Verwaltung von VPC-Netzwerken in Dienstperimetern

Dieses Dokument bietet einen Überblick über die Verwaltung von VPC-Netzwerken und VPC Service Controls.

Sie können für jede VPC separate Perimeter erstellen. Netzwerke in Ihrem Hostprojekt, anstatt einen einzigen Perimeter für das gesamte Hostprojekt. Wenn Ihr Hostprojekt beispielsweise separate VPC-Netzwerke für Entwicklungs-, Test- und Produktionsumgebungen enthält, können Sie separate Perimeter für die Entwicklungs-, Test- und Produktionsnetzwerke erstellen.

Sie können auch den Zugriff von einem VPC-Netzwerk zulassen, das sich nicht in Ihrem Perimeter mit Ressourcen in Ihrem Perimeter verbinden, indem Sie eine Regel für eingehenden Traffic festlegen.

Das folgende Diagramm zeigt ein Beispiel für ein Hostprojekt für VPC-Netzwerke und wie Sie für jedes VPC-Netzwerk eine andere Perimeterrichtlinie anwenden können:

Perimeterrichtlinie für jedes VPC-Netzwerk

  • Hostprojekt für VPC-Netzwerke Das Hostprojekt enthält jeweils VPC-Netzwerk 1 und VPC-Netzwerk 2. die virtuellen Maschinen VM A und VM B enthalten.
  • Dienstperimeter: Die Dienstperimeter SP1 und SP2 enthalten BigQuery- und Cloud Storage-Ressourcen. Da VPC-Netzwerk 1 dem Perimeter SP1 hinzugefügt wird, kann VPC-Netzwerk 1 auf Ressourcen im Perimeter SP1 zugreifen, aber nicht auf Ressourcen im Perimeter SP2. Als VPC-Netzwerk 2 wird dem Perimeter SP2 hinzugefügt, das VPC-Netzwerk 2 kann auf Ressourcen im Perimeter SP2 zugreifen aber keinen Zugriff auf Ressourcen im Perimeter SP1.

VPC-Netzwerke in einem Dienstperimeter verwalten

Zum Verwalten von VPC-Netzwerken in einem Perimeter können Sie die folgenden Aufgaben ausführen:

  • Fügen Sie einem Perimeter ein einzelnes VPC-Netzwerk hinzu, anstatt dem Perimeter ein ganzes Hostprojekt hinzuzufügen.
  • Entfernen Sie ein VPC-Netzwerk aus einem Perimeter.
  • Erlauben Sie einem VPC-Netzwerk den Zugriff auf Ressourcen innerhalb eines Perimeters, indem Sie Folgendes angeben: Richtlinie für eingehenden Traffic.
  • Von einer einzelnen Perimeter-Einrichtung zu einer Einrichtung mit mehreren Perimetern migrieren Probelaufmodus, um die Migration zu testen.

Beschränkungen

Für die Verwaltung von VPC-Netzwerken in Dienstperimetern gelten die folgenden Einschränkungen:

  • VPC-Netzwerke, die in einer anderen Organisation vorhanden sind, können nicht zu oder geben Sie sie als Ingress-Quelle an. Wenn Sie ein VPC-Netzwerk in einer anderen Organisation als Eingangsquelle angeben möchten, benötigen Sie die Rolle roles/compute.networkViewer.
  • Wenn Sie ein durch einen Perimeter geschütztes VPC-Netzwerk löschen und dann ein VPC-Netzwerk mit demselben Namen neu erstellen, wird das neu erstellte VPC-Netzwerk nicht durch den Dienstperimeter geschützt. Wir empfehlen, dass Sie kein VPC-Netzwerk mit demselben Namen neu erstellen. Lösung Erstellen Sie ein VPC-Netzwerk mit einem anderen Namen und fügen Sie bis zum Perimeter.
  • Die maximale Anzahl von VPC-Netzwerken, die Sie in einer Organisation haben können, ist 500.
  • Wenn ein VPC-Netzwerk einen benutzerdefinierten Subnetzmodus hat, aber keine Subnetze vorhanden sind, kann das VPC-Netzwerk VPC Service Controls nicht unabhängig hinzugefügt werden. Wenn Sie einem Perimeter ein VPC-Netzwerk hinzufügen möchten, muss das VPC-Netzwerk mindestens ein Subnetz enthalten.

Nächste Schritte