In diesem Dokument finden Sie einen Überblick darüber, wie Sie VPC-Netzwerke und VPC Service Controls verwalten können.
Sie können separate Perimeter für jedes der VPC-Netzwerke in Ihrem Hostprojekt erstellen, anstatt einen einzelnen Perimeter für das gesamte Hostprojekt zu erstellen. Wenn Ihr Hostprojekt beispielsweise separate VPC-Netzwerke für Entwicklungs-, Test- und Produktionsumgebungen enthält, können Sie separate Perimeter für die Entwicklungs-, Test- und Produktionsnetzwerke erstellen.
Sie können auch den Zugriff von einem VPC-Netzwerk, das sich nicht innerhalb Ihres Perimeters befindet, auf Ressourcen innerhalb Ihres Perimeters zulassen, indem Sie eine Regel für eingehenden Traffic angeben.
Das folgende Diagramm zeigt ein Beispiel für ein Hostprojekt für VPC-Netzwerke und wie Sie für jedes VPC-Netzwerk eine andere Perimeterrichtlinie anwenden können:
- Hostprojekt für VPC-Netzwerke Das Hostprojekt enthält die VPC-Netzwerk 1 und 2, die jeweils die virtuellen Maschinen VM A und VM B enthalten.
- Dienstperimeter Die Dienstperimeter SP1 und SP2 enthalten BigQuery- und Cloud Storage-Ressourcen. Da VPC-Netzwerk 1 dem Perimeter SP1 hinzugefügt wird, kann VPC-Netzwerk 1 auf Ressourcen im Perimeter SP1 zugreifen, aber nicht auf Ressourcen im Perimeter SP2. Da VPC-Netzwerk 2 dem Perimeter SP2 hinzugefügt wird, kann VPC-Netzwerk 2 auf Ressourcen im Perimeter SP2 zugreifen, aber nicht auf Ressourcen im Perimeter SP1.
VPC-Netzwerke in einem Dienstperimeter verwalten
Sie können die folgenden Aufgaben ausführen, um VPC-Netzwerke in einem Perimeter zu verwalten:
- Fügen Sie einem Perimeter ein einzelnes VPC-Netzwerk hinzu, anstatt dem Perimeter ein ganzes Hostprojekt hinzuzufügen.
- Entfernen Sie ein VPC-Netzwerk aus einem Perimeter.
- Sie können einem VPC-Netzwerk den Zugriff auf Ressourcen innerhalb eines Perimeters erlauben, indem Sie eine Richtlinie für eingehenden Traffic angeben.
- Migrieren Sie von einer einzelnen Perimeterkonfiguration zu einer Konfiguration mit mehreren Perimetern und testen Sie die Migration im Modus „Durchlauf“.
Beschränkungen
Die folgenden Einschränkungen gelten für die Verwaltung von VPC-Netzwerken in Dienstperimetern:
- Sie können Ihrem Dienstperimeter keine VPC-Netzwerke hinzufügen, die sich in einer anderen Organisation befinden, und sie auch nicht als Eingangsquelle angeben. Wenn Sie ein VPC-Netzwerk in einer anderen Organisation als Eingangsquelle angeben möchten, benötigen Sie die Rolle
roles/compute.networkViewer. - Wenn Sie ein durch einen Perimeter geschütztes VPC-Netzwerk löschen und dann ein VPC-Netzwerk mit demselben Namen neu erstellen, wird das neu erstellte VPC-Netzwerk nicht durch den Dienstperimeter geschützt. Wir empfehlen, kein VPC-Netzwerk mit demselben Namen neu zu erstellen. Um dieses Problem zu beheben, erstellen Sie ein VPC-Netzwerk mit einem anderen Namen und fügen Sie es dem Perimeter hinzu.
- Die maximale Anzahl von VPC-Netzwerken, die Sie in einer Organisation haben können, ist 500.
- Wenn ein VPC-Netzwerk einen benutzerdefinierten Subnetzmodus hat, aber keine Subnetze vorhanden sind, kann es nicht unabhängig von VPC Service Controls hinzugefügt werden. Wenn Sie einem Perimeter ein VPC-Netzwerk hinzufügen möchten, muss das VPC-Netzwerk mindestens ein Subnetz enthalten.