Questo documento fornisce una panoramica di come gestire le reti VPC e i Controlli di servizio VPC.
Puoi creare perimetri separati per ciascun VPC reti nel tuo progetto host anziché creare un unico perimetro per l'intero progetto host. Ad esempio, se il progetto host contiene reti VPC separate per gli ambienti di sviluppo, test e produzione, puoi creare perimetri distinti per le reti di sviluppo, test e produzione.
Puoi anche consentire l'accesso da una rete VPC che non si trova all'interno del tuo alle risorse all'interno del tuo perimetro specificando una regola in entrata.
Il seguente diagramma mostra un esempio di progetto host di reti VPC e come puoi applicare un criterio perimetrale diverso per ogni rete VPC:
- Progetto host delle reti VPC. Il progetto host contiene la rete VPC 1 e la rete VPC 2, ciascuna contenenti rispettivamente le macchine virtuali VM A e VM B.
- Perimetri di servizio. I perimetri di servizio SP1 e SP2 contengono BigQuery e Cloud Storage. Poiché la rete VPC 1 viene aggiunta al perimetro SP1, la rete VPC 1 può accedere alle risorse nel perimetro SP1 ma non alle risorse nel perimetro SP2. Poiché la rete VPC 2 viene aggiunta al perimetro SP2, può accedere alle risorse nel perimetro SP2, ma non a quelle nel perimetro SP1.
Gestire le reti VPC in un perimetro di servizio
Per gestire le reti VPC in un perimetro, puoi eseguire le seguenti attività:
- Aggiungi una singola rete VPC a un perimetro anziché un intero progetto host.
- Rimuovi una rete VPC da un perimetro.
- Consenti a una rete VPC di accedere alle risorse all'interno di un perimetro specificando un criterio di ingresso.
- Eseguire la migrazione da una configurazione con perimetro singolo a una configurazione per più perimetri e utilizzare modalità dry run per testare la migrazione.
Limitazioni
Di seguito sono riportate le limitazioni quando gestisci le reti VPC nei perimetri di servizio:
- Non puoi aggiungere reti VPC esistenti in un'altra organizzazione al perimetro di servizio o specificarle come origine di ingresso. per specificare un VPC
esistente in un'altra organizzazione come origine in entrata, devi
hanno il ruolo (
roles/compute.networkViewer). - Se elimini una rete VPC protetta da un perimetro e ricreare una rete VPC con lo stesso nome, non protegge la rete VPC che ricrei. I nostri suggerimenti di non ricreare una rete VPC con lo stesso nome. Da risolvere questo problema, crea una rete VPC con un nome diverso e aggiungi al perimetro.
- Il limite massimo di reti VPC all'interno di un'organizzazione è 500.
- Se una rete VPC ha una modalità subnet personalizzata, ma se non esistono subnet, non è possibile aggiungere la rete VPC in modo indipendente ai Controlli di servizio VPC. Per aggiungere una rete VPC a un perimetro, la rete VPC deve contenere almeno una subnet.
Passaggi successivi
- Scopri di più sulle regole per aggiungere reti VPC ai perimetri di servizio.