Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הגדרה של VPC Service Controls עבור Application Integration

בעזרת VPC Service Controls אפשר להגדיר מתחם אבטחה היקפית מסביב לשירות Application Integration של Google Cloud. בעזרת מתחם אבטחה היקפית מסביב לשירות, תוכלו להגביל את הנתונים בתוך VPC ולצמצם את הסיכונים לזליגת נתונים. אם אתם לא מכירים את VPC Service Controls, מומלץ לעיין במידע הבא:

במאמר הזה מוסבר איך להגדיר גבול גזרה של VPC Service Controls לשירות Application Integration. אחרי שמגדירים את ה-perimeter, אפשר להגדיר מדיניות של תעבורת נתונים יוצאת (egress) ותעבורת נתונים נכנסת (ingress) שקובעת אילו שירותים אחרים של Google Cloud יכולים לגשת לשירות Application Integration ‏(integrations.googleapis.com) ולהיפך – אילו שירותים יכולים לגשת לשירות Application Integration.

לפני שמתחילים

מוודאים שיש לכם את ההרשאות הנדרשות להגדרת היקפי שירות. כדי לראות רשימה של תפקידי IAM שנדרשים להגדרת VPC Service Controls, אפשר לעיין במאמר בנושא בקרת גישה באמצעות IAM במסמכי התיעוד של VPC Service Controls.

יצירת גבולות גזרה לשירות ב-VPC

כדי ליצור גבולות גזרה לשירות של VPC, אפשר להשתמש בפקודה Google Cloud console או בפקודה gcloud, או ב-API‏ accessPolicies.servicePerimeters.create. מידע נוסף זמין במאמר יצירת גבולות גזרה לשירות. כדי ליצור גבול גזרה של VPC Service Controls ולספק גישה למשתמש באמצעות הפקודות gcloud, מריצים את הפקודה הבאה:

gcloud access-context-manager perimeters create  \
    --title=PERIMETER_TITLE \
    --resources=projects/PROJECT_ID \
    --restricted-services=integrations.googleapis.com \

מחליפים את מה שכתוב בשדות הבאים:

‫PERIMETER_TITLE: השם של היקף האבטחה של VPC Service Controls
‫PROJECT_ID: הפרויקט שרוצים להוסיף לו את היקף האבטחה של VPC Service Controls

השלמת הפקודה הקודמת נמשכת זמן מה. כשמשתמשים בשירותי Application Integration, גבולות גזרת VPC Service Controls מגבילים את שירותי השילוב של הפרויקט.

כדי לאפשר לכל כתובות ה-IP, חשבונות השירות או המשתמשים להשתמש ב-Application Integration, משתמשים בכללי כניסה ויציאה. מערכת VPC Service Controls משתמשת בכללים לתעבורת נתונים נכנסת ויוצאת כדי לאפשר גישה למשאבים וללקוחות שמוגנים על ידי גבולות גזרה לשירות, וממשאבים וללקוחות שמוגנים על ידי גבולות גזרה לשירות.

הוספת מדיניות יציאה לגבול גזרה קיים

כדי להוסיף מדיניות יציאה לגבולות גזרה לשירות קיימים, משתמשים בפקודה gcloud access-context-manager perimeters update. לדוגמה, הפקודה הבאה מוסיפה מדיניות תעבורת נתונים יוצאת (egress) שהוגדרה בקובץ vpcsc-egress.yaml לגבולות גזרה לשירות קיים בשם integrationPerimeter:

gcloud access-context-manager perimeters update integrationPerimeter
    --set-egress-policies=vpcsc-egress.yaml

בדומה למדיניות תעבורת נתונים יוצאת (egress), אפשר גם להגדיר מדיניות תעבורת נתונים נכנסת (ingress). מידע נוסף על הגדרת כללי תעבורה נכנסת זמין במאמר הפניה לכללי תעבורה נכנסת.

אימות ההיקף

כדי לאמת את גבולות הגזרה, משתמשים בפקודה gcloud access-context-manager perimeters describe PERIMETER_NAME. לדוגמה, הפקודה הבאה מתארת את ההיקף integrationPerimeter:

gcloud access-context-manager perimeters describe integrationPerimeter

מידע נוסף על ניהול גבולות גזרה לשירות זמין במאמר ניהול גבולות גזרה לשירות.

לתשומת ליבכם

אם הפעלתם את גבולות הגזרה לשירות של VPC בשירות Application Integration, לא תוכלו להשתמש במשימות הבאות בשילובים שלכם:

המאמרים הבאים

איך VPC Service Controls מגן על הנתונים שלכם