Ce document explique comment gérer des réseaux VPC et VPC Service Controls.
Vous pouvez créer des périmètres distincts pour chaque VPC de votre projet hôte au lieu de créer un périmètre unique pour l'ensemble de votre projet hôte. Par exemple, si votre projet hôte contient des réseaux VPC distincts pour les environnements de développement, de test et de production, vous pouvez créer des périmètres distincts pour les réseaux de développement, de test et de production.
Vous pouvez également autoriser l'accès depuis un réseau VPC qui n'est pas périmètre aux ressources qu'il contient en spécifiant une règle d'entrée.
Le schéma suivant montre un exemple de projet hôte de réseaux VPC et explique comment vous pouvez appliquer une règle de périmètre différente pour chaque réseau VPC:
- Projet hôte de réseaux VPC. Le projet hôte contient les réseaux VPC 1 et VPC 2, chacun contenant respectivement les VM A et B.
- Périmètres de service. Les périmètres de service SP1 et SP2 contiennent BigQuery et les ressources Cloud Storage. Lorsque le réseau VPC 1 est ajouté au périmètre SP1, le réseau VPC 1 peut accéder aux ressources du périmètre SP1, mais ne peut pas accéder aux ressources du périmètre SP2. En tant que réseau VPC 2 est ajouté au périmètre SP2, le réseau VPC 2 peut accéder aux ressources du périmètre SP2 mais ne peut pas accéder aux ressources du périmètre SP1.
Gérer des réseaux VPC dans un périmètre de service
Vous pouvez effectuer les tâches suivantes pour gérer les réseaux VPC d'un périmètre:
- Ajoutez un seul réseau VPC à un périmètre au lieu d'ajouter un réseau projet hôte au périmètre.
- Supprimer un réseau VPC d'un périmètre
- Autoriser un réseau VPC à accéder aux ressources situées à l'intérieur d'un périmètre en spécifiant une règle d'entrée.
- Passer d'une configuration à un seul périmètre à une configuration et une utilisation à plusieurs périmètres en mode dry run ("test à blanc"), pour tester la migration.
Limites
Voici les limites qui s'appliquent lorsque vous gérez des réseaux VPC dans des périmètres de service:
- Vous ne pouvez pas ajouter de réseaux VPC existant dans une autre organisation à
votre périmètre de service ou les spécifier
comme sources d'entrée. Pour spécifier un VPC
réseau existant dans une autre organisation en tant que source d'entrée, vous devez
qui disposent du rôle (
roles/compute.networkViewer). - Si vous supprimez un réseau VPC protégé par un périmètre, puis que recréez un réseau VPC portant le même nom, le périmètre de service ne protège pas le réseau VPC que vous recréez. Nous vous recommandons de ne pas recréer un réseau VPC portant le même nom. Pour résoudre le problème ce problème, créez un réseau VPC avec un nom différent et ajoutez au périmètre.
- Le nombre maximal de réseaux VPC que vous pouvez avoir dans une organisation est de 500.
- Si un réseau VPC possède un mode de sous-réseau personnalisé, mais qu'il n'existe aucun sous-réseau, ce réseau VPC ne peut pas être ajouté indépendamment de VPC Service Controls. Pour ajouter un réseau VPC à un périmètre, le réseau VPC doit contenir au moins un sous-réseau.