אם הארגון שלכם משתמש ב-VPC משותף, אתם יכולים להגדיר מחבר Serverless VPC Access בפרויקט השירות או בפרויקט המארח. במדריך הזה מוסבר איך מגדירים מחבר בפרויקט השירות.
אם אתם צריכים להגדיר מחבר בפרויקט המארח, תוכלו לעיין במאמר בנושא הגדרת מחברים בפרויקט המארח. במאמר התחברות לרשת VPC משותפת מוסבר על היתרונות של כל שיטה.
באופן כללי, צריך לבצע את השלבים הבאים:
- מתן הרשאות
- יצירת רשת משנה
- בדף Configuring Serverless VPC Access (הגדרת גישה ל-VPC מאפליקציית serverless), מבצעים את השלבים בקטעים הבאים:
מתן הרשאות לחשבונות שירות בפרויקטים של שירותים
לכל פרויקט שירות שבו ישתמשו במחברי VPC, אדמין של VPC משותף צריך להעניק את התפקיד Compute Network User (compute.networkUser) בפרויקט המארח לחשבונות השירות cloudservices ו-vpcaccess של פרויקט השירות.
כדי להקצות את התפקיד:
משתמשים בפקודות האלה:
gcloud projects add-iam-policy-binding HOST_PROJECT_ID \ --role "roles/compute.networkUser" \ --member "serviceAccount:service-SERVICE_PROJECT_NUMBER@gcp-sa-vpcaccess.iam.gserviceaccount.com"
gcloud projects add-iam-policy-binding HOST_PROJECT_ID \ --role "roles/compute.networkUser" \ --member "serviceAccount:SERVICE_PROJECT_NUMBER@cloudservices.gserviceaccount.com"
אם חשבון השירות
@gcp-sa-vpcaccessלא קיים, מפעילים את Serverless VPC Access API בפרויקט השירות ומנסים שוב:gcloud services enable vpcaccess.googleapis.com
אם אתם מעדיפים לא לתת לחשבונות השירות האלה גישה לכל רשת ה-VPC המשותפת, אלא רק לגישה לרשתות משנה ספציפיות, אתם יכולים לתת לחשבונות השירות האלה את התפקידים האלה רק ברשתות משנה ספציפיות.
יצירת רשת משנה
כשמשתמשים ב-VPC משותף, האדמין של ה-VPC המשותף צריך ליצור רשת משנה לכל מחבר. פועלים לפי מאמרי העזרה בנושא הוספת רשת משנה כדי להוסיף רשת משנה /28 לרשת ה-VPC המשותפת. רשת המשנה הזו צריכה להיות באותו אזור כמו השירותים ללא שרתים שישתמשו במחבר.
השלבים הבאים
- בדף Configuring Serverless VPC Access (הגדרת גישה ל-VPC מאפליקציית serverless), מבצעים את השלבים בקטעים הבאים:
- משתמשים בתגי רשת כדי להגביל את הגישה של מכונת ה-VM של המחבר למשאבי VPC.