Questo documento fornisce una panoramica su come gestire le reti VPC e i Controlli di servizio VPC.
Puoi creare perimetri separati per ciascuna delle reti VPC nel progetto host, anziché creare un unico perimetro per l'intero progetto host. Ad esempio, se il progetto host contiene reti VPC separate per ambienti di sviluppo, test e produzione, puoi creare perimetri separati per le reti di sviluppo, test e produzione.
Puoi anche consentire l'accesso alle risorse all'interno del perimetro da una rete VPC che non si trova all'interno del perimetro specificando una regola in entrata.
Il seguente diagramma mostra un esempio di progetto host di reti VPC e come applicare un criterio del perimetro diverso a ciascuna rete VPC:
- Progetto host di reti VPC. Il progetto host delle reti VPC contiene reti VPC 1 e rete VPC 2 che contengono rispettivamente le macchine virtuali VM A e VM B.
- Perimetri di servizio. I perimetri di servizio SP1 e SP2 contengono le risorse BigQuery e Cloud Storage. Poiché la rete VPC 1 viene aggiunta al perimetro SP1, la rete VPC 1 può accedere alle risorse nel perimetro SP1 ma non può accedere alle risorse nel perimetro SP2. Man mano che la rete VPC 2 viene aggiunta al perimetro SP2, la rete VPC 2 può accedere alle risorse nel perimetro SP2, ma non può accedere alle risorse nel perimetro SP1.
Gestisci le reti VPC in un perimetro di servizio
Per gestire le reti VPC in un perimetro, puoi eseguire le seguenti attività:
- Aggiungi una singola rete VPC a un perimetro invece di aggiungere un intero progetto host al perimetro.
- Rimuovi una rete VPC da un perimetro.
- Consenti a una rete VPC di accedere alle risorse all'interno di un perimetro specificando un criterio in entrata.
- Esegui la migrazione da una configurazione di un unico perimetro a una di più perimetro e utilizza la modalità di prova per testare la migrazione.
Limitazioni
Di seguito sono riportate le limitazioni quando gestisci le reti VPC nei perimetri di servizio:
- Non puoi aggiungere al perimetro di servizio reti VPC esistenti in un'altra organizzazione né specificarle come origine in entrata. Per specificare una rete VPC esistente in un'altra organizzazione come origine in entrata, devi avere il ruolo (
roles/compute.networkViewer). - Se elimini una rete VPC protetta da un perimetro e poi ricrei una rete VPC con lo stesso nome, il perimetro di servizio non protegge la rete VPC che ricrei. Ti consigliamo di non ricreare una rete VPC con lo stesso nome. Per risolvere il problema, crea una rete VPC con un nome diverso e aggiungila al perimetro.
- Il limite per il numero di reti VPC che è possibile avere in un'organizzazione è 500.
- Se una rete VPC ha una modalità subnet personalizzata, ma non esistono subnet, non è possibile aggiungere la rete VPC in modo indipendente ai Controlli di servizio VPC. Per aggiungere una rete VPC a un perimetro, la rete VPC deve contenere almeno una subnet.
Passaggi successivi
- Scopri di più sulle regole per aggiungere reti VPC ai perimetri di servizio.