設定共用虛擬私有雲的權限

共用虛擬私有雲可讓機構將多個專案的資源連線至通用的虛擬私有雲 (VPC) 網路,以使用該網路的內部 IP 相互通訊,安全又有效率。

使用共用虛擬私有雲時,您要先將某項專案指派為「共用虛擬私有雲主專案」,然後再附加一或多個「服務專案」。共用虛擬私有雲主專案中的虛擬私有雲網路稱為「共用虛擬私有雲網路」。服務專案中的符合條件的資源,皆能使用共用虛擬私有雲網路中的子網路。

搭配 Migrate to Virtual Machines 使用共用虛擬私有雲

如果遷移至虛擬機器環境使用共用虛擬私人雲端,您必須確保已正確設定權限,才能將遷移的 VM 部署至 Compute Engine 目標專案。

舉例來說,假設您有以下環境:

  • 專案 A - Migrate to Virtual Machines 主機專案
  • 專案 B:共用虛擬私有雲主機專案和子網路定義
  • 專案 C - Migrate to Virtual Machines 目標專案和共用虛擬私有雲服務專案

在本例中,您會在專案 B 中定義共用虛擬私有雲。專案 B 稱為共用虛擬私有雲主專案

接著,您將虛擬機器遷移至 Project C 中的 Compute Engine 執行個體,也就是「遷移至虛擬機器」目標專案,Project C 會存取共用 VPC。在本例中,專案 C 稱為共用虛擬私有雲服務專案。您必須先按照「佈建共用虛擬私人雲端」一文的說明,將 Project C 設為 Project B 的服務專案,才能部署 Compute Engine 執行個體。

不過,您必須先確認專案 A 的「Migrate to Virtual Machines」預設服務帳戶具備必要權限,才能部署 Compute Engine 執行個體。具體來說,如果要遷移至虛擬機器,共用虛擬私有雲主機專案中的子網路必須具備 compute.networkUser 角色。

以下章節說明如何設定「Migrate to Virtual Machines」預設服務帳戶。

設定 Migrate to Virtual Machines 預設服務帳戶

在建立第一個遷移作業時,主機專案會建立預設服務帳戶,如「安裝 Migrate 連接器」一節所述。

如要將 Compute Engine 執行個體部署至可存取共用虛擬私有雲的目標專案,您必須將共用虛擬私有雲主專案中的子網路 compute.networkUser 角色,新增至 Migrate to Virtual Machines 預設服務帳戶。您可以透過兩種方式新增這個角色:

  • 將「Migrate to Virtual Machines」預設服務帳戶指派為「Service Project Admin」,並只授予共用虛擬私有雲主機專案中部分子網路的存取權。這個選項提供更精細的方法來定義服務專案管理員,讓您只針對共用虛擬私有雲主專案中的部分子網路將 compute.networkUser 角色授予這些管理員。

    如要瞭解這項程序的步驟,請參閱「部分子網路的服務專案管理員」。

  • 允許「Migrate to Virtual Machines」預設服務帳戶成為「服務專案管理員」,並可存取共用虛擬私有雲主機專案中的所有子網路。在這種情況下,您會將共用 VPC 主專案的 compute.networkUser 角色授予 Migrate to Virtual Machines 預設服務帳戶。這樣一來,預設服務帳戶就能存取共用虛擬私有雲主專案中所有現有和日後的子網路。

如要設定 Migrate to Virtual Machines 預設服務帳戶,以便存取共用虛擬私有雲主專案中的所有子網路

  1. 在 Google Cloud 控制台中開啟「Migrate to Virtual Machines」(遷移至虛擬機器) 頁面:

    前往「Migrate to Virtual Machines」頁面

  2. 選取「目標」分頁標籤。

    頁面頂端有資訊方塊,顯示 Migrate to Virtual Machines 預設服務帳戶的電子郵件地址,格式如下:

    service-M4CE_HOST_PROJECT_NUMBER@gcp-sa-vmmigration.iam.gserviceaccount.com

  3. 複製電子郵件地址。

  4. 使用該電子郵件地址,將共用虛擬私有雲主專案中的 compute.networkUser 角色授予 Migrate to Virtual Machines 預設服務帳戶:

    gcloud projects add-iam-policy-binding VPC_HOST_PROJECT_ID \
   --member=serviceAccount:service-M4CE_HOST_PROJECT_NUMBER@gcp-sa-vmmigration.iam.gserviceaccount.com \
   --role=roles/compute.networkUser

如要進一步瞭解如何為使用者帳戶指派角色和權限,請參閱「授予、變更及撤銷資源的存取權」。