En este documento se ofrece una descripción general de cómo puede gestionar las redes VPC y los Controles de Servicio de VPC.
Puede crear perímetros independientes para cada una de las redes de VPC de su proyecto host en lugar de crear un único perímetro para todo el proyecto host. Por ejemplo, si tu proyecto host contiene redes de VPC independientes para entornos de desarrollo, prueba y producción, puedes crear perímetros independientes para las redes de desarrollo, prueba y producción.
También puede permitir el acceso desde una red de VPC que no esté dentro de su perímetro a los recursos que sí lo estén especificando una regla de entrada.
En el siguiente diagrama se muestra un ejemplo de un proyecto host de redes de VPC y cómo puedes aplicar una política de perímetro diferente a cada red de VPC:
- Proyecto host de redes de VPC. El proyecto host contiene la red de VPC 1 y la red de VPC 2, cada una con las máquinas virtuales A y B, respectivamente.
- Perímetros de servicio. Los perímetros de servicio SP1 y SP2 contienen recursos de BigQuery y Cloud Storage. Cuando se añade la red de VPC 1 al perímetro SP1, la red de VPC 1 puede acceder a los recursos del perímetro SP1, pero no a los del perímetro SP2. Cuando se añade la red de VPC 2 al perímetro SP2, la red de VPC 2 puede acceder a los recursos del perímetro SP2, pero no a los del perímetro SP1.
Gestionar redes de VPC en un perímetro de servicio
Puedes realizar las siguientes tareas para gestionar redes de VPC en un perímetro:
- Añadir una sola red de VPC a un perímetro en lugar de añadir todo un proyecto host al perímetro.
- Quita una red de VPC de un perímetro.
- Permite que una red de VPC acceda a los recursos de un perímetro especificando una política de entrada.
- Migra de una configuración de un solo perímetro a una de varios perímetros y usa el modo de prueba para probar la migración.
Limitaciones
A continuación se indican las limitaciones que hay al gestionar redes de VPC en perímetros de servicio:
- No puedes añadir redes VPC que estén en otra organización a tu perímetro de servicio ni especificarlas como fuente de entrada. Para especificar una red VPC que exista en otra organización como fuente de entrada, debes tener el rol (
roles/compute.networkViewer). - Si eliminas una red de VPC protegida por un perímetro y, a continuación, vuelves a crear una red de VPC con el mismo nombre, el perímetro de servicio no protegerá la red de VPC que hayas recreado. Te recomendamos que no vuelvas a crear una red de VPC con el mismo nombre. Para resolver este problema, crea una red de VPC con otro nombre y añádela al perímetro.
- El límite del número de redes de VPC que puedes tener en una organización es de 500.
- Si una red de VPC tiene un modo de subred personalizado, pero no tiene ninguna subred, no se puede añadir de forma independiente a Controles de Servicio de VPC. Para añadir una red de VPC a un perímetro, la red de VPC debe contener al menos una subred.
Siguientes pasos
- Consulta las reglas para añadir redes de VPC a perímetros de servicio.