Configura una VPC compartida con conectores en el proyecto host

Si tu organización configuró la VPC compartida, completa la siguiente configuración a fin de habilitar entornos sin servidores en proyectos de servicio de VPC compartida para conectarte a una red de VPC compartida:

  1. Un administrador del proyecto host de VPC compartida debe crear un conector de Acceso a VPC sin servidores dentro del proyecto host y conectarlo a la red de VPC compartida.
  2. El administrador del proyecto host debe otorgar a las siguientes cuentas la función de IAM Usuario de acceso a VPC sin servidores en el proyecto host, según corresponda:

    • Cloud Run: El agente de servicio de Cloud Run del proyecto de servicio (service-SERVICE_PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com)
    • Cloud Functions: El agente de servicio de Cloud Functions del proyecto de servicio (service-SERVICE_PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com)
    • App Engine: La persona o cuenta de servicio que realiza implementaciones de App Engine en el proyecto de servicio

    Esta función de IAM permite que los entornos sin servidores en proyectos de servicio usen conectores del proyecto host.

    Console

    1. Ve a la página de IAM en el proyecto host de la VPC compartida:

      Ir a IAM

    2. Haz clic en Agregar.

    3. En el campo Miembros nuevos, ingresa las direcciones de correo electrónico de las cuentas adecuadas. Consulta la información anterior.

    4. En el campo Función, selecciona Usuario de Acceso a VPC sin servidores.

    5. Haz clic en Save (Guardar).

    gcloud

    Otorga permisos en el proyecto host de VPC compartida con el siguiente comando:

    gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
    --member MEMBER \
    --role roles/vpcaccess.user
    

    en el que HOST_PROJECT_ID es el ID del proyecto host de la VPC compartida y MEMBER es la dirección de correo electrónico de la cuenta adecuada. Consulta la información anterior. Recuerda usar el prefijo MEMBER con user: o serviceAccount: según el tipo de cuenta.

    Repite el proceso según sea necesario para varias cuentas.

Después de completar esta configuración, los entornos sin servidores asociados en los proyectos de servicio de VPC compartida podrán especificar el conector del proyecto host para conectarse a la red de VPC compartida mediante las consideraciones específicas de la plataforma.

Especifica el conector para diferentes plataformas sin servidores

Especifica el conector para Cloud Run, App Engine y Cloud Functions mediante la pestaña adecuada:

Cloud Run

Cuando implementas o actualizas un servicio de Cloud Run en tu proyecto de servicio, debes especificar el conector del proyecto host con el nombre completamente calificado. Por ejemplo:

gcloud run deploy SERVICE --image IMAGE_URL \
--vpc-connector projects/HOST_PROJECT_ID/locations/CONNECTOR_REGION/connectors/CONNECTOR_NAME

De este modo, se conecta el servicio a la red de VPC compartida.

App Engine

Para el estándar de App Engine, especifica el nombre del conector completamente calificado en el archivo app.yaml como se describe en la página de conexión de VPC de tu lenguaje, por ejemplo, con Python.

Funciones

Cuando implementas una función en el proyecto de servicio, debes especificar el conector del proyecto host mediante el nombre completamente calificado del conector:

gcloud functions deploy FUNCTION_NAME \
--vpc-connector projects/HOST_PROJECT_ID/locations/CONNECTOR_REGION/connectors/CONNECTOR_NAME \
FLAGS...

Esto conecta la función a la red de VPC compartida.