Questo documento offre una panoramica della gestione delle reti VPC e dei Controlli di servizio VPC.
Puoi creare perimetri separati per ciascuna delle reti VPC nel progetto host invece di creare un unico perimetro per l'intero progetto host. Ad esempio, se il progetto host contiene reti VPC distinte per gli ambienti di sviluppo, test e produzione, puoi creare perimetri separati per le reti di sviluppo, test e produzione.
Puoi anche consentire l'accesso da una rete VPC esterna al tuo perimetro alle risorse all'interno del perimetro specificando una regola in entrata.
Il seguente diagramma mostra un esempio di progetto host di reti VPC e di come puoi applicare una policy del perimetro diversa per ogni rete VPC:
- Progetto host di reti VPC. Il progetto host contiene la rete VPC 1 e la rete VPC 2, ciascuna delle quali contiene rispettivamente le macchine virtuali VM A e VM B.
- Perimetri di servizio. I perimetri di servizio SP1 e SP2 contengono risorse BigQuery e Cloud Storage. Se la rete VPC 1 viene aggiunta al perimetro SP1, può accedere alle risorse nel perimetro SP1, ma non a quelle nel perimetro SP2. Se la rete VPC 2 viene aggiunta al perimetro SP2, può accedere alle risorse nel perimetro SP2, ma non a quelle nel perimetro SP1.
Gestisci le reti VPC in un perimetro di servizio
Per gestire le reti VPC in un perimetro, puoi eseguire le seguenti attività:
- Aggiungi una singola rete VPC a un perimetro invece di aggiungere un intero progetto host al perimetro.
- Rimuovi una rete VPC da un perimetro.
- Consenti a una rete VPC di accedere alle risorse all'interno di un perimetro specificando una policy in entrata.
- Esegui la migrazione da una configurazione con un solo perimetro a una configurazione con più perimetri e utilizza la modalità dry run per testare la migrazione.
Limitazioni
Di seguito sono riportate le limitazioni relative alla gestione delle reti VPC nei perimetri di servizio:
- Non puoi aggiungere reti VPC utilizzate in un'altra organizzazione al tuo perimetro di servizio o specificarle come origine in entrata. Per specificare una rete VPC che esiste in un'altra organizzazione come origine in entrata, devi disporre del ruolo
roles/compute.networkViewer. - Se elimini una rete VPC protetta da un perimetro e poi ricrei una rete VPC con lo stesso nome, il perimetro di servizio non protegge la rete VPC ricreata. Ti consigliamo quindi di non ricreare una rete VPC con lo stesso nome. Per risolvere il problema, crea una rete VPC con un nome diverso e aggiungila al perimetro.
- Il limite per il numero di reti VPC che puoi avere in un'organizzazione è 500.
- Se una rete VPC ha una modalità subnet personalizzata ma non esistono subnet, questa rete VPC non può essere aggiunta in modo indipendente ai Controlli di servizio VPC. Per poter essere aggiunta a un perimetro, la rete VPC deve contenere almeno una subnet.
Passaggi successivi
- Scopri di più sulle regole per aggiungere reti VPC ai perimetri di servizio.