Questa pagina descrive come i bridge di perimetro possono essere utilizzati per consentire la comunicazione tra progetti e servizi in perimetri di servizio diversi.
Prima di iniziare
- Leggi la Panoramica dei Controlli di servizio VPC
- Leggi la pagina Configurazione del perimetro di servizio
Bridge del perimetro di servizio
Sebbene un progetto possa essere assegnato a un solo perimetro di servizio, potresti volere che il tuo progetto possa comunicare con i progetti di un altro perimetro. Puoi attivare la comunicazione con i servizi e condividere i dati i perimetri di servizio creando un ponte del perimetro.
Un bridge del perimetro consente ai progetti in perimetri di servizio diversi di comunicare. I bridge di perimetro sono bidirezionali e consentono ai progetti di ciascun perimetro di servizio di avere lo stesso accesso nell'ambito del bridge. Tuttavia, i livelli di accesso e le restrizioni di servizio del progetto sono controllati esclusivamente il perimetro di servizio a cui appartiene il progetto. Un progetto può avere più che lo collegano ad altri progetti.
Un progetto di un perimetro di servizio non può ottenere indirettamente l'accesso ai progetti in altri perimetri. Ad esempio, supponiamo di avere tre progetti: A, B e C. Ogni progetto appartiene a un perimetro di servizio diverso. A e B condividono un bridge del perimetro. B e C condividono anche un ponte. Sebbene i dati possano spostarsi tra A e B, nonché tra B e C, non può passare nulla tra A e C perché i due progetti non sono collegati direttamente da un bridge perimetrale.
Considerazioni
Prima di creare un bridge del perimetro, considera quanto segue:
Un progetto deve appartenere a un perimetro di servizio prima di poter essere connesso in un altro progetto utilizzando un bridge del perimetro.
I ponti perimetrali non possono includere progetti di organizzazioni diverse. I progetti collegati da un bridge del perimetro devono appartenere al servizio che si trovano nella stessa organizzazione.
I bridge di perimetro non possono includere progetti con ambito diverso . Puoi invece Utilizzare le regole in entrata o in uscita per consentire la comunicazione tra i progetti da criteri con ambito diversi.
Dopo aver creato un bridge di perimetro per un progetto, non puoi aggiungere le reti VPC del progetto a un perimetro.
Esempio di bridge perimetrali
Per un esempio più ampio di come funzionano i bridge perimetrali, considera quanto segue: configurazione:
L'obiettivo è consentire le copie tra i bucket Cloud Storage nel perimetro DMZ e solo i bucket nel progetto di destinazione, ma non consentire a nessuna VM nel perimetro DMZ di accedere ai dati nei bucket di archiviazione nel progetto privato.
Utilizza il comando seguente per creare un bridge del perimetro (Bridge), che specifichi che i progetti A e B devono essere collegati bridge del perimetro.
gcloud access-context-manager perimeters create Bridge \
--title="Perimeter Bridge" --perimeter-type=bridge \
--resources=projects/12345,projects/67890
Il confine del bridge del perimetro è bidirezionale. Ciò significa che le copie Da perimetro DMZ a perimetro privato e da perimetro privato a Il perimetro DMZ è entrambi consentito. Per fornire un certo controllo direzionale, è meglio combinare i perimetri con le autorizzazioni IAM sull'account di servizio o sull'identità che esegue l'operazione di copia.