Eine freigegebene VPC ermöglicht einer Organisation, Ressourcen von mehreren Projekten mit einem gemeinsamen VPC-Netzwerk (Virtual Private Cloud) zu verbinden, sodass sie sicher und effizient über interne IP-Adressen dieses Netzwerks miteinander kommunizieren können.
Wenn Sie eine freigegebene VPC verwenden, legen Sie ein Projekt als Hostprojekt der freigegebenen VPC fest und fügen ihm ein oder mehrere Dienstprojekte hinzu. Die VPC-Netzwerke im Hostprojekt der freigegebenen VPC werden als freigegebene VPC-Netzwerke bezeichnet. Zulässige Ressourcen aus Dienstprojekten können Subnetze im freigegebenen VPC-Netzwerk verwenden.
Freigegebene VPC mit Migrate to Virtual Machines verwenden
Wenn die Umgebung für Migrate to Virtual Machines eine freigegebene VPC verwendet, müssen Sie prüfen, ob Sie die Berechtigungen korrekt konfiguriert haben, damit Sie eine migrierte VM im Compute Engine-Zielprojekt bereitstellen können.
Angenommen, Sie haben die folgende Umgebung:
- Projekt A – Migrate to Virtual Machines-Hostprojekt
- Projekt B – Hostprojekt der freigegebenen VPC- und Subnetzdefinitionen
- Projekt C – Zielprojekt für Migrate to Virtual Machines und Dienstprojekt der freigegebenen VPC
In diesem Beispiel definieren Sie eine freigegebene VPC in Projekt B. Projekt B wird als Hostprojekt der freigegebenen VPC bezeichnet.
Anschließend migrieren Sie eine VM zu einer Compute Engine-Instanz in Projekt C, dem Migrate to Virtual Machines-Zielprojekt, in dem Projekt C auf die freigegebene VPC zugreift. In diesem Beispiel wird Projekt C als Dienstprojekt der freigegebenen VPC bezeichnet. Sie müssen Projekt C bereits als Dienstprojekt für Projekt B konfiguriert haben, wie unter Freigegebene VPC bereitstellen erläutert, bevor Sie die Compute Engine-Instanz bereitstellen.
Bevor Sie die Compute Engine-Instanz bereitstellen können, müssen Sie jedoch auch dafür sorgen, dass das Standarddienstkonto für Migrate to Virtual Machines in Projekt A die erforderlichen Berechtigungen hat. Insbesondere erfordert Migrate to Virtual Machines die Rolle compute.networkUser für die Subnetzwerke im Hostprojekt der freigegebenen VPC.
Im folgenden Abschnitt wird beschrieben, wie Sie das Standarddienstkonto von Migrate to Virtual Machines konfigurieren.
Migrate to Virtual Machines-Standarddienstkonto konfigurieren
Ein Standarddienstkonto wird im Hostprojekt während der Erstellung der ersten Migration erstellt, wie unter Migrate Connector installieren beschrieben.
Um eine Compute Engine-Instanz in einem Zielprojekt bereitzustellen, das auf eine freigegebene VPC zugreift, müssen Sie die Rolle compute.networkUser für die Subnetzwerke im Hostprojekt der freigegebenen VPC zum Standarddienstkonto von Migrate to Virtual Machines hinzufügen. Zum Hinzufügen dieser Rolle haben Sie zwei Möglichkeiten:
Weisen Sie dem Migrate to Compute Engine-Standarddienstkonto die Rolle Dienstprojektadministrator mit Zugriff auf einige der Subnetze im freigegebenen VPC-Hostprojekt zu. Mit dieser Option können Sie Dienstprojektadministratoren differenziert definieren, indem Sie ihnen die Rolle
compute.networkUsernur für einige Subnetze im freigegebenen VPC-Hostprojekt zuweisen.Die Schritte für dieses Verfahren finden Sie unter Dienstprojektadministratoren für einige Subnetze.
Weisen Sie dem Standarddienstkonto für Migrate to Virtual Machines die Rolle Dienstprojektadministrator mit Zugriff auf alle Subnetze im Hostprojekt der freigegebenen VPC zu. In diesem Fall gewähren Sie die Rolle
compute.networkUserfür das Hostprojekt der freigegebenen VPC dem Standarddienstkonto für Migrate to Virtual Machines. Das Standarddienstkonto hat dann Zugriff auf alle vorhandenen und zukünftigen Subnetze im Hostprojekt der freigegebenen VPC.
So konfigurieren Sie das Standarddienstkonto für Migrate to Virtual Machines für den Zugriff auf alle Subnetze im freigegebenen VPC-Hostprojekt:
Öffnen Sie in der Cloud Console die Seite „Migrate to Virtual Machines“:
Wählen Sie den Tab Ziele aus.
Oben auf der Seite befindet sich ein Informationsfeld mit der E-Mail-Adresse des Migrate to Virtual Machines-Standarddienstkontos im folgenden Format:
service-M4CE_HOST_PROJECT_NUMBER@gcp-sa-vmmigration.iam.gserviceaccount.comKopieren Sie die E-Mail-Adresse.
Verwenden Sie diese E-Mail-Adresse, um dem Migrate to Virtual Machines-Standardkonto die Rolle
compute.networkUserfür das Hostprojekt der freigegebenen VPC zuzuweisen:gcloud projects add-iam-policy-binding VPC_HOST_PROJECT_ID \ --member=serviceAccount:service-M4CE_HOST_PROJECT_NUMBER@gcp-sa-vmmigration.iam.gserviceaccount.com \ --role=roles/compute.networkUser
Weitere Informationen zum Zuweisen von Rollen und Berechtigungen zu einem Nutzerkonto finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.