設定共用虛擬私有雲網路

Cloud Composer 3 | Cloud Composer 2 | Cloud Composer 1

本頁面說明 Cloud Composer 的共用虛擬私人雲端網路和主專案要求。

共用虛擬私有雲可讓機構在專案層級建立預算和存取權控管邊界，同時確保透過私人 IP進行的跨邊界通訊安全又有效率。在共用虛擬私有雲設定中，Cloud Composer 可以叫用同機構其他 Google Cloud 專案中託管的服務，而不會在公開網際網路上公開服務。

共用虛擬私有雲的規範

• 如要使用共用虛擬私有雲，您必須指派網路和子網路所屬的「主專案」，以及連結至主專案的「服務專案」。當 Cloud Composer 參與共用虛擬私有雲時，Cloud Composer 環境位在服務專案中。

• 請確認 Cloud Composer 環境的內部 IP 範圍與 VPC 網路範圍沒有衝突。

• Cloud Composer 3 限制使用一個中介 DNS 跳躍，請確認 DNS 設定允許這項操作。

準備

1. 尋找下列專案 ID 和專案編號：

   • 主專案：包含共用虛擬私人雲端網路的專案。
   • 服務專案：包含 Cloud Composer 環境的專案。

2. 為貴機構進行準備。

設定服務專案

如果您從未在服務專案中建立 Cloud Composer 環境，請在服務專案中佈建 Composer 服務代理帳戶：

gcloud beta services identity create --service=composer.googleapis.com

設定主專案

請按照進一步說明的步驟設定主專案。

設定網路資源

您可以選擇下列其中一個選項：

• 方法 1： 建立新的虛擬私有雲網路和子網路。

• 方法 2：在現有 VPC 網路中建立子網路。

• 方法 3：使用現有的虛擬私有雲網路和子網路。

設定共用虛擬私有雲並附加服務專案

1. 如果尚未設定，請設定共用 VPC。如果您已設定共用虛擬私有雲，請跳至下一個步驟。

2. 連結服務專案，用於代管 Cloud Composer 環境。

   附加專案時，請保留預設的虛擬私有雲網路權限。

將權限授予 Composer 服務代理帳戶

在主專案中：

1. 編輯 Composer 服務代理人帳戶的權限 (service-SERVICE_PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com)

2. 在專案層級新增另一個角色：Composer 共用虛擬私有雲代理 (composer.sharedVpcAgent)。

結論

您已完成服務和主機專案的共用虛擬私有雲網路設定。

您現在可以將服務專案中的新環境和現有環境連結至主專案的虛擬私有雲網路。您可以採用下列任一做法：

• 將環境連線至共用虛擬私有雲網路。Cloud Composer 會為環境建立新的網路連結。
• 在服務專案中建立網路連結，將其連結至共用虛擬私有雲網路，然後將一或多個環境連結至此網路連結。

如需這兩種方法的差異和操作說明，請參閱「將虛擬私有雲網路連線至您的環境」。

後續步驟

• 將虛擬私有雲網路連結至環境。
• 建立 Cloud Composer 環境。