Configura el acceso a la VPC compartida

Crea clústeres de estaciones de trabajo con una VPC compartida

Para crear clústeres de estaciones de trabajo con una VPC compartida, sigue estos pasos.

  1. Comienza por recuperar o crear la cuenta de servicio de administración para el servicio. Si no tienes una cuenta de servicio y necesitas crear una, usa el siguiente comando:

    gcloud beta services identity create --service=workstations.googleapis.com \
    --project=$PROJECT_ID

    Reemplaza $PROJECT_ID con el ID del proyecto. Para encontrar el ID del proyecto en la consola de Google Cloud, haz clic en el nombre del proyecto en la barra de menú de Google Cloud y busca el ID en el diálogo ID y nombre del proyecto que se abrirá.

  2. Otorga el rol roles/compute.networkUser a la cuenta de servicio de administración de estaciones de trabajo en el proyecto host de la VPC compartida. Consulta la Nota en el paso anterior para ver el formato de la cuenta de servicio de administración. Para seguir el principio de privilegio mínimo, usa las condiciones de IAM para aplicar esta función solo a la red y subred de VPC compartida. Por ejemplo:

    resource.name == "projects/$SHARED_VPC_HOST_PROJECT/global/networks/$NETWORK" ||
resource.name == "projects/$SHARED_VPC_HOST_PROJECT/regions/$LOCATION/subnetworks/$SUBNETWORK"

  3. Cuando crees el clúster de la estación de trabajo en la consola de Google Cloud, especifica la red y la subred de VPC compartida. Este paso solo es posible si la subred se comparte con el usuario que usa la consola. Para obtener más información, consulta Aprovisiona la VPC compartida.

Para obtener información general sobre el acceso a la VPC compartida, consulta VPC compartida.

Cuando creas un clúster de estación de trabajo, Cloud Workstations asocia el clúster con una subred en particular y todas las estaciones de trabajo se colocan en esa subred. Para habilitar los registros de flujo de VPC, asegúrate de activar el registro en esa subred. Si quieres obtener más información, consulta Habilita los registros de flujo de VPC en una subred existente.

¿Qué sigue?