在VPC服务边界GCP中允许一个VPC并拒绝其他VPC

Question

我已经为GCP中的一个项目创建了一个VPC服务边界，并在其中添加了。

GCP中是否有一种方法只允许访问特定VPC中的VM或资源(通过gsutil或任何其他方式)？

如果我有三个VPC (vpc-a、vpc-b和vpc-c)，我只希望vpc-a中的实例访问云存储桶和vpc服务边界，以拒绝从vpc-b和e 110vpc-c访问资源。

我的所有实例都是私有的(没有公共IP地址)，并且认为VPC和VM在一个项目中(添加在VPC服务边界中)。如何实现上述设置？

Answer 1

访问上下文管理器、GCP服务控件或不支持这一点。

VPC服务控件基于项目，而不是基于VPC。VPC服务控制项目的资源孤岛。您需要有能力从这个岛删除某些资源(VPC)。

Access Context Manager没有为VPC子网或私有IP CIDR块定义条件。

VPC服务控件不会阻塞项目中的资源。

没有支持的方法来阻止一个VPC，而允许另一个VPC位于同一个项目中。