Gestion des réseaux VPC dans les périmètres de service

Ce document explique comment gérer des réseaux VPC et VPC Service Controls.

Vous pouvez créer des périmètres distincts pour chaque VPC de votre projet hôte au lieu de créer un périmètre unique pour l'ensemble de votre projet hôte. Par exemple, si votre projet hôte contient des réseaux VPC distincts pour les environnements de développement, de test et de production, vous pouvez créer des périmètres distincts pour les réseaux de développement, de test et de production.

Vous pouvez également autoriser l'accès depuis un réseau VPC qui n'est pas périmètre aux ressources qu'il contient en spécifiant une règle d'entrée.

Le schéma suivant montre un exemple de projet hôte de réseaux VPC et explique comment vous pouvez appliquer une règle de périmètre différente pour chaque réseau VPC:

Règle de périmètre pour chaque réseau VPC

  • Projet hôte de réseaux VPC. Le projet hôte contient les réseaux VPC 1 et VPC 2, chacun contenant respectivement les machines virtuelles VM A et VM B.
  • Périmètres de service. Les périmètres de service SP1 et SP2 contiennent des ressources BigQuery et Cloud Storage. Comme le réseau VPC 1 est ajouté au périmètre SP1, il peut accéder aux ressources du périmètre SP1, mais pas à celles du périmètre SP2. Comme le réseau VPC 2 est ajouté au périmètre SP2, il peut accéder aux ressources du périmètre SP2, mais pas à celles du périmètre SP1.

Gérer des réseaux VPC dans un périmètre de service

Vous pouvez effectuer les tâches suivantes pour gérer les réseaux VPC dans un périmètre :

  • Ajoutez un seul réseau VPC à un périmètre au lieu d'ajouter un projet hôte entier au périmètre.
  • Supprimer un réseau VPC d'un périmètre
  • Autorisez un réseau VPC à accéder aux ressources situées dans un périmètre en spécifiant une règle d'entrée.
  • Passez d'une configuration à périmètre unique à une configuration à plusieurs périmètres, puis utilisez le mode "Prévisualisation" pour tester la migration.

Limites

Voici les limites à prendre en compte lorsque vous gérez des réseaux VPC dans des périmètres de service :

  • Vous ne pouvez pas ajouter de réseaux VPC appartenant à une autre organisation à votre périmètre de service ni les spécifier comme source d'entrée. Pour spécifier un réseau VPC existant dans une autre organisation comme source d'entrée, vous devez disposer du rôle (roles/compute.networkViewer).
  • Si vous supprimez un réseau VPC protégé par un périmètre, puis que recréez un réseau VPC portant le même nom, le périmètre de service ne protège pas le réseau VPC que vous recréez. Nous vous recommandons de ne pas recréer de réseau VPC portant le même nom. Pour résoudre le problème ce problème, créez un réseau VPC avec un nom différent et ajoutez au périmètre.
  • Le nombre maximal de réseaux VPC que vous pouvez avoir dans une organisation est de 500.
  • Si un réseau VPC utilise un mode de sous-réseau personnalisé, mais qu'aucun sous-réseau n'existe, vous ne pouvez pas ajouter ce réseau VPC indépendamment à VPC Service Controls. Pour ajouter un réseau VPC à un périmètre, le réseau VPC doit contenir au moins un sous-réseau.

Étape suivante