Questa pagina descrive come utilizzare i bridge del perimetro per consentire la comunicazione tra progetti e servizi in perimetri di servizio diversi.
Prima di iniziare
Bridge del perimetro di servizio
Anche se un progetto può essere assegnato a un solo perimetro di servizio, in alcune circostanze potresti avere l'esigenza di consentire al tuo progetto di comunicare con progetti appartenenti a un altro perimetro. Puoi attivare la comunicazione con i servizi e condividere i dati tra i perimetri di servizio creando un bridge del perimetro.
Un bridge del perimetro consente ai progetti in perimetri di servizio diversi di comunicare. I bridge del perimetro sono bidirezionali e consentono lo stesso accesso a tutti i progetti di ogni perimetro di servizio entro l'ambito del bridge. Tuttavia, i livelli di accesso e le restrizioni a livello di servizio del progetto sono controllati esclusivamente dal perimetro di servizio a cui appartiene il progetto. Un progetto può avere più bridge che lo collegano ad altri progetti.
Un progetto appartenente a un perimetro di servizio non può ottenere indirettamente l'accesso a progetti appartenenti ad altri perimetri. Ad esempio, supponiamo di avere tre progetti: A, B e C, ognuno appartenente a un perimetro di servizio diverso. A e B condividono un bridge del perimetro. Anche B e C condividono un bridge. I dati possono spostarsi tra A e B, così come tra B e C, ma non possono passare tra A e C perché i due progetti non sono collegati direttamente da un bridge del perimetro.
Considerazioni
Prima di creare un bridge del perimetro, tieni presente quanto segue:
Un progetto deve appartenere a un perimetro di servizio per poter essere collegato a un altro progetto mediante un bridge del perimetro.
I bridge del perimetro non possono includere progetti di organizzazioni diverse. I progetti collegati da un bridge del perimetro devono appartenere a perimetri di servizio che si trovano nella stessa organizzazione.
I bridge del perimetro non possono includere progetti di policy con ambito diverse. Puoi però utilizzare regole in entrata o in uscita per consentire la comunicazione tra progetti di policy con ambito diverse.
Dopo aver creato un bridge del perimetro per un progetto, non puoi aggiungere le reti VPC di quel progetto a un perimetro.
Esempio di bridge del perimetro
Per un esempio più ampio del funzionamento dei bridge del perimetro, osserva questa configurazione:
L'obiettivo è consentire le copie tra i bucket Cloud Storage nel perimetro DMZ e solo i bucket nel progetto sink, ma non consentire alle VM nel perimetro DMZ di accedere ai dati nei bucket di archiviazione nel progetto privato.
Utilizzando il comando riportato di seguito, viene creato un bridge del perimetro (Bridge), specificando che il progetto A e il progetto B devono essere collegati dal bridge del perimetro.
gcloud access-context-manager perimeters create Bridge \
--title="Perimeter Bridge" --perimeter-type=bridge \
--resources=projects/12345,projects/67890
Il confine del bridge del perimetro è bidirezionale. Ciò significa che sono consentite le copie sia dal perimetro DMZ al perimetro privato, sia dal perimetro privato al perimetro DMZ. Per fornire un certo controllo direzionale, è preferibile combinare i perimetri con le autorizzazioni IAM sul service account o sull'identità che esegue l'operazione di copia.