Connectors in freigegebenen VPC-Dienstprojekten konfigurieren

Wenn Ihre Organisation eine freigegebene VPC verwendet, können Sie einen Connector für den serverlosen VPC-Zugriff entweder im Dienstprojekt oder im Hostprojekt einrichten. In dieser Anleitung wird gezeigt, wie Sie einen Connector im Dienstprojekt einrichten.

Informationen zum Einrichten eines Connectors im Hostprojekt finden Sie unter Connectors im Hostprojekt konfigurieren. Weitere Informationen zu den Vorteilen der einzelnen Methoden finden Sie unter Verbindung zu einem freigegebenen VPC-Netzwerk herstellen.

Auf übergeordneter Ebene müssen Sie folgende Schritte ausführen:

1. Berechtigungen erteilen
2. Subnetz erstellen
3. Führen Sie auf der Seite Serverlosen VPC-Zugriff konfigurieren die Schritte in den folgenden Abschnitten aus:
   • Erstellen eines Connectors für serverlosen VPC-Zugriff.
   • Serverlose Umgebung für die Verwendung eines Connectors konfigurieren
   • Firewallregeln für Connectors konfigurieren

Berechtigungen für Dienstkonten in Dienstprojekten gewähren

Für jedes Dienstprojekt, das VPC-Connectors verwendet, muss ein Administrator für freigegebene VPCs dem Dienstprojekt die Rolle "Compute-Netzwerknutzer" (compute.networkUser) zuweisen. Die Zuweisung erfolgt im Hostprojekt an das Dienstprojekt cloudservices und an das Dienstkonto vpcaccess.

So weisen Sie die Rolle zu:

1. Verwenden Sie diese Befehle:

   gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
   --role "roles/compute.networkUser" \
   --member "serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-vpcaccess.iam.gserviceaccount.com"

   gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
   --role "roles/compute.networkUser" \
   --member "serviceAccount:SERVICE_PROJECT_NUMBER@cloudservices.gserviceaccount.com"

2. Wenn das Dienstkonto @gcp-sa-vpcaccess nicht existiert, aktivieren Sie die serverlose VPC-Zugriffs-API im Dienstprojekt und versuchen Sie es noch einmal:

   gcloud services enable vpcaccess.googleapis.com

Wenn Sie diesen Dienstkonten keinen Zugriff auf das gesamte freigegebene VPC-Netzwerk gewähren und nur Zugriff auf bestimmte Subnetze gewähren möchten, können Sie stattdessen diese Rollen nur bestimmten Subnetzen zuweisen.

Subnetz erstellen

Wenn Sie eine freigegebene VPC verwenden, muss der Administrator für freigegebene VPC ein Subnetz für jeden Connector erstellen. Folgen Sie der Dokumentation zum Hinzufügen eines Subnetzes, um dem freigegebenen VPC-Netzwerk ein Subnetz /28 hinzuzufügen. Dieses Subnetz muss sich in derselben Region befinden wie die serverlosen Dienste, die den Connector verwenden.

Nächste Schritte

• Führen Sie auf der Seite Serverlosen VPC-Zugriff konfigurieren die Schritte in den folgenden Abschnitten aus:
  • Erstellen eines Connectors für serverlosen VPC-Zugriff.
  • Serverlose Umgebung für die Verwendung eines Connectors konfigurieren