Gestão de redes VPC em perímetros de serviço

Este documento oferece uma vista geral de como pode gerir redes VPC e o VPC Service Controls.

Pode criar perímetros separados para cada uma das redes VPC no seu projeto anfitrião, em vez de criar um único perímetro para todo o projeto anfitrião. Por exemplo, se o seu projeto anfitrião contiver redes VPC separadas para ambientes de desenvolvimento, teste e produção, pode criar perímetros separados para as redes de desenvolvimento, teste e produção.

Também pode permitir o acesso a partir de uma rede VPC que não esteja dentro do seu perímetro a recursos dentro do seu perímetro especificando uma regra de entrada.

O diagrama seguinte mostra um exemplo de um projeto anfitrião de redes VPC e como pode aplicar uma política de perímetro diferente para cada rede VPC:

Política de perímetro para cada rede de VPC

  • Projeto anfitrião de redes VPC. O projeto anfitrião contém a rede VPC 1 e a rede VPC 2, cada uma com as máquinas virtuais VM A e VM B, respetivamente.
  • Perímetros de serviço. Os perímetros de serviço SP1 e SP2 contêm recursos do BigQuery e do Cloud Storage. À medida que a rede VPC 1 é adicionada ao perímetro SP1, a rede VPC 1 pode aceder aos recursos no perímetro SP1, mas não pode aceder aos recursos no perímetro SP2. À medida que a rede da VPC 2 é adicionada ao SP2 do perímetro, a rede da VPC 2 pode aceder aos recursos no SP2 do perímetro, mas não pode aceder aos recursos no SP1 do perímetro.

Faça a gestão das redes VPC num perímetro de serviço

Pode realizar as seguintes tarefas para gerir redes VPC num perímetro:

  • Adicione uma única rede VPC a um perímetro em vez de adicionar um projeto de anfitrião inteiro ao perímetro.
  • Remova uma rede de VPC de um perímetro.
  • Permitir que uma rede VPC aceda a recursos dentro de um perímetro especificando uma política de entrada.
  • Migre de uma configuração de perímetro único para uma configuração de vários perímetros e use o modo de teste para testar a migração.

Limitações

Seguem-se as limitações quando gere redes VPC em perímetros de serviço:

  • Não pode adicionar redes VPC que existam noutra organização ao seu perímetro de serviço nem especificá-las como uma origem de entrada. Para especificar uma rede VPC que exista noutra organização como origem de entrada, tem de ter a função (roles/compute.networkViewer).
  • Se eliminar uma rede de VPC protegida por um perímetro e, em seguida, recriar uma rede de VPC com o mesmo nome, o perímetro de serviço não protege a rede de VPC que recriar. Recomendamos que não recrie uma rede VPC com o mesmo nome. Para resolver este problema, crie uma rede VPC com um nome diferente e adicione-a ao perímetro.
  • O limite para o número de redes VPC que pode ter numa organização é de 500.
  • Se uma rede da VPC tiver um modo de sub-rede personalizado, mas não existirem sub-redes, essa rede da VPC não pode ser adicionada de forma independente aos VPC Service Controls. Para adicionar uma rede de VPC a um perímetro, a rede de VPC tem de conter, pelo menos, uma sub-rede.

O que se segue?