Wenn Ihre Organisation eine freigegebene VPC verwendet, können Sie einen Connector für den serverlosen VPC-Zugriff entweder im Dienstprojekt oder im Hostprojekt einrichten. In dieser Anleitung wird gezeigt, wie Sie einen Connector im Dienstprojekt einrichten.
Informationen zum Einrichten eines Connectors im Hostprojekt finden Sie unter Connectors im Hostprojekt konfigurieren. Weitere Informationen zu den Vorteilen der einzelnen Methoden finden Sie unter Verbindung zu einem freigegebenen VPC-Netzwerk herstellen.
Auf übergeordneter Ebene müssen Sie folgende Schritte ausführen:
- Berechtigungen erteilen
- Subnetz erstellen
- Führen Sie auf der Seite Serverlosen VPC-Zugriff konfigurieren die Schritte in den folgenden Abschnitten aus:
Berechtigungen für Dienstkonten in Dienstprojekten gewähren
Für jedes Dienstprojekt, das VPC-Connectors verwendet, muss ein Administrator für freigegebene VPCs dem Dienstprojekt die Rolle "Compute-Netzwerknutzer" (compute.networkUser
) zuweisen. Die Zuweisung erfolgt im Hostprojekt an das Dienstprojekt cloudservices
und an das Dienstkonto vpcaccess
.
So weisen Sie die Rolle zu:
Verwenden Sie diese Befehle:
gcloud projects add-iam-policy-binding HOST_PROJECT_ID \ --role "roles/compute.networkUser" \ --member "serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-vpcaccess.iam.gserviceaccount.com"
gcloud projects add-iam-policy-binding HOST_PROJECT_ID \ --role "roles/compute.networkUser" \ --member "serviceAccount:SERVICE_PROJECT_NUMBER@cloudservices.gserviceaccount.com"
Wenn das Dienstkonto
@gcp-sa-vpcaccess
nicht existiert, aktivieren Sie die serverlose VPC-Zugriffs-API im Dienstprojekt und versuchen Sie es noch einmal:gcloud services enable vpcaccess.googleapis.com
Wenn Sie diesen Dienstkonten keinen Zugriff auf das gesamte freigegebene VPC-Netzwerk gewähren und nur Zugriff auf bestimmte Subnetze gewähren möchten, können Sie stattdessen diese Rollen nur bestimmten Subnetzen zuweisen.
Subnetz erstellen
Wenn Sie eine freigegebene VPC verwenden, muss der Administrator für freigegebene VPC ein Subnetz für jeden Connector erstellen. Folgen Sie der Dokumentation zum Hinzufügen eines Subnetzes, um dem freigegebenen VPC-Netzwerk ein Subnetz /28
hinzuzufügen. Dieses Subnetz muss sich in derselben Region befinden wie die serverlosen Dienste, die den Connector verwenden.
Nächste Schritte
- Führen Sie auf der Seite Serverlosen VPC-Zugriff konfigurieren die Schritte in den folgenden Abschnitten aus: