Configurar conectores em projetos de serviço de VPC compartilhada

Se a organização usa a VPC compartilhada, é possível configurar conectores de acesso VPC sem servidor no projeto de serviço ou no projeto host. Este guia mostra como configurar um conector no projeto de serviço.

Se você precisar configurar um conector no projeto host, consulte Configurar conectores no projeto host. Saiba mais sobre as vantagens de cada método em Como se conectar a uma rede VPC compartilhada.

Em geral, você precisa seguir estas etapas:

1. Conceder permissões
2. Criar uma sub-rede
3. Na página Como configurar o Acesso VPC sem servidor, conclua as etapas nas seguintes seções:
   • Criar um conector de acesso VPC sem servidor
   • Configurar o ambiente sem servidor para usar um conector
   • Configurar regras de firewall para conectores

Conceder permissões a contas de serviço nos projetos de serviço

Em cada projeto de serviço que usará conectores de VPC, o administrador de VPC compartilhada precisa conceder o papel de usuário de rede do Compute (compute.networkUser) no projeto host ao projeto de serviço cloudservices e às contas de serviço vpcaccess.

Para conceder o papel:

1. Use os comandos a seguir:

   gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
   --role "roles/compute.networkUser" \
   --member "serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-vpcaccess.iam.gserviceaccount.com"

   gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
   --role "roles/compute.networkUser" \
   --member "serviceAccount:SERVICE_PROJECT_NUMBER@cloudservices.gserviceaccount.com"

2. Se a conta de serviço @gcp-sa-vpcaccess não existir, ative a API de acesso VPC sem servidor no projeto de serviço e tente novamente:

   gcloud services enable vpcaccess.googleapis.com

Se você preferir não conceder o acesso a toda a rede VPC compartilhada para essas contas de serviço e quiser permitir o acesso apenas a sub-redes específicas, é possível conceder esses papéis a essas contas de serviço somente em sub-redes específicas.

Criar uma sub-rede

Ao usar a VPC compartilhada, o administrador de VPC compartilhada precisa criar uma sub-rede para cada conector. Siga a documentação sobre como adicionar uma sub-rede para adicionar uma sub-rede /28 na rede VPC compartilhada. Essa sub-rede precisa estar na mesma região que os serviços sem servidor que usarão o conector.

Próximas etapas

• Na página Como configurar o Acesso VPC sem servidor, conclua as etapas nas seguintes seções:
  • Criar um conector de acesso VPC sem servidor
  • Configurar o ambiente sem servidor para usar um conector