En este documento, se proporciona una descripción general de cómo puedes administrar redes y Controles del servicio de VPC.
Puedes crear perímetros separados para cada una de las redes en tu proyecto host, en lugar de crear un solo perímetro para toda proyecto host. Por ejemplo, si tu proyecto host contiene redes de VPC separadas para los entornos de desarrollo, prueba y producción, puedes crear perímetros separados para las redes de desarrollo, prueba y producción.
También puedes permitir el acceso desde una red de VPC que no esté dentro perímetro a los recursos dentro de su perímetro especificando una regla de entrada.
En el siguiente diagrama, se muestra un ejemplo de un proyecto host de redes de VPC y la manera en que puedes aplicar una política de perímetro diferente para cada red de VPC:
- Proyecto host de las redes de VPC. El proyecto host contiene la red de VPC 1 y la red de VPC 2, cada una con máquinas virtuales A y B, respectivamente.
- Perímetros de servicio. Los perímetros de servicio SP1 y SP2 contienen BigQuery y los recursos de Cloud Storage. Cuando la red de VPC 1 se agrega al perímetro SP1, la red de VPC 1 puede acceder a los recursos en el perímetro SP1, pero no puede acceder a los recursos en el perímetro SP2. Como red de VPC 2 se agrega al perímetro SP2, la red de VPC 2 puede acceder a los recursos en el perímetro SP2 pero no puede acceder a los recursos en el perímetro SP1.
Administra redes de VPC en un perímetro de servicio
Puedes realizar las siguientes tareas para administrar las redes de VPC en un perímetro:
- Agrega una sola red de VPC a un perímetro en lugar de agregar una red proyecto host en el perímetro.
- Quitar una red de VPC de un perímetro
- Para permitir que una red de VPC acceda a los recursos dentro de un perímetro, especifica una política de entrada.
- Migra de una configuración de un solo perímetro a una configuración de varios perímetros y usa y ejecución de prueba para probar la migración.
Limitaciones
Las siguientes son las limitaciones cuando administras redes de VPC en perímetros de servicio:
- No puedes agregar redes de VPC que existen en otra organización para
a su perímetro de servicio o especificarlos
como un origen de entrada. Para especificar una VPC
existente en otra organización como fuente de entrada, debes
tienen el rol (
roles/compute.networkViewer). - Si borras una red de VPC protegida por un perímetro y, luego, recrear una red de VPC con el mismo nombre, el perímetro de servicio no protege la red de VPC que vuelves a crear. Recomendaciones no vuelvas a crear una red de VPC con el mismo nombre. Para resolver este problema, crea una red de VPC con un nombre diferente y agrega al perímetro.
- El límite de redes de VPC que puedes tener en una organización es de 500.
- Si una red de VPC tiene un modo de subred personalizado, pero si no existen subredes, esa red de VPC no se podrá agregar de forma independiente a los Controles del servicio de VPC. Para agregar una red de VPC a un perímetro, la red de VPC debe contener al menos una subred.
¿Qué sigue?
- Obtén más información sobre las reglas para agregar redes de VPC a perímetros de servicio.