服务边界中的 VPC 网络管理

本文档简要介绍了如何管理 VPC 网络和 VPC Service Controls。

您可以为宿主项目中的每个 VPC 网络创建单独的边界，而不是为整个宿主项目创建单个边界。例如，如果您的宿主项目包含用于开发、测试和生产环境的单独 VPC 网络，您可以为开发、测试和生产网络创建单独的外围。

您还可以通过指定入站流量规则，允许边界外的 VPC 网络访问边界内的资源。

下图显示了一个 VPC 网络宿主项目示例，以及如何为每个 VPC 网络应用不同的边界政策：

• VPC 网络宿主项目。宿主项目包含 VPC 网络 1 和 VPC 网络 2，每个网络分别包含虚拟机 A 和虚拟机 B。
• 服务边界。服务边界 SP1 和 SP2 包含 BigQuery 和 Cloud Storage 资源。由于 VPC 网络 1 已添加到边界 SP1，因此 VPC 网络 1 可以访问边界 SP1 中的资源，但无法访问边界 SP2 中的资源。由于 VPC 网络 2 已添加到边界 SP2，因此 VPC 网络 2 可以访问边界 SP2 中的资源，但无法访问边界 SP1 中的资源。

在服务边界中管理 VPC 网络

您可以执行以下任务来管理边界中的 VPC 网络：

• 将单个 VPC 网络添加到边界，而不是将整个宿主项目添加到边界。
• 从边界中移除 VPC 网络。
• 通过指定入站流量政策，允许 VPC 网络访问边界内的资源。
• 从单个边界设置迁移到多个边界设置，并使用试运行模式测试迁移。

限制

在服务边界中管理 VPC 网络时，存在以下限制：

• 您无法将另一个组织中存在的 VPC 网络添加到您的服务边界，也无法将其指定为入站流量来源。如需将另一个组织中存在的 VPC 网络指定为入站流量来源，您必须具有 (roles/compute.networkViewer) 角色。
• 如果您删除受边界保护的 VPC 网络，然后使用相同名称重新创建 VPC 网络，则服务边界不会保护您重新创建的 VPC 网络。我们建议您不要重新创建同名的 VPC 网络。如需解决此问题，请创建一个名称不同的 VPC 网络，并将其添加到边界中。
• 一个组织下 VPC 网络数量上限为 500 个。
• 如果 VPC 网络采用自定义子网模式，但不存在子网，则无法将该 VPC 网络单独添加到 VPC Service Controls。如要将 VPC 网络添加到边界，该 VPC 网络必须至少包含一个子网。

后续步骤

• 了解将 VPC 网络添加到服务边界的规则。