Condivisione tra perimetri diversi con i bridge

In questa pagina viene descritto come utilizzare i bridge dei perimetri per consentire la comunicazione di progetti e servizi in diversi perimetri di servizio.

Prima di iniziare

Bridge di servizio

Sebbene un progetto possa essere assegnato a un solo perimetro di servizio, potresti voler comunicare con il tuo progetto con un altro perimetro. Puoi abilitare la comunicazione con i servizi e condividere dati tra perimetri di servizio creando un pontimetro.

Un bridge del perimetro consente la comunicazione tra progetti in diversi perimetri di servizio. I bridge del perimetro sono bidirezionali, consentendo ai progetti di ogni perimetro di servizio di accedere allo stesso ambito del bridge. Tuttavia, i livelli di accesso e le limitazioni dei servizi del progetto sono controllati esclusivamente dal perimetro di servizio a cui appartiene il progetto. Un progetto può avere più bridge che lo collegano ad altri progetti.

Indirettamente, un progetto da un perimetro di servizio non può accedere a progetti in altri perimetri. Ad esempio, supponiamo di avere tre progetti: A, B, e C. Ogni progetto appartiene a un perimetro di servizio diverso. A e B condividono un bridge del perimetro. Anche B e C condividono un ponte. I dati possono spostarsi tra A e B e tra B e C, ma non può passare nulla tra A e C perché i due progetti non sono collegati direttamente tramite un bridge del perimetro.

Per poter essere collegato a un altro progetto, il progetto deve appartenere a un perimetro di servizio.

I bridge del perimetro non possono includere progetti di organizzazioni diverse. I progetti connessi da un bridge del perimetro devono appartenere a perimetri di servizio che si trovano nella stessa organizzazione.

Esempio di bridge del perimetro

Per un esempio più ampio di come funzionano i bridge perimetrali, considera la seguente configurazione:

Diagramma di accesso al ponte perimetrale

L'obiettivo è consentire le copie tra i bucket Cloud Storage nel perimetro DMZ e solo i bucket nel progetto Sink, ma non consentire a nessuna VM nel perimetro DMZ di accedere ai dati nei bucket Storage del progetto privato.

Utilizzando il comando seguente, viene creato un bridge del perimetro (Bridge), specificando che il progetto A e il progetto B devono essere collegati dal perimetro.

gcloud access-context-manager perimeters create Bridge \
  --title="Perimeter Bridge" --perimeter-type=bridge \
  --resources=projects/12345,projects/67890

Il confine del ponte del perimetro è bidirezionale. Ciò significa che sono consentite le copie perimetrali DMZ nel perimetro privato e perimetrale privato perimetrale DMZ. Per fornire un controllo direzionale, è preferibile combinare i perimetri con le autorizzazioni IAM sull'account o sull'identità di servizio che esegue l'operazione di copia.