VPC משותף מאפשר לארגון לחבר משאבים מכמה פרויקטים לרשת ענן וירטואלי פרטי (VPC) משותפת, כך שהמשאבים יכולים לתקשר ביניהם באופן מאובטח ויעיל באמצעות כתובות IP פנימיות של אותה הרשת.
כשמשתמשים ב-VPC משותף, מגדירים פרויקט כפרויקט מארח של VPC משותף ומצרפים אליו פרויקטים של שירותים. רשתות ה-VPC בפרויקט המארח של ה-VPC המשותף נקראות רשתות VPC משותפות. משאבים שעומדים בדרישות מפרויקטים של שירותים יכולים להשתמש בתת-רשתות ברשת ה-VPC המשותפת.
שימוש ב-VPC משותף עם Migrate to Virtual Machines
כשסביבת Migrate to Virtual Machines משתמשת ב-VPC משותף, צריך לוודא שהגדרתם את ההרשאות בצורה נכונה כדי שתוכלו לפרוס מכונה וירטואלית שהועברה בפרויקט היעד של Compute Engine.
לדוגמה, יש לכם את הסביבה הבאה:
- פרויקט א' – פרויקט מארח של Migrate to Virtual Machines
- פרויקט ב' – פרויקט מארח של VPC משותף והגדרות של רשתות משנה
- פרויקט ג' – פרויקט יעד של Migrate to Virtual Machines ופרויקט שירות של VPC משותף
בדוגמה הזו, מגדירים VPC משותף בפרויקט ב'. פרויקט ב' נקרא פרויקט מארח של VPC משותף.
לאחר מכן מעבירים מכונה וירטואלית למופע Compute Engine בפרויקט C, פרויקט היעד של Migrate to Virtual Machines, שבו פרויקט C ניגש ל-VPC המשותף. בדוגמה הזו, פרויקט C נקרא פרויקט שירות של VPC משותף. לפני שמפעילים את מכונת Compute Engine, צריך לוודא שפרויקט C כבר הוגדר כפרויקט שירות של פרויקט B, כמו שמתואר במאמר בנושא הקצאת VPC משותף.
עם זאת, לפני שפורסים את המכונה של Compute Engine, צריך לוודא שלחשבון השירות שמשמש כברירת מחדל ב-Migrate to Virtual Machines בפרויקט א' יש את ההרשאות הנדרשות. ספציפית, כדי להשתמש ב-Migrate to Virtual Machines, צריך להקצות את התפקיד compute.networkUser ברשתות המשנה בפרויקט המארח ב-VPC המשותף.
בקטע הבא מוסבר איך להגדיר את חשבון השירות שמוגדר כברירת מחדל ב-Migrate to Virtual Machines.
הגדרת חשבון השירות שמוגדר כברירת מחדל ב-Migrate to Virtual Machines
חשבון שירות שמוגדר כברירת מחדל נוצר בפרויקט המארח במהלך היצירה של ההעברה הראשונה, כפי שמתואר במאמר התקנת Migrate Connector.
כדי לפרוס מכונת Compute Engine בפרויקט יעד שיש לו גישה ל-VPC משותף, צריך להוסיף את התפקיד compute.networkUser בחשבון השירות שמוגדר כברירת מחדל ב-Migrate to Virtual Machines ברשתות המשנה בפרויקט המארח של ה-VPC המשותף. יש שתי דרכים להוסיף את התפקיד הזה:
מקצים לחשבון השירות שמוגדר כברירת מחדל ב-Migrate to Virtual Machines את התפקיד אדמין בפרויקט השירות עם גישה רק לחלק מתת-הרשתות בפרויקט המארח של ה-VPC המשותף. האפשרות הזו מאפשרת להגדיר אדמינים של פרויקטים של שירותים בצורה מדויקת, על ידי הקצאת התפקיד
compute.networkUserרק לחלק מרשתות המשנה בפרויקט המארח של ה-VPC המשותף.הוראות מפורטות זמינות במאמר אדמינים של פרויקטים של שירותים עבור חלק מרשתות המשנה.
מאפשרים לחשבון השירות שמוגדר כברירת מחדל ב-Migrate to Virtual Machines להיות אדמין בפרויקט השירות עם גישה לכל תת-הרשתות בפרויקט המארח של ה-VPC המשותף. במקרה הזה, מעניקים את התפקיד
compute.networkUserלחשבון השירות שמוגדר כברירת מחדל של Migrate to Virtual Machines בפרויקט המארח של ה-VPC המשותף. לאחר מכן, לחשבון השירות שמוגדר כברירת מחדל יש גישה לכל תת-הרשתות הקיימות והעתידיות בפרויקט המארח של ה-VPC המשותף.
כדי להגדיר את חשבון השירות שמוגדר כברירת מחדל ב-Migrate to Virtual Machines כך שתהיה לו גישה לכל תת-הרשתות בפרויקט המארח של ה-VPC המשותף:
פותחים את הדף Migrate to Virtual Machines במסוף Google Cloud :
לוחצים על הכרטיסייה יעדים.
בחלק העליון של הדף מופיעה תיבת מידע עם כתובת האימייל של חשבון השירות שמוגדר כברירת מחדל ב-Migrate to Virtual Machines, בפורמט:
service-M4CE_HOST_PROJECT_NUMBER@gcp-sa-vmmigration.iam.gserviceaccount.comמעתיקים את כתובת האימייל.
משתמשים בכתובת האימייל הזו כדי להעניק את התפקיד
compute.networkUserבפרויקט המארח של ה-VPC המשותף לחשבון השירות שמשמש כברירת מחדל של Migrate to Virtual Machines:gcloud projects add-iam-policy-binding VPC_HOST_PROJECT_ID \ --member=serviceAccount:service-M4CE_HOST_PROJECT_NUMBER@gcp-sa-vmmigration.iam.gserviceaccount.com \ --role=roles/compute.networkUser
מידע נוסף על הקצאת תפקידים והרשאות לחשבון משתמש זמין במאמר הענקה, שינוי וביטול גישה למשאבים.