브리지를 사용한 경계 간 공유

이 페이지에서는 경계 브리지를 사용하여 서로 다른 서비스 경계에 있는 프로젝트와 서비스가 통신하도록 하는 방법을 설명합니다.

시작하기 전에

서비스 경계 브리지

한 프로젝트를 하나의 서비스 경계에만 할당할 수 있지만 프로젝트가 다른 경계의 프로젝트와 통신할 수 있도록 하려는 경우가 있습니다. 서비스에 대한 통신을 사용 설정하고 경계 브리지를 생성하여 서비스 경계 간에 데이터를 공유할 수 있습니다.

경계 브리지를 사용하면 서로 다른 보안 경계에 있는 프로젝트 간에 통신할 수 있습니다. 경계 브리지는 양방향이므로 각 서비스 경계에 있는 프로젝트가 브리지 범위 내에서 동등하게 액세스할 수 있습니다. 그러나 프로젝트의 액세스 수준과 서비스 제한은 프로젝트가 속한 서비스 경계에서만 제어할 수 있습니다. 한 프로젝트에는 다른 프로젝트와 연결되는 여러 브리지가 있을 수 있습니다.

한 서비스 경계의 프로젝트는 다른 경계의 프로젝트에 간접적으로 액세스할 수 없습니다. 예를 들어 A, B, C 프로젝트가 있다고 가정해보겠습니다. 각 프로젝트는 서로 다른 서비스 경계에 속합니다. A와 B는 경계 브리지를 공유합니다. B와 C도 브리지를 공유합니다. A와 B, B와 C는 데이터를 주고받을 수 있지만 A와 C는 경계 브리지로 직접 연결되어 있지 않기 때문에 데이터를 주고 받을 수 없습니다.

고려사항

경계 브리지를 만들기 전에 다음 사항을 고려하세요.

  • 프로젝트는 서비스 경계에 속해 있어야 경계 브리지를 사용하여 다른 프로젝트에 연결할 수 있습니다.

  • 경계 브리지에 여러 조직의 프로젝트가 포함될 수는 없습니다. 경계 브리지로 연결된 프로젝트는 동일한 조직에 있는 서비스 경계에 속해야 합니다.

  • 경계 브리지에는 서로 다른 범위가 지정된 정책의 프로젝트가 포함될 수 없습니다. 대신 인그레스 또는 이그레스 규칙을 사용하여 다른 범위가 지정된 정책의 프로젝트 간 통신을 허용할 수 있습니다.

  • 프로젝트의 경계 브리지를 만든 후에는 해당 프로젝트의 VPC 네트워크를 경계에 추가할 수 없습니다.

경계 브리지의 예시

경계 브리지의 작동 방식을 보여주는 더 광범위한 예시는 다음 환경을 참조하세요.

경계 브리지 액세스 다이어그램

DMZ Perimeter의 Cloud Storage 버킷과 Sink Project의 버킷 간에 복사 작업을 허용하되, DMZ Perimeter의 모든 VM은 Private Project의 Storage 버킷에 있는 데이터에 액세스할 수 없게 하는 것이 목표입니다.

다음 명령어를 사용하여 경계 브리지(Bridge)를 만들고, 프로젝트 A와 프로젝트 B를 경계 브리지로 연결하도록 지정합니다.

gcloud access-context-manager perimeters create Bridge \
  --title="Perimeter Bridge" --perimeter-type=bridge \
  --resources=projects/12345,projects/67890

경계 브리지 경계는 양방향입니다. 즉, DMZ Perimeter에서 Private Perimeter로 복사하거나 Private Perimeter에서 DMZ Perimeter로 복사할 수 있습니다. 방향 제어를 제공하려면 복사 작업을 실행하는 서비스 계정이나 ID의 Cloud IAM 권한과 경계를 결합하는 것이 가장 좋습니다.