Gerenciamento de redes VPC em perímetros de serviço
Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Neste documento, apresentamos uma visão geral de como gerenciar redes VPC e o VPC Service Controls.
É possível criar perímetros separados para cada uma das redes VPC
no projeto host, em vez de criar um único perímetro para todo
o projeto host. Por exemplo, se o projeto host tiver redes VPC separadas
para ambientes de desenvolvimento, teste e produção, será possível criar perímetros separados
para as redes de desenvolvimento, teste e produção.
Também é possível permitir o acesso de uma rede VPC que não esteja dentro do
perímetro para recursos dentro do perímetro especificando uma regra de entrada.
O diagrama a seguir mostra um exemplo de projeto host de redes VPC e como
aplicar uma política de perímetro diferente a cada rede VPC:
Projeto host de redes VPC. O projeto host contém as rede VPC 1 e rede VPC 2, cada uma
com as máquinas virtuais VM A e VM B, respectivamente.
Perímetros de serviço. Os perímetros de serviço SP1 e SP2 contêm recursos do BigQuery
e do Cloud Storage. Conforme a rede VPC 1 é adicionada ao perímetro SP1, a rede VPC 1
pode acessar recursos no perímetro SP1, mas não pode acessar recursos no perímetro SP2. Como a rede VPC 2
foi adicionada ao perímetro SP2, a rede VPC 2 pode acessar recursos no perímetro SP2,
mas não pode acessar recursos no perímetro SP1.
Gerenciar redes VPC em um perímetro de serviço
É possível executar as seguintes tarefas para gerenciar redes VPC em um perímetro:
Adicione uma única rede VPC a um perímetro em vez de adicionar um projeto host inteiro
ao perímetro.
Remover uma rede VPC de um perímetro.
Permita que uma rede VPC acesse recursos dentro de um perímetro especificando
uma política de entrada.
Migrar de uma única configuração de perímetro para uma configuração de vários perímetros e usar
o modo de simulação para testar a migração.
Limitações
Veja a seguir as limitações ao gerenciar redes VPC em perímetros de serviço:
Não é possível adicionar redes VPC existentes em outra organização ao
perímetro de serviço nem especificá-las como uma origem de entrada. Para especificar uma rede VPC
que existe em outra organização como origem de entrada, você precisa
ter o papel (roles/compute.networkViewer).
Se você excluir uma rede VPC protegida por um perímetro e depois
recriar uma rede VPC com o mesmo nome, o perímetro de serviço
não protegerá a rede VPC recriada. Recomendamos
que você não recrie uma rede VPC com o mesmo nome. Para resolver
esse problema, crie uma rede VPC com um nome diferente e adicione-a
ao perímetro.
O limite para o número de redes VPC que uma organização pode ter é 500.
Se uma rede VPC tiver um modo de sub-rede personalizado, mas não houver sub-redes,
essa rede VPC não poderá ser adicionada de maneira independente ao VPC Service Controls.
Para adicionar uma rede VPC a um perímetro, ela precisa conter pelo menos uma sub-rede.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-09-01 UTC."],[],[],null,["# VPC networks management in service perimeters\n\nThis document provides an overview of how you can manage VPC networks and VPC Service Controls.\n\nYou can create separate perimeters for each of the VPC\nnetworks in your host project instead of creating a single perimeter for the entire\nhost project. For example, if your host project contains separate VPC networks\nfor development, test, and production environments, you can create separate perimeters\nfor the development, test, and production networks.\n\nYou can also allow access from a VPC network that is not inside your\nperimeter to resources inside your perimeter by specifying an ingress rule.\n\nThe following diagram shows an example of a VPC networks host project and how\nyou can apply a different perimeter policy for each VPC network:\n\n- **VPC networks host project**. The host project contains VPC network 1 and VPC network 2, each containing virtual machines VM A and VM B respectively.\n- **Service perimeters**. The service perimeters SP1 and SP2 contain BigQuery and Cloud Storage resources. As VPC network 1 is added to perimeter SP1, VPC network 1 can access resources in perimeter SP1 but cannot access resources in perimeter SP2. As VPC network 2 is added to perimeter SP2, VPC network 2 can access resources in perimeter SP2 but cannot access resources in perimeter SP1.\n\nManage VPC networks in a service perimeter\n------------------------------------------\n\nYou can perform the following tasks to manage VPC networks in a perimeter:\n\n- Add a single VPC network to a perimeter instead of adding an entire host project to the perimeter.\n- Remove a VPC network from a perimeter.\n- Allow a VPC network to access resources inside a perimeter by specifying an ingress policy.\n- Migrate from a single perimeter setup to a multiple perimeter setup and use dry-run mode to test the migration.\n\nLimitations\n-----------\n\nThe following are the limitations when you manage VPC networks in service perimeters:\n\n- You cannot add VPC networks that exists in an another organization to your service perimeter or specify them as an ingress source. To specify an VPC network that exists in an another organization as an ingress source, you must have the ([`roles/compute.networkViewer`](/compute/docs/access/iam#compute.networkViewer)) role.\n- If you delete a VPC network protected by a perimeter and then recreate a VPC network with the same name, the service perimeter does not protect the VPC network that you recreate. We recommend that you don't recreate a VPC network with the same name. To resolve this issue, create a VPC network with a different name and add it to the perimeter.\n- The limit for the number of VPC networks that you can have under an organization is 500.\n- If a VPC network has a custom subnet mode but if no subnets exist, then that VPC network cannot be added independently to VPC Service Controls. To add a VPC network to a perimeter, the VPC network must contain at least one subnet.\n\nWhat's next\n-----------\n\n- Learn about [rules to add VPC networks to service perimeters](/vpc-service-controls/docs/vpc-networks-rules)."]]
