Dieses Dokument bietet einen Überblick darüber, wie Sie VPC-Netzwerke und VPC Service Controls verwalten können.
Sie können separate Perimeter für jedes der VPC-Netzwerke in Ihrem Hostprojekt erstellen, anstatt einen einzelnen Perimeter für das gesamte Hostprojekt zu erstellen. Wenn Ihr Hostprojekt beispielsweise separate VPC-Netzwerke für Entwicklungs-, Test- und Produktionsumgebungen enthält, können Sie separate Perimeter für die Entwicklungs-, Test- und Produktionsnetzwerke erstellen.
Sie können auch den Zugriff von einem VPC-Netzwerk, das sich nicht in Ihrem Perimeter befindet, auf Ressourcen in Ihrem Perimeter zulassen, indem Sie eine Regel für eingehenden Traffic angeben.
Das folgende Diagramm zeigt ein Beispiel für ein VPC-Netzwerk-Hostprojekt und wie Sie für jedes VPC-Netzwerk eine andere Perimeterrichtlinie anwenden können:
- VPC-Netzwerke im Hostprojekt Das Hostprojekt enthält VPC-Netzwerk 1 und VPC-Netzwerk 2, die jeweils die VMs A und B enthalten.
- Dienstperimeter Die Dienstperimeter SP1 und SP2 enthalten BigQuery- und Cloud Storage-Ressourcen. Da VPC-Netzwerk 1 dem Perimeter SP1 hinzugefügt wird, kann es auf Ressourcen im Perimeter SP1 zugreifen, aber nicht auf Ressourcen im Perimeter SP2. Da VPC-Netzwerk 2 dem Perimeter SP2 hinzugefügt wird, kann es auf Ressourcen im Perimeter SP2 zugreifen, aber nicht auf Ressourcen im Perimeter SP1.
VPC-Netzwerke in einem Dienstperimeter verwalten
Sie können die folgenden Aufgaben ausführen, um VPC-Netzwerke in einem Perimeter zu verwalten:
- Sie können einem Perimeter ein einzelnes VPC-Netzwerk hinzufügen, anstatt ein ganzes Hostprojekt.
- Entfernen Sie ein VPC-Netzwerk aus einem Perimeter.
- Sie können den Zugriff eines VPC-Netzwerks auf Ressourcen innerhalb eines Perimeters zulassen, indem Sie eine Richtlinie für eingehenden Traffic angeben.
- Migrieren Sie von einer Einrichtung mit einem einzelnen Perimeter zu einer mit mehreren Perimetern und verwenden Sie den Probebetriebsmodus, um die Migration zu testen.
Beschränkungen
Die folgenden Einschränkungen gelten, wenn Sie VPC-Netzwerke in Dienstperimetern verwalten:
- Sie können Ihrem Dienstperimeter keine VPC-Netzwerke hinzufügen, die in einer anderen Organisation vorhanden sind, und sie auch nicht als Ingress-Quelle angeben. Wenn Sie ein VPC-Netzwerk, das in einer anderen Organisation vorhanden ist, als Quelle für eingehenden Traffic angeben möchten, benötigen Sie die Rolle (
roles/compute.networkViewer). - Wenn Sie ein VPC-Netzwerk löschen, das durch einen Perimeter geschützt war, und anschließend ein neues VPC-Netzwerk mit demselben Namen erstellen, wird dieses vom Dienstperimeter nicht geschützt. Wir empfehlen, kein VPC-Netzwerk mit demselben Namen neu zu erstellen. Um dieses Problem zu beheben, erstellen Sie ein VPC-Netzwerk mit einem anderen Namen und fügen Sie es dem Perimeter hinzu.
- Das Limit für die Anzahl der VPC-Netzwerke, die Sie in einer Organisation haben können, beträgt 500.
- Wenn ein VPC-Netzwerk einen benutzerdefinierten Subnetzmodus hat, aber keine Subnetze vorhanden sind, kann dieses VPC-Netzwerk nicht unabhängig zu VPC Service Controls hinzugefügt werden. Wenn Sie einem Perimeter ein VPC-Netzwerk hinzufügen möchten, muss das VPC-Netzwerk mindestens ein Subnetz enthalten.