En este documento, se proporciona una descripción general de cómo puedes administrar redes y Controles del servicio de VPC.
Puedes crear perímetros separados para cada una de las redes de VPC en tu proyecto host, en lugar de crear un solo perímetro para todo el proyecto host. Por ejemplo, si el proyecto host contiene redes de VPC independientes para los entornos de desarrollo, prueba y producción, puedes crear perímetros separados para las redes de desarrollo, prueba y producción.
También puedes especificar una regla de entrada para permitir el acceso a recursos dentro de tu perímetro desde una red de VPC que no esté dentro del perímetro.
En el siguiente diagrama, se muestra un ejemplo de un proyecto host de redes de VPC y cómo puedes aplicar una política de perímetro diferente para cada red de VPC:
- Proyecto host de las redes de VPC. El proyecto host contiene la red de VPC 1 y la red de VPC 2, cada una de las cuales contiene máquinas virtuales, VM A y VM B, respectivamente.
- Perímetros de servicio. Los perímetros de servicio SP1 y SP2 contienen recursos de BigQuery y Cloud Storage. Como la red de VPC 1 se agrega al perímetro SP1, la red de VPC 1 puede acceder a los recursos en el perímetro SP1, pero no puede acceder a los recursos en el perímetro SP2. A medida que la red de VPC 2 se agrega al perímetro SP2, la red de VPC 2 puede acceder a los recursos en el perímetro SP2, pero no puede acceder a los recursos en el perímetro SP1.
Administra redes de VPC en un perímetro de servicio
Puedes realizar las siguientes tareas para administrar las redes de VPC en un perímetro:
- Agrega una sola red de VPC a un perímetro en lugar de agregar un proyecto host completo al perímetro.
- Quitar una red de VPC de un perímetro
- Especifica una política de entrada para permitir que una red de VPC acceda a los recursos dentro de un perímetro.
- Migra de una configuración de un solo perímetro a una configuración de varios perímetros y usa el modo de ejecución de prueba para probar la migración.
Limitaciones
Las siguientes son las limitaciones cuando administras redes de VPC en perímetros de servicio:
- No puedes agregar redes de VPC que existen en otra organización a tu perímetro de servicio ni especificarlas como un origen de entrada. Para especificar una red de VPC que existe en otra organización como origen de entrada, debes tener la función (
roles/compute.networkViewer). - Si borras una red de VPC protegida por un perímetro y, luego, vuelves a crear una red de VPC con el mismo nombre, el perímetro de servicio no protegerá la red de VPC que vuelvas a crear. Te recomendamos que no vuelvas a crear una red de VPC con el mismo nombre. Para resolver este problema, crea una red de VPC con un nombre diferente y agrégala al perímetro.
- El límite de redes de VPC que puedes tener en una organización es de 500.
- Si una red de VPC tiene un modo de subred personalizado, pero si no existen subredes, esa red de VPC no se puede agregar de forma independiente a los Controles del servicio de VPC. Para agregar una red de VPC a un perímetro, la red de VPC debe contener al menos una subred.
¿Qué sigue?
- Obtén más información sobre las reglas para agregar redes de VPC a perímetros de servicio.