GCP VPC Service Control: разрешить доступ к подмножеству сервисных проектов, которые принадлежат одному и тому же хост-проекту.

Question

GCP VPC Service Control: разрешить доступ к подмножеству сервисных проектов, которые принадлежат одному и тому же хост-проекту.

У меня есть следующие ресурсы GCP:

Проект "сеть" привязан к хост-проекту "Apps1".
В проекте "сеть" есть ведро "тест-ведро".
"Apps1" имеет VPC с двумя snet: "snet-dev" и "snet-rec".
"Apps1" присоединяет два Сервисных проекта:
- Сервисный проект "project-dev" использует Snet "snet-dev".
- Сервисный проект "project-rec" использует Snet "snet-rec".

My Service Perimeter защищает три проекта: сеть, Apps1 и project-rec. Он защищает Google Cloud Storage API, Pub/Sub, GKE Connect API и Kubernetes Engine API.

gsutil ls gs://test-bucket/ дает следующие результаты:

Из Интернета: === KO (ожидаемый результат)
Из экземпляра в "сети" проекта === ОК (ожидаемый результат)
Из экземпляра в "project-rec", который использует Snet из "Apps1" === OK (ожидаемый результат)
Из экземпляра в "project-dev", который использует Snet из "Apps1" === OK (не ожидаемый результат)

Возможно ли иметь разные периметры в сервисных проектах, принадлежащих одному и тому же хост-проекту? Если да, то что я делаю не так?

Спасибо.

1

google-cloud-platform google-cloud-storage google-vpc

Источник

user3258116 18 дек '19 в 01:29

2 ответа

Решение

Концепция общего VPC позволяет централизованно управлять активами VPC. Однако Google Cloud Storage не является членом VPC, это часть общедоступного API. Таким образом, вы не сможете контролировать доступ к корзине через общий VPC.

Я не уверен, но если вы включите частный доступ к Google, вы потенциально сможете этого добиться.

0

Источник

user12480585 18 дек '19 в 01:44

Другие вопросы по тегам google-cloud-platform google-cloud-storage google-vpc

user12380247 22 фев '20 в 17:24 2020-02-22 17:24 · Accepted Answer · 2020-02-22 17:24

В настоящее время элементы управления службами VPC (VPC-SC) могут сегментировать ресурсы только по сетям VPC, т. Е. Все виртуальные машины / модули в общей сети VPC всегда принадлежат одному периметру (сегменту) службы, созданному VPC-SC. Сегментация суб-VPC в настоящее время не поддерживается VPC-SC.

При добавлении Apps1 в периметр службы все подсети общих VPC в главном проекте становятся частью этого периметра. Таким образом, здесь продукт ведет себя так, как ожидалось, поскольку "project-dev", "snet-dev", "project-rec" и "snet-rec" находятся в одном периметре сервиса.