Diese Seite wurde von der Cloud Translation API übersetzt.

Verwaltung von VPC-Netzwerken in Dienstperimetern

Dieses Dokument bietet einen Überblick über die Verwaltung von VPC-Netzwerken und VPC Service Controls.

Sie können für jede VPC separate Perimeter erstellen. Netzwerke in Ihrem Hostprojekt, anstatt einen einzigen Perimeter für das gesamte Hostprojekt. Wenn Ihr Hostprojekt beispielsweise separate VPC-Netzwerke enthält für Entwicklungs-, Test- und Produktionsumgebungen können Sie separate Perimeter für die Entwicklungs-, Test- und Produktionsnetzwerke.

Sie können auch den Zugriff von einem VPC-Netzwerk zulassen, das sich nicht in Ihrem Perimeter mit Ressourcen in Ihrem Perimeter verbinden, indem Sie eine Regel für eingehenden Traffic festlegen.

Das folgende Diagramm zeigt ein Beispiel für ein Hostprojekt eines VPC-Netzwerks und können Sie für jedes VPC-Netzwerk eine andere Perimeterrichtlinie anwenden:

Perimeterrichtlinie für jedes VPC-Netzwerk

Hostprojekt für VPC-Netzwerke. Das Hostprojekt enthält jeweils VPC-Netzwerk 1 und VPC-Netzwerk 2. mit den virtuellen Maschinen VM A und VM B.
Dienstperimeter: Die Dienstperimeter SP1 und SP2 enthalten BigQuery und Cloud Storage-Ressourcen. Wenn VPC-Netzwerk 1 zum Perimeter SP1 hinzugefügt wird, wird VPC-Netzwerk 1 kann auf Ressourcen im Perimeter SP1, aber nicht auf Ressourcen im Perimeter SP2 zugreifen. Als VPC-Netzwerk 2 wird dem Perimeter SP2 hinzugefügt, das VPC-Netzwerk 2 kann auf Ressourcen im Perimeter SP2 zugreifen aber keinen Zugriff auf Ressourcen im Perimeter SP1.

VPC-Netzwerke in einem Dienstperimeter verwalten

Zum Verwalten von VPC-Netzwerken in einem Perimeter können Sie die folgenden Aufgaben ausführen:

Ein einzelnes VPC-Netzwerk zu einem Perimeter hinzufügen, anstatt ein ganzes Hostprojekt mit dem Perimeter verbinden.
VPC-Netzwerk aus einem Perimeter entfernen.
Erlauben Sie einem VPC-Netzwerk den Zugriff auf Ressourcen innerhalb eines Perimeters, indem Sie Folgendes angeben: Richtlinie für eingehenden Traffic.
Von einer einzelnen Perimeter-Einrichtung zu einer Einrichtung mit mehreren Perimetern migrieren Probelaufmodus, um die Migration zu testen.

Beschränkungen

Für die Verwaltung von VPC-Netzwerken in Dienstperimetern gelten die folgenden Einschränkungen:

VPC-Netzwerke, die in einer anderen Organisation vorhanden sind, können nicht zu oder geben Sie sie als Ingress-Quelle an. So geben Sie eine VPC an: das als Eingangsquelle in einer anderen Organisation vorhanden ist, müssen Sie die die Rolle (roles/compute.networkViewer) haben.
Wenn Sie ein durch einen Perimeter geschütztes VPC-Netzwerk löschen Erstellen Sie ein VPC-Netzwerk mit demselben Namen, dem Dienstperimeter, neu. das neu erstellte VPC-Netzwerk nicht schützt. Wir empfehlen, dass Sie kein VPC-Netzwerk mit demselben Namen neu erstellen. Lösung Erstellen Sie ein VPC-Netzwerk mit einem anderen Namen und fügen Sie bis zum Perimeter.
Das Limit für die Anzahl der VPC-Netzwerke, die Sie in einer Organisation haben können, beträgt 500.
Wenn ein VPC-Netzwerk einen benutzerdefinierten Subnetzmodus hat, aber keine Subnetze vorhanden sind, kann das VPC-Netzwerk VPC Service Controls nicht unabhängig hinzugefügt werden. Zum Hinzufügen eines VPC-Netzwerk zu einem Perimeter muss mindestens ein Subnetz enthalten.

Nächste Schritte

Informationen zu Regeln zum Hinzufügen von VPC-Netzwerken zu Dienstperimetern