必要なロールを付与する
Cloud Workstations サービス エージェントを使用すると、Cloud Workstations はプロジェクトでサービス業務を実行できます。プロジェクトで Cloud Workstations サービスを有効にしたときに、サービス エージェントが自動的に作成されました。Cloud Workstations で共有 VPC ネットワークとサブネットワークを使用できるようにするには、共有 VPC サブネットに対する Compute Engine ネットワーク ユーザーのロール(roles/compute.networkUser)をプロジェクトの Cloud Workstations サービス エージェントに付与します。
プロジェクトの Cloud Workstations サービス エージェントを取得するには、次のコマンドを使用します。
gcloud beta services identity create \ --service=workstations.googleapis.com \ --project=WORKSTATIONS_PROJECT_IDWORKSTATIONS_PROJECT_IDは、ワークステーション クラスタを作成するプロジェクトの ID に置き換えます。Cloud Workstations サービス エージェントは、
service-$WORKSTATIONS_PROJECT_NUMBER@gcp-sa-workstations.iam.gserviceaccount.comの形式を使用します。Cloud Workstations サービス エージェントに、共有 VPC サブネットに対する Compute Engine ネットワーク ユーザー ロール(
roles/compute.networkUser)を付与します。
共有 VPC を使用してワークステーション クラスタを作成する
Google Cloud コンソールでワークステーション クラスタを作成するときに、共有 VPC ネットワークとサブネットワークを指定します。このステップは、サブネットがコンソールを使用するユーザーと共有されている場合にのみ可能です。詳細については、共有 VPC をプロビジョニングするをご覧ください。
共有 VPC アクセスの一般的な情報については、共有 VPC をご覧ください。
ワークステーション クラスタを作成すると、Cloud Workstations はクラスタを特定のサブネットに関連付け、すべてのワークステーションがそのサブネットに配置されます。VPC フローログを有効にするには、そのサブネットのロギングを必ず有効にしてください。詳細については、既存のサブネットの VPC フローログを有効にするをご覧ください。