Configure conetores em projetos de serviço de VPC partilhada

Se a sua organização usar a VPC partilhada, pode configurar um conetor do Acesso a VPC sem servidor no projeto de serviço ou no projeto anfitrião. Este guia mostra como configurar um conector no projeto de serviço.

Se precisar de configurar um conetor no projeto anfitrião, consulte o artigo Configurar conetores no projeto anfitrião. Para saber mais acerca das vantagens de cada método, consulte o artigo Estabelecer ligação a uma rede VPC partilhada.

A um nível elevado, tem de seguir os seguintes passos:

1. Conceda autorizações
2. Crie uma sub-rede
3. Na página Configurar o acesso a VPC sem servidor, conclua os passos nas seguintes secções:
   • Crie um conetor do Acesso a VPC sem servidor
   • Configure o seu ambiente sem servidor para usar um conector
   • Configure regras de firewall para conetores

Conceda autorizações a contas de serviço nos seus projetos de serviço

Para cada projeto de serviço que vai usar os conetores de VPC, um administrador de VPC partilhada tem de conceder a função de utilizador da rede de computação (compute.networkUser) no projeto anfitrião às contas de serviço cloudservices e vpcaccess do projeto de serviço.

Para conceder a função:

1. Use estes comandos:

   gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
   --role "roles/compute.networkUser" \
   --member "serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-vpcaccess.iam.gserviceaccount.com"

   gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
   --role "roles/compute.networkUser" \
   --member "serviceAccount:SERVICE_PROJECT_NUMBER@cloudservices.gserviceaccount.com"

2. Se a conta de serviço @gcp-sa-vpcaccess não existir, ative a API Serverless VPC Access no projeto de serviço e tente novamente:

   gcloud services enable vpcaccess.googleapis.com

Se preferir não conceder a estas contas de serviço acesso a toda a rede de VPC partilhada e, em vez disso, conceder acesso apenas a sub-redes específicas, pode conceder estes papéis a estas contas de serviço apenas em sub-redes específicas.

Crie uma sub-rede

Quando usa a VPC partilhada, o administrador da VPC partilhada tem de criar uma sub-rede para cada conector. Siga a documentação para adicionar uma sub-rede e adicionar uma /28 sub-rede à rede VPC partilhada. Esta sub-rede tem de estar na mesma região que os serviços sem servidor que vão usar o conector.

Passos seguintes

• Na página Configurar o acesso a VPC sem servidor, conclua os passos nas seguintes secções:
  • Crie um conetor do Acesso a VPC sem servidor.
  • Configure o seu ambiente sem servidor para usar um conector.
• Use etiquetas de rede para restringir o acesso da VM do conetor aos recursos da VPC.