本文概述如何管理虛擬私有雲網路和 VPC Service Controls。
您可以為主專案中的每個虛擬私有雲網路建立個別的 perimeter,不必為整個主專案建立單一 perimeter。例如,如果主專案包含開發、測試和正式環境的個別虛擬私有雲網路,您可以為開發、測試和正式環境網路建立個別的 perimeter。
您也可以指定輸入規則,允許不在 perimeter 內部的虛擬私有雲網路存取 perimeter 內部的資源。
下圖顯示虛擬私有雲網路主專案的範例,以及如何為每個虛擬私有雲網路套用不同的 perimeter 政策:
- 虛擬私有雲網路主專案:主專案包含虛擬私有雲網路 1 和虛擬私有雲網路 2,分別含有虛擬機器 VM A 和 VM B。
- Service perimeter:service perimeter SP1 和 SP2 包含 BigQuery 和 Cloud Storage 資源。將虛擬私有雲網路 1 新增至 perimeter SP1 後,虛擬私有雲網路 1 即可存取 perimeter SP1 中的資源,但無法存取 perimeter SP2 中的資源。將虛擬私有雲網路 2 新增至 perimeter SP2 後,虛擬私有雲網路 2 即可存取 perimeter SP2 中的資源,但無法存取 perimeter SP1 中的資源。
管理 service perimeter 中的虛擬私有雲網路
您可以在 perimeter 內執行下列工作,管理虛擬私有雲網路:
- 將單一虛擬私有雲網路新增至 perimeter,而不是將整個主專案新增至 perimeter。
- 從 perimeter 中移除虛擬私有雲網路。
- 指定輸入政策,允許虛擬私有雲網路存取 perimeter 內部的資源。
- 從單一 perimeter 設定遷移至多個 perimeter 設定,並使用模擬測試模式測試遷移作業。
限制
在 service perimeter 中管理虛擬私有雲網路時,有下列限制:
- 您無法將其他組織中的虛擬私有雲網路新增至 service perimeter,也無法將其指定為輸入來源。如要將其他組織中的虛擬私有雲網路指定為輸入來源,您必須具備 (
roles/compute.networkViewer) 角色。 - 如果您刪除受 perimeter 保護的虛擬私有雲網路,然後以相同名稱重新建立虛擬私有雲網路,service perimeter 不會保護您重新建立的虛擬私有雲網路。建議您不要重新建立相同名稱的虛擬私有雲網路。如要解決這個問題,請建立不同名稱的虛擬私有雲網路,並將其新增至 perimeter。
- 組織可擁有的虛擬私有雲網路數量上限為 500 個。
- 如果虛擬私有雲網路採用自訂子網路模式,但沒有任何子網路,則虛擬私有雲網路無法獨立新增至 VPC Service Controls。如要將虛擬私有雲網路新增至 perimeter,該虛擬私有雲網路必須至少包含一個子網路。