このドキュメントでは、VPC ネットワークと VPC Service Controls の管理方法の概要について説明します。
ホスト プロジェクト全体に対して 1 つの境界を作成する代わりに、ホスト プロジェクト内の VPC ネットワークごとに別々の境界を作成できます。たとえば、開発環境、テスト環境、本番環境に別々の VPC ネットワークが存在する場合、開発、テスト、本番環境用に別々の境界を作成できます。
上り(内向き)ルールを指定することで、境界外の VPC ネットワークから境界内のリソースへのアクセスを許可できます。
次の図は、VPC ネットワークのホスト プロジェクトの例と、VPC ネットワークごとに異なる境界ポリシーを適用する方法を示しています。
- VPC ネットワークのホスト プロジェクト。ホスト プロジェクトには VPC ネットワーク 1 と VPC ネットワーク 2 が存在し、それぞれに仮想マシン VM A と VM B があります。
- サービス境界。サービス境界の SP1 と SP2 には BigQuery と Cloud Storage のリソースが含まれています。VPC ネットワーク 1 が境界 SP1 に追加されると、VPC ネットワーク 1 は境界 SP1 のリソースにアクセスできますが、境界 SP2 のリソースにはアクセスできません。VPC ネットワーク 2 が境界 SP2 に追加されると、VPC ネットワーク 2 は境界 SP2 のリソースにアクセスできますが、境界 SP1 のリソースにはアクセスできません。
サービス境界内で VPC ネットワークを管理する
境界内の VPC ネットワークを管理するには、次の操作を行います。
- 境界にホスト プロジェクト全体を追加するのではなく、単一の VPC ネットワークを境界に追加します。
- VPC ネットワークを境界から削除します。
- VPC ネットワークが境界内のリソースにアクセスできるように、上り(内向き)ポリシーを指定します。
- 1 つの境界の設定から複数の境界の設定に移行し、ドライラン モードを使用して移行をテストします。
制限事項
サービス境界で VPC ネットワークを管理する場合の制限は次のとおりです。
- 別の組織に存在する VPC ネットワークをサービス境界に追加したり、上り(内向き)ソースとして指定することはできません。別の組織に存在する VPC ネットワークを上り(内向き)ソースとして指定するには、
roles/compute.networkViewerロールが必要です。 - 境界で保護されている VPC ネットワークを削除してから同じ名前の VPC ネットワークを再作成すると、再作成する VPC ネットワークはサービス境界で保護されません。同じ名前の VPC ネットワークは再作成しないことをおすすめします。この問題を解決するには、別の名前の VPC ネットワークを作成して境界に追加します。
- 1 つの組織で使用できる VPC ネットワーク数の上限は 500 です。
- VPC ネットワークにカスタム サブネット モードがあり、サブネットが存在しない場合は、その VPC ネットワークを個別に VPC Service Controls に追加することはできません。VPC ネットワークを境界に追加するには、VPC ネットワークに 1 つ以上のサブネットが含まれている必要があります。
次のステップ
- VPC ネットワークをサービス境界に追加するルールについて学習する。