在共享 VPC 服务项目中配置连接器

如果您的组织使用共享 VPC，则您可以在服务项目或宿主项目中设置无服务器 VPC 访问通道连接器。本指南介绍如何在服务项目中设置连接器。

如果您需要在宿主项目中设置连接器，请参阅在宿主项目中配置连接器。 如需了解每种方法的优点，请参阅连接到共享 VPC 网络。

大体而言，您必须执行以下步骤：

1. 授予权限
2. 创建子网
3. 在配置无服务器 VPC 访问通道页面中，完成以下各部分中的步骤：
   • 创建 Serverless VPC Access 连接器
   • 将无服务器环境配置为使用连接器
   • 为连接器配置防火墙规则

向服务项目中的服务账号授予权限

对于将使用 VPC 连接器的每个服务项目，Shared VPC Admin 必须向服务项目 cloudservices 和 vpcaccess 服务账号授予宿主项目中的 Compute Network User 角色 (compute.networkUser)。

如需授予角色：

1. 使用以下命令：

   gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
   --role "roles/compute.networkUser" \
   --member "serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-vpcaccess.iam.gserviceaccount.com"

   gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
   --role "roles/compute.networkUser" \
   --member "serviceAccount:SERVICE_PROJECT_NUMBER@cloudservices.gserviceaccount.com"

2. 如果 @gcp-sa-vpcaccess 服务账号不存在，请在服务项目中启用 Serverless VPC Access API，然后重试：

   gcloud services enable vpcaccess.googleapis.com

如果您不想向这些服务账号授予整个共享 VPC 网络的访问权限，而希望只授予特定子网的访问权限，则可以改为仅向这些服务账号授予特定子网的这些角色。

创建子网

使用共享 VPC 时，Shared VPC Admin 必须为每个连接器创建一个子网。按照添加子网文档的说明将 /28 子网添加到共享 VPC 网络。此子网必须与将使用连接器的无服务器服务位于同一区域。

后续步骤

• 在配置无服务器 VPC 访问通道页面中，完成以下各部分中的步骤：
  • 创建 Serverless VPC Access 连接器
  • 将无服务器环境配置为使用连接器