Berbagi lintas perimeter dengan jembatan

Halaman ini menjelaskan cara perimeter digunakan untuk memungkinkan komunikasi antara project dan layanan di berbagai perimeter layanan.

Sebelum memulai

Jembatan perimeter layanan

Meskipun project hanya dapat ditetapkan ke satu perimeter layanan, Anda mungkin ingin project dapat berkomunikasi dengan project di perimeter lain. Anda dapat mengaktifkan komunikasi ke layanan dan berbagi data di seluruh perimeter layanan dengan membuat perimeter perimeter.

Perantara perimeter memungkinkan project di berbagai perimeter layanan untuk berkomunikasi. Perantara perimeter bersifat dua arah, sehingga project dari setiap perimeter layanan memiliki akses yang sama dalam cakupan bridge. Namun, tingkat akses dan pembatasan layanan project hanya dikontrol oleh perimeter layanan yang mencakup project tersebut. Sebuah proyek dapat memiliki beberapa jembatan yang menghubungkannya ke proyek lain.

Project dari satu perimeter layanan tidak dapat secara tidak langsung mendapatkan akses ke project di perimeter lainnya. Misalnya, anggaplah kita memiliki tiga project: A, B, dan C. Setiap project berada dalam perimeter layanan yang berbeda. A dan B berbagi perantara perimeter. B dan C juga berbagi jembatan. Meskipun data dapat berpindah antara A dan B, serta antara B dan C, tidak ada yang dapat melewati A dan C karena kedua project tidak terhubung secara langsung oleh jembatan perimeter.

Project harus berada dalam perimeter layanan sebelum dapat dihubungkan ke project lain menggunakan jembatan perimeter.

Perantara perimeter tidak dapat memasukkan project dari organisasi yang berbeda. Project yang terhubung oleh jembatan perimeter harus termasuk dalam perimeter layanan yang berada dalam organisasi yang sama.

Contoh jembatan perimeter

Untuk contoh yang lebih luas tentang cara kerja perimeter bridge, pertimbangkan penyiapan berikut:

Diagram akses jembatan perimeter

Tujuannya adalah untuk mengizinkan salinan antara bucket Cloud Storage di Perimeter DMZ dan hanya bucket di Sink Project, tetapi tidak mengizinkan akses ke data dalam bucket Storage di Project Pribadi bagi VM apa pun di Perimeter DMZ.

Dengan menggunakan perintah berikut, bridge perimeter (Jembatan) akan dibuat, yang menentukan bahwa project A dan project B akan dihubungkan oleh perimeter bridge.

gcloud access-context-manager perimeters create Bridge \
  --title="Perimeter Bridge" --perimeter-type=bridge \
  --resources=projects/12345,projects/67890

Batas jembatan perimeter adalah dua arah. Artinya, salinan dari Perimeter DMZ ke Perimeter Pribadi dan dari Perimeter Pribadi ke Perimeter DMZ diizinkan. Untuk memberikan beberapa kontrol terarah, sebaiknya gabungkan perimeter dengan izin IAM pada akun layanan atau identitas yang menjalankan operasi penyalinan.