Comparte entre perímetros con puentes

En esta página, se describe cómo se pueden usar puentes perimetrales para permitir que los proyectos y servicios en diferentes perímetros de servicio se comuniquen.

Antes de comenzar

Puentes perimetrales de servicio

Si bien un proyecto se puede asignar a un solo perímetro de servicio, es posible que necesites que el proyecto pueda comunicarse con proyectos en otro perímetro. Puedes habilitar la comunicación con los servicios y compartir datos en los perímetros de servicio si creas un puente perimetral.

Un puente perimetral permite que se comuniquen los proyectos en diferentes perímetros de servicio. Los puentes perimetrales son bidireccionales, lo que permite que los proyectos de cada perímetro de servicio tengan acceso por igual al alcance del puente. Sin embargo, solo el perímetro de servicio al que pertenece el proyecto controla los niveles de acceso y las restricciones de servicio del proyecto. Un proyecto puede tener múltiples puentes que lo conecten a otros.

Un proyecto de un perímetro de servicio no puede obtener acceso indirecto a proyectos en otros perímetros. Por ejemplo, supongamos que tenemos tres proyectos: A, B y C. Cada proyecto pertenece a un perímetro de servicio diferente. A y B comparten un puente perimetral. B y C también comparten un puente. Si bien los datos pueden transferirse entre A y B, así como entre B y C, nada puede pasar entre A y C, ya que ninguno de los dos proyectos está directamente conectado mediante un puente perimetral.

Un proyecto debe pertenecer a un perímetro de servicio para poder conectarse a otro proyecto a través de un puente perimetral.

Los puentes perimetrales no pueden incluir proyectos de diferentes organizaciones. Los proyectos conectados por un puente perimetral deben pertenecer a los perímetros de servicio que se encuentran en la misma organización.

Ejemplo de puentes perimetrales

Para obtener un ejemplo más amplio sobre cómo funcionan los puentes perimetrales, considera la siguiente configuración:

Diagrama de acceso del puente perimetral

El objetivo es permitir copias entre los depósitos de Cloud Storage en el perímetro de DMZ y solo los depósitos en el proyecto receptor, pero no permitir que ninguna VM en el perímetro de DMZ acceda a los datos en depósitos de Storage en el proyecto privado.

Con el siguiente comando, se crea un puente perimetral (Puente) que especifica que el proyecto A y el proyecto B deben conectarse mediante el puente perimetral.

gcloud access-context-manager perimeters create Bridge \
  --title="Perimeter Bridge" --perimeter-type=bridge \
  --resources=projects/12345,projects/67890

El límite del puente perimetral es bidireccional. Esto significa que se permiten las copias del perímetro de DMZ al perímetro privado y del perímetro privado al DMZ. A fin de proporcionar cierto control direccional, es mejor combinar perímetros con permisos de IAM en la cuenta de servicio o la identidad que ejecuta la operación de copia.