共用虛擬私有雲

本頁面提供共用虛擬私有雲的總覽。 Google Cloud透過共用虛擬私有雲,機構可以將多個專案的資源連線到一個通用的虛擬私有雲 (VPC) 網路,以使用這個網路的內部 IP 位址相互通訊,安全又有效率。

使用共用虛擬私人雲端時,您要先指派一個專案做為「主專案」,然後再附加一或多個其他「服務專案」。主專案中的虛擬私有雲網路稱為「共用虛擬私有雲網路」。服務專案中符合條件的資源,皆能使用共用虛擬私有雲網路的子網路。

共用虛擬私有雲可讓機構組織管理員將管理工作 (例如建立和管理執行個體) 委派給服務專案管理員,同時保有子網路、路徑和防火牆等網路資源的集中控制權。 這種模式允許機構執行以下操作:

  • 採用安全性最佳做法,只授予最低權限的網路管理、稽核及存取控管權。共用虛擬私人雲端管理員可以委派網路管理工作給共用虛擬私人雲端網路中的網路及安全管理員,但不用授予可能會對網路造成影響的變更權限。服務專案管理員所獲得的權限,只能建立和管理使用共用虛擬私人雲端網路的執行個體。詳情請參閱管理員和身分與存取權管理一節。
  • 在委派管理權責的同時,在網路層級對機構內的多項服務專案套用並強制執行一致的存取權控管政策。舉例來說,服務專案管理員在自己的專案裡面可以擔任 Compute 執行個體管理員,而且能建立和刪除在共用虛擬私人雲端代管專案中使用核准子網路的執行個體。
  • 利用服務專案來區隔預算編列或內部成本中心;詳情請參閱帳單部分。

概念

機構、資料夾與專案

共用虛擬私有雲可連結同一個機構中的專案。連結專案可以屬於同一個或不同的資料夾,但若分屬不同的資料夾,管理員必須將共用虛擬私有雲管理員權限同時授予這兩個資料夾。如要進一步瞭解機構、資料夾和專案,請參閱 Google Cloud 資源階層

加入的主專案和服務專案不能分屬於不同的機構組織。唯一例外狀況是將專案從一個機構遷移至另一個機構。遷移期間,服務專案可以暫時與主專案分屬不同機構。如要進一步瞭解如何遷移專案,請參閱「遷移專案」。

加入共用虛擬私人雲端的專案必須是「主專案」或「服務專案」

  • 主專案包含一或多個共用虛擬私有雲網路共用虛擬私人雲端管理員必須先啟用要做為主專案的專案。接下來,共用虛擬私有雲管理員才能附加一或多個服務專案。

  • 只要是由共用虛擬私有雲管理員連結至主專案的專案,都是服務專案。這個附加動作能讓服務專案加入共用虛擬私有雲。一般來說,您可以建立多個服務專案,並由機構組織內的不同部門或團隊進行經營和管理。

  • 專案不能同時是主專案和服務專案。因此,服務專案不能以當做主專案的方式提升服務專案。

  • 您可以建立並使用多個主專案,但是只能將每個服務專案附加到一個主專案。如需相關說明,請參閱多個主專案範例

  • 您可以在主專案中建立網路、子網路、次要位址範圍、防火牆規則和其他網路資源。主專案接著可以與服務專案共用所選子網路,包括次要範圍。服務專案中運作的服務可以透過共用虛擬私有雲,與其他服務專案中運作的資源相互通訊。

在此特別釐清,未加入共用 VPC 的專案稱為獨立專案;這個稱呼能突顯這類專案既不是主專案,也不是服務專案。

獨立虛擬私有雲網路是未共用的虛擬私有雲網路,存在於獨立專案或服務專案中。

網路

共用虛擬私有雲網路是在主專案中定義的虛擬私有雲網路,這種網路會以集中共用網路的形式提供給服務專案中符合條件的資源。共用虛擬私有雲網路可設為自動或自訂模式,但不支援舊版網路

啟用主專案後,您有兩種網路共用方式:

  • 您可以共用所有主專案子網路。如果選取這個選項,系統也會共用主專案中建立的任何新子網路,包括新網路中的子網路。
  • 您可以指定要共用的個別子網路。如果個別共用子網路,除非手動變更清單,否則只會共用這些子網路。

主專案和服務專案是透過專案層級的附件連結。 至於服務專案管理員要如何存取主專案內共用虛擬私有雲網路的子網路,這個部分會在下一節「管理員和身分與存取權管理」中說明。

機構政策限制

機構政策和 IAM 權限會相互搭配,提供不同層級的存取控管機制。機構政策可讓您在機構、資料夾或專案層級設定控管機制。

如果您是組織政策管理員,可以在組織政策中指定下列共用虛擬私有雲端限制:

  • 您可以限制非主機專案或資料夾/機構中的非主機專案可附加的主機專案集。共用虛擬私有雲管理員將服務專案附加至主專案時,這項限制就會生效。這項限制不會影響現有附件。 即使政策禁止新增附件,現有附件仍會保留。詳情請參閱constraints/compute.restrictSharedVpcHostProjects限制。

  • 您可以在專案、資料夾或機構層級,指定服務專案可存取的共用 VPC 子網路。在指定子網路中建立新資源時,這項限制會生效,但現有資源不受影響。即使政策禁止新增資源,現有資源仍會在子網路中正常運作。詳情請參閱constraints/compute.restrictSharedVpcSubnetworks限制。

管理員和身分與存取權管理

共用虛擬私人雲端會利用身分與存取權管理 (IAM) 角色進行委派管理。您可以將下列角色授予身分與存取權管理主體,例如使用者、Google 群組、Google 網域或 Google Cloud 服務帳戶。如需聯絡其中任何管理員,可以在機構或專案的身分與存取權管理政策中查詢。若您不具有必要權限,必須聯絡機構的網路或專案管理員。

必要的管理員角色

管理員 (IAM 角色) 目的
機構管理員 (resourcemanager.organizationAdmin)
  • 機構中的 IAM 主體		 機構管理員具備機構的 resourcemanager.organizationAdmin 角色。這類管理員會提名共用虛擬私人雲端管理員,方法是授予適當的專案建立及刪除角色,以及機構的「共用虛擬私人雲端管理員」角色。這些管理員可以定義機構組織層級的政策,但特定資料夾和專案動作則需要額外的資料夾和專案角色。
共用虛擬私有雲管理員
(compute.xpnAdmin
resourcemanager.projectIamAdmin)
  • 機構中的 IAM 主體,或
  • 資料夾中的 IAM 主體		 共用虛擬私有雲管理員具有機構或一或多個資料夾的 Compute 共用虛擬私有雲管理員 (compute.xpnAdmin) 專案 IAM 管理員 (resourcemanager.projectIamAdmin) 角色。這類管理員可以進行多項必要工作,以利順利設定共用虛擬私有雲,例如啟用主專案、將服務專案連結至主專案,以及將共用虛擬私有雲網路中部分或全部子網路的存取權委派給服務專案管理員。一般來說,特定主專案的共用虛擬私人雲端管理員也會是該專案的擁有者。
使用者若獲派機構的 Compute 共用虛擬私有雲管理員角色,則在機構中的所有資料夾皆具有該角色。使用者若獲派資料夾的角色,則在指定資料夾以及該資料夾之下任何巢狀資料夾皆具有該角色。共用虛擬私人雲端管理員可以連結兩個不同資料夾中的專案,前提是管理員必須具備這兩個資料夾的角色。
服務專案管理員
(compute.networkUser)
  • 組織中的 IAM 主體,或
  • 主專案中的 IAM 主體,或
  • 主專案中部分子網路的 IAM 主體		 共用虛擬私有雲管理員會定義服務專案管理員,方法是授予身分與存取權管理主體 網路使用者 (compute.networkUser) 角色針對整個主專案或其共用虛擬私有雲網路的幾個子網路。對於在服務專案內定義的資源,服務專案管理員也可以保有資源的擁有權和控管權,因此應該具有對應服務專案的 (compute.instanceAdmin) 角色;或者也可具有服務專案的其他身分與存取權管理角色,例如專案擁有者。

服務專案管理員

定義每個服務專案管理員時,共用虛擬私人雲端管理員可以選擇授予整個主專案或僅部分子網路的使用權限:

  • 專案層級權限:若共用虛擬私人雲端管理員將整個主專案的 compute.networkUser 角色授予服務專案管理員,則可以定義服務專案管理員,使其具備主專案中所有子網路的使用權限。因此,服務專案管理員有權使用主專案內所有虛擬私人雲端網路的每一個子網路,包括日後附加到主專案的子網路和虛擬私人雲端網路。

  • 子網路層級權限:或者,如果共用虛擬私人雲端管理員將所選子網路的 compute.networkUser 角色授予服務專案管理員,服務專案管理員也可以獲得一組較為受限、只使用部分子網路的權限。也就是說,只擁有子網路層級權限的服務專案管理員,只能使用這些特定子網路。如果日後附加了新的共用 VPC 網路或子網路到主專案,共用虛擬私人雲端管理員應審查 compute.networkUser 角色的權限限制,確保所有服務專案管理員的子網路層級權限都符合您預定的安排。

網路及安全管理員

共用虛擬私人雲端管理員對主專案中的資源,具有完整控制權 (包括共用虛擬私人雲端網路的管理權),他們也可以選擇將特定網路管理工作委派給其他 IAM 主體:

管理員 目的
網路管理員
  • 主專案中的 IAM 主體,或
  • 機構中的 IAM 主體		 共用虛擬私有雲管理員定義網路管理員,方式是授予身分與存取權管理主體主專案的 網路管理員 (compute.networkAdmin) 角色。除了防火牆規則和安全資料傳輸層 (SSL) 憑證,網路管理員對其他所有網路資源皆具有完整的控管權。
安全管理員
  • 主專案中的 IAM 主體,或
  • 機構中的 IAM 主體		 共用虛擬私人雲端管理員可以定義安全管理員,方法是授予身分與存取權管理主體主專案的 安全管理員 (compute.securityAdmin) 角色。安全管理員可管理防火牆規則和安全資料傳輸層 (SSL) 憑證。

規格

配額與限制

共用虛擬私人雲端主專案數目受限於標準的按專案虛擬私人雲端配額;共用虛擬私有雲網路數目取決於虛擬私有雲網路的按網路限制按執行個體限制。此外,主專案和服務專案之間的關係受制於共用虛擬私有雲才有的限制

帳單

加入共用虛擬私人雲端網路的資源如有帳單,這筆帳單應計入該資源所屬的服務專案,就算資源使用的是主專案內的共用 VPC 網路也一樣。

  • 替使用共用虛擬私人雲端網路的服務專案計算資源的帳單金額時,採行的費率和規則和計算主專案資源帳單適用的費率及規則相同。
  • 資源產生的輸出流量帳單將計入定義資源時所屬的專案:
    • 執行個體的輸出流量將計入包含該執行個體的專案。舉例來說,如果執行個體是在服務專案中建立,但使用了共用虛擬私人雲端網路,則該執行個體產生的輸出流量帳單都會計入所屬服務專案。這樣一來,您就能使用共用虛擬私人雲端替機構組織將資源整理到成本中心。
    • 負載平衡器相關的費用都會從負載平衡器元件所屬的專案扣款。如要進一步瞭解負載平衡和共用虛擬私人雲端,請參閱負載平衡一節。
    • 送往 VPN 的輸出流量則計入包含該 VPN 閘道資源的專案。舉例來說,如果 VPN 閘道是在共用虛擬私有雲網路中建立,就表示該閘道屬於主專案;因此,無論是哪個服務專案啟動輸出資料轉移,透過 VPN 閘道傳送的輸出流量都會計入主專案。
    • 如果共用虛擬私有雲服務專案中的資源透過 VLAN 連結傳輸資料,相關費用會計入擁有該 VLAN 連結的專案。詳情請參閱 Cloud Interconnect 價格

資源

合格資源

您可以在共用虛擬私有雲服務專案中使用大部分的 Google Cloud 產品和功能。

在共用虛擬私人雲端情境中,下列限制適用於符合加入資格的資源:

  • 使用共用虛擬私有雲網路並非必要條件。舉例來說,執行個體管理員可以在使用虛擬私人雲端網路的服務專案中建立執行個體,但在服務專案中定義的網路不需要共用。

  • 部分資源必須重新建立,才能使用共用虛擬私有雲網路。共用虛擬私有雲管理員將現有專案附加到主專案後,雖然該專案會變成服務專案,但其中的現有資源並不會直接沿用共用網路資源。如要使用共用虛擬私人雲端網路,服務專案管理員必須建立合格資源,並將其設為使用共用 VPC 網路的子網路。舉例來說,您無法將服務專案中的現有執行個體重新設為使用共用虛擬私人雲端網路,但可以建立新的執行個體來使用共用虛擬私人雲端網路中的子網路。這項限制適用於私人區域。

IP 位址

在服務專案中建立執行個體時,可設定的 IP 版本取決於主專案的子網路設定。詳情請參閱「建立執行個體」。

若服務專案使用同一個共用虛擬私有雲網路連結到主專案,其中的執行個體只要遵守適當的防火牆規則,就可以透過內部 IPv4 位址或內部/外部 IPv6 位址彼此通訊。

服務專案管理員可以將下列任一類型的 IP 位址指派給服務專案中的資源:

  • 臨時 IPv4 和 IPv6 位址:系統可自動將臨時 IP 位址指派給服務專案中的執行個體。舉例來說,服務專案管理員建立執行個體時,可以選取共用虛擬私人雲端網路和可用的共用子網路。對於具有 IPv4 位址的執行個體,主要內部 IPv4 位址來自所選共用子網路主要 IPv4 位址範圍內的可用 IP 位址範圍。對於具有 IPv6 位址的執行個體,IPv6 位址來自所選共用子網路 IPv6 子網路範圍內的可用 IP 位址範圍。

    系統也可以自動將臨時 IPv4 位址指派給內部負載平衡器。詳情請參閱建立內部直通式網路負載平衡器建立內部應用程式負載平衡器

  • 靜態內部 IPv4 和 IPv6 位址:您可以在服務專案中預留靜態內部 IPv4 或 IPv6 位址。內部 IPv4 或 IPv6 位址物件必須在與使用該物件的資源相同的服務專案中建立,即使 IP 位址的值來自共用虛擬私有雲網路中選定共用子網路的可用 IP 位址也是如此。詳情請參閱「佈建共用虛擬私有雲」頁面上的「預留靜態內部 IPv4 和 IPv6 位址」。

  • 靜態外部 IPv4 位址:主專案中定義的外部 IPv4 位址物件,可供主專案或任何附加服務專案中的資源使用。服務專案也可以使用自己的外部 IPv4 位址物件。舉例來說,服務專案中的執行個體可以使用服務專案或主專案中定義的區域外部 IPv4 位址。

  • 靜態外部 IPv6 位址:服務專案管理員也可以選擇預留靜態外部 IPv6 位址。外部 IPv6 位址物件必須在與使用該物件的資源相同的服務專案中建立,即使 IP 位址的值來自共用虛擬私有雲網路中選取的共用子網路可用 IPv6 位址也一樣。詳情請參閱「佈建共用虛擬私人雲端」頁面上的「預留靜態外部 IPv6 位址」。

內部 DNS

同一個服務專案中的 VM,可以使用 Google Cloud 自動建立的內部 DNS 名稱彼此通訊。這些 DNS 名稱使用建立 VM 之「服務專案」的專案 ID,即使名稱指向主專案中的內部 IP 位址也一樣。如需完整說明,請參閱「內部 DNS」說明文件中的「內部 DNS 名稱與共用虛擬私有雲端」。

Cloud DNS 私人區域

您可以在共用虛擬私有雲網路中使用 Cloud DNS 私人區域。您可以在主專案中建立私人區域,然後授權共用虛擬私人雲端網路存取該區域,也可以使用跨專案繫結,在服務專案中設定區域。

負載平衡

共用虛擬私有雲可與 Cloud Load Balancing 搭配使用。在多數情況下,您會在服務專案中建立後端執行個體。此時,就會在該專案中建立所有負載平衡元件。雖然可以在主專案中建立後端執行個體,但這種設定不適合一般的共用虛擬私有雲部署作業,因為這類設定不會區分網路管理和服務開發職責。

如要進一步瞭解各類負載平衡器支援的共用 VPC 架構,請參閱下表中的連結。

負載平衡器類型 連結
外部應用程式負載平衡器 共用 VPC 架構
內部應用程式負載平衡器 共用 VPC 架構
外部 Proxy 網路負載平衡器 共用 VPC 架構
內部 Proxy 網路負載平衡器 共用 VPC 架構
內部直通式網路負載平衡器 共用 VPC 架構
外部直通式網路負載平衡器 共用 VPC 架構

範例和用途

基本概念

圖 1 顯示簡單的 Shared VPC 情境:

圖 1. 主專案具有共用虛擬私有雲網路,可為兩個服務專案提供內部連線,而獨立專案則不會使用共用虛擬私有雲 (按一下即可放大)。

  • 機構組織的共用虛擬私人雲端管理員已建立一個主專案,並附加了兩個服務專案:

    • 可以將 Service project A 中的服務專案管理員設為存取共用虛擬私人雲端網路內的所有或部分子網路。具有 10.0.1.0/24 subnet 最低子網路層級權限的服務專案管理員在 us-west1 地區的某區域中建立了 Instance A。這個執行個體收到了來自 10.0.1.0/24 CIDR 區塊的內部 IP 位址 (10.0.1.3)。

    • 可以將 Service project B 中的服務專案管理員設為存取共用虛擬私人雲端網路內的所有或部分子網路。具有 10.15.2.0/24 subnet 最低子網路層級權限的服務專案管理員在 us-east1 地區的某區域中建立了 Instance B。這個執行個體收到了來自 10.15.2.0/24 CIDR 區塊的內部 IP 位址 10.15.2.4

  • 「獨立專案」完全不加入共用虛擬私人雲端,因此既不是主專案也不是服務專案。獨立執行個體是由身分與存取權管理主體建立,這些主體至少具有專案的 compute.InstanceAdmin 角色。

多個主專案

圖 2 顯示如何使用共用虛擬私有雲,建構個別的測試和正式環境。在這個例子中,機構組織決定使用兩個獨立的主專案,分別是一個「測試環境」及一個「實際工作環境」

圖 2:測試環境主專案和正式環境主專案使用共用虛擬私有雲,建立不同的正式和測試環境 (按一下即可放大)。

  • 機構組織的共用虛擬私人雲端管理員已建立兩個主專案,並按以下方式附加了兩個服務專案:

    • Apps testingMobile testing 服務專案已附加到 Test environment 主專案;每個專案的服務專案管理員都可以設為存取 Testing network 中的所有或部分子網路。

    • Apps productionMobile production 服務專案已附加到 Production environment 主專案;每個專案的服務專案管理員都可以設為存取 Production network 中的所有或部分子網路。

  • 兩個主專案都有一個將子網路設為使用相同 CIDR 範圍的共用虛擬私人雲端網路,在 Testing networkProduction network 中,這兩個子網路是:

    • us-west1 區域內的 10.0.1.0/24 subnet

    • us-east1 區域內的 10.15.2.0/24 subnet

  • 請考慮 Apps testing 服務專案中的 Instance AT,以及 Apps production 服務專案中的 Instance AP

    • 如果服務專案管理員具有至少 10.0.1.0/24 subnet 子網路層級權限,就可以建立類似上述的執行個體。

    • 請注意,這兩個執行個體都使用 IP 位址 10.0.1.3。這個安排並沒有問題,因為服務專案中每個執行個體都已附加到具有專屬共用虛擬私人雲端網路的唯一主專案。而您可以根據測試及實際工作環境網路各自的用途,按照相同的操作方式來完成設定。

    • 即使您在不同的專案中分別定義子網路和執行個體,但使用 10.0.1.0/24 subnet 的執行個體所在的區域仍必須位於和子網路相同的所在地區。由於 10.0.1.0/24 subnet 位於 us-west1 地區,因此如果服務專案管理員要建立使用該子網路的執行個體,就必須選擇在同一個地區內的區域,例如 us-west1-a

混合式雲端情境

圖 3 顯示如何在混合式環境中使用共用虛擬私有雲。

圖 3:共用 VPC 網路已連線至內部部署網路和三個服務專案 (按一下可放大)。

在這個例子中,機構組織建立了一個使用單一共用虛擬私人雲端網路的主專案;共用虛擬私有雲網路會使用 Cloud VPN 連線至地端部署網路。部分服務和應用程式交由 Google Cloud 託管,而其他資源則是採用內部部署:

  • 共用虛擬私有雲管理員啟用了主專案,並附加三個服務專案,分別是:Service project AService project BService project C

    • 每個服務專案可交給不同的團隊管理;身分與存取權管理權限已設定為每項服務專案各自的管理員無權存取其他服務專案。

    • 共用虛擬私有雲管理員已授予子網路層級或專案層級權限給必要的服務專案管理員,以便其建立使用共用虛擬私有雲網路的執行個體

      • Service project A 的服務專案管理員具有 10.0.1.0/24 subnet 的子網路層級權限,可以在其中建立 Instance A。 服務專案管理員必須為執行個體選擇 us-west1 地區中的區域,因為該地區包含 10.0.1.0/24 subnetInstance A 收到其 IP 位址 10.0.1.3,來源是 10.0.1.0/24 subnet 中的可用 IP 位址範圍。

      • Service project B 的服務專案管理員具有 10.15.2.0/24 subnet 子網路層級權限,可以在專案中建立 Instance B。服務專案管理員必須為執行個體選擇 us-east1 地區中的區域,因為該地區包含 10.15.2.0/24 subnetInstance B 收到其 IP 位址 10.15.2.4,來源是 10.15.2.0/24 subnet 中的可用 IP 位址範圍。

      • Service project C 的服務專案管理員具有能存取整個主專案的專案層級權限,可以在主專案中任何虛擬私有雲網路的子網路內建立執行個體。舉例來說,服務專案管理員可以在 中建立 Instance C,並根據該子網路的地區選擇 us-east1 地區中的區域。10.7.1.0/24 subnetInstance C 收到其 IP 位址 10.7.1.50,來源是 10.7.1.0/24 Subnet 中的可用 IP 位址範圍。

    • 每個專案的服務專案管理員皆負責建立和管理資源

  • 共用虛擬私人雲端管理員將網路管理工作委派給身為共用虛擬私人雲端網路網路和安全管理員的其他身分與存取權管理主體。

    • 網路管理員建立了一個 Cloud VPN 閘道,並設定一個 VPN 通道,透過網際網路連線至內部部署閘道。由於同一個 us-east1 地區中的對應雲端路由器已設定完成,因此 Cloud VPN 會與其內部部署對應項目交換和接收路徑。

    • 如果虛擬私人雲端的動態轉送模式是全域適用,則 Cloud Router 會將已知路徑套用到虛擬私人雲端網路中所有子網路的內部部署網路,然後虛擬私人雲端網路就會和內部部署對應項目共用所有虛擬私人雲端子網路的路徑。

    • 安全管理員在共用虛擬私有雲網路中建立及管理防火牆規則,以便控管 Google Cloud 和內部部署網路中執行個體的流量。

    • 根據適用的防火牆規則,服務專案內的執行個體可設為與內部服務 (例如位於內部部署的資料庫或目錄伺服器) 相互通訊。

兩個層級的網路服務

圖 4 說明如何運用共用 VPC 委派管理責任,並維持最低權限原則。在這個例子中,機構組織的網路服務分為兩個層級,分別由不同團隊管理。第 1 層代表面向外部的元件,位於 HTTP(S) 負載平衡器後方。第 2 層代表第 1 層所依賴的內部服務,並使用內部 TCP/UDP 負載平衡器進行平衡。

圖 4:在這個雙層網路服務中,面向外部的元件和內部服務會連線至共用的共用虛擬私有雲網路,並由不同團隊管理 (按一下可放大)。

共用虛擬私有雲可讓您將網路服務的每個層級對應到不同的專案,以便讓不同團隊來代管,同時又能共用同一個虛擬私有雲網路:

  • 每個層級的執行個體和負載平衡器元件等資源,分別放置於由不同團隊代管的個別服務專案中。

  • 共用虛擬私有雲管理員已將每個層級的服務專案附加到主專案,並且啟用了主專案。

    • 由於具有適當的服務專案管理員身分,因此個別團隊可以管理每個層級的網路服務。

    • 每個專案的服務專案管理員皆負責建立和管理資源

  • 網路的存取控管權限描述如下:

    • 只在層級 1 工作的 IAM 主體是 Tier 1 service project 的服務專案管理員,且只取得 10.0.1.0/24 subnet 的子網路層級權限。在本例中,這類服務專案管理員在該子網路建立了三個 Tier 1 instances

    • 只在層級 2 工作的 IAM 主體是 Tier 2 service project 的服務專案管理員,且只取得 10.0.2.0/24 subnet 的子網路層級權限。在本範例中,另一位服務專案管理員在該子網路中建立了三個 Tier 2 instances,以及一個內部負載平衡器,而這個平衡器的轉送規則使用的 IP 位址來自同一個子網路的可用範圍。

    • 監控整個網路服務的身分與存取權管理主體,在這兩個服務專案中都是服務專案管理員,且具有主專案的專案層級權限,因此能使用在其中定義的任何子網路。

    • 或者,共用虛擬私人雲端管理員也可以將網路管理工作委派給網路和安全管理員

後續步驟