Questa pagina descrive come utilizzare i bridge perimetrali per autorizzare progetti in perimetri di servizio diversi.
Prima di iniziare
- Leggi la Panoramica dei Controlli di servizio VPC
- Leggi la pagina Configurazione del perimetro di servizio
Bridge del perimetro di servizio
Sebbene un progetto possa essere assegnato a un solo perimetro di servizio, potresti volere che il tuo progetto sia in grado di comunicare con i progetti di un'altra perimetrale. Puoi attivare la comunicazione con i servizi e condividere i dati i perimetri di servizio creando un ponte del perimetro.
Un bridge del perimetro consente ai progetti in perimetri di servizio diversi di comunicare. I bridge perimetrali sono bidirezionali, in modo da consentire i progetti accesso uguale al perimetro di servizio nell'ambito del bridge. Tuttavia, i livelli di accesso e le restrizioni di servizio del progetto sono controllati esclusivamente il perimetro di servizio a cui appartiene il progetto. Un progetto può avere più che lo collegano ad altri progetti.
Un progetto da un perimetro di servizio non può ottenere indirettamente l'accesso ai progetti in altri perimetri. Supponiamo, ad esempio, di avere tre progetti: A, B, e C. Ogni progetto appartiene a un perimetro di servizio diverso. A e B condividono un bridge del perimetro. Anche B e C condividono un bridge. Sebbene i dati possano spostarsi tra A e B, nonché tra B e C, nulla può passare tra A e C perché i due progetti non sono collegati da un bridge del perimetro.
Un progetto deve appartenere a un perimetro di servizio prima di poter essere connesso in un altro progetto utilizzando un bridge del perimetro.
I bridge del perimetro non possono includere progetti di organizzazioni diverse. I progetti collegati da un bridge del perimetro devono appartenere al servizio che si trovano nella stessa organizzazione.
Dopo aver creato un bridge del perimetro per un progetto, non puoi aggiungere reti VPC da quel progetto a un perimetro.
Esempio di bridge perimetrali
Per un esempio più ampio di come funzionano i bridge perimetrali, considera quanto segue: configurazione:
L'obiettivo è consentire le copie tra i bucket Cloud Storage il perimetro DMZ e solo i bucket nel progetto sink, ma non consentire a tutte le VM nel perimetro DMZ di accedere ai dati nei bucket di archiviazione Progetto privato.
Utilizza il comando seguente per creare un bridge del perimetro (Bridge), che specifichi che i progetti A e B devono essere collegati bridge del perimetro.
gcloud access-context-manager perimeters create Bridge \
--title="Perimeter Bridge" --perimeter-type=bridge \
--resources=projects/12345,projects/67890
Il confine bridge del perimetro è bidirezionale. Ciò significa che le copie Da perimetro DMZ a perimetro privato e da perimetro privato a Il perimetro DMZ è entrambi consentito. Per fornire un controllo direzionale, è meglio combinare i perimetri con le autorizzazioni IAM l'account di servizio o l'identità che esegue l'operazione di copia.