Questa pagina descrive come utilizzare i bridge del perimetro per consentire a progetti e servizi in perimetri di servizio diversi di comunicare.
Prima di iniziare
- Leggi la Panoramica dei Controlli di servizio VPC
- Leggi la pagina Configurazione del perimetro di servizio
Bridge del perimetro di servizio
Sebbene un progetto possa essere assegnato a un solo perimetro di servizio, potresti voler essere in grado di comunicare con i progetti in un altro perimetro. Puoi abilitare la comunicazione con i servizi e condividere dati tra i perimetri di servizio creando un bridge del perimetro.
Un bridge del perimetro consente la comunicazione tra progetti in perimetri di servizio diversi. I bridge del perimetro sono bidirezionali, in modo che ai progetti di ciascun perimetro di servizio venga applicato lo stesso accesso nell'ambito del bridge. Tuttavia, i livelli di accesso e le limitazioni di servizio del progetto sono controllati esclusivamente dal perimetro di servizio a cui appartiene il progetto. Un progetto può avere più ponti che lo collegano ad altri progetti.
Un progetto da un perimetro di servizio non può accedere indirettamente ai progetti in altri perimetri. Supponiamo, ad esempio, di avere tre progetti: A, B e C. Ogni progetto appartiene a un perimetro di servizio diverso. A e B condividono un bridge del perimetro. Anche B e C condividono un bridge. Sebbene i dati possano spostarsi tra A e B, nonché tra B e C, non può passare nulla tra A e C perché i due progetti non sono collegati direttamente da ubridge del perimetrole.
Un progetto deve appartenere a un perimetro di servizio prima di poter essere connesso a un altro progetto utilizzando un bridge del perimetro.
I bridge del perimetro non possono includere progetti di organizzazioni diverse. I progetti collegati da un bridge del perimetro devono appartenere ai perimetri di servizio che si trovano nella stessa organizzazione.
Dopo aver creato un bridge del perimetro per un progetto, non puoi aggiungere le reti VPC di quel progetto a un perimetro.
Esempio di bridge perimetrali
Per un esempio più ampio di come funzionano i bridge perimetrali, considera la seguente configurazione:
L'obiettivo è consentire alle copie tra i bucket Cloud Storage nel perimetro DMZ e solo i bucket nel progetto sink, ma non consentire a nessuna VM nel perimetro DMZ di accedere ai dati nei bucket di archiviazione del progetto privato.
Con il comando seguente viene creato un bridge del perimetro (Bridge), specificando che i progetti A e i progetti B devono essere collegati tramite il bridge del perimetro.
gcloud access-context-manager perimeters create Bridge \
--title="Perimeter Bridge" --perimeter-type=bridge \
--resources=projects/12345,projects/67890
Il confine bridge del perimetro è bidirezionale. Ciò significa che sono consentite copie dal perimetro DMZ al perimetro privato e dal perimetro privato al perimetro DMZ. Per fornire un controllo direzionale, è preferibile combinare i perimetri con le autorizzazioni IAM sull'account di servizio o sull'identità che esegue l'operazione di copia.