indirizzo email.
Utilizza questo indirizzo email per concedere il ruolo
compute.networkUsernel progetto host del VPC condiviso all'account di servizio predefinito Migrate to Virtual Machines:gcloud projects add-iam-policy-binding VPC_HOST_PROJECT_ID \ --member=serviceAccount:service-M4CE_HOST_PROJECT_NUMBER@gcp-sa-vmmigration.iam.gserviceaccount.com \ --role=roles/compute.networkUser
Per ulteriori informazioni sull'assegnazione dei ruoli e delle autorizzazioni a un account utente, vedi Concessione, modifica e revoca dell'accesso alle risorse.