En este documento, se proporciona una descripción general de cómo puedes administrar las redes de VPC y los Controles del servicio de VPC.
Puedes crear perímetros separados para cada una de las redes en tu proyecto host, en lugar de crear un solo perímetro para toda proyecto host. Por ejemplo, si tu proyecto host contiene redes de VPC independientes para los entornos de desarrollo, pruebas y producción, puedes crear perímetros independientes para las redes de desarrollo, pruebas y producción.
También puedes permitir el acceso desde una red de VPC que no esté dentro perímetro a los recursos dentro de su perímetro. Para ello, especifique una regla de entrada.
En el siguiente diagrama, se muestra un ejemplo de un proyecto host de redes de VPC y cómo puedes aplicar una política de perímetro diferente para cada red de VPC:
- Proyecto host de redes de VPC El proyecto host contiene la red de VPC 1 y la red de VPC 2, cada una de las cuales contiene las máquinas virtuales VM A y VM B, respectivamente.
- Perímetros de servicio. Los perímetros de servicio SP1 y SP2 contienen recursos de BigQuery y Cloud Storage. A medida que la red de VPC 1 se agrega al perímetro SP1, esta puede acceder a los recursos del perímetro SP1, pero no a los recursos del perímetro SP2. Como red de VPC 2 se agrega al perímetro SP2, la red de VPC 2 puede acceder a los recursos en el perímetro SP2 pero no puede acceder a los recursos en el perímetro SP1.
Administra redes de VPC en un perímetro de servicio
Puedes realizar las siguientes tareas para administrar las redes de VPC en un perímetro:
- Agrega una sola red de VPC a un perímetro en lugar de agregar un proyecto de host completo al perímetro.
- Quita una red de VPC de un perímetro.
- Especifica una política de entrada para permitir que una red de VPC acceda a recursos dentro de un perímetro.
- Migra de una configuración de un solo perímetro a una configuración de varios perímetros y usa y de ejecución de prueba para probar la migración.
Limitaciones
Las siguientes son las limitaciones cuando administras redes de VPC en perímetros de servicio:
- No puedes agregar redes de VPC que existan en otra organización a tu perímetro de servicio ni especificarlas como una fuente de entrada. Para especificar una red de VPC que existe en otra organización como fuente de entrada, debes tener el rol (
roles/compute.networkViewer). - Si borras una red de VPC protegida por un perímetro y, luego, recreas una red de VPC con el mismo nombre, el perímetro de servicio no protegerá la red de VPC que vuelvas a crear. Te recomendamos que no vuelvas a crear una red de VPC con el mismo nombre. Para resolver este problema, crea una red de VPC con un nombre diferente y agrega al perímetro.
- El límite de redes de VPC que puedes tener en una organización es de 500.
- Si una red de VPC tiene un modo de subred personalizado, pero no existen subredes, esta red de VPC no se puede agregar de forma independiente a los Controles del servicio de VPC. Para agregar una red de VPC a un perímetro, esta debe contener al menos una subred.
¿Qué sigue?
- Obtén más información sobre las reglas para agregar redes de VPC a perímetros de servicio.