Configurar conectores en proyectos de servicio de VPC compartida

Si tu organización usa la VPC compartida, puedes configurar un conector de acceso a la VPC sin servidor en el proyecto de servicio o en el proyecto host. En esta guía se explica cómo configurar un conector en el proyecto de servicio.

Si necesitas configurar un conector en el proyecto host, consulta Configurar conectores en el proyecto host. Para obtener información sobre las ventajas de cada método, consulta el artículo Conexión a una red de VPC compartida.

En términos generales, debe seguir estos pasos:

1. Conceder permisos
2. Crear una subred
3. En la página Configurar Acceso a VPC sin servidor, sigue los pasos que se indican en las siguientes secciones:
   • Crear un conector de Acceso a VPC sin servidor
   • Configurar un entorno sin servidores para usar un conector
   • Configurar reglas de cortafuegos para conectores

Conceder permisos a cuentas de servicio en tus proyectos de servicio

En cada proyecto de servicio que vaya a usar conectores de VPC, un administrador de VPC compartida debe conceder el rol de usuario de red de Compute (compute.networkUser) en el proyecto host al proyecto de servicio cloudservices y a las cuentas de servicio vpcaccess.

Para conceder el rol, sigue estos pasos:

1. Utiliza estos comandos:

   gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
   --role "roles/compute.networkUser" \
   --member "serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-vpcaccess.iam.gserviceaccount.com"

   gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
   --role "roles/compute.networkUser" \
   --member "serviceAccount:SERVICE_PROJECT_NUMBER@cloudservices.gserviceaccount.com"

2. Si la cuenta de servicio @gcp-sa-vpcaccess no existe, activa la API de acceso a VPC sin servidor en el proyecto de servicio y vuelve a intentarlo:

   gcloud services enable vpcaccess.googleapis.com

Si prefieres no conceder acceso a toda la red VPC compartida a estas cuentas de servicio y solo quieres conceder acceso a subredes específicas, puedes asignar estos roles a las cuentas de servicio solo en subredes específicas.

Crear una subred

Cuando se usa la VPC compartida, el administrador de la VPC compartida debe crear una subred para cada conector. Sigue las instrucciones de la documentación sobre cómo añadir una subred para añadir una /28 subred a la red de VPC compartida. Esta subred debe estar en la misma región que los servicios sin servidor que usarán el conector.

Pasos siguientes

• En la página Configurar Acceso a VPC sin servidor, sigue los pasos que se indican en las siguientes secciones:
  • Crea un conector de Acceso a VPC sin servidor.
  • Configura tu entorno sin servidor para usar un conector.
• Usa etiquetas de red para restringir el acceso de la VM del conector a los recursos de la VPC.