サービス境界での VPC ネットワーク管理

このドキュメントでは、VPC ネットワークと VPC Service Controls の管理方法の概要について説明します。

ホスト プロジェクト全体に対して 1 つの境界を作成する代わりに、ホスト プロジェクト内の VPC ネットワークごとに別々の境界を作成できます。たとえば、開発環境、テスト環境、本番環境に別々の VPC ネットワークが存在する場合、開発、テスト、本番環境用に別々の境界を作成できます。

上り(内向き)ルールを指定することで、境界外の VPC ネットワークから境界内のリソースへのアクセスを許可できます。

次の図は、VPC ネットワークのホスト プロジェクトの例と、VPC ネットワークごとに異なる境界ポリシーを適用する方法を示しています。

各 VPC ネットワークの境界ポリシー

  • VPC ネットワークのホスト プロジェクト。ホスト プロジェクトには VPC ネットワーク 1 と VPC ネットワーク 2 が存在し、それぞれに仮想マシン VM A と VM B があります。
  • サービス境界。サービス境界の SP1 と SP2 には BigQuery と Cloud Storage のリソースが含まれています。VPC ネットワーク 1 が境界 SP1 に追加されると、VPC ネットワーク 1 は境界 SP1 のリソースにアクセスできますが、境界 SP2 のリソースにはアクセスできません。VPC ネットワーク 2 が境界 SP2 に追加されると、VPC ネットワーク 2 は境界 SP2 のリソースにアクセスできますが、境界 SP1 のリソースにはアクセスできません。

サービス境界内で VPC ネットワークを管理する

境界内の VPC ネットワークを管理するには、次の操作を行います。

  • 境界にホスト プロジェクト全体を追加するのではなく、単一の VPC ネットワークを境界に追加します。
  • VPC ネットワークを境界から削除します。
  • VPC ネットワークが境界内のリソースにアクセスできるように、上り(内向き)ポリシーを指定します。
  • 1 つの境界の設定から複数の境界の設定に移行し、ドライラン モードを使用して移行をテストします。

制限事項

サービス境界で VPC ネットワークを管理する場合の制限は次のとおりです。

  • 別の組織に存在する VPC ネットワークをサービス境界に追加したり、上り(内向き)ソースとして指定することはできません。別の組織に存在する VPC ネットワークを上り(内向き)ソースとして指定するには、roles/compute.networkViewer ロールが必要です。
  • 境界で保護されている VPC ネットワークを削除してから同じ名前の VPC ネットワークを再作成すると、再作成する VPC ネットワークはサービス境界で保護されません。同じ名前の VPC ネットワークは再作成しないことをおすすめします。この問題を解決するには、別の名前の VPC ネットワークを作成して境界に追加します。
  • 1 つの組織で使用できる VPC ネットワーク数の上限は 500 です。
  • VPC ネットワークにカスタム サブネット モードがあり、サブネットが存在しない場合は、その VPC ネットワークを個別に VPC Service Controls に追加することはできません。VPC ネットワークを境界に追加するには、VPC ネットワークに 1 つ以上のサブネットが含まれている必要があります。

次のステップ