Configurer l'accès au VPC partagé

Créer des clusters de stations de travail à l'aide d'un VPC partagé

Pour créer des clusters de stations de travail à l'aide d'un VPC partagé, procédez comme suit.

  1. Commencez par récupérer ou créer le compte de service de gestion pour le service. Si vous n'avez pas de compte de service et que vous devez en créer un, utilisez la commande suivante:

    gcloud beta services identity create --service=workstations.googleapis.com \
    --project=$PROJECT_ID

    Remplacez $PROJECT_ID par l'ID du projet. Vous pouvez trouver l'ID du projet dans la console Google Cloud. Pour ce faire, cliquez sur le nom du projet dans la barre de menu Google Cloud, puis recherchez l'ID dans la boîte de dialogue Nom et ID du projet qui s'ouvre.

  2. Attribuez le rôle roles/compute.networkUser au compte de service de gestion des stations de travail sur le projet hôte du VPC partagé. Reportez-vous à la remarque de l'étape précédente pour connaître la forme du compte de service de gestion. Pour suivre le principe du moindre privilège, utilisez des conditions IAM pour n'appliquer ce rôle qu'au réseau et au sous-réseau VPC partagés. Exemple :

    resource.name == "projects/$SHARED_VPC_HOST_PROJECT/global/networks/$NETWORK" ||
resource.name == "projects/$SHARED_VPC_HOST_PROJECT/regions/$LOCATION/subnetworks/$SUBNETWORK"

  3. Lorsque vous créez votre cluster de stations de travail dans la console Google Cloud, spécifiez le réseau et le sous-réseau VPC partagés. Cette étape n'est possible que si le sous-réseau est partagé avec l'utilisateur via la console. Pour en savoir plus, consultez la section Provisionner un VPC partagé.

Pour obtenir des informations générales sur l'accès au VPC partagé, consultez la section VPC partagé.

Lorsque vous créez un cluster de stations de travail, Cloud Workstations l'associe à un sous-réseau particulier, et toutes les stations de travail sont placées dans ce sous-réseau. Pour activer les journaux de flux VPC, veillez à activer la journalisation pour ce sous-réseau. Pour en savoir plus, consultez la page Activer les journaux de flux VPC pour un sous-réseau existant.

Étapes suivantes