本文档简要介绍了如何管理 VPC 网络和 VPC Service Controls。
您可以为每个 VPC 创建单独的边界 而不是为整个项目创建单个边界 托管项目例如,如果您的宿主项目包含单独的 VPC 网络 分别针对开发、测试和生产环境创建边界 开发、测试和生产广告联盟使用。
您还可以允许来自不在您区域的 VPC 网络的访问 通过指定入站流量规则为边界内的资源设置边界。
下图显示了 VPC 网络宿主项目的示例,以及如何 您可以为每个 VPC 网络应用不同的边界政策:
- VPC 网络宿主项目。宿主项目包含 VPC 网络 1 和 VPC 网络 2 分别包含虚拟机 A 和虚拟机 B
- 服务边界。服务边界 SP1 和 SP2 包含 BigQuery 和 Cloud Storage 资源。由于 VPC 网络 1 添加到边界 SP1,因此 VPC 网络 1 可以访问边界 SP1 中的资源,但无法访问边界 SP2 中的资源。作为 VPC 网络 2 添加到边界 SP2 中,VPC 网络 2 可以访问边界 SP2 中的资源 但无法访问边界 SP1 中的资源。
管理服务边界内的 VPC 网络
您可以执行以下任务来管理边界中的 VPC 网络:
- 向边界添加单个 VPC 网络,而不是添加整个网络 将宿主项目复制到边界内
- 从边界中移除 VPC 网络。
- 通过指定以下内容,允许 VPC 网络访问边界内的资源: 入站流量政策
- 从单个边界设置迁移到多边界设置并使用 试运行模式来测试迁移。
限制
管理服务边界内的 VPC 网络时,存在以下限制:
- 您无法将其他组织中的 VPC 网络添加到
或将其指定为入站来源。指定 VPC
作为入站来源存在于另一个组织的网络,您必须
具有 (
roles/compute.networkViewer) 角色。 - 如果您删除了受边界保护的 VPC 网络, 重新创建具有相同名称(即服务边界)的 VPC 网络 不会保护您重新创建的 VPC 网络。我们建议 不要使用相同的名称重新创建 VPC 网络。要解决 请创建一个具有不同名称的 VPC 网络,并将 部署到边界
- 一个组织名下的 VPC 网络数量上限为 500。
- 如果 VPC 网络具有自定义子网模式,但不存在任何子网, 则该 VPC 网络无法单独添加到 VPC Service Controls。 要将 VPC 网络添加到边界,VPC 网络 必须至少包含一个子网。