本文档简要介绍了如何管理 VPC 网络和 VPC Service Controls。
您可以为宿主项目中的每个 VPC 网络创建单独的边界,而不是为整个宿主项目创建单个边界。例如,如果您的宿主项目包含用于开发、测试和生产环境的独立 VPC 网络,您可以为开发、测试和生产网络创建单独的边界。
您还可以通过指定入站流量规则,允许从边界内的 VPC 网络访问边界内的资源。
下图显示了 VPC 网络宿主项目的示例,以及如何为每个 VPC 网络应用不同的边界政策:
- VPC 网络宿主项目。VPC 网络宿主项目包含 VPC 网络 1 和 VPC 网络 2,这两个网络分别包含虚拟机 A 和虚拟机 B。
- 服务边界。服务边界 SP1 和 SP2 包含 BigQuery 和 Cloud Storage 资源。由于 VPC 网络 1 添加到了边界 SP1,因此 VPC 网络 1 可以访问边界 SP1 中的资源,但无法访问边界 SP2 中的资源。由于 VPC 网络 2 添加到边界 SP2 中,因此 VPC 网络 2 可以访问边界 SP2 中的资源,但不能访问边界 SP1 中的资源。
管理服务边界中的 VPC 网络
您可以执行以下任务来管理边界内的 VPC 网络:
- 向边界添加单个 VPC 网络,而不是向边界添加整个宿主项目。
- 从边界中移除 VPC 网络。
- 通过指定入站流量政策,允许 VPC 网络访问边界内的资源。
- 从单个边界设置迁移到多边界设置,并使用试运行模式测试迁移。
限制
在服务边界内管理 VPC 网络时存在以下限制:
- 您无法将其他组织中存在的 VPC 网络添加到您的服务边界,也无法将其指定为入站流量来源。如需将其他组织中存在的 VPC 网络指定为入站流量来源,您必须具有 (
roles/compute.networkViewer) 角色。 - 如果您删除受边界保护的 VPC 网络,然后重新创建具有相同名称的 VPC 网络,则该服务边界不会保护您重新创建的 VPC 网络。我们建议您不要重新创建同名的 VPC 网络。如需解决此问题,请使用其他名称创建 VPC 网络并将其添加到边界。
- 您在一个组织下可以拥有的 VPC 网络数上限为 500 个。
- 如果 VPC 网络具有自定义子网模式,但不存在子网,则无法将该 VPC 网络单独添加到 VPC Service Controls。如需将 VPC 网络添加到边界,VPC 网络必须包含至少一个子网。