使用重疊範圍跨範圍共用

本頁面說明如何使用重疊範圍,讓不同服務範圍內的專案和服務彼此通訊。

事前準備

服務重疊範圍

雖然您只能將專案指派至一個服務範圍,但您或許會想讓專案能夠與其他範圍內的專案彼此通訊。如要允許與其他服務進行通訊,以及跨服務範圍共用資料,您可以建立重疊範圍

重疊範圍可讓不同服務範圍內的專案互相通訊。重疊範圍是雙向的,每個服務範圍內的專案在重疊範圍中都有同等的存取權。不過,專案的存取層級和服務限制完全取決於專案所屬的服務範圍。一個專案可以有多個重疊範圍以連結至其他專案。

某個服務範圍中的專案無法間接獲得其他範圍內專案的存取權。舉例來說,假設我們有 A、B 和 C 三個專案,每個專案都屬於不同的服務範圍。A 和 B 共用一個重疊範圍,B 和 C 也共用一個重疊範圍。資料可以在 A 和 B 之間移動,也可以在 B 和 C 之間移動,但無法在 A 和 C 之間移動,因為這兩個專案未透過重疊範圍直接相連結。

注意事項

建立重疊範圍前,請考量以下事項:

  • 專案必須屬於一個服務範圍,才能使用重疊範圍連結至其他專案。

  • 重疊範圍無法包含不同機構的專案。透過重疊範圍相連結的專案必須屬於相同機構中的服務範圍。

  • 重疊範圍無法包含來自不同範圍政策的專案。您可以改用輸入或輸出規則,讓不同政策範圍的專案之間進行通訊。

  • 為專案建立重疊範圍後,您就無法將該專案中的虛擬私有雲網路新增至重疊範圍。

重疊範圍的例子

以下用一個較廣泛的設定示例來說明重疊範圍的運作方式:

重疊範圍存取圖表

我們的目標是要只允許在 DMZ 範圍中的 Cloud Storage 值區與接收器專案中的值區之間複製資料,而不允許 DMZ 範圍中的任何 VM 存取私人專案中 Storage 值區的資料。

使用下列指令即可建立重疊範圍 (即圖中的 Bridge),指定透過重疊範圍連結專案 A 和專案 B。

gcloud access-context-manager perimeters create Bridge \
  --title="Perimeter Bridge" --perimeter-type=bridge \
  --resources=projects/12345,projects/67890

重疊範圍邊界是雙向的,這表示您可將資料從 DMZ 範圍複製到私人範圍,也可從私人範圍複製到 DMZ 範圍。如要提供具有方向性的控管機制,建議您針對執行複製作業的服務帳戶或身分同時使用服務範圍和 IAM 權限。