Administración de redes de VPC en perímetros de servicio

En este documento, se proporciona una descripción general de cómo puedes administrar las redes de VPC y los Controles del servicio de VPC.

Puedes crear perímetros independientes para cada una de las redes de VPC en tu proyecto host en lugar de crear un solo perímetro para todo el proyecto host. Por ejemplo, si tu proyecto host contiene redes de VPC independientes para los entornos de desarrollo, pruebas y producción, puedes crear perímetros independientes para las redes de desarrollo, pruebas y producción.

También puedes permitir el acceso desde una red de VPC que no esté dentro de tu perímetro a los recursos dentro de este. Para ello, especifica una regla de entrada.

En el siguiente diagrama, se muestra un ejemplo de un proyecto host de redes de VPC y cómo puedes aplicar una política de perímetro diferente para cada red de VPC:

Política de perímetro para cada red de VPC

  • Proyecto host de redes de VPC El proyecto host contiene la red de VPC 1 y la red de VPC 2, cada una de las cuales contiene las máquinas virtuales VM A y VM B, respectivamente.
  • Perímetros de servicio: Los perímetros de servicio SP1 y SP2 contienen recursos de BigQuery y Cloud Storage. A medida que la red de VPC 1 se agrega al perímetro SP1, esta puede acceder a los recursos del perímetro SP1, pero no a los recursos del perímetro SP2. A medida que la red de VPC 2 se agrega al perímetro SP2, la red de VPC 2 puede acceder a los recursos del perímetro SP2, pero no a los recursos del perímetro SP1.

Administra redes de VPC en un perímetro de servicio

Puedes realizar las siguientes tareas para administrar redes de VPC en un perímetro:

  • Agrega una sola red de VPC a un perímetro en lugar de agregar un proyecto de host completo al perímetro.
  • Quita una red de VPC de un perímetro.
  • Especifica una política de entrada para permitir que una red de VPC acceda a recursos dentro de un perímetro.
  • Migra de una configuración de perímetro único a una configuración de varios perímetros y usa el modo de prueba para probar la migración.

Limitaciones

Las siguientes son las limitaciones cuando administras redes de VPC en perímetros de servicio:

  • No puedes agregar redes de VPC que existan en otra organización a tu perímetro de servicio ni especificarlas como una fuente de entrada. Para especificar una red de VPC que existe en otra organización como fuente de entrada, debes tener el rol (roles/compute.networkViewer).
  • Si borras una red de VPC protegida por un perímetro y, luego, recreas una red de VPC con el mismo nombre, el perímetro de servicio no protegerá la red de VPC que vuelvas a crear. Te recomendamos que no vuelvas a crear una red de VPC con el mismo nombre. Para resolver este problema, crea una red de VPC con un nombre diferente y agrégala al perímetro.
  • El límite de la cantidad de redes de VPC que puedes tener en una organización es de 500.
  • Si una red de VPC tiene un modo de subred personalizado, pero no existen subredes, esta red de VPC no se puede agregar de forma independiente a los Controles del servicio de VPC. Para agregar una red de VPC a un perímetro, esta debe contener al menos una subred.

¿Qué sigue?