Neste documento, apresentamos uma visão geral de como gerenciar redes VPC e o VPC Service Controls.
É possível criar perímetros separados para cada uma das redes VPC no projeto host, em vez de criar um único perímetro para todo o projeto host. Por exemplo, se o projeto host tiver redes VPC separadas para ambientes de desenvolvimento, teste e produção, será possível criar perímetros separados para as redes de desenvolvimento, teste e produção.
Também é possível permitir o acesso de uma rede VPC que não esteja dentro do perímetro para recursos dentro do perímetro especificando uma regra de entrada.
O diagrama a seguir mostra um exemplo de projeto host de redes VPC e como aplicar uma política de perímetro diferente a cada rede VPC:
- Projeto host de redes VPC. O projeto host de redes VPC contém as redes VPC 1 e VPC 2, que contêm as máquinas virtuais de VM A e B, respectivamente.
- Perímetros de serviço. Os perímetros de serviço SP1 e SP2 contêm recursos do BigQuery e do Cloud Storage. Conforme a rede VPC 1 é adicionada ao perímetro SP1, a rede VPC 1 pode acessar recursos no perímetro SP1, mas não pode acessar recursos no perímetro SP2. Como a rede VPC 2 foi adicionada ao perímetro SP2, a rede VPC 2 pode acessar recursos no perímetro SP2, mas não pode acessar recursos no perímetro SP1.
Gerenciar redes VPC em um perímetro de serviço
É possível executar as seguintes tarefas para gerenciar redes VPC em um perímetro:
- Adicione uma única rede VPC a um perímetro em vez de adicionar um projeto host inteiro ao perímetro.
- Remover uma rede VPC de um perímetro.
- Permita que uma rede VPC acesse recursos dentro de um perímetro especificando uma política de entrada.
- Migrar de uma única configuração de perímetro para uma configuração de vários perímetros e usar o modo de simulação para testar a migração.
Limitações
Veja a seguir as limitações ao gerenciar redes VPC em perímetros de serviço:
- Não é possível adicionar redes VPC existentes em outra organização ao
perímetro de serviço nem especificá-las como uma origem de entrada. Para especificar uma rede VPC
que existe em outra organização como origem de entrada, você precisa
ter o papel (
roles/compute.networkViewer). - Se você excluir uma rede VPC protegida por um perímetro e depois recriar uma rede VPC com o mesmo nome, o perímetro de serviço não protegerá a rede VPC recriada. Recomendamos que você não recrie uma rede VPC com o mesmo nome. Para resolver esse problema, crie uma rede VPC com um nome diferente e adicione-a ao perímetro.
- O limite para o número de redes VPC que uma organização pode ter é 500.
- Se uma rede VPC tiver um modo de sub-rede personalizado, mas não houver sub-redes, essa rede VPC não poderá ser adicionada de maneira independente ao VPC Service Controls. Para adicionar uma rede VPC a um perímetro, ela precisa conter pelo menos uma sub-rede.
A seguir
- Saiba mais sobre regras para adicionar redes VPC a perímetros de serviço.