本文概述如何管理 VPC 網路和 VPC Service Controls。
您可以為託管專案中的每個 VPC 網路建立個別的範圍,不必為整個託管專案建立單一範圍。舉例來說,如果主專案包含開發、測試和實際工作環境的個別虛擬私有雲網路,您可以為開發、測試和實際工作環境網路建立個別的邊界。
您也可以指定輸入規則,允許不在範圍內的虛擬私有雲網路存取範圍內的資源。
下圖顯示虛擬私有雲網路主專案的範例,以及如何為每個虛擬私有雲網路套用不同的安全範圍政策:
- 虛擬私有雲網路主專案。主專案包含虛擬私有雲網路 1 和虛擬私有雲網路 2,分別含有虛擬機器 VM A 和 VM B。
- 服務範圍。服務安全防護範圍 SP1 和 SP2 包含 BigQuery 和 Cloud Storage 資源。將虛擬私有雲網路 1 新增至服務範圍 SP1 後,虛擬私有雲網路 1 即可存取服務範圍 SP1 中的資源,但無法存取服務範圍 SP2 中的資源。將虛擬私有雲網路 2 新增至服務範圍 SP2 後,虛擬私有雲網路 2 即可存取服務範圍 SP2 中的資源,但無法存取服務範圍 SP1 中的資源。
管理服務範圍中的虛擬私有雲網路
您可以在安全防護範圍內執行下列工作,管理虛擬私有雲網路:
- 將單一虛擬私有雲網路新增至安全範圍,而不是將整個主機專案新增至安全範圍。
- 從安全防護範圍中移除 VPC 網路。
- 指定輸入政策,允許虛擬私有雲網路存取範圍內的資源。
- 從單一安全範圍設定遷移至多個安全範圍設定,並使用模擬執行模式測試遷移作業。
限制
在服務範圍中管理 VPC 網路時,有以下限制:
- 您無法將其他機構中的虛擬私有雲網路新增至服務範圍,也無法將其指定為連入來源。如要將其他機構中的 VPC 網路指定為輸入來源,您必須具備 (
roles/compute.networkViewer) 角色。 - 如果您刪除受範圍保護的虛擬私有雲網路,然後以相同名稱重新建立虛擬私有雲網路,服務範圍不會保護您重新建立的虛擬私有雲網路。建議您不要重新建立同名的虛擬私有雲網路。如要解決這個問題,請建立名稱不同的 VPC 網路,並將其新增至範圍。
- 機構可擁有的虛擬私有雲網路數量上限為 500 個。
- 如果 VPC 網路採用自訂子網路模式,但沒有任何子網路,則無法將該 VPC 網路獨立新增至 VPC Service Controls。如要將虛擬私有雲網路新增至服務範圍,該虛擬私有雲網路必須至少包含一個子網路。