Configura conectores en proyectos de servicio de VPC compartida

Si tu organización usa una VPC compartida, puedes configurar conectores de Acceso a VPC sin servidores en el proyecto de servicio o en el proyecto host. En esta guía, se muestra cómo configurar un conector en el proyecto de servicio.

Si necesitas configurar un conector en el proyecto host, consulta Configura conectores en el proyecto host. Para obtener más información sobre las ventajas de cada método, consulta Conéctate a una red de VPC compartida.

En un nivel alto, debes seguir estos pasos:

1. Otorga permisos
2. Crear una subred
3. En la página Configura el Acceso a VPC sin servidores, completa los pasos de las siguientes secciones:
   • Crear un conector de acceso a VPC sin servidores
   • Configura el entorno sin servidores para usar un conector
   • Configura reglas de firewall para conectores

Otorga permisos a cuentas de servicio en tus proyectos de servicio

Para cada proyecto de servicio que usará conectores de VPC, un administrador de VPC compartida debe otorgar la función de usuario de la red de Compute (compute.networkUser) en el proyecto host al proyecto de servicio de las cuentas de servicio cloudservices y vpcaccess.

Para otorgar la función, haz lo siguiente:

1. Usa los siguientes comandos:

   gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
   --role "roles/compute.networkUser" \
   --member "serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-vpcaccess.iam.gserviceaccount.com"

   gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
   --role "roles/compute.networkUser" \
   --member "serviceAccount:SERVICE_PROJECT_NUMBER@cloudservices.gserviceaccount.com"

2. Si la cuenta de servicio @gcp-sa-vpcaccess no existe, activa la API de acceso a VPC sin servidores en el proyecto de servicio y vuelve a intentarlo:

   gcloud services enable vpcaccess.googleapis.com

Si prefieres no otorgar a estas cuentas de servicio acceso a toda la red de VPC compartida y prefieres otorgar acceso a subredes específicas, puedes otorgar estas funciones a estas cuentas de servicio solo en subredes específicas.

Crear una subred

Cuando usas la VPC compartida, el administrador de VPC compartida debe crear una subred para cada conector. Puedes seguir la documentación sobre cómo agregar una subred para agregar una subred /28 a la red de VPC compartida. Esta subred debe estar en la misma región que los servicios sin servidores que usarán el conector.

Próximos pasos

• En la página Configura el Acceso a VPC sin servidores, completa los pasos de las siguientes secciones:
  • Crear un conector de acceso a VPC sin servidores
  • Configura el entorno sin servidores para usar un conector