Gestione delle reti VPC nei perimetri di servizio

Questo documento fornisce una panoramica di come gestire le reti VPC e i Controlli di servizio VPC.

Puoi creare perimetri separati per ciascuna delle reti VPC nel progetto host anziché un unico perimetro per l'intero progetto host. Ad esempio, se il progetto host contiene reti VPC separate per gli ambienti di sviluppo, test e produzione, puoi creare perimetri distinti per le reti di sviluppo, test e produzione.

Puoi anche consentire l'accesso da una rete VPC non all'interno del perimetro alle risorse all'interno del perimetro specificando una regola di ingresso.

Il seguente diagramma mostra un esempio di progetto host di reti VPC e come puoi applicare un criterio di perimetro diverso per ogni rete VPC:

Criterio perimetrale per ogni rete VPC

  • Progetto host delle reti VPC. Il progetto host contiene la rete VPC 1 e la rete VPC 2, ciascuna contenente rispettivamente le VM A e B.
  • Perimetri di servizio. I perimetri dei servizi SP1 e SP2 contengono risorse BigQuery e Cloud Storage. Poiché la rete VPC 1 viene aggiunta al perimetro SP1, può accedere alle risorse nel perimetro SP1, ma non può accedere alle risorse nel perimetro SP2. Poiché la rete VPC 2 viene aggiunta al perimetro SP2, può accedere alle risorse nel perimetro SP2, ma non a quelle nel perimetro SP1.

Gestire le reti VPC in un perimetro di servizio

Per gestire le reti VPC in un perimetro, puoi eseguire le seguenti attività:

  • Aggiungi una singola rete VPC a un perimetro anziché un intero progetto host.
  • Rimuovi una rete VPC da un perimetro.
  • Consenti a una rete VPC di accedere alle risorse all'interno di un perimetro specificando una regola di ingresso.
  • Esegui la migrazione da una configurazione di un singolo perimetro a una configurazione di più perimetri e utilizza la modalità di prova per testare la migrazione.

Limitazioni

Di seguito sono riportate le limitazioni quando gestisci le reti VPC nei perimetri di servizio:

  • Non puoi aggiungere reti VPC esistenti in un'altra organizzazione al perimetro di servizio o specificarle come origine di ingresso. Per specificare una rete VPC esistente in un'altra organizzazione come origine di importazione, devi disporre del ruolo (roles/compute.networkViewer).
  • Se elimini una rete VPC protetta da un perimetro e poi la ricrei con lo stesso nome, il perimetro di servizio non protegge la rete VPC che hai ricreato. Ti consigliamo di non ricreare una rete VPC con lo stesso nome. Per risolvere questo problema, crea una rete VPC con un nome diverso e aggiungila al perimetro.
  • Il limite per il numero di reti VPC che puoi avere in un'organizzazione è 500.
  • Se una rete VPC ha una modalità di subnet personalizzata, ma non esistono subnet, la rete VPC non può essere aggiunta in modo indipendente ai Controlli di servizio VPC. Per aggiungere una rete VPC a un perimetro, la rete VPC deve contenere almeno una subnet.

Passaggi successivi