In questa pagina viene descritto come utilizzare i bridge del perimetro per consentire la comunicazione tra progetti e servizi in perimetri di servizio diversi.
Prima di iniziare
- Leggi la panoramica dei Controlli di servizio VPC
- Leggi la pagina Configurazione del perimetro di servizio
Bridge di perimetro di servizio
Anche se un progetto può essere assegnato a un solo perimetro di servizio, può essere utile che sia in grado di comunicare con i progetti in un altro perimetro. Puoi abilitare la comunicazione ai servizi e condividere i dati tra i perimetri di servizio creando un ponte del perimetro.
Un bridge del perimetro consente la comunicazione di progetti in diversi perimetri di servizio. I bridge di perimetro sono bidirezionali, per consentire ai progetti di ogni perimetro di servizio di accedere allo stesso ambito nell'ambito del bridge. Tuttavia, i livelli di accesso e le limitazioni dei servizi del progetto sono controllati esclusivamente dal perimetro di servizio a cui appartiene il progetto. Un progetto può avere più bridge che lo collegano ad altri progetti.
Un progetto da un perimetro di servizio non può ottenere indirettamente l'accesso ai progetti in altri perimetri. Ad esempio, supponiamo di avere tre progetti: A, B e C. Ogni progetto appartiene a un diverso perimetro di servizio. A e B condividono un bridge del perimetro. Anche B e C condividono un ponte. Sebbene i dati possano spostarsi tra A e B e tra B e C, nulla può passare da A a C perché i due progetti non sono collegati direttamente da un bridge del perimetro.
Un progetto deve appartenere a un perimetro di servizio prima di poter essere collegato a un altro progetto utilizzando un bridge del perimetro.
I bridge di perimetro non possono includere progetti di organizzazioni diverse. I progetti collegati da un bridge del perimetro devono appartenere a perimetri di servizio che si trovano nella stessa organizzazione.
Esempio di bridge del perimetro
Per un esempio più ampio di come funzionano i bridge di perimetro, considera la configurazione seguente:
L'obiettivo è consentire le copie tra i bucket Cloud Storage nel perimetro DMZ e solo i bucket nel progetto sink, ma non consentire alle VM nel perimetro DMZ di accedere ai dati nei bucket Storage del progetto privato.
Utilizzando il comando seguente, viene creato un bridge del perimetro (Bridge), specificando che il progetto A e il progetto B devono essere collegati dal bridge del perimetro.
gcloud access-context-manager perimeters create Bridge \
--title="Perimeter Bridge" --perimeter-type=bridge \
--resources=projects/12345,projects/67890
Il confine bridge del perimetro è bidirezionale. Ciò significa che sono consentite le copie dal perimetro periferico al perimetro privato e al perimetro privato. Per fornire un controllo direzionale, è preferibile combinare i perimetri con le autorizzazioni IAM sull'account o l'identità di servizio che esegue l'operazione di copia.