En este documento, se proporciona una descripción general de cómo administrar redes de VPC y Controles del servicio de VPC.
Puedes crear perímetros separados para cada una de las redes de VPC en tu proyecto host en lugar de crear un perímetro único para todo el proyecto host. Por ejemplo, si tu proyecto host contiene redes de VPC independientes para los entornos de desarrollo, prueba y producción, puedes crear perímetros separados para las redes de desarrollo, prueba y producción.
También puedes especificar una regla de entrada para permitir el acceso desde una red de VPC que no esté dentro del perímetro a los recursos dentro del perímetro.
En el siguiente diagrama, se muestra un ejemplo de un proyecto host de redes de VPC y cómo puedes aplicar una política de perímetro diferente para cada red de VPC:
- Proyecto host de redes de VPC. El proyecto host de las redes de VPC contiene redes de VPC 1 y red de VPC 2 que contienen máquinas virtuales VM A y VM B, respectivamente.
- Perímetros de servicio Los perímetros de servicio SP1 y SP2 contienen recursos de BigQuery y Cloud Storage. A medida que se agrega la red de VPC 1 al perímetro SP1, la red de VPC 1 puede acceder a los recursos en el SP1 del perímetro, pero no puede acceder a los recursos en el SP2 del perímetro. A medida que se agrega la red de VPC 2 al perímetro SP2, la red de VPC 2 puede acceder a los recursos en el SP2 del perímetro, pero no puede acceder a los recursos en el SP1 del perímetro.
Administra redes de VPC en un perímetro de servicio
Puedes realizar las siguientes tareas para administrar las redes de VPC en un perímetro:
- Agrega una sola red de VPC a un perímetro en lugar de agregar un proyecto host completo al perímetro.
- Quita una red de VPC de un perímetro.
- Especifica una política de entrada para permitir que una red de VPC acceda a los recursos dentro de un perímetro.
- Migra desde una configuración de un solo perímetro a una configuración de varios perímetros y usa el modo de ejecución de prueba para probar la migración.
Limitaciones
Las siguientes son las limitaciones cuando administras redes de VPC en perímetros de servicio:
- No puedes agregar redes de VPC que existan en otra organización al perímetro de servicio ni especificarlas como una fuente de entrada. Para especificar una red de VPC que existe en otra organización como fuente de entrada, debes tener la función (
roles/compute.networkViewer). - Si borras una red de VPC protegida por un perímetro y, luego, vuelves a crear una red de VPC con el mismo nombre, el perímetro de servicio no protegerá la red de VPC que vuelves a crear. Te recomendamos que no vuelvas a crear una red de VPC con el mismo nombre. Para resolver este problema, crea una red de VPC con un nombre diferente y agrégala al perímetro.
- El límite para la cantidad de redes de VPC que puedes tener en una organización es de 500.
- Si una red de VPC tiene un modo de subred personalizado, pero si no existen subredes, esa red de VPC no se puede agregar de forma independiente a los Controles del servicio de VPC. Para agregar una red de VPC a un perímetro, esta debe contener al menos una subred.
¿Qué sigue?
- Obtén información sobre las reglas para agregar redes de VPC a los perímetros de servicio.