Freigegebene VPC bereitstellen

Über eine freigegebene VPC können Sie in einem Hostprojekt Subnetze von einem VPC-Netzwerk in andere Dienstprojekte innerhalb derselben Organisation exportieren. Instanzen in den Dienstprojekten können Netzwerkverbindungen in den freigegebenen Subnetzen des Hostprojekts haben. Auf dieser Seite wird beschrieben, wie Sie eine freigegebene VPC einrichten und verwenden. Hierzu gehören auch einige notwendige administrative Vorbereitungen für Ihre Organisation.

Kontingente, Limits und berechtigte Ressourcen

Machen Sie sich vor dem Beginn mit Freigegebene VPC – Übersicht und IAM – Übersicht vertraut. Zum Beispiel:

Organisation vorbereiten

Administratoren und IAM

Zum Vorbereiten Ihrer Organisation, zum Einrichten von freigegebenen VPC-Hostprojekten und zur Verwendung von freigegebenen VPC-Netzwerken werden mindestens drei verschiedene administrative IAM-Rollen (Identitäts- und Zugriffsverwaltung) benötigt. Weitere Details zu den einzelnen Rollen und Informationen zu optionalen Rollen finden Sie im Abschnitt Administratoren und IAM der Übersicht zu freigegebenen VPC.

Organisationsrichtlinien für freigegebene VPC

Einschränkungen für Organisationsrichtlinien können freigegebene VPC-Ressourcen auf Projekt-, Ordner- oder Organisationsebene schützen. In den folgenden Abschnitten werden die einzelnen Richtlinien beschrieben.

Versehentliches Löschen von Hostprojekten verhindern

Das versehentliche Löschen eines Hostprojekts würde zu Ausfällen in allen damit verbundenen Dienstprojekten führen. Wenn ein Projekt als freigegebenes VPC-Hostprojekt konfiguriert ist, wird eine spezielle Sperre hinzugefügt. Solange diese Sperre aktiv ist, kann das Projekt nicht versehentlich gelöscht werden. Die Sperre wird automatisch entfernt, wenn das Projekt kein Hostprojekt mehr ist.

Ein Nutzer mit der Rolle orgpolicy.policyAdmin kann eine Richtlinieneinschränkung auf Organisationsebene (constraints/compute.restrictXpnProjectLienRemoval) festlegen, die das Entfernen von Sperren auf die folgenden Rollen beschränkt:

  • Nutzer mit roles/owner oder roles/resourcemanager.lienModifier auf Organisationsebene
  • Nutzer mit benutzerdefinierten Rollen, die die Berechtigungen resourcemanager.projects.get und resourcemanager.projects.updateLiens auf Organisationsebene enthalten

Dadurch wird verhindert, dass ein Projektinhaber, der nicht die Rolle roles/owner oder resourcemanager.lienModifier auf Organisationsebene hat, versehentlich ein freigegebenes VPC-Hostprojekt löschen kann. Weitere Informationen zu den Berechtigungen, die mit der Rolle resourcemanager.lienModifier verknüpft sind, finden Sie in der Dokumentation zum Resource Manager unter Projekt sperren.

Da eine Organisationsrichtlinie für alle Projekte in der Organisation gilt, müssen Sie diese Schritte nur einmal ausführen, um das Entfernen von Sperren zu beschränken.

  1. Authentifizieren Sie sich bei gcloud als Organisationsadministrator oder IAM-Mitglied mit der Rolle orgpolicy.policyAdmin. Ersetzen Sie ORG_ADMIN durch den Namen eines Organisationsadministrators:

    gcloud auth login ORG_ADMIN
    
  2. Führen Sie den folgenden Befehl aus, um Ihre Organisations-ID zu ermitteln:

    gcloud organizations list
    
  3. Führen Sie diesen Befehl aus, um die Richtlinie compute.restrictXpnProjectLienRemoval für Ihre Organisation zu erzwingen. Ersetzen Sie ORG_ID durch die ID-Nummer, die Sie im vorherigen Schritt ermittelt haben.

    gcloud beta resource-manager org-policies enable-enforce \
        --organization ORG_ID compute.restrictXpnProjectLienRemoval
    
  4. Melden Sie sich zum Schutz Ihres Kontos von gcloud ab, wenn Sie die Aufgaben als Administrator der Organisation abgeschlossen haben.

    gcloud auth revoke ORG_ADMIN
    

Anhänge an das Hostprojekt beschränken

Ein Administrator einer freigegebenen VPC kann standardmäßig an jedes Hostprojekt in derselben Organisation einen Nicht-Host anhängen. Ein Administrator für Organisationsrichtlinien kann die Anzahl der Hostprojekte beschränken, denen ein Nicht-Hostprojekt oder Nicht-Hostprojekte in einem Ordner oder einer Organisation angehängt werden können. Weitere Informationen finden Sie in der Einschränkung constraints/compute.restrictSharedVpcHostProjects.

Subnetze im Hostprojekt festlegen, die ein Dienstprojekt verwenden darf

IAM-Mitglieder können in Dienstprojekten nach der Konfiguration der freigegebenen VPC standardmäßig jedes Subnetz des Hostprojekts verwenden, wenn sie die entsprechenden IAM-Berechtigungen haben. Zusätzlich zur Verwaltung individueller Nutzerberechtigungen kann ein Administrator einer Organisationsrichtlinie eine Richtlinie festlegen, die die Subnetze definiert, auf die ein bestimmtes Projekt oder Projekte in einem Ordner oder einer Organisation zugreifen können. Weitere Informationen finden Sie in der Einschränkung constraints/compute.restrictSharedVpcSubnetworks.

Administratoren für freigegebene VPC benennen

Ein Organisationsadministrator kann einem oder mehreren IAM-Mitgliedern die Rollen Administrator für freigegebene VPC und Projekt-IAM-Administrator zuweisen. Die Rolle „Projekt-IAM-Administrator” erteilt Administratoren für freigegebene VPC die Berechtigung, alle vorhandenen und zukünftigen Subnetze und nicht nur einzelne Subnetze freizugeben. Diese Zuweisung erfolgt auf Organisations- oder Ordnerebene, nicht auf Projektebene. Daher müssen die IAM-Mitglieder in der Organisation und nicht nur in einem darin enthaltenen Projekt definiert werden.

Console

Rolle „Administrator für freigegebene Compute-VPC” auf Organisationsebene zuweisen

  1. Melden Sie sich in der Google Cloud Console als Organisationsadministrator an und rufen Sie dann die Seite „IAM” auf.
    Zur Seite „IAM”
  2. Wählen Sie im Projektmenü Ihre Organisation aus.
    Wenn Sie ein Projekt auswählen, werden im Menü Rollen nicht die richtigen Einträge angezeigt.
  3. Klicken Sie auf Hinzufügen.
  4. Geben Sie die E-Mail-Adressen der Mitglieder ein.
  5. Wählen Sie im Drop-down-Menü Rollen die Option Compute Engine > Administrator für freigegebene Compute-VPC aus.

  6. Klicken Sie auf Weitere Rolle hinzufügen.

  7. Wählen Sie im Drop-down-Menü Rollen die Option Resource Manager > Projekt-IAM-Administrator aus.

  8. Klicken Sie auf Speichern.

Rolle „Administrator für freigegebene Compute-VPC” auf Ordnerebene zuweisen

  1. Melden Sie sich in der Google Cloud Console als Organisationsadministrator an und rufen Sie dann die Seite „IAM” auf.
    Zur Seite „IAM”
  2. Wählen Sie im Projektmenü Ihren Ordner aus.
    Wenn Sie ein Projekt oder eine Organisation auswählen, werden Ihnen nicht die richtigen Optionen angezeigt.
  3. Klicken Sie auf der Seite Mitglieder auf Hinzufügen.
  4. Geben Sie die E-Mail-Adressen der neuen Mitglieder ein.
  5. Wählen Sie unter Rolle auswählen die Option Compute Engine > Administrator für freigegebene Compute-VPC aus.
  6. Klicken Sie auf Weitere Rolle hinzufügen.
  7. Wählen Sie im Drop-down-Menü Rollen die Option Resource Manager > Projekt-IAM-Administrator aus.
  8. Klicken Sie auf Speichern.

gcloud

  1. Authentifizieren Sie sich bei gcloud als Organisationsadministrator. Ersetzen Sie ORG_ADMIN durch den Namen eines Organisationsadministrators:

    gcloud auth login ORG_ADMIN
    
  2. Führen Sie den folgenden Befehl aus, um Ihre Organisations-ID festzustellen:

    gcloud organizations list
    
  3. Wenn Sie die Rolle „Administrator für freigegebene VPC” auf Organisationsebene zuweisen möchten, gehen Sie so vor:

    1. Weisen Sie die Rolle als Administrator für freigegebene VPC einem vorhandenen IAM-Mitglied zu. Ersetzen Sie ORG_ID durch die Organisations-ID aus dem vorherigen Schritt und EMAIL_ADDRESS durch die E-Mail-Adresse des Nutzers, dem Sie die Rolle „Administrator für freigegebene VPC” zuweisen.

      gcloud organizations add-iam-policy-binding ORG_ID \
        --member='user:EMAIL_ADDRESS' \
        --role="roles/compute.xpnAdmin"
      
      gcloud organizations add-iam-policy-binding ORG_ID \
        --member='user:EMAIL_ADDRESS' \
        --role="roles/resourcemanager.projectIamAdmin"
      
  4. Wenn Sie die Rolle „Administrator für freigegebene VPC” auf Ordnerebene zuweisen möchten, gehen Sie so vor:

    1. Führen Sie den folgenden Befehl aus, um Ihre Ordner-ID zu ermitteln:

      gcloud beta resource-manager folders list --organization=ORG_ID
      
    2. Weisen Sie die Rolle als Administrator für freigegebene VPC einem vorhandenen IAM-Mitglied zu. Ersetzen Sie ORG_ID durch die Organisations-ID aus dem vorherigen Schritt und EMAIL_ADDRESS durch die E-Mail-Adresse des Nutzers, dem Sie die Rolle „Administrator für freigegebene VPC” zuweisen.

      gcloud beta resource-manager folders add-iam-policy-binding FOLDER_ID \
         --member='user:EMAIL_ADDRESS' \
         --role="roles/compute.xpnAdmin"
      
      gcloud beta resource-manager folders add-iam-policy-binding FOLDER_ID \
         --member='user:EMAIL_ADDRESS' \
         --role="roles/resourcemanager.projectIamAdmin"
      
  5. Widerrufen Sie zum Schutz Ihres Kontos im gcloud-Befehlszeilentool das Token Ihres Organisationsadministratorkontos, wenn Sie die Aufgaben zum Schutz Ihres Kontos abgeschlossen haben.

    gcloud auth revoke ORG_ADMIN
    

API

  • So weisen Sie die Rolle „Administrator für freigegebene VPC” auf Organisationsebene zu:

    1. Ermitteln Sie Ihre Organisations-ID.

      POST https://cloudresourcemanager.googleapis.com/v1/organizations
      
    2. Beschreiben Sie die Details Ihrer vorhandenen Organisationsrichtlinie und notieren Sie diese.

      POST https://cloudresourcemanager.googleapis.com/v1/organizations/ORG_ID:getIamPolicy
      

      Ersetzen Sie ORG_ID durch die ID Ihrer Organisation.

    3. Weisen Sie die Rolle ”Administrator für freigegebene Compute-VPC” zu.

      POST https://cloudresourcemanager.googleapis.com/v1/organizations/ORG_ID:setIamPolicy
      {
        "bindings": [
          ...copy existing bindings
          {
            "members": [
              "user:EMAIL_ADDRESS"
            ],
            "role": "roles/compute.xpnAdmin"
          },
          {
            "members": [
              "user:EMAIL_ADDRESS"
            ],
            "role": "roles/resourcemanager.projectIamAdmin"
          }
        ],
        "etag": "ETAG",
        "version": 1,
        ...other exisitng policy details
      }
      

      Ersetzen Sie die Platzhalter durch gültige Werte:

      • ORG_ID ist die ID der Organisation, die den Nutzer enthält, dem Sie die Rolle „Administrator für freigegebene VPC” zuweisen.
      • EMAIL_ADDRESS ist die E-Mail-Adresse des Nutzers.
      • ETAG ist eine eindeutige Kennung, die Sie beim Beschreiben der vorhandenen Richtlinie erhalten haben. Sie verhindert Konflikte, wenn mehrere Aktualisierungsanfragen gleichzeitig gesendet werden.

      Weitere Informationen finden Sie in der Methode organizations.setIamPolicy.

  • Die Rolle „Administrator für freigegebene VPC” weisen Sie auf Ordnerebene mit folgender Anfrage zu:

    1. Ermitteln Sie Ihre Organisations-ID.

      POST https://cloudresourcemanager.googleapis.com/v1/organizations
      
    2. Suchen Sie nach Ihrer Ordner-ID.

      GET https://cloudresourcemanager.googleapis.com/v2/folders?parent=organizations/ORG_ID
      

      Ersetzen Sie ORG_ID durch die ID Ihrer Organisation.

    3. Beschreiben Sie die Details Ihrer vorhandenen Ordnerrichtlinie und notieren Sie diese.

      POST https://cloudresourcemanager.googleapis.com/v2/folders/FOLDER_ID:getIamPolicy
      

      Ersetzen Sie FOLDER_ID durch die ID Ihres Ordners.

    4. Weisen Sie die Rolle ”Administrator für freigegebene Compute-VPC” zu.

      POST https://cloudresourcemanager.googleapis.com/v1/organizations/FOLDER_ID:setIamPolicy
      {
        "bindings": [
          ...copy existing bindings
          {
            "members": [
              "user:EMAIL_ADDRESS"
            ],
            "role": "roles/compute.xpnAdmin"
          },
          {
            "members": [
              "user:EMAIL_ADDRESS"
            ],
            "role": "roles/resourcemanager.projectIamAdmin"
          }
        ],
        "etag": "ETAG",
        "version": 1,
        ...other existing policy details
      }
      

      Ersetzen Sie die Platzhalter durch gültige Werte:

      • FOLDER_ID ist die ID der Organisation, die den Nutzer enthält, dem Sie die Rolle „Administrator für freigegebene VPC” zuweisen.
      • EMAIL_ADDRESS ist die E-Mail-Adresse des Nutzers.
      • ETAG ist eine eindeutige Kennung, die Sie beim Beschreiben der vorhandenen Richtlinie erhalten haben. Sie verhindert Konflikte, wenn mehrere Aktualisierungsanfragen gleichzeitig gesendet werden.

      Weitere Informationen finden Sie in der Methode folders.setIamPolicy.

Freigegebene VPC einrichten

Alle in diesem Abschnitt beschriebenen Aufgaben müssen von einem Administrator für freigegebene VPC ausgeführt werden.

Hostprojekt aktivieren

Innerhalb einer Organisation können Administratoren für freigegebene VPCs anhand der vorliegenden Anleitung Projekte als freigegebene VPC-Hostprojekte definieren, die bestimmten Kontingenten und Limits unterliegen. Administratoren für freigegebene VPCs können auch Projekte erstellen und löschen, wenn ihnen auf Organisationsebene die Rollen resourcemanager.projectCreator und resourcemanager.projectDeleter zugewiesen sind.

Console

  1. Rufen Sie in der Google Cloud Console die Seite „Freigegebene VPC” auf.
    Zur Seite „Freigegebene VPC”
  2. Melden Sie sich als Administrator für freigegebene VPC an.
  3. Wählen Sie in der Projektauswahl das Projekt aus, das Sie als freigegebenes VPC-Hostprojekt aktivieren möchten.
  4. Klicken Sie auf Freigegebene VPC einrichten.
  5. Klicken Sie auf der nächsten Seite unter Hostprojekt aktivieren auf Speichern und weiter.
  6. Führen Sie unter Subnetze auswählen einen der folgenden Schritte aus:
    1. Klicken Sie auf Alle Subnetze freigeben (Berechtigungen auf Projektebene), wobei die Freigabe für alle aktuellen und zukünftigen Subnetze in den VPC-Netzwerken des Hostprojekts gilt und bestimmte Dienstprojekte und Dienstprojektadministratoren wie im Folgenden beschrieben zusätzlich freigegeben werden.
    2. Klicken Sie auf Einzelne Subnetze (Berechtigungen auf Subnetzebene), wenn Sie Subnetze aus den VPC-Netzwerken des Hostprojekts nur für bestimmte Dienstprojekte und Dienstprojektadministratoren freigeben möchten. Wählen Sie dann Subnetze zum Freigeben aus.
  7. Klicken Sie auf Weiter.
    Der nächste Bildschirm wird angezeigt.
  8. Geben Sie unter Projektnamen die Dienstprojekte an, die an das Hostprojekt angehängt werden sollen. Mit dem Hinzufügen von Dienstprojekten werden noch keine Dienstprojektadministratoren festgelegt. Dies erfolgt im nächsten Schritt.
  9. Fügen Sie im Bereich Nutzer nach Rolle auswählen Dienstprojektadministratoren hinzu. Diese Nutzer erhalten die IAM-Rolle compute.networkUser für die freigegebenen Subnetze. Nur Dienstprojektadministratoren können in den Subnetzen des freigegebenen VPC-Hostprojekts Ressourcen erstellen.
  10. Klicken Sie auf Speichern.

gcloud

  1. Authentifizieren Sie sich in gcloud als ein Administrator für freigegebene Compute-VPC. Ersetzen Sie SHARED_VPC_ADMIN durch den Namen des Administrators für freigegebene VPC:

    gcloud auth login SHARED_VPC_ADMIN
    
  2. Aktivieren Sie die freigegebene VPC für das Projekt, das Sie als Hostprojekt festlegen möchten. Ersetzen Sie HOST_PROJECT_ID durch die ID des Projekts.

    Wenn Ihnen die Rolle „Administrator für freigegebene VPC„ auf Organisationsebene zugewiesen wurde

    gcloud compute shared-vpc enable HOST_PROJECT_ID
    

    Wenn Ihnen die Rolle „Administrator für freigegebene VPC” auf Ordnerebene zugewiesen wurde

    gcloud beta compute shared-vpc enable HOST_PROJECT_ID
    
  3. Prüfen Sie, ob das Projekt als Hostprojekt für Ihre Organisation aufgeführt wird. Ersetzen Sie ORG_ID durch Ihre Organisations-ID (ermittelt über gcloud organizations list).

    gcloud compute shared-vpc organizations list-host-projects ORG_ID
    
  4. Wenn Sie nur ein Hostprojekt aktivieren müssen, können Sie sich anschließend von gcloud abmelden, um die Anmeldedaten des Administratorkontos für freigegebene VPC zu schützen. Andernfalls können Sie diesen Schritt überspringen und nun Dienstprojekte anhängen.

    gcloud auth revoke SHARED_VPC_ADMIN
    

API

  1. Verwenden Sie Anmeldedaten mit Administratorberechtigungen für freigegebene VPC, um freigegebene VPC für das Projekt zu aktivieren.

    • Wenn Ihnen die Rolle „Administrator für freigegebene VPC” auf Organisationsebene zugewiesen wurde, verwenden Sie die v1 API:

      POST https://compute.googleapis.com/compute/v1/projects/HOST_PROJECT_ID/enableXpnHost
      
    • Wenn Ihnen die Rolle „Administrator für freigegebene VPC” auf Ordnerebene zugewiesen wurde, verwenden Sie die Beta API:

      POST https://compute.googleapis.com/compute/beta/projects/HOST_PROJECT_ID/enableXpnHost
      

    Ersetzen Sie HOST_PROJECT_ID durch die ID des Projekts, das ein Hostprojekt für freigegebene VPC werden soll.

    Weitere Informationen finden Sie in der Methode projects.enableXpnHost.

  2. Prüfen Sie, ob das Projekt als Hostprojekt aufgeführt wird.

    POST https://compute.googleapis.com/compute/v1/projects/HOST_PROJECT_ID/listXpnHosts
    

    Ersetzen Sie HOST_PROJECT_ID durch die ID des freigegebenen VPC-Hostprojekts.

    Weitere Informationen finden Sie in der Methode projects.listXpnHosts.

Dienstprojekte anhängen

Ein Dienstprojekt muss an ein Hostprojekt angehängt werden, bevor seine Dienstprojektadministratoren die freigegebene VPC verwenden können. Hierzu muss ein Administrator für freigegebene VPC folgende Schritte ausführen.

Jedes Dienstprojekt kann jeweils nur an ein Hostprojekt angehängt werden, während an ein Hostprojekt mehrere Dienstprojekte angehängt werden können. Ausführliche Informationen finden Sie auf der Seite mit den VPC-Kontingenten unter Limits für freigegebene VPC-Projekte.

Console

  1. Melden Sie sich in der Google Cloud Console als Administrator für freigegebene Compute-VPC an.
  2. Rufen Sie in der Google Cloud Console die Seite „Freigegebene VPC” auf.
    Zur Seite „Freigegebene VPC”
  3. Klicken Sie auf den Tab Angehängte Projekte.
  4. Klicken Sie auf dem Tab Angehängte Projekte auf die Schaltfläche Projekte anhängen.
  5. Klicken Sie im Bereich Projektnamen auf die Kästchen für die Dienstprojekte, die angehängt werden sollen. Mit dem Hinzufügen von Dienstprojekten werden noch keine Dienstprojektadministratoren festgelegt. Dies erfolgt im nächsten Schritt.
  6. Wählen Sie im Abschnitt VPC-Netzwerkberechtigungen die Rollen aus, deren Mitglieder die Rolle compute.networkUser erhalten. IAM-Mitgliedern wird die Rolle „Netzwerknutzer” für das gesamte Hostprojekt oder für bestimmte Subnetze im Hostprojekt anhand des VPC-Netzwerkfreigabemodus zugewiesen. Diese Mitglieder werden in ihren jeweiligen Dienstprojekten als Dienstprojektadministratoren bezeichnet.
  7. Wählen Sie im Bereich VPC-Netzwerkfreigabemodus eine der folgenden Optionen aus:
    1. Klicken Sie auf Alle Subnetze freigeben (Berechtigungen auf Projektebene), um alle aktuellen und zukünftigen Subnetze in den VPC-Netzwerken des Hostprojekts für alle Dienstprojekte und Dienstprojektadministratoren freizugeben.
    2. Klicken Sie auf Einzelne Subnetze (Berechtigungen auf Subnetzebene), wenn Sie Subnetze aus den VPC-Netzwerken des Hostprojekts nur für bestimmte Dienstprojekte und Dienstprojektadministratoren freigeben möchten. Wählen Sie dann Subnetze zum Freigeben aus.
  8. Klicken Sie auf Speichern.

gcloud

  1. Falls noch nicht geschehen, authentifizieren Sie sich bei gcloud als Administrator für freigegebene VPC. Ersetzen Sie SHARED_VPC_ADMIN durch den Namen des Administrators für freigegebene VPC:

    gcloud auth login SHARED_VPC_ADMIN
    
  2. Hängen Sie ein Dienstprojekt an ein zuvor aktiviertes Hostprojekt an. Ersetzen Sie SERVICE_PROJECT_ID durch die Projekt-ID des Dienstprojekts und HOST_PROJECT_ID durch die Projekt-ID des Hostprojekts.

    Wenn Ihnen die Rolle „Administrator für freigegebene VPC„ auf Organisationsebene zugewiesen wurde

    gcloud compute shared-vpc associated-projects add SERVICE_PROJECT_ID \
        --host-project HOST_PROJECT_ID
    

    Wenn Ihnen die Rolle „Administrator für freigegebene VPC” auf Ordnerebene zugewiesen wurde

    gcloud beta compute shared-vpc associated-projects add SERVICE_PROJECT_ID \
        --host-project HOST_PROJECT_ID
    
  3. Stellen Sie fest, ob das Dienstprojekt angehängt wurde.

    gcloud compute shared-vpc get-host-project SERVICE_PROJECT_ID
    
  4. Sie können auch die Dienstprojekte auflisten lassen, die an das Hostprojekt angehängt sind:

    gcloud compute shared-vpc list-associated-resources HOST_PROJECT_ID
    
  5. Wenn Sie nur ein Dienstprojekt anhängen möchten, können Sie sich anschließend von gcloud abmelden, um die Anmeldedaten des Administratorkontos für freigegebene VPC zu schützen. Andernfalls können Sie diesen Schritt überspringen und nun die Dienstprojektadministratoren für alle Subnetze oder nur für einige Subnetze festlegen.

    gcloud auth revoke SHARED_VPC_ADMIN
    

API

  1. Hängen Sie ein Dienstprojekt an das freigegebene VPC-Hostprojekt an.

    • Wenn Ihnen die Rolle „Administrator für freigegebene VPC” auf Organisationsebene zugewiesen wurde, verwenden Sie die v1 API:

      POST https://compute.googleapis.com/compute/v1/projects/HOST_PROJECT_ID/enableXpnResource
      {
      "xpnResource": {
        "id": "SERVICE_PROJECT"
      }
      }
      
    • Wenn Ihnen die Rolle „Administrator für freigegebene VPC” auf Ordnerebene zugewiesen wurde, verwenden Sie die Beta API:

      POST https://compute.googleapis.com/compute/beta/projects/HOST_PROJECT_ID/enableXpnResource
      {
      "xpnResource": {
        "id": "SERVICE_PROJECT"
      }
      }
      

    Ersetzen Sie die Platzhalter durch gültige Werte:

    • HOST_PROJECT_ID ist die ID des freigegebenen VPC-Hostprojekts.
    • SERVICE_PROJECT ist die ID des anzuhängenden Dienstprojekts.

    Weitere Informationen finden Sie in der Methode projects.enableXpnResource.

  2. Bestätigen Sie, dass die Dienstprojekte an das Hostprojekt angehängt sind.

    GET https://compute.googleapis.com/compute/v1/projects/HOST_PROJECT_ID/getXpnResources
    

    Ersetzen Sie die Platzhalter durch gültige Werte:

    • HOST_PROJECT_ID ist die ID des freigegebenen VPC-Hostprojekts.

    Weitere Informationen finden Sie in der Methode projects.getXpnResources.

Dienstprojektadministratoren für alle Subnetze

Ein Administrator für freigegebene VPC kann einem IAM-Mitglied aus einem Dienstprojekt die Rolle Dienstprojektadministrator mit Zugriff auf alle Subnetze im Hostprojekt zuweisen. Solchen Dienstprojektadministratoren wird die Rolle compute.networkUser für das gesamte Hostprojekt zugewiesen. Dies bedeutet, dass sie Zugriff auf alle derzeit definierten und zukünftigen Subnetze im Hostprojekt haben.

Console

Weitere Informationen zum Definieren eines IAM-Mitglieds aus einem Dienstprojekt als Dienstprojektadministrator mit Zugriff auf alle Subnetze in einem Hostprojekt mithilfe der Cloud Console finden Sie im Abschnitt Dienstprojekte anhängen.

gcloud

Nachstehend wird beschrieben, wie Sie als Dienstprojektadministrator aus einem Dienstprojekt ein IAM-Mitglied mit Zugriff auf alle Subnetze im Hostprojekt festlegen. Bevor Sie diese Schritte ausführen können, müssen Sie ein Hostprojekt aktiviert und das Dienstprojekt an das Hostprojekt angehängt haben.

  1. Falls noch nicht geschehen, authentifizieren Sie sich bei gcloud als Administrator für freigegebene VPC. Ersetzen Sie SHARED_VPC_ADMIN durch den Namen des Administrators für freigegebene VPC:

    gcloud auth login SHARED_VPC_ADMIN
    
  2. Erstellen Sie eine Richtlinienbindung, mit der ein IAM-Mitglied aus dem Dienstprojekt als Dienstprojektadministrator festgelegt wird. Ersetzen Sie HOST_PROJECT_ID durch die Projekt-ID des Hostprojekts und SERVICE_PROJECT_ADMIN durch die E-Mail-Adresse des Dienstprojektadministrators.

    gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
    --member "user:SERVICE_PROJECT_ADMIN" \
    --role "roles/compute.networkUser"
    

    Sie können verschiedene Mitgliedertypen angeben. Dazu ändern Sie das Format des Arguments --member:

    • Verwenden Sie group:, um eine Google-Gruppe (per E-Mail-Adresse) als Mitglied anzugeben.
    • Verwenden Sie domain:, um als Mitglied eine Google-Domain anzugeben.
    • Verwenden Sie serviceAccount:, um ein Dienstkonto anzugeben. Weitere Informationen zu diesem Anwendungsfall finden Sie unter Dienstkonten als Dienstprojektadministratoren.
  3. Wiederholen Sie den vorherigen Schritt für jeden weiteren Dienstprojektadministrator, den Sie festlegen möchten.

  4. Wenn Sie die Definition von Dienstprojektadministratoren abgeschlossen haben, können Sie sich von gcloud abmelden, um die Anmeldedaten des Administratorkontos für freigegebene VPC zu schützen.

    gcloud auth revoke SHARED_VPC_ADMIN
    

API

  1. Beschreiben Sie die Details Ihrer vorhandenen Projektrichtlinie und notieren Sie diese. Sie benötigen die vorhandene Richtlinie und den etag-Wert.

    POST https://cloudresourcemanager.googleapis.com/v2/projects/HOST_PROJECT_ID:getIamPolicy
    

    Ersetzen Sie HOST_PROJECT_ID durch die ID des Hostprojekts, das das freigegebene VPC-Netzwerk enthält.

  2. Erstellen Sie eine Richtlinienbindung, um IAM-Mitglieder im Dienstprojekt als Dienstprojektadministratoren festzulegen.

    POST https://cloudresourcemanager.googleapis.com/v1/projects/HOST_PROJECT_ID:setIamPolicy
    {
      "bindings": [
        ...copy existing bindings
        {
          "members": [
            MEMBER,
            ...additional members
          ],
          "role": "roles/compute.networkUser"
        },
      ],
      "etag": "ETAG",
      "version": 1,
      ...other existing policy details
    }
    

    Ersetzen Sie die Platzhalter durch gültige Werte:

    • HOST_PROJECT_ID ist die ID des Hostprojekts, das das freigegebene VPC-Netzwerk enthält.
    • MEMBER ist eine Identität, mit der die Rolle verknüpft ist, z. B. ein Nutzer, eine Gruppe, eine Domain oder ein Dienstkonto. Weitere Informationen finden Sie in der Resource Manager-Dokumentation zum Feld members.
    • ETAG ist eine eindeutige Kennung, die Sie beim Beschreiben der vorhandenen Richtlinie erhalten haben. Sie verhindert Konflikte, wenn mehrere Aktualisierungsanfragen gleichzeitig gesendet werden.

    Weitere Informationen finden Sie in der Methode projects.setIamPolicy.

Dienstprojektadministratoren für bestimmte Subnetze

Ein Administrator für freigegebene VPC kann einem IAM-Mitglied aus einem Dienstprojekt die Rolle Dienstprojektadministrator mit Zugriff auf einige der Subnetze im Hostprojekt zuweisen. Mit dieser Option können Sie Dienstprojektadministratoren differenzierter festlegen, indem Sie ihnen die Rolle compute.networkUser nur für einige Subnetze im Hostprojekt zuweisen.

Console

Weitere Informationen zum Definieren eines IAM-Mitglieds aus einem Dienstprojekt als Dienstprojektadministrator mit Zugriff auf nur einige der Subnetze in einem Hostprojekt mithilfe der Cloud Console finden Sie im Abschnitt Dienstprojekte anhängen.

gcloud

Nachstehend wird beschrieben, wie Sie als Dienstprojektadministrator aus einem Dienstprojekt ein IAM-Mitglied festlegen, das Zugriff auf einige Subnetze im Host-Projekt erhält. Bevor Sie diese Mitglieder festlegen können, müssen Sie ein Hostprojekt aktiviert und das Dienstprojekt an das Hostprojekt angehängt haben.

  1. Falls noch nicht geschehen, authentifizieren Sie sich bei gcloud als Administrator für freigegebene VPC. Ersetzen Sie SHARED_VPC_ADMIN durch den Namen des Administrators für freigegebene VPC:

    gcloud auth login SHARED_VPC_ADMIN
    
  2. Wählen Sie das Subnetz im Hostprojekt aus, auf das die Dienstprojektadministratoren Zugriff haben sollen. Rufen Sie die aktuelle IAM-Richtlinie im JSON-Format ab. Ersetzen Sie SUBNET_NAME durch den Namen des Subnetzes im Hostprojekt und HOST_PROJECT_ID durch die Projekt-ID des Hostprojekts.

    gcloud beta compute networks subnets get-iam-policy SUBNET_NAME \
        --region SUBNET_REGION \
        --project HOST_PROJECT_ID \
        --format json
    
  3. Kopieren Sie die JSON-Ausgabe aus dem vorherigen Schritt und speichern Sie sie in einer Datei. Zur Verdeutlichung wird die Ausgabe in dieser Anleitung in einer Datei mit dem Namen subnet-policy.json gespeichert.

  4. Fügen Sie in der Datei subnet-policy.json die IAM-Mitglieder hinzu, die Dienstprojektadministratoren mit Zugriff auf das Subnetz werden sollen. Ersetzen Sie SERVICE_PROJECT_ADMIN jeweils durch die E-Mail-Adresse eines IAM-Nutzers aus dem Dienstprojekt.

    {
      "bindings": [
      {
         "members": [
               "user:[SERVICE_PROJECT_ADMIN]",
               "user:[SERVICE_PROJECT_ADMIN]"
            ],
            "role": "roles/compute.networkUser"
      }
      ],
      "etag": "[ETAG_STRING]"
    }
    

    Sie können in der Richtlinie verschiedene Typen von IAM-Mitgliedern (außer Nutzern) angeben:

    • Ändern Sie user: in group:, um eine Google-Gruppe (per E-Mail-Adresse) als Mitglied anzugeben.
    • Ändern Sie user: in domain:, um eine Google-Domain als Mitglied anzugeben.
    • Verwenden Sie serviceAccount:, um ein Dienstkonto anzugeben. Weitere Informationen zu diesem Anwendungsfall finden Sie unter Dienstkonten als Dienstprojektadministratoren.
  5. Aktualisieren Sie die Richtlinienbindung für das Subnetz mithilfe des Inhalts der Datei subnet-policy.json.

    gcloud beta compute networks subnets set-iam-policy SUBNET_NAME subnet-policy.json \
        --region SUBNET_REGION \
        --project HOST_PROJECT_ID
    
  6. Wenn Sie die Definition von Dienstprojektadministratoren abgeschlossen haben, können Sie sich von gcloud abmelden, um die Anmeldedaten des Administratorkontos für freigegebene VPC zu schützen.

    gcloud auth revoke SHARED_VPC_ADMIN
    

API

  1. Beschreiben Sie die Details Ihrer vorhandenen Subnetzrichtlinie und notieren Sie diese. Sie benötigen die vorhandene Richtlinie und den etag-Wert.

    GET https://compute.googleapis.com/compute/v1/projects/HOST_PROJECT_ID/regions/SUBNET_REGION/subnetworks/SUBNET_NAME/getIamPolicy
    

    Ersetzen Sie die Platzhalter durch gültige Werte:

    • HOST_PROJECT_ID ist die ID des Hostprojekts, das das freigegebene VPC-Netzwerk enthält.
    • SUBNET_NAME ist der Name des freizugebenden Subnetzes.
    • SUBNET_REGION ist die Region, in der sich das Subnetz befindet.
  2. Aktualisieren Sie die Subnetzrichtlinie, um den Dienstprojektadministratoren Zugriff auf Subnetze im Hostprojekt zu erteilen.

    POST https://compute.googleapis.com/compute/v1/projects/HOST_PROJECT_ID/regions/SUBNET_REGION/subnetworks/SUBNET_NAME/setIamPolicy
    {
      "bindings": [
        ...copy existing bindings
        {
          "members": [
            MEMBER,
            ...additional members
          ],
          "role": "roles/compute.networkUser"
        },
      ],
      "etag": "ETAG",
      "version": 1,
      ...other existing policy details
    }
    

    Ersetzen Sie die Platzhalter durch gültige Werte:

    • ETAG ist eine eindeutige Kennung, die Sie beim Beschreiben der vorhandenen Richtlinie erhalten haben. Sie verhindert Konflikte, wenn mehrere Aktualisierungsanfragen gleichzeitig gesendet werden.
    • HOST_PROJECT_ID ist die ID des Hostprojekts, das das freigegebene VPC-Netzwerk enthält.
    • MEMBER ist eine Identität, mit der die Rolle verknüpft ist, z. B. ein Nutzer, eine Gruppe, eine Domain oder ein Dienstkonto. Weitere Informationen finden Sie in der Resource Manager-Dokumentation zum Feld members.
    • SUBNET_NAME ist der Name des freizugebenden Subnetzes.
    • SUBNET_REGION ist die Region, in der sich das Subnetz befindet.

    Weitere Informationen finden Sie in der Methode subnetworks.setIamPolicy.

Dienstkonten als Dienstprojektadministratoren

Ein Administrator für freigegebene VPC kann auch Dienstkonten von Dienstprojekten als Dienstprojektadministratoren definieren. In diesem Abschnitt wird veranschaulicht, wie zwei verschiedene Arten von Dienstkonten als Dienstprojektadministratoren definiert werden:

Wie bei anderen IAM-Mitgliedern kann die Rolle des Dienstprojektadministrators (compute.networkUser) für alle Subnetze oder nur für einige Subnetze des Hostprojekts zugewiesen werden. Der Einfachheit halber wird in diesem Abschnitt lediglich erläutert, wie jeder der beiden Dienstkontotypen als Dienstprojektadministrator für alle Subnetze des Hostprojekts definiert wird.

Benutzerverwaltete Dienstkonten als Dienstprojektadministratoren

Nachstehend wird beschrieben, wie ein benutzerverwaltetes Dienstkonto als Dienstprojektadministrator für alle Subnetze des freigegebenen VPC-Hostprojekts definiert wird.

Console

  1. Melden Sie sich in der Google Cloud Console als Administrator für freigegebene Compute-VPC an.
  2. Rufen Sie in der Google Cloud Console die Seite „Einstellungen” auf.
    Zur Seite „Einstellungen”
  3. Ändern Sie das Projekt in das Dienstprojekt mit dem Dienstkonto, das als Dienstprojektadministrator festgelegt werden soll.
  4. Kopieren Sie die Projekt-ID des Dienstprojekts. Zur Vereinfachung wird die Dienstprojekt-ID hier SERVICE_PROJECT_ID genannt.
  5. Ändern Sie das Projekt zum freigegebenen VPC-Hostprojekt.
  6. Rufen Sie in der Google Cloud Console die Seite „IAM” auf.
    Zur Seite „IAM”
  7. Klicken Sie auf Hinzufügen.
  8. Geben Sie in das Feld Mitglieder SERVICE_ACCOUNT_NAME@SERVICE_PROJECT_ID.iam.gserviceaccount.com ein und ersetzen Sie dabei SERVICE_ACCOUNT_NAME durch den Namen des Dienstkontos.
  9. Wählen Sie im Menü Rollen die Option Compute Engine > Compute-Netzwerknutzer aus.
  10. Klicken Sie auf Hinzufügen.

gcloud

  1. Falls noch nicht geschehen, authentifizieren Sie sich bei gcloud als Administrator für freigegebene VPC. Ersetzen Sie SHARED_VPC_ADMIN durch den Namen des Administrators für freigegebene VPC:

    gcloud auth login SHARED_VPC_ADMIN
    
  2. Wenn Sie die Projekt-ID des Dienstprojekts nicht kennen, können Sie alle Projekte in Ihrer Organisation auflisten. Diese Liste enthält die Projekt-IDs aller Projekte.

    gcloud projects list
    
  3. Erstellen Sie eine Richtlinienbindung, um das Dienstkonto als Dienstprojektadministrator festzulegen. Ersetzen Sie HOST_PROJECT_ID durch die Projekt-ID des Hostprojekts, SERVICE_ACCOUNT_NAME durch den Namen des Dienstkontos und SERVICE_PROJECT_ID durch die Dienstprojekt-ID.

    gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
        --member "serviceAccount:SERVICE_ACCOUNT_NAME@SERVICE_PROJECT_ID.iam.gserviceaccount.com" \
        --role "roles/compute.networkUser"
    

API

  1. Beschreiben Sie die Details Ihrer vorhandenen Projektrichtlinie und notieren Sie diese. Sie benötigen die vorhandene Richtlinie und den etag-Wert.

    POST https://cloudresourcemanager.googleapis.com/v2/projects/HOST_PROJECT_ID:getIamPolicy
    

    Ersetzen Sie HOST_PROJECT_ID durch die ID des Hostprojekts, das das freigegebene VPC-Netzwerk enthält.

  2. Erstellen Sie eine Richtlinienbindung, um Dienstkonten als Dienstprojektadministratoren festzulegen.

    POST https://cloudresourcemanager.googleapis.com/v1/projects/HOST_PROJECT_ID:setIamPolicy
    {
      "bindings": [
        ...copy existing bindings
        {
          "members": [
            "serviceAccount:SERVICE_ACCOUNT_NAME@SERVICE_PROJECT_ID.iam.gserviceaccount.com",
            ...include additional service accounts
          ],
          "role": "roles/compute.networkUser"
        },
      ],
      "etag": "ETAG",
      "version": 1,
      ...other existing policy details
    }
    

    Ersetzen Sie die Platzhalter durch gültige Werte:

    • HOST_PROJECT_ID ist die ID des Hostprojekts, das das freigegebene VPC-Netzwerk enthält.
    • SERVICE_ACCOUNT_NAME ist der Name des Dienstkontos.
    • SERVICE_PROJECT_ID ist die ID des Dienstprojekts, das das Dienstkonto enthält.
    • ETAG ist eine eindeutige Kennung, die Sie beim Beschreiben der vorhandenen Richtlinie erhalten haben. Sie verhindert Konflikte, wenn mehrere Aktualisierungsanfragen gleichzeitig gesendet werden.

    Weitere Informationen finden Sie in der Methode projects.setIamPolicy.

Google API-Dienstkonto als Dienstprojektadministrator

Nachstehend wird beschrieben, wie das Google API-Dienstkonto als Dienstprojektadministrator für alle Subnetze des freigegebenen VPC-Hostprojekts definiert wird. Das Festlegen eines Google APIs-Dienstkontos als Dienstprojektadministrator ist zwingende Voraussetzung für verwaltete Instanzgruppen, die mit einer freigegebenen VPC verwendet werden, da Vorgänge wie die Instanzerstellung von diesem Dienstkontotyp ausgeführt werden. Weitere Informationen zu dieser Beziehung finden Sie unter Verwaltete Instanzgruppen und IAM.

Console

  1. Melden Sie sich in der Google Cloud Console als Administrator für freigegebene Compute-VPC an.
  2. Rufen Sie in der Google Cloud Console die Seite „Einstellungen” auf.
    Zur Seite „Einstellungen”
  3. Ändern Sie das Projekt in das Dienstprojekt mit dem Dienstkonto, das als Dienstprojektadministrator festgelegt werden soll.
  4. Kopieren Sie die Projektnummer des Dienstprojekts. Zur Vereinfachung wird die Dienstprojektnummer hier SERVICE_PROJECT_NUMBER genannt.
  5. Ändern Sie das Projekt zum freigegebenen VPC-Hostprojekt.
  6. Rufen Sie in der Google Cloud Console die Seite „IAM” auf.
    Zur Seite „IAM”
  7. Klicken Sie auf Hinzufügen.
  8. Geben Sie SERVICE_PROJECT_NUMBER@cloudservices.gserviceaccount.com in das Feld Mitglieder ein.
  9. Wählen Sie im Menü Rollen die Option Compute Engine > Compute-Netzwerknutzer aus.
  10. Klicken Sie auf Hinzufügen.

gcloud

  1. Falls noch nicht geschehen, authentifizieren Sie sich bei gcloud als Administrator für freigegebene VPC. Ersetzen Sie SHARED_VPC_ADMIN durch den Namen des Administrators für freigegebene VPC:

    gcloud auth login SHARED_VPC_ADMIN
    
  2. Ermitteln Sie die Projektnummer des Dienstprojekts. Zur Vereinfachung wird die Dienstprojektnummer hier SERVICE_PROJECT_NUMBER genannt. Ersetzen Sie SERVICE_PROJECT_ID durch die Projekt-ID des Dienstprojekts.

    gcloud projects describe SERVICE_PROJECT_ID --format='get(projectNumber)'
    
    • Wenn Sie die Projekt-ID des Dienstprojekts nicht kennen, können Sie alle Projekte in Ihrer Organisation auflisten. Diese Liste enthält die Projektnummern aller Projekte.

      gcloud projects list
      
  3. Erstellen Sie eine Richtlinienbindung, um das Dienstkonto als Dienstprojektadministrator festzulegen. Ersetzen Sie HOST_PROJECT_ID durch die Projekt-ID des Hostprojekts und SERVICE_PROJECT_NUMBER durch die Dienstprojektnummer.

    gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
        --member "serviceAccount:SERVICE_PROJECT_NUMBER@cloudservices.gserviceaccount.com" \
        --role "roles/compute.networkUser"
    

API

  1. Beschreiben Sie die Details Ihrer vorhandenen Projektrichtlinie und notieren Sie diese. Sie benötigen die vorhandene Richtlinie und den etag-Wert.

    POST https://cloudresourcemanager.googleapis.com/v2/projects/HOST_PROJECT_ID:getIamPolicy
    

    Ersetzen Sie HOST_PROJECT_ID durch die ID des Hostprojekts, das das freigegebene VPC-Netzwerk enthält.

  2. Geben Sie Ihr Projekt an, um seine Projektnummer zu ermitteln.

    GET https://cloudresourcemanager.googleapis.com/v1/projects?filter=projectId="SERVICE_PROJECT_ID"
    

    Ersetzen Sie SERVICE_PROJECT_ID durch der ID des Dienstprojekts, in dem sich das Dienstkonto befindet.

  3. Erstellen Sie eine Richtlinienbindung, um Dienstkonten als Dienstprojektadministratoren festzulegen.

    POST https://cloudresourcemanager.googleapis.com/v1/projects/HOST_PROJECT_ID:setIamPolicy
    {
      "bindings": [
        ...copy existing bindings
        {
          "members": [
            "serviceAccount:SERVICE_PROJECT_NUMBER@cloudservices.gserviceaccount.com"
          ],
          "role": "roles/compute.networkUser"
        },
      ],
      "etag": "ETAG",
      "version": 1,
      ...other existing policy details
    }
    

    Ersetzen Sie die Platzhalter durch gültige Werte:

    • HOST_PROJECT_ID ist die ID des Hostprojekts, das das freigegebene VPC-Netzwerk enthält.
    • SERVICE_PROJECT_NUMBER ist die Nummer des Dienstprojekts, das das Dienstkonto enthält.
    • ETAG ist eine eindeutige Kennung, die Sie beim Beschreiben der vorhandenen Richtlinie erhalten haben. Sie verhindert Konflikte, wenn mehrere Aktualisierungsanfragen gleichzeitig gesendet werden.

    Weitere Informationen finden Sie in der Methode projects.setIamPolicy.

Freigegebene VPC verwenden

Sobald ein Administrator für freigegebene VPCs ein Hostprojekt aktiviert, die erforderlichen Dienstprojekte angehängt und die Dienstprojektadministratoren für alle Subnetze oder einige Subnetze des Hostprojekts festgelegt hat, können die Dienstprojektadministratoren in den Dienstprojekten die Subnetze des Hostprojekts verwenden, um Instanzen, Vorlagen und interne Load-Balancer zu erstellen.

Alle in diesem Abschnitt beschriebenen Aufgaben müssen von einem Dienstprojektadministrator ausgeführt werden.

Beachten Sie, dass ein Administrator für freigegebene VPC den Dienstprojektadministratoren nur die Rolle compute.networkUser zuweist (entweder für das gesamte Hostprojekt oder nur für einige seiner Subnetze). Dienstprojektadministratoren sollten auch andere Rollen haben, die für die Verwaltung ihrer jeweiligen Dienstprojekte erforderlich sind. Zum Beispiel kann ein Dienstprojektadministrator auch Projektinhaber sein, zumindest aber sollte er für das Projekt die Rolle compute.instanceAdmin haben.

Verfügbare Subnetze auflisten

Dienstprojektadministratoren können die Subnetze auflisten, für die sie Berechtigungen haben. Die Vorgehensweise ist nachstehend beschrieben.

Console

Rufen Sie in der Google Cloud Console die Seite „Freigegebene VPC” auf.
Zur Seite „Freigegebene VPC”

gcloud

  1. Falls noch nicht geschehen, authentifizieren Sie sich bei gcloud als Dienstprojektadministrator. Ersetzen Sie SERVICE_PROJECT_ADMIN durch den Namen des Dienstprojektadministrators:

    gcloud auth login SERVICE_PROJECT_ADMIN
    
  2. Führen Sie den folgenden Befehl aus und ersetzen Sie dabei HOST_PROJECT_ID durch die Projekt-ID des freigegebenen VPC-Hostprojekts:

    gcloud compute networks subnets list-usable --project HOST_PROJECT_ID
    

    Im folgenden Beispiel werden die verfügbaren Subnetze im Hostprojekt project-1 aufgelistet:

    $ gcloud compute networks subnets list-usable --project project-1
    
    PROJECT    REGION       NETWORK  SUBNET    RANGE          SECONDARY_RANGES
    project-1  us-west1     net-1    subnet-1  10.138.0.0/20
    project-1  us-central1  net-1    subnet-2  10.128.0.0/20  r-1 192.168.2.0/24
                                                              r-2 192.168.3.0/24
    project-1  us-east1     net-1    subnet-3  10.142.0.0/20
    

Weitere Informationen finden Sie in der SDK-Dokumentation zum Befehl list-usable.

API

Listen Sie die verfügbaren Subnetze im Hostprojekt auf. Stellen Sie die Anfrage als Dienstprojektadministrator.

GET https://compute.googleapis.com/compute/v1/projects/HOST_PROJECT_ID/aggregated/subnetworks/listUsable

Ersetzen Sie HOST_PROJECT_ID durch die ID des Hostprojekts, das das freigegebene VPC-Netzwerk enthält.

Weitere Informationen finden Sie in der Methode subnetworks.listUsable.

Statische interne IP-Adresse reservieren

Dienstprojektadministratoren können in einem Subnetz eines freigegebenen VPC-Netzwerks eine interne IP-Adresse reservieren. Das Konfigurationsobjekt für IP-Adressen wird im Dienstprojekt erstellt und dessen Wert stammt aus dem Bereich der IP-Adressen, die in dem jeweiligen freigegebenen Subnetz verfügbar sind.

gcloud

  1. Falls noch nicht geschehen, authentifizieren Sie sich bei gcloud als Dienstprojektadministrator. Ersetzen Sie SERVICE_PROJECT_ADMIN durch den Namen des Dienstprojektadministrators:

    gcloud auth login SERVICE_PROJECT_ADMIN
    
  2. Führen Sie den folgenden Befehl aus und ersetzen Sie dabei HOST_PROJECT_ID durch die Projekt-ID des freigegebenen VPC-Hostprojekts:

    gcloud compute addresses create IP_ADDR_NAME \
    --project SERVICE_PROJECT_ID \
    --subnet projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET \
    --region=REGION
    

Dabei ersetzen Sie:

  • IP_ADDR_NAME durch den Namen des IP-Adressobjekts
  • SERVICE_PROJECT_ID durch die ID des Dienstprojekts
  • HOST_PROJECT_ID durch die ID des freigegebenen VPC-Hostprojekts
  • REGION durch die Region, die das freigegebene Subnetz enthält
  • SUBNET durch den Namen des freigegebenen Subnetzes

Weitere Informationen über das Erstellen von IP-Adressen finden Sie in der SDK-Dokumentation.

API

Reservieren Sie eine statische interne IP-Adresse als Dienstprojektadministrator.

POST https://compute.googleapis.com/compute/v1/projects/SERVICE_PROJECT_ID/regions/REGION/addresses
{
  "name": "ADDRESS_NAME",
  "subnetwork": "projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME",
  "addressType": "INTERNAL"
}

Ersetzen Sie die Platzhalter durch gültige Werte:

  • ADDRESS_NAME ist ein Name für die reservierte interne IP-Adresse.
  • HOST_PROJECT_ID ist die ID des Projekts, das das freigegebene VPC-Netzwerk enthält.
  • REGION ist die Region, in der sich die reservierte IP-Adresse befinden soll, und in der sich das freigegebene Subnetz befindet.
  • SERVICE_PROJECT_ID ist die ID des Dienstprojekts, für das Sie die IP-Adresse reservieren.
  • SUBNET_NAME ist der Name des freigegebenen Subnetzes.

Weitere Informationen finden Sie in der Methode addresses.insert.

Instanz erstellen

Beachten Sie beim Erstellen einer Instanz mit freigegebener VPC Folgendes:

  • Das Standardverfahren zum Erstellen einer Instanz umfasst die Auswahl einer Zone, eines Netzwerks und eines Subnetzes. Das ausgewählte Subnetz und die ausgewählte Zone müssen sich in derselben Region befinden. Wenn ein Dienstprojektadministrator eine Instanz unter Verwendung eines Subnetzes aus einem freigegebenen VPC-Netzwerk erstellt, muss die für diese Instanz ausgewählte Zone in derselben Region liegen wie das ausgewählte Subnetz.

    • Beim Erstellen einer Instanz mit einer reservierten statischen internen IP-Adresse wurde das Subnetz (und die Region) bereits ausgewählt, als die statische IP-Adresse erstellt wurde. In diesem Abschnitt finden Sie ein Beispiel, wie Sie mit gcloud eine Instanz mit einer statischen internen IP-Adresse erstellen.
  • Dienstprojektadministratoren können Instanzen nur in Subnetzen erstellen, für die ihnen Berechtigungen erteilt wurden. Unter Verfügbare Subnetze auflisten erfahren Sie, wie Sie feststellen können, welche Subnetze verfügbar sind.

  • Wenn Google Cloud eine Anfrage zum Erstellen einer Instanz in einem Subnetz eines freigegebenen VPC-Netzwerks erhält, wird überprüft, ob das IAM-Mitglied, das die Anfrage stellt, über die Berechtigung zum Verwenden dieses freigegebenen Subnetzes verfügt. Wenn die Prüfung fehlschlägt, wird die Instanz nicht erstellt und Google Cloud gibt einen Berechtigungsfehler zurück. Wenden Sie sich in diesem Fall an den Administrator der freigegebenen VPC, um Unterstützung zu erhalten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite „VM-Instanzen” auf.
    Zur Seite „VM-Instanzen”
  2. Klicken Sie auf Erstellen.
  3. Legen Sie einen Namen für die Instanz fest.
  4. Klicken Sie auf Verwaltung, Sicherheit, Laufwerke, Netzwerke, Einzelne Mandanten.
  5. Klicken Sie auf Netzwerk.
  6. Klicken Sie unter Netzwerkschnittstellen auf das Netzwerk default.
  7. Klicken Sie auf das Optionsfeld Für mich freigegebene Netzwerke.
  8. Wählen Sie das freigegebene Subnetz aus, in dem Sie die Instanz erstellen möchten.
  9. Geben Sie weitere erforderliche Parameter für die Instanz ein.
  10. Klicken Sie auf Erstellen.

gcloud

  • So erstellen Sie eine Instanz mit einer sitzungsspezifischen internen IP-Adresse in einem freigegebenen Subnetz eines freigegebenen VPC-Netzwerks:

    gcloud compute instances create INSTANCE_NAME \
    --project SERVICE_PROJECT_ID \
    --subnet projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET \
    --zone ZONE
    

    Dabei ersetzen Sie:

    • INSTANCE_NAME durch den Namen der Instanz
    • SERVICE_PROJECT_ID durch die ID des Dienstprojekts
    • HOST_PROJECT_ID durch die ID des freigegebenen VPC-Hostprojekts
    • REGION durch die Region, die das freigegebene Subnetz enthält
    • SUBNET durch den Namen des freigegebenen Subnetzes
    • ZONE durch die Zone in der angegebenen Region
  • So erstellen Sie eine Instanz mit einer reservierten statischen internen IP-Adresse in einem freigegebenen VPC-Netzwerk:

    1. Reservieren Sie eine statische interne IP-Adresse im Hostprojekt.
    2. Erstellen Sie die Instanz:

      gcloud compute instances create INSTANCE_NAME \
      --project SERVICE_PROJECT_ID \
      --private-network-ip IP_ADDR_NAME \
      --zone ZONE
      --subnet projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET
      

      Dabei ersetzen Sie:

      • INSTANCE_NAME durch den Namen der Instanz
      • SERVICE_PROJECT_ID durch die ID des Dienstprojekts
      • HOST_PROJECT_ID durch die ID des freigegebenen VPC-Hostprojekts
      • IP_ADDR_NAME durch den Namen der statischen IP-Adresse
      • ZONE durch eine Zone in derselben Region wie IP_ADDR_NAME
      • SUBNET durch den Namen des freigegebenen Subnetzes, das der statischen internen IP-Adresse zugeordnet ist

API

  • Geben Sie nur das Subnetz an, wenn Sie als Dienstprojektadministrator eine Instanz mit einer sitzungsspezifischen internen IP-Adresse erstellen möchten.

    POST https://compute.googleapis.com/compute/v1/projects/SERVICE_PROJECT_ID/zones/ZONE/instances
    {
      "machineType": "MACHINE_TYPE",
      "name": "INSTANCE_NAME",
      "networkInterfaces": [
        {
          "subnetwork": "projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
        }
      ],
      "disks": [
        {
          "boot": true,
          "initializeParams": {
            "sourceImage": "SOURCE_IMAGE"
          }
        }
      ]
    }
    

    Ersetzen Sie die Platzhalter durch gültige Werte:

    • INSTANCE_NAME ist ein Name für die Instanz.
    • HOST_PROJECT_ID ist die ID des Projekts, das das freigegebene VPC-Netzwerk enthält.
    • MACHINE_TYPE ist ein Maschinentyp für die Instanz.
    • REGION ist die Region, die das freigegebene Subnetz enthält.
    • SERVICE_PROJECT_ID ist die ID des Dienstprojekts.
    • SOURCE_IMAGE ist ein Image für die Instanz.
    • SUBNET ist der Name des freigegebenen Subnetzes.
    • ZONE ist eine Zone in der angegebenen Region.

    Weitere Informationen finden Sie in der Methode instances.insert.

  • Geben Sie das Subnetz und den Namen der reservierten IP-Adresse an, um als Dienstprojektadministrator eine Instanz mit einer reservierten internen IP-Adresse zu erstellen.

    POST https://compute.googleapis.com/compute/v1/projects/SERVICE_PROJECT_ID/zones/ZONE/instances
    {
      "machineType": "MACHINE_TYPE",
      "name": "INSTANCE_NAME",
      "networkInterfaces": [
        {
          "subnetwork": "projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME",
          "networkIP": "projects/SERVICE_PROJECT_ID/regions/REGION/addresses/ADDRESS_NAME"
        }
      ],
      "disks": [
        {
          "boot": true,
          "initializeParams": {
            "sourceImage": "SOURCE_IMAGE"
          }
        }
      ]
    }
    

    Ersetzen Sie die Platzhalter durch gültige Werte:

    • ADDRESS_NAME ist der Name der reservierten internen IP-Adresse.
    • INSTANCE_NAME ist ein Name für die Instanz.
    • HOST_PROJECT_ID ist die ID des Projekts, das das freigegebene VPC-Netzwerk enthält.
    • MACHINE_TYPE ist ein Maschinentyp für die Instanz.
    • REGION ist die Region, die das freigegebene Subnetz enthält.
    • SERVICE_PROJECT_ID ist die ID des Dienstprojekts.
    • SOURCE_IMAGE ist ein Image für die Instanz.
    • SUBNET ist der Name des freigegebenen Subnetzes.
    • ZONE ist eine Zone in der angegebenen Region.

    Weitere Informationen finden Sie in der Methode instances.insert.

Instanzvorlage erstellen

Beachten Sie beim Erstellen einer Instanzvorlage mit freigegebener VPC Folgendes:

  • Wenn Sie eine Instanzvorlage erstellen, müssen Sie ein Netzwerk und ein Subnetz auswählen.

    • Vorlagen, die für die Verwendung in einem freigegebenen VPC-Netzwerk im benutzerdefinierten Modus erstellt werden, müssen sowohl das Netzwerk als auch ein Subnetz enthalten.

    • Bei Vorlagen, die für die Verwendung in einem freigegebenen VPC-Netzwerk im automatischen Modus erstellt werden, kann das Subnetz auch später festgelegt werden. In diesen Fällen wird ein Subnetz automatisch in derselben Region ausgewählt, in der sich auch eine beliebige verwaltete Instanzgruppe befindet, die die Vorlage verwendet. Netzwerke im automatischen Modus haben definitionsgemäß ein Subnetz in jeder Region.

  • Wenn ein IAM-Mitglied eine Instanzvorlage erstellt, führt Google Cloud keine Berechtigungsprüfung durch, um festzustellen, ob das Mitglied das angegebene Subnetz verwenden darf. Diese Berechtigungsprüfung erfolgt immer erst dann, wenn eine verwaltete Instanzgruppe angefordert wird, die die Vorlage verwendet.

Console

  1. Öffnen Sie in der Google Cloud Console die Seite „Instanzvorlagen”.
    Zur Seite „Instanzvorlagen”
  2. Klicken Sie auf Instanzvorlage erstellen.
  3. Geben Sie einen Namen für die Instanzvorlage an.
  4. Klicken Sie auf Verwaltung, Sicherheit, Laufwerke, Netzwerke, Einzelne Mandanten.
  5. Klicken Sie auf Netzwerk.
  6. Klicken Sie unter Netzwerkschnittstellen auf das Netzwerk default.
  7. Klicken Sie auf das Optionsfeld Für mich freigegebene Netzwerke.
  8. Wählen Sie das freigegebene Subnetz aus, in dem Sie die Instanzvorlage erstellen möchten.
  9. Geben Sie alle anderen notwendigen Parameter für die Instanzvorlage an.
  10. Klicken Sie auf Erstellen.

gcloud

  • So erstellen Sie eine Instanzvorlage zur Verwendung in einem automatisch erstellten Subnetz eines freigegebenen VPC-Netzwerks im automatischen Modus:

    gcloud compute instance-templates create TEMPLATE_NAME \
    --project SERVICE_PROJECT_ID \
    --network projects/HOST_PROJECT_ID/global/networks/NETWORK
    

    Dabei ersetzen Sie:

    • TEMPLATE_NAME durch den Namen der Vorlage
    • SERVICE_PROJECT_ID durch die ID des Dienstprojekts
    • HOST_PROJECT_ID durch die ID des freigegebenen VPC-Hostprojekts
    • NETWORK durch den Namen des freigegebenen VPC-Netzwerks
  • So erstellen Sie eine Instanzvorlage für ein manuell erstelltes Subnetz in einem freigegebenen VPC-Netzwerk (im automatischen oder benutzerdefinierten Modus):

    gcloud compute instance-templates create TEMPLATE_NAME \
    --project SERVICE_PROJECT_ID \
    --region REGION \
    --subnet projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET
    

    Dabei ersetzen Sie:

    • TEMPLATE_NAME durch den Namen der Vorlage
    • SERVICE_PROJECT_ID durch die ID des Dienstprojekts
    • HOST_PROJECT_ID durch die ID des freigegebenen VPC-Hostprojekts
    • REGION durch die Region, die das freigegebene Subnetz enthält
    • SUBNET durch den Namen des freigegebenen Subnetzes

API

  • Geben Sie das VPC-Netzwerk an, wenn Sie eine Instanzvorlage erstellen möchten, die ein automatisch erstelltes Subnetz eines freigegebenen VPC-Netzwerks im automatischen Modus verwendet.

    POST https://compute.googleapis.com/compute/v1/projects/SERVICE_PROJECT_ID/global/instanceTemplates
    {
    "properties": {
      "networkInterfaces": [
        {
          "network": "projects/HOST_PROJECT_ID/global/networks/NETWORK"
        }
      ]
    ...
    }
    

    Ersetzen Sie die Platzhalter durch gültige Werte:

    • HOST_PROJECT_ID ist die ID des Projekts, das das freigegebene VPC-Netzwerk enthält.
    • SERVICE_PROJECT_ID ist die ID des Dienstprojekts.
    • NETWORK ist der Name des freigegebenen VPC-Netzwerks.

    Weitere Informationen finden Sie in der Methode instanceTemplates.insert.

  • Geben Sie das Subnetz an, um eine Instanzvorlage zu erstellen, die ein manuell erstelltes Subnetz im freigegebenen VPC-Netzwerk im automatischen oder benutzerdefinierten Modus verwendet.

    POST https://compute.googleapis.com/compute/v1/projects/SERVICE_PROJECT_ID/global/instanceTemplates
    {
    "properties": {
      "networkInterfaces": [
        {
          "subnetwork": "projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME"
        }
      ]
    ...
    }
    

    Ersetzen Sie die Platzhalter durch gültige Werte:

    • HOST_PROJECT_ID ist die ID des Projekts, das das freigegebene VPC-Netzwerk enthält.
    • REGION ist die Region, die das freigegebene Subnetz enthält.
    • SERVICE_PROJECT_ID ist die ID des Dienstprojekts.
    • SUBNET_NAME ist der Name des freigegebenen Subnetzes.

    Weitere Informationen finden Sie in der Methode instanceTemplates.insert.

Verwaltete Instanzgruppe erstellen

Beachten Sie beim Erstellen einer verwalteten Instanzgruppe mit freigegebener VPC Folgendes:

  • Für verwaltete Instanzgruppen zur Verwendung mit einer freigegebenen VPC muss das Google APIs-Dienstkonto ein Dienstprojektadministrator sein, da Aufgaben wie die automatische Instanzerstellung per Autoscaling über dieses Dienstkonto ausgeführt werden.

  • Das Standardverfahren zum Erstellen einer verwalteten Instanzgruppe umfasst die Auswahl einer Zone oder Region (abhängig vom Gruppentyp) und die Auswahl einer Instanzvorlage. (Die Netzwerk- und Subnetzdetails sind an die Instanzvorlage gebunden.) Es können nur Instanzvorlagen verwendet werden, die auf Subnetze in derselben Region verweisen, die auch von der verwalteten Instanzgruppe verwendet wird.

  • Dienstprojektadministratoren können nur verwaltete Instanzgruppen erstellen, deren Mitgliedsinstanzen Subnetze verwenden, für die ihnen Berechtigungen erteilt wurden. Die Netzwerk- und Subnetzdetails sind an die Instanzvorlage gebunden. Daher können Dienstprojektadministratoren nur Vorlagen mit Verweisen auf Subnetze verwenden, zu deren Nutzung sie berechtigt sind.

  • Wenn Google Cloud eine Anfrage zum Erstellen einer verwalteten Instanzgruppe erhält, wird überprüft, ob das IAM-Mitglied, das die Anfrage stellt, die Berechtigung hat, das in der Instanzvorlage angegebene Subnetz (in derselben Region wie die Gruppe) zu verwenden. Wenn die Prüfung fehlschlägt, wird die verwaltete Instanzgruppe nicht erstellt und Google Cloud gibt einen Berechtigungsfehler zurück. Listen Sie verfügbare Subnetze auf, um festzustellen, welche verwendet werden können. Außerdem können Sie den Administrator der freigegebenen VPC um Unterstützung bitten.

Weitere Informationen finden Sie in der Compute Engine-Dokumentation unter Verwaltete Instanzgruppen erstellen.

Internen HTTP(S)-Load-Balancer erstellen

Es gibt zwei Möglichkeiten, das interne HTTP(S)-Load-Balancing in einem freigegebenen VPC-Netzwerk zu konfigurieren. Sie können den Load-Balancer und seine Back-End-Instanzen entweder im Dienstprojekt oder im Hostprojekt erstellen. Wir empfehlen, den Load-Balancer im Projekt service zu erstellen, da Sie so eine klare Trennung der Zuständigkeiten zwischen Netzwerkadministratoren und Dienstentwicklern gewährleisten können. Netzwerkadministratoren können internen IP-Bereich sicher und effizient zuweisen, während Dienstentwickler je nach Anforderungen des Dienstprojekts Load-Balancing-Ressourcen bereitstellen und aktualisieren können.

Bevor Dienstprojektadministratoren interne HTTP(S)-Load-Balancer im Dienstprojekt erstellen können, müssen Hostprojektadministratoren die folgenden Aktionen im Hostprojekt ausführen:

  1. Erstellen Sie ein Nur-Proxy-Subnetz, das für interne HTTP(S)-Load-Balancer reserviert ist. Sie müssen in jeder Region des freigegebenen VPC-Netzwerks, in dem Dienstprojektadministratoren interne HTTP(S)-Load-Balancer erstellen möchten, ein Nur-Proxy-Subnetz erstellen.
  2. Erstellen Sie ein Subnetz für das Front-End und die Back-Ends des Load-Balancers. Sie müssen diesen Schritt möglicherweise jedes Mal wiederholen, wenn Sie ein neues Dienstprojekt in das freigegebene VPC-Netzwerk einrichten. Wenn beispielsweise jedes Dienstprojekt ein eigenes Subnetz haben soll, sollten Sie jedem Dienstprojekt ein separates Subnetz zuweisen. Dadurch können verschiedene Teams, die in ihren eigenen Dienstprojekten arbeiten, unabhängig voneinander arbeiten.
  3. Gewähren Sie Dienstprojektadministratoren oder Entwicklern Zugriff auf diese Subnetze. Dienstprojektmitglieder sollten Load-Balancing-Ressourcen und Back-Ends in diesen Subnetzen bereitstellen und aktualisieren können, ohne Hostprojektadministratoren einbeziehen zu müssen.
  4. Erstellen Sie globale Firewallregeln, die für die internen HTTP(S)-Load-Balancer erforderlich sind.

Eine Anleitung zum Bereitstellen der Netzwerkressourcen, die für interne HTTP(S)-Load-Balancer erforderlich sind, finden Sie unter Internes HTTP(S)-Load-Balancing mit freigegebener VPC einrichten.

Internen TCP/UDP-Load-Balancer erstellen

Das folgende Beispiel zeigt, was Sie beim Erstellen eines internen TCP/UDP-Load-Balancers in einem freigegebenen VPC-Netzwerk beachten müssen. Dienstprojektadministratoren können einen internen TCP/UDP-Load-Balancer erstellen, der ein Subnetz (im Hostprojekt) verwendet, auf das sie Zugriff haben. Die interne Weiterleitungsregel des Load-Balancers ist im Dienstprojekt definiert, aber seine Subnetzreferenz verweist auf ein Subnetz in einem freigegebenen VPC-Netzwerk des Hostprojekts.

Lesen Sie die folgenden Dokumente, bevor Sie einen internen TCP/UDP-Load-Balancer in einer freigegebenen VPC-Umgebung erstellen:

Console

  1. Öffnen Sie in der Google Cloud Console die Seite „Load-Balancing”.
    Zur Seite „Load-Balancing”

  2. Erstellen Sie Ihren internen TCP/UDP-Load-Balancer und nehmen Sie die folgende Anpassung vor: Wählen Sie im Bereich Front-End-Dienste konfigurieren aus dem Menü Subnetz das gewünschte freigegebene VPC-Subnetz aus dem Bereich Von anderen Projekten freigegebene Netzwerke aus.

  3. Schließen Sie das Erstellen des Load-Balancers ab.

gcloud

Wenn Sie die interne Weiterleitungsregel erstellen, geben Sie im Hostprojekt ein Subnetz mit dem Flag --subnet an:

gcloud compute forwarding-rules create FR_NAME \
    --project SERVICE_PROJECT_ID \
    --load-balancing-scheme internal \
    --region REGION \
    --ip-protocol IP_PROTOCOL \
    --ports PORT,PORT,... \
    --backend-service BACKEND_SERVICE_NAME \
    --subnet projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET \
    --address INTERNAL_IP

Dabei ersetzen Sie:

  • FR_NAME durch den Namen der Weiterleitungsregel
  • SERVICE_PROJECT_ID durch die ID des Dienstprojekts
  • REGION durch die Region, die das freigegebene Subnetz enthält
  • IP_PROTOCOL durch TCP oder UDP, die dem Protokoll des Back-End-Dienstes des Load-Balancers entsprechen
  • PORT durch den numerischen Port oder die Liste der Ports für den Load-Balancer
  • BACKEND_SERVICE_NAME durch den Namen des Back-End-Dienstes (bereits im Rahmen der allgemeinen Vorgehensweise zum Erstellen eines internen TCP/UDP-Load-Balancers erstellt)
  • HOST_PROJECT_ID durch die ID des freigegebenen VPC-Hostprojekts
  • SUBNET durch den Namen des freigegebenen Subnetzes
  • INTERNAL_IP durch eine interne IP-Adresse im freigegebenen Subnetz (wenn nicht angegeben, wird eine verfügbare automatisch ausgewählt)

Auf dieser Seite finden Sie weitere Optionen zur Verwendung mit gcloud compute forwarding-rules create.

API

Erstellen Sie die interne Weiterleitungsregel und geben Sie ein Subnetz im Hostprojekt an.

POST https://compute.googleapis.com/compute/v1/projects/SERVICE_PROJECT_ID/regions/REGION/forwardingRules
{
  "name": "FR_NAME",
  "IPAddress": "IP_ADDRESS",
  "IPProtocol": "PROTOCOL",
  "ports": [ "PORT", ... ],
  "loadBalancingScheme": "INTERNAL",
  "subnetwork": "https://www.googleapis.com/compute/v1/projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET",
  "network": "https://www.googleapis.com/compute/v1/projects/HOST_PROJECT_ID/global/networks/NETWORK_NAME",
  "backendService": "https://www.googleapis.com/compute/v1/projects/SERVICE_PROJECT_ID/regions/us-west1/backendServices/BE_NAME",
  "networkTier": "PREMIUM"
}

Ersetzen Sie die Platzhalter durch gültige Werte:

  • BE_NAME ist der Name des Back-End-Dienstes (bereits im Rahmen der allgemeinen Vorgehensweise zum Erstellen eines internen TCP/UDP-Load-Balancers erstellt).
  • FR_NAME ist ein Name für die Weiterleitungsregel.
  • HOST_PROJECT_ID ist die ID des freigegebenen VPC-Hostprojekts.
  • IP_ADDRESS ist eine interne IP-Adresse im freigegebenen Subnetz.
  • IP_PROTOCOL ist entweder TCP oder UDP, die dem Protokoll des Back-End-Dienstes des Load-Balancers entsprechen
  • PORT ist der numerische Port oder die Liste der Ports für den Load-Balancer.
  • REGION ist die Region, die das freigegebene Subnetz enthält.
  • SERVICE_PROJECT_ID ist die ID des Dienstprojekts.
  • SUBNET ist der Name des freigegebenen Subnetzes.

Weitere Informationen finden Sie in der Methode forwardingRules.insert.

Weitere Informationen