Esta página descreve como as pontes de perímetro podem ser usadas para permitir que os projetos e os serviços em diferentes perímetros de serviço comuniquem.
Antes de começar
- Leia o artigo Vista geral do VPC Service Controls
- Ler configuração do perímetro de serviço
Pontes de perímetro de serviço
Embora um projeto só possa ser atribuído a um perímetro de serviço, pode querer que o seu projeto consiga comunicar com projetos noutro perímetro. Pode ativar a comunicação com os serviços e partilhar dados entre perímetros de serviço criando uma ponte de perímetro.
Uma ponte de perímetro permite que os projetos em diferentes perímetros de serviço comuniquem. As pontes de perímetro são bidirecionais, o que permite que os projetos de cada perímetro de serviço tenham igual acesso no âmbito da ponte. No entanto, os níveis de acesso e as restrições de serviço do projeto são controlados exclusivamente pelo perímetro de serviço ao qual o projeto pertence. Um projeto pode ter várias pontes que o ligam a outros projetos.
Um projeto de um perímetro de serviço não pode obter indiretamente acesso a projetos noutros perímetros. Por exemplo, suponhamos que temos três projetos: A, B e C. Cada projeto pertence a um perímetro de serviço diferente. A e B partilham uma ponte de perímetro. B e C também partilham uma ponte. Embora os dados possam mover-se entre A e B, bem como entre B e C, nada pode passar entre A e C porque os dois projetos não estão diretamente ligados por uma ponte de perímetro.
Considerações
Antes de criar uma ponte de perímetro, considere o seguinte:
Um projeto tem de pertencer a um perímetro de serviço antes de poder ser ligado a outro projeto através de uma ponte de perímetro.
As pontes de perímetro não podem incluir projetos de organizações diferentes. Os projetos ligados por uma ponte de perímetro têm de pertencer a perímetros de serviço que estejam na mesma organização.
As pontes de perímetro não podem incluir projetos de políticas com âmbito diferentes. Em alternativa, pode usar regras de entrada ou saída para permitir a comunicação entre projetos de diferentes políticas com âmbito.
Depois de criar uma ponte de perímetro para um projeto, não pode adicionar as redes de VPC desse projeto a um perímetro.
Exemplo de pontes de perímetro
Para um exemplo mais abrangente de como funcionam as pontes de perímetro, considere a seguinte configuração:
O objetivo é permitir cópias entre os contentores do Cloud Storage no perímetro da DMZ e apenas os contentores no projeto de destino, mas não permitir que nenhuma VM no perímetro da DMZ aceda aos dados nos contentores de armazenamento no projeto privado.
Com o seguinte comando, é criada uma ponte de perímetro (Bridge), especificando que o projeto A e o projeto B devem ser ligados pela ponte de perímetro.
gcloud access-context-manager perimeters create Bridge \
--title="Perimeter Bridge" --perimeter-type=bridge \
--resources=projects/12345,projects/67890
O limite da ponte de perímetro é bidirecional. Isto significa que as cópias do perímetro da DMZ para o perímetro privado e do perímetro privado para o perímetro da DMZ são permitidas. Para fornecer algum controlo direcional, é melhor combinar perímetros com autorizações da IAM na conta de serviço ou na identidade que está a executar a operação de cópia.