이 문서에서는 VPC 네트워크 및 VPC 서비스 제어를 관리하는 방법을 간략하게 설명합니다.
전체 호스트 프로젝트에 대해 단일 경계를 만드는 대신 호스트 프로젝트의 각 VPC 네트워크에 대해 개별 경계를 만들 수 있습니다. 예를 들어 호스트 프로젝트에 개발, 테스트, 프로덕션 환경에 대해 별도의 VPC 네트워크가 포함된 경우 개발, 테스트, 프로덕션 네트워크에 대해 별도의 경계를 만들 수 있습니다.
또한 인그레스 규칙을 지정하여 경계 내부에 없는 VPC 네트워크에서 경계 내부의 리소스에 대한 액세스를 허용할 수도 있습니다.
다음 다이어그램은 VPC 네트워크 호스트 프로젝트의 예시와 각 VPC 네트워크에 서로 다른 경계 정책을 적용하는 방법을 보여줍니다.
- VPC 네트워크 호스트 프로젝트. 호스트 프로젝트에는 VPC 네트워크 1과 VPC 네트워크 2가 포함되어 있으며 각각의 네트워크에는 가상 머신 VM A와 VM B가 포함되어 있습니다.
- 서비스 경계. 서비스 경계 SP1 및 SP2 에는 BigQuery 및 Cloud Storage 리소스가 포함되어 있습니다. VPC 네트워크 1이 경계 SP1에 추가되면 VPC 네트워크 1은 경계 SP1의 리소스에는 액세스할 수 있지만 경계 SP2의 리소스에는 액세스할 수 없습니다. VPC 네트워크 2가 경계 SP2에 추가되면 VPC 네트워크 2는 경계 SP2의 리소스에는 액세스할 수 있지만 경계 SP1의 리소스에는 액세스할 수 없습니다.
서비스 경계에서 VPC 네트워크 관리
다음 태스크를 수행하여 경계에서 VPC 네트워크를 관리할 수 있습니다.
- 전체 호스트 프로젝트를 경계에 추가하는 대신 단일 VPC 네트워크를 경계에 추가합니다.
- 경계에서 VPC 네트워크를 삭제합니다.
- 인그레스 정책을 지정하여 VPC 네트워크가 경계 내의 리소스에 액세스할 수 있도록 허용합니다.
- 단일 경계 설정에서 여러 경계 설정으로 마이그레이션하고 테스트 실행 모드를 사용하여 마이그레이션을 테스트합니다.
제한사항
서비스 경계에서 VPC 네트워크를 관리할 때의 제한사항은 다음과 같습니다.
- 다른 조직에 있는 VPC 네트워크를 서비스 경계에 추가하거나 인그레스 소스로 지정할 수 없습니다. 다른 조직에 있는 VPC 네트워크를 인그레스 소스로 지정하려면 (
roles/compute.networkViewer) 역할이 있어야 합니다. - 경계로 보호되는 VPC 네트워크를 삭제한 다음 동일한 이름으로 VPC 네트워크를 다시 만드는 경우 서비스 경계는 다시 만드는 VPC 네트워크를 보호하지 않습니다. 동일한 이름으로 VPC 네트워크를 다시 만들지 않는 것이 좋습니다. 이 문제를 해결하려면 다른 이름으로 VPC 네트워크를 만들고 경계에 추가합니다.
- 한 조직에 속할 수 있는 VPC 네트워크 수는 500개로 제한됩니다.
- VPC 네트워크에 커스텀 서브넷 모드가 있지만 서브넷이 존재하지 않는 경우 해당 VPC 네트워크를 VPC 서비스 제어에 독립적으로 추가할 수 없습니다. VPC 네트워크를 경계에 추가하려면 VPC 네트워크에 서브넷이 최소 하나 이상 포함되어 있어야 합니다.
다음 단계
- VPC 네트워크를 서비스 경계에 추가하는 규칙에 대해 알아보기