Halaman ini menjelaskan cara jembatan perimeter dapat digunakan untuk memungkinkan project dan layanan dalam perimeter layanan yang berbeda untuk berkomunikasi.
Sebelum memulai
Perantara perimeter layanan
Meskipun project hanya dapat ditetapkan ke satu perimeter layanan, Anda mungkin ingin project dapat berkomunikasi dengan project di perimeter lain. Anda dapat mengaktifkan komunikasi ke layanan dan berbagi data di seluruh perimeter layanan dengan membuat perimeter bridge.
Jembatan perimeter memungkinkan project di perimeter layanan yang berbeda untuk berkomunikasi. Jembatan perimeter bersifat dua arah, sehingga project dari setiap perimeter layanan memiliki akses yang sama dalam cakupan jembatan. Namun, tingkat akses dan batasan layanan project hanya dikontrol oleh perimeter layanan yang menjadi bagian dari project. Sebuah project dapat memiliki beberapa bridge yang menghubungkannya ke project lain.
Project dari satu perimeter layanan tidak dapat secara tidak langsung mendapatkan akses ke project di perimeter lain. Misalnya, asumsikan kita memiliki tiga project: A, B, dan C. Setiap project termasuk dalam perimeter layanan yang berbeda. A dan B berbagi perantara perimeter. B dan C juga berbagi jembatan. Meskipun data dapat berpindah antara A dan B, serta antara B dan C, tidak ada yang dapat melewati antara A dan C karena kedua project tidak terhubung langsung oleh jembatan perimeter.
Pertimbangan
Sebelum membuat jembatan perimeter, pertimbangkan hal berikut:
Project harus termasuk dalam perimeter layanan sebelum dapat dihubungkan ke project lain menggunakan jembatan perimeter.
Jembatan perimeter tidak dapat menyertakan project dari organisasi yang berbeda. Project yang terhubung oleh jembatan perimeter harus merupakan bagian dari perimeter layanan yang berada di organisasi yang sama.
Jembatan perimeter tidak dapat menyertakan project dari kebijakan cakupan yang berbeda. Sebagai gantinya, Anda dapat menggunakan aturan masuk atau keluar untuk mengizinkan komunikasi antar-project dari kebijakan cakupan yang berbeda.
Setelah membuat jembatan perimeter untuk project, Anda tidak dapat menambahkan jaringan VPC dari project tersebut ke perimeter.
Contoh perantara perimeter
Untuk contoh yang lebih luas tentang cara kerja jembatan perimeter, pertimbangkan penyiapan berikut:
Tujuannya adalah untuk mengizinkan salinan antara bucket Cloud Storage di DMZ Perimeter dan hanya bucket di Project Sink, tetapi tidak mengizinkan VM apa pun di DMZ Perimeter mengakses data di bucket Storage di Project Pribadi.
Dengan menggunakan perintah berikut, jembatan perimeter (Bridge) akan dibuat, yang menentukan bahwa project A dan project B akan dihubungkan oleh jembatan perimeter.
gcloud access-context-manager perimeters create Bridge \
--title="Perimeter Bridge" --perimeter-type=bridge \
--resources=projects/12345,projects/67890
Batas perantara perimeter bersifat dua arah. Artinya, salinan dari Perimeter DMZ ke Perimeter Pribadi dan dari Perimeter Pribadi ke Perimeter DMZ diizinkan. Untuk memberikan beberapa kontrol terarah, sebaiknya gabungkan perimeter dengan izin IAM di akun layanan atau identitas yang menjalankan operasi penyalinan.