Ce document explique comment gérer des réseaux VPC et VPC Service Controls.
Vous pouvez créer des périmètres distincts pour chacun des réseaux VPC de votre projet hôte au lieu de créer un périmètre unique pour l'ensemble du projet hôte. Par exemple, si votre projet hôte contient des réseaux VPC distincts pour les environnements de développement, de test et de production, vous pouvez créer des périmètres distincts pour les réseaux de développement, de test et de production.
Vous pouvez également autoriser l'accès à partir d'un réseau VPC situé en dehors de votre périmètre à des ressources situées dans ce périmètre en spécifiant une règle d'entrée.
Le schéma suivant montre un exemple de projet hôte de réseaux VPC et explique comment appliquer une règle de périmètre différente à chaque réseau VPC:
- Projet hôte de réseaux VPC. Le projet hôte des réseaux VPC contient respectivement les réseaux VPC 1 et 2, qui contiennent des machines virtuelles A et B.
- Périmètres de service : Les périmètres de service SP1 et SP2 contiennent des ressources BigQuery et Cloud Storage. Comme le réseau VPC 1 est ajouté au périmètre SP1, le réseau VPC 1 peut accéder aux ressources du périmètre SP1, mais pas celles du périmètre SP2. Comme le réseau VPC 2 est ajouté au périmètre SP2, le réseau VPC 2 peut accéder aux ressources du périmètre SP2, mais pas à celles du périmètre SP1.
Gérer les réseaux VPC dans un périmètre de service
Vous pouvez effectuer les tâches suivantes pour gérer les réseaux VPC d'un périmètre:
- Ajoutez un seul réseau VPC à un périmètre au lieu d'ajouter un projet hôte entier au périmètre.
- Supprimez un réseau VPC d'un périmètre.
- Autorisez un réseau VPC à accéder aux ressources situées à l'intérieur d'un périmètre en spécifiant une règle d'entrée.
- Passez d'une configuration de périmètre unique à une configuration multipérimètre et utilisez le mode de simulation pour tester la migration.
Limites
Voici les limites applicables lorsque vous gérez des réseaux VPC dans des périmètres de service:
- Vous ne pouvez pas ajouter à votre périmètre de service des réseaux VPC appartenant à une autre organisation, ni les spécifier en tant que source d'entrée. Pour spécifier un réseau VPC existant dans une autre organisation en tant que source d'entrée, vous devez disposer du rôle (
roles/compute.networkViewer). - Si vous supprimez un réseau VPC protégé par un périmètre, puis que vous recréez un réseau VPC portant le même nom, le périmètre de service ne protège pas le réseau VPC que vous recréez. Nous vous recommandons de ne pas recréer un réseau VPC portant le même nom. Pour résoudre ce problème, créez un réseau VPC avec un nom différent et ajoutez-le au périmètre.
- Une organisation ne peut pas contenir plus de 500 réseaux VPC.
- Si un réseau VPC est en mode sous-réseau personnalisé, mais qu'il n'existe aucun sous-réseau, ce réseau VPC ne peut pas être ajouté indépendamment à VPC Service Controls. Pour ajouter un réseau VPC à un périmètre, celui-ci doit contenir au moins un sous-réseau.