Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
In diesem Dokument finden Sie einen Überblick darüber, wie Sie VPC-Netzwerke und VPC Service Controls verwalten können.
Sie können separate Perimeter für jedes der VPC-Netzwerke in Ihrem Hostprojekt erstellen, anstatt einen einzelnen Perimeter für das gesamte Hostprojekt zu erstellen. Wenn Ihr Hostprojekt beispielsweise separate VPC-Netzwerke für Entwicklungs-, Test- und Produktionsumgebungen enthält, können Sie separate Perimeter für die Entwicklungs-, Test- und Produktionsnetzwerke erstellen.
Sie können auch den Zugriff von einem VPC-Netzwerk, das sich nicht innerhalb Ihres Perimeters befindet, auf Ressourcen innerhalb Ihres Perimeters zulassen, indem Sie eine Regel für eingehenden Traffic angeben.
Das folgende Diagramm zeigt ein Beispiel für ein Hostprojekt für VPC-Netzwerke und wie Sie für jedes VPC-Netzwerk eine andere Perimeterrichtlinie anwenden können:
VPC-Netzwerke – Hostprojekt Das Hostprojekt enthält die VPC-Netzwerk 1 und 2, die jeweils die virtuellen Maschinen VM A und VM B enthalten.
Dienstperimeter Die Dienstperimeter SP1 und SP2 enthalten BigQuery- und Cloud Storage-Ressourcen. Da VPC-Netzwerk 1 dem Perimeter SP1 hinzugefügt wird, kann VPC-Netzwerk 1 auf Ressourcen im Perimeter SP1 zugreifen, aber nicht auf Ressourcen im Perimeter SP2. Da VPC-Netzwerk 2 dem Perimeter SP2 hinzugefügt wird, kann VPC-Netzwerk 2 auf Ressourcen im Perimeter SP2 zugreifen, aber nicht auf Ressourcen im Perimeter SP1.
VPC-Netzwerke in einem Dienstperimeter verwalten
Sie können die folgenden Aufgaben ausführen, um VPC-Netzwerke in einem Perimeter zu verwalten:
Fügen Sie einem Perimeter ein einzelnes VPC-Netzwerk hinzu, anstatt dem Perimeter ein ganzes Hostprojekt hinzuzufügen.
Entfernen Sie ein VPC-Netzwerk aus einem Perimeter.
Sie können einem VPC-Netzwerk den Zugriff auf Ressourcen innerhalb eines Perimeters erlauben, indem Sie eine Richtlinie für eingehenden Traffic angeben.
Migrieren Sie von einer einzelnen Perimeterkonfiguration zu einer Konfiguration mit mehreren Perimetern und testen Sie die Migration im Modus „Durchlauf“.
Beschränkungen
Die folgenden Einschränkungen gelten für die Verwaltung von VPC-Netzwerken in Dienstperimetern:
Sie können Ihrem Dienstperimeter keine VPC-Netzwerke hinzufügen, die sich in einer anderen Organisation befinden, und sie auch nicht als Ingress-Quelle angeben. Wenn Sie ein VPC-Netzwerk in einer anderen Organisation als Eingangsquelle angeben möchten, benötigen Sie die Rolle roles/compute.networkViewer.
Wenn Sie ein durch einen Perimeter geschütztes VPC-Netzwerk löschen und dann ein VPC-Netzwerk mit demselben Namen neu erstellen, wird das neu erstellte VPC-Netzwerk nicht durch den Dienstperimeter geschützt. Wir empfehlen, kein VPC-Netzwerk mit demselben Namen neu zu erstellen. Um dieses Problem zu beheben, erstellen Sie ein VPC-Netzwerk mit einem anderen Namen und fügen Sie es dem Perimeter hinzu.
Die maximale Anzahl der VPC-Netzwerke, die Sie in einer Organisation haben können, ist 500.
Wenn ein VPC-Netzwerk einen benutzerdefinierten Subnetzmodus hat, aber keine Subnetze vorhanden sind, kann es VPC Service Controls nicht unabhängig hinzugefügt werden.
Wenn Sie einem Perimeter ein VPC-Netzwerk hinzufügen möchten, muss das VPC-Netzwerk mindestens ein Subnetz enthalten.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-08-18 (UTC)."],[],[],null,["# VPC networks management in service perimeters\n\nThis document provides an overview of how you can manage VPC networks and VPC Service Controls.\n\nYou can create separate perimeters for each of the VPC\nnetworks in your host project instead of creating a single perimeter for the entire\nhost project. For example, if your host project contains separate VPC networks\nfor development, test, and production environments, you can create separate perimeters\nfor the development, test, and production networks.\n\nYou can also allow access from a VPC network that is not inside your\nperimeter to resources inside your perimeter by specifying an ingress rule.\n\nThe following diagram shows an example of a VPC networks host project and how\nyou can apply a different perimeter policy for each VPC network:\n\n- **VPC networks host project**. The host project contains VPC network 1 and VPC network 2, each containing virtual machines VM A and VM B respectively.\n- **Service perimeters**. The service perimeters SP1 and SP2 contain BigQuery and Cloud Storage resources. As VPC network 1 is added to perimeter SP1, VPC network 1 can access resources in perimeter SP1 but cannot access resources in perimeter SP2. As VPC network 2 is added to perimeter SP2, VPC network 2 can access resources in perimeter SP2 but cannot access resources in perimeter SP1.\n\nManage VPC networks in a service perimeter\n------------------------------------------\n\nYou can perform the following tasks to manage VPC networks in a perimeter:\n\n- Add a single VPC network to a perimeter instead of adding an entire host project to the perimeter.\n- Remove a VPC network from a perimeter.\n- Allow a VPC network to access resources inside a perimeter by specifying an ingress policy.\n- Migrate from a single perimeter setup to a multiple perimeter setup and use dry-run mode to test the migration.\n\nLimitations\n-----------\n\nThe following are the limitations when you manage VPC networks in service perimeters:\n\n- You cannot add VPC networks that exists in an another organization to your service perimeter or specify them as an ingress source. To specify an VPC network that exists in an another organization as an ingress source, you must have the ([`roles/compute.networkViewer`](/compute/docs/access/iam#compute.networkViewer)) role.\n- If you delete a VPC network protected by a perimeter and then recreate a VPC network with the same name, the service perimeter does not protect the VPC network that you recreate. We recommend that you don't recreate a VPC network with the same name. To resolve this issue, create a VPC network with a different name and add it to the perimeter.\n- The limit for the number of VPC networks that you can have under an organization is 500.\n- If a VPC network has a custom subnet mode but if no subnets exist, then that VPC network cannot be added independently to VPC Service Controls. To add a VPC network to a perimeter, the VPC network must contain at least one subnet.\n\nWhat's next\n-----------\n\n- Learn about [rules to add VPC networks to service perimeters](/vpc-service-controls/docs/vpc-networks-rules)."]]
