Configurer des autorisations pour un VPC partagé

Un VPC partagé permet à une organisation de connecter des ressources provenant de différents projets à un réseau cloud privé virtuel (VPC) commun, afin que ces ressources puissent communiquer entre elles de manière sécurisée et efficace en utilisant les adresses IP internes de ce réseau.

Lorsque vous utilisez un VPC partagé, vous désignez un projet en tant que projet hôte de VPC partagé et vous lui associez un ou plusieurs projets de service. Les réseaux VPC du projet hôte de VPC partagé sont appelés réseaux VPC partagés. Les ressources éligibles des projets de service peuvent utiliser des sous-réseaux du réseau VPC partagé.

Utiliser un VPC partagé avec Migrate to Virtual Machines

Lorsque votre environnement Migrate to Virtual Machines utilise un VPC partagé, vous devez vous assurer que vous avez correctement configuré les autorisations pour pouvoir déployer une VM migrée vers le projet cible Compute Engine.

Par exemple, vous disposez de l'environnement suivant:

  • Projet A : projet hôte Migrate to Virtual Machines
  • Projet B : définitions des sous-réseaux et projet hôte du VPC partagé
  • Projet C – Projet cible Migrate to Virtual Machines et de service VPC partagé

Dans cet exemple, vous définissez un VPC partagé dans le projet B. Le projet B est appelé projet hôte de VPC partagé.

Vous migrez ensuite une VM vers une instance Compute Engine du projet C, le projet cible Migrate to Virtual Machines, où le projet C accède au VPC partagé. Dans cet exemple, le projet C est appelé projet de service du VPC partagé. Avant de déployer l'instance Compute Engine, vous devez avoir déjà configuré le projet C pour qu'il fonctionne comme un projet de service du projet B, comme décrit dans la section Provisionner un VPC partagé.

Toutefois, avant de pouvoir déployer l'instance Compute Engine, vous devez également vous assurer que le compte de service par défaut "Migrate to Virtual Machines" du projet A dispose des autorisations requises. Plus précisément, Migrate to Virtual Machines nécessite le rôle compute.networkUser sur les sous-réseaux du projet hôte de VPC partagé.

La section suivante décrit comment configurer le compte de service par défaut de Migrate to Virtual Machines.

Configurer le compte de service par défaut Migrate to Virtual Machines

Un compte de service par défaut est créé sur le projet hôte lors de la création de la première migration, comme décrit dans la section Installer le connecteur Migrate.

Pour déployer une instance Compute Engine sur un projet cible qui accède à un VPC partagé, vous devez ajouter le rôle compute.networkUser sur les sous-réseaux du projet hôte de VPC partagé au compte de service par défaut Migrate to Virtual Machines. Deux options s'offrent à vous pour ajouter ce rôle :

  • Accordez au compte de service par défaut Migrate to Virtual Machines le rôle d'administrateur de projet de service avec un accès uniquement à certains sous-réseaux du projet hôte de VPC partagé. Cette option offre un moyen précis de définir les administrateurs de projet de service en leur accordant le rôle compute.networkUser uniquement pour certains sous-réseaux du projet hôte de VPC partagé.

    Consultez Administrateurs de projet de service pour certains sous-réseaux pour connaître la procédure à suivre.

  • Autorisez le compte de service par défaut Migrate to Virtual Machines à être un administrateur de projet de service avec accès à tous les sous-réseaux du projet hôte de VPC partagé. Dans ce cas, vous attribuez le rôle compute.networkUser dans le projet hôte de VPC partagé au compte de service par défaut Migrate to Virtual Machines. Le compte de service par défaut a alors accès à tous les sous-réseaux existants et futurs du projet hôte de VPC partagé.

Pour configurer le compte de service par défaut Migrate to Virtual Machines afin d'accéder à tous les sous-réseaux du projet hôte VPC partagé:

  1. Ouvrez la page "Migrate to Virtual Machines" dans la console Google Cloud :

    Accéder à la page Migrate to Virtual Machines

  2. Sélectionnez l'onglet Cibles.

    En haut de la page, vous trouverez une zone d'informations indiquant l'adresse e-mail du compte de service par défaut vers Migrate to Virtual Machines :

    service-M4CE_HOST_PROJECT_NUMBER@gcp-sa-vmmigration.iam.gserviceaccount.com

  3. Copiez l'adresse e-mail.

  4. Utilisez cette adresse e-mail pour attribuer le rôle compute.networkUser sur le projet hôte de VPC partagé au compte de service par défaut Migrate to Virtual Machines:

    gcloud projects add-iam-policy-binding VPC_HOST_PROJECT_ID \
       --member=serviceAccount:service-M4CE_HOST_PROJECT_NUMBER@gcp-sa-vmmigration.iam.gserviceaccount.com \
       --role=roles/compute.networkUser

Pour en savoir plus sur l'attribution de rôles et l'octroi d'autorisations à un compte utilisateur, consultez la page Accorder, modifier et révoquer les accès à des ressources.