Questo documento fornisce una panoramica su come gestire le reti VPC e i Controlli di servizio VPC.
Puoi creare perimetri separati per ciascun VPC reti nel tuo progetto host anziché creare un unico perimetro per l'intero progetto host. Ad esempio, se il progetto host contiene reti VPC separate per gli ambienti di sviluppo, test e produzione, puoi creare perimetri separati per le reti di sviluppo, test e produzione.
Puoi anche consentire l'accesso da una rete VPC che non si trova all'interno del tuo alle risorse all'interno del tuo perimetro specificando una regola in entrata.
Il seguente diagramma mostra un esempio di progetto host di reti VPC e come puoi applicare un criterio perimetrale diverso per ogni rete VPC:
- Progetto host reti VPC. Il progetto host contiene la rete VPC 1 e la rete VPC 2, ciascuna contenenti rispettivamente le macchine virtuali VM A e VM B.
- Perimetri di servizio. I perimetri di servizio SP1 e SP2 contengono BigQuery e Cloud Storage. Poiché la rete VPC 1 viene aggiunta al perimetro SP1, la rete VPC 1 può accedere alle risorse nel perimetro SP1 ma non alle risorse nel perimetro SP2. Come Rete VPC 2 viene aggiunto al perimetro SP2, la rete VPC 2 può accedere alle risorse nel perimetro SP2 ma non possono accedere alle risorse nel perimetro SP1.
Gestione delle reti VPC in un perimetro di servizio
Per gestire le reti VPC in un perimetro, puoi eseguire le seguenti attività:
- Aggiungi una singola rete VPC a un perimetro anziché aggiungere un'intera rete VPC progetto host al perimetro.
- Rimuovere una rete VPC da un perimetro.
- Consenti a una rete VPC di accedere alle risorse all'interno di un perimetro specificando e un criterio in entrata.
- Eseguire la migrazione da una configurazione con perimetro singolo a una configurazione per più perimetri e utilizzare modalità dry run per testare la migrazione.
Limitazioni
Di seguito sono riportate le limitazioni relative alla gestione delle reti VPC nei perimetri di servizio:
- Non puoi aggiungere reti VPC che esistono in un'altra organizzazione a
il perimetro di servizio o specificarli come origine in entrata. per specificare un VPC
esistente in un'altra organizzazione come origine in entrata, devi
hanno il ruolo (
roles/compute.networkViewer). - Se elimini una rete VPC protetta da un perimetro e ricreare una rete VPC con lo stesso nome, non protegge la rete VPC che ricrei. I nostri suggerimenti di non ricreare una rete VPC con lo stesso nome. Da risolvere questo problema, crea una rete VPC con un nome diverso e aggiungi al perimetro.
- Il limite massimo di reti VPC all'interno di un'organizzazione è 500.
- Se una rete VPC ha una modalità subnet personalizzata, ma se non esistono subnet, non è possibile aggiungere la rete VPC in modo indipendente ai Controlli di servizio VPC. Per aggiungere una rete VPC a un perimetro, è necessario deve contenere almeno una subnet.
Passaggi successivi
- Scopri di più sulle regole per aggiungere reti VPC ai perimetri di servizio.