Zugriff auf freigegebene VPC einrichten

Workstationcluster mit einer freigegebene VPC erstellen

Führen Sie die folgenden Schritte aus, um Workstationcluster mit einer freigegebene VPC zu erstellen.

  1. Rufen Sie zuerst das Verwaltungsdienstkonto für den Dienst ab oder erstellen Sie es. Wenn Sie kein Dienstkonto haben und eines erstellen müssen, verwenden Sie den folgenden Befehl:

    gcloud beta services identity create --service=workstations.googleapis.com \
    --project=$PROJECT_ID

    Ersetzen Sie $PROJECT_ID durch Ihre Projekt-ID. Sie finden die Projekt-ID über die Google Cloud Console. Klicken Sie dazu in der Google Cloud-Menüleiste auf den Projektnamen und suchen Sie im Dialogfeld Projektname und ID nach der ID.

  2. Weisen Sie dem Dienstkonto zur Workstationverwaltung die Rolle roles/compute.networkUser im Hostprojekt der freigegebene VPC zu. Weitere Informationen zum Format des Verwaltungsdienstkontos finden Sie im Hinweis im vorherigen Schritt. Nach dem Prinzip der geringsten Berechtigung verwenden Sie IAM-Bedingungen, um diese Rolle nur auf das freigegebene VPC-Netzwerk und -Subnetz anzuwenden. Beispiel:

    resource.name == "projects/$SHARED_VPC_HOST_PROJECT/global/networks/$NETWORK" ||
resource.name == "projects/$SHARED_VPC_HOST_PROJECT/regions/$LOCATION/subnetworks/$SUBNETWORK"

  3. Geben Sie beim Erstellen Ihres Workstation-Clusters in der Google Cloud Console das freigegebene VPC-Netzwerk und das Subnetzwerk an. Dieser Schritt ist nur möglich, wenn das Subnetz über die Console für den Nutzer freigegeben wird. Weitere Informationen finden Sie unter Freigegebene VPC bereitstellen.

Allgemeine Informationen zum Zugriff auf freigegebene VPC finden Sie unter Freigegebene VPC.

Wenn Sie einen Workstationcluster erstellen, verknüpft Cloud Workstations den Cluster mit einem bestimmten Subnetz und alle Workstations werden in diesem Subnetz platziert. Damit Sie VPC-Flusslogs aktivieren können, muss das Logging für dieses Subnetz aktiviert sein. Weitere Informationen finden Sie unter VPC-Flusslogs für ein vorhandenes Subnetz aktivieren.

Nächste Schritte