Condivisione tra perimetri diversi con i bridge

Questa pagina descrive come utilizzare i bridge perimetrali per consentire la comunicazione a progetti e servizi in perimetri di servizio diversi.

Prima di iniziare

Bridge di perimetro di servizio

Sebbene un progetto possa essere assegnato a un solo perimetro di servizio, potresti voler consentire la comunicazione tra il progetto e i progetti in un altro perimetro. Puoi abilitare la comunicazione con i servizi e condividere i dati tra i perimetri di servizio creando un bridge del perimetro.

Un bridge del perimetro consente di comunicare con i progetti in perimetri di servizio diversi. I bridge del perimetro sono bidirezionali e consentono ai progetti di ogni perimetro di servizio di usufruire dello stesso accesso nell'ambito del bridge. Tuttavia, i livelli di accesso e le restrizioni di servizio del progetto sono controllati esclusivamente dal perimetro di servizio a cui appartiene il progetto. Un progetto può avere più ponti che lo collegano ad altri progetti.

Un progetto di un perimetro di servizio non può accedere indirettamente ai progetti in altri perimetri. Ad esempio, supponiamo di avere tre progetti: A, B e C. Ogni progetto appartiene a un perimetro di servizio diverso. A e B condividono un bridge del perimetro. Anche B e C condividono un ponte. Sebbene i dati possano spostarsi tra A e B, nonché tra B e C, niente può passare da A a C perché i due progetti non sono collegati direttamente da un bridge del perimetro.

Un progetto deve appartenere a un perimetro di servizio prima di poter essere connesso a un altro progetto utilizzando un bridge del perimetro.

I bridge del perimetro non possono includere progetti di organizzazioni diverse. I progetti connessi da un bridge del perimetro devono appartenere a perimetri di servizio che si trovano nella stessa organizzazione.

Esempio di bridge perimetrali

Per un esempio più ampio di come funzionano i bridge perimetrali, considera la seguente configurazione:

Diagramma di accesso al bridge del perimetro

L'obiettivo è consentire le copie tra i bucket Cloud Storage nel perimetro DMZ e solo i bucket nel progetto sink, ma non consentire a nessuna VM nel perimetro DMZ di accedere ai dati nei bucket di archiviazione del progetto privato.

Con il comando seguente, viene creato un bridge del perimetro (Bridge), che specifica che il progetto A e il progetto B devono essere connessi tramite il bridge del perimetro.

gcloud access-context-manager perimeters create Bridge \
  --title="Perimeter Bridge" --perimeter-type=bridge \
  --resources=projects/12345,projects/67890

Il confine del bridge del perimetro è bidirezionale. Ciò significa che sono consentite le copie dal perimetro DMZ al perimetro privato e dal perimetro privato al perimetro DMZ. Per fornire un controllo direzionale, è preferibile combinare i perimetri con le autorizzazioni IAM sull'account di servizio o sull'identità che esegue l'operazione di copia.