Ce document explique comment gérer les réseaux VPC et VPC Service Controls.
Vous pouvez créer des périmètres distincts pour chacun des réseaux VPC de votre projet hôte au lieu de créer un seul périmètre pour l'ensemble du projet hôte. Par exemple, si votre projet hôte contient des réseaux VPC distincts pour les environnements de développement, de test et de production, vous pouvez créer des périmètres distincts pour les réseaux de développement, de test et de production.
Vous pouvez également autoriser l'accès depuis un réseau VPC qui ne se trouve pas dans votre périmètre aux ressources qui s'y trouvent en spécifiant une règle d'entrée.
Le schéma suivant présente un exemple de projet hôte de réseaux VPC et montre comment appliquer une règle de périmètre différente pour chacun des réseaux VPC :
- Projet hôte de réseaux VPC. Le projet hôte comporte le réseau VPC 1 et le réseau VPC 2, chacun contenant respectivement les machines virtuelles VM A et VM B.
- Périmètres de service. Les périmètres de service SP1 et SP2 contiennent des ressources BigQuery et Cloud Storage. Lorsque le réseau VPC 1 est ajouté au périmètre SP1, il peut accéder aux ressources de ce périmètre, mais pas à celles du périmètre SP2. Lorsque le réseau VPC 2 est ajouté au périmètre SP2, il peut accéder aux ressources de ce périmètre, mais pas à celles du périmètre SP1.
Gérer les réseaux VPC dans un périmètre de service
Pour gérer les réseaux VPC dans un périmètre, vous pouvez effectuer les tâches suivantes :
- Ajouter un seul réseau VPC à un périmètre au lieu d'ajouter tout le projet hôte au périmètre
- Supprime un réseau VPC d'un périmètre
- Autoriser un réseau VPC à accéder aux ressources d'un périmètre en spécifiant une règle d'entrée
- Effectuer une migration d'une configuration à un seul périmètre vers une configuration à plusieurs périmètres et tester la migration avec le mode dry run
Limites
Voici les limites à prendre en compte lorsque vous gérez des réseaux VPC dans des périmètres de service :
- Vous ne pouvez pas ajouter à votre périmètre de service ni spécifier comme source d'entrée des réseaux VPC qui existent dans une autre organisation. Pour spécifier un réseau VPC existant dans une autre organisation comme source d'entrée, vous devez disposer du rôle
roles/compute.networkViewer. - Si vous supprimez un réseau VPC protégé par un périmètre, puis que vous recréez un réseau VPC portant le même nom, le périmètre de service ne protège pas le réseau VPC que vous recréez. Nous vous recommandons de ne pas recréer de réseau VPC portant le même nom. Pour résoudre ce problème, créez un réseau VPC avec un nom différent et ajoutez-le au périmètre.
- Le nombre de réseaux VPC dans une organisation est limité à 500.
- Si un réseau VPC est en mode sous-réseau personnalisé, mais qu'il ne contient aucun sous-réseau, il ne peut pas être ajouté indépendamment à VPC Service Controls. Pour pouvoir être ajouté à un périmètre, le réseau VPC doit contenir au moins un sous-réseau.