在共用虛擬私有雲服務專案中設定連接器

如果貴組織使用共用虛擬私有雲，您可以在服務專案或主專案中設定 Serverless VPC Access 連接器。本指南說明如何在服務專案中設定連接器。

如果您需要在主專案中設定連接器，請參閱「在主專案中設定連接器」。如要瞭解各個方法的優點，請參閱「連線至共用虛擬私有雲網路」一文。

整體來說，您必須採取下列步驟：

1. 授予權限
2. 建立子網路
3. 在「設定無伺服器虛擬私有雲存取」頁面中，完成下列各節中的步驟：
   • 建立無伺服器虛擬私人雲端存取連接器
   • 設定無伺服器環境以使用連接器
   • 為連接器設定防火牆規則

將權限授予服務專案中的服務帳戶

對於每個將使用 VPC 連接器的服務專案，共用虛擬私有雲管理員必須將主機專案中的 Compute 網路使用者角色 (compute.networkUser) 授予服務專案 cloudservices 和 vpcaccess 服務帳戶。

如要授予角色：

1. 請使用下列指令：

   gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
   --role "roles/compute.networkUser" \
   --member "serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-vpcaccess.iam.gserviceaccount.com"

   gcloud projects add-iam-policy-binding HOST_PROJECT_ID \
   --role "roles/compute.networkUser" \
   --member "serviceAccount:SERVICE_PROJECT_NUMBER@cloudservices.gserviceaccount.com"

2. 如果 @gcp-sa-vpcaccess 服務帳戶不存在，請在服務專案中開啟 Serverless VPC Access API，然後再試一次：

   gcloud services enable vpcaccess.googleapis.com

如果您不想授予這些服務帳戶存取整個共用 VPC 網路的權限，而只想授予存取特定子網路的權限，可以改為只將這些角色授予特定子網路上的服務帳戶。

建立子網路

使用共用虛擬私有雲時，共用虛擬私有雲管理員必須為每個連接器建立子網路。請按照新增子網路中的說明，將 /28 子網路新增至共用虛擬私有雲網路。這個子網路必須與將使用連接器的無伺服器服務位於相同區域。

後續步驟

• 在「設定無伺服器虛擬私有雲存取」頁面中，完成下列各節中的步驟：
  • 建立無伺服器虛擬私有雲存取連接器。
  • 設定無伺服器環境以使用連接器。
• 使用網路標記來限制連接器 VM 存取 VPC 資源。