אם בארגון שלכם משתמשים ב-VPC משותף, אתם יכולים להגדיר מחברים של Serverless VPC Access בפרויקט השירות או בפרויקט המארח. במדריך הזה מוסבר איך להגדיר מחבר בפרויקט השירות.
אם אתם צריכים להגדיר מחבר בפרויקט המארח, תוכלו לעיין במאמר בנושא הגדרת מחברים בפרויקט המארח. כדי לקרוא על היתרונות של כל שיטה, תוכלו לעיין במאמר בנושא חיבור לרשת VPC משותפת.
באופן כללי, צריך לבצע את השלבים הבאים:
- מתן הרשאות
- יצירת תת-רשת
- בדף Configuring Serverless VPC Access (הגדרת גישה ל-VPC מאפליקציית serverless), מבצעים את השלבים בקטעים הבאים:
מתן הרשאות לחשבונות שירות בפרויקטים של שירותים
לכל פרויקט שירות שמשתמש במחברי VPC, אדמין של VPC משותף צריך להעניק את התפקיד Compute Network User (compute.networkUser) בפרויקט המארח לחשבונות השירות cloudservices ו-vpcaccess של פרויקט השירות.
כדי להקצות את התפקיד:
משתמשים בפקודות האלה:
gcloud projects add-iam-policy-binding HOST_PROJECT_ID \ --role "roles/compute.networkUser" \ --member "serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-vpcaccess.iam.gserviceaccount.com"
gcloud projects add-iam-policy-binding HOST_PROJECT_ID \ --role "roles/compute.networkUser" \ --member "serviceAccount:SERVICE_PROJECT_NUMBER@cloudservices.gserviceaccount.com"
אם חשבון השירות
@gcp-sa-vpcaccessלא קיים, מפעילים את Serverless VPC Access API בפרויקט השירות ומנסים שוב:gcloud services enable vpcaccess.googleapis.com
אם אתם מעדיפים לא להעניק לחשבונות השירות האלה גישה לכל רשת ה-VPC המשותפת, אלא רק לכל רשת משנה ספציפית, אתם יכולים להעניק לחשבונות השירות האלה את התפקידים האלה רק ברשתות משנה ספציפיות.
יצירת רשת משנה
כשמשתמשים ב-VPC משותף, האדמין של ה-VPC המשותף צריך ליצור תת-רשת לכל מחבר. כדי להוסיף תת-רשת /28 לרשת ה-VPC המשותפת, פועלים לפי ההוראות במאמר בנושא הוספת תת-רשת. תת-הרשת הזו צריכה להיות באותו אזור כמו השירותים ללא שרתים שישתמשו במחבר.
השלבים הבאים
- בדף Configuring Serverless VPC Access (הגדרת גישה ל-VPC מאפליקציית serverless), מבצעים את השלבים בקטעים הבאים: