In diesem Dokument erhalten Sie eine Übersicht über die Verwaltung von VPC-Netzwerken und VPC Service Controls.
Sie können für jedes VPC-Netzwerk in Ihrem Hostprojekt separate Perimeter erstellen, anstatt einen einzelnen Perimeter für das gesamte Hostprojekt zu erstellen. Wenn Ihr Hostprojekt beispielsweise separate VPC-Netzwerke für Entwicklungs-, Test- und Produktionsumgebungen enthält, können Sie separate Perimeter für die Entwicklungs-, Test- und Produktionsnetzwerke erstellen.
Sie können auch den Zugriff von einem VPC-Netzwerk, das sich nicht innerhalb Ihres Perimeters befindet, auf Ressourcen innerhalb Ihres Perimeters zulassen, indem Sie eine Regel für eingehenden Traffic angeben.
Das folgende Diagramm zeigt ein Beispiel für ein VPC-Netzwerk-Hostprojekt und wie Sie für jedes VPC-Netzwerk eine andere Perimeterrichtlinie anwenden können:
- Hostprojekt der VPC-Netzwerke. Das Hostprojekt der VPC-Netzwerke enthält VPC-Netzwerk 1 und VPC-Netzwerk 2, die die virtuellen Maschinen VM A bzw. VM B enthalten.
- Dienstperimeter: Die Dienstperimeter SP1 und SP2 enthalten BigQuery- und Cloud Storage-Ressourcen. Wenn VPC-Netzwerk 1 dem Perimeter SP1 hinzugefügt wird, kann VPC-Netzwerk 1 auf Ressourcen im Perimeter SP1 zugreifen, aber nicht auf Ressourcen im Perimeter SP2. Wenn VPC-Netzwerk 2 zum Perimeter SP2 hinzugefügt wird, kann VPC-Netzwerk 2 auf Ressourcen im Perimeter SP2 zugreifen, jedoch nicht auf Ressourcen im Perimeter SP1.
VPC-Netzwerke in einem Dienstperimeter verwalten
Mit den folgenden Aufgaben können Sie VPC-Netzwerke in einem Perimeter verwalten:
- Fügen Sie einem Perimeter ein einzelnes VPC-Netzwerk hinzu, anstatt ein gesamtes Hostprojekt zum Perimeter hinzuzufügen.
- VPC-Netzwerk aus einem Perimeter entfernen
- Geben Sie eine Richtlinie für eingehenden Traffic an, um einem VPC-Netzwerk den Zugriff auf Ressourcen innerhalb eines Perimeters zu ermöglichen.
- Migrieren Sie von einer Einrichtung mit einem einzelnen Perimeter zu einer Einrichtung mit mehreren Perimetern und verwenden Sie den Probelaufmodus, um die Migration zu testen.
Beschränkungen
Wenn Sie VPC-Netzwerke in Dienstperimetern verwalten, gelten folgende Einschränkungen:
- Sie können Ihrem Dienstperimeter keine VPC-Netzwerke hinzufügen, die in einer anderen Organisation vorhanden sind, oder sie als Quelle für eingehenden Traffic angeben. Sie müssen die Rolle (
roles/compute.networkViewer) haben, um ein VPC-Netzwerk, das in einer anderen Organisation vorhanden ist, als Quelle für eingehenden Traffic anzugeben. - Wenn Sie ein durch einen Perimeter geschütztes VPC-Netzwerk löschen und dann ein VPC-Netzwerk mit demselben Namen neu erstellen, schützt der Dienstperimeter das neu erstellte VPC-Netzwerk nicht. Wir empfehlen, ein VPC-Netzwerk mit demselben Namen nicht neu zu erstellen. Erstellen Sie ein VPC-Netzwerk mit einem anderen Namen und fügen Sie es dem Perimeter hinzu, um dieses Problem zu beheben.
- Das Limit für die Anzahl der VPC-Netzwerke einer Organisation beträgt 500.
- Wenn ein VPC-Netzwerk einen benutzerdefinierten Subnetzmodus hat, aber keine Subnetze vorhanden sind, kann dieses VPC-Netzwerk nicht unabhängig zu VPC Service Controls hinzugefügt werden. Wenn Sie einem Perimeter ein VPC-Netzwerk hinzufügen möchten, muss das VPC-Netzwerk mindestens ein Subnetz enthalten.