このページでは、VPC Service Controls を使用してサービス境界で Managed Lustre インスタンスを保護する方法について説明します。
VPC Service Controls はデータの引き出しを防止し、インスタンスにセキュリティ保護のレイヤを追加します。VPC Service Controls についてのさらに詳しい内容は、VPC Service Controls の概要をご覧ください。
サービス境界によって Managed Lustre API が保護されるようになると、境界外のクライアントから送られてくる Managed Lustre API リクエストは、適切なアクセスレベル ルールを備えている必要があります。
VPC Service Controls を使用した Google Cloud Managed Lustre インスタンスの保護
Managed Lustre API をサービス境界に追加します。サービス境界にサービスを追加する手順については、サービス境界を更新するをご覧ください。
マネージド Lustre インスタンスに対する VPC Service Controls の制限事項
Managed Lustre で VPC Service Controls を使用する場合、次の制限が適用されます。
- VPC Service Controls は、Managed Lustre の顧客管理の暗号鍵(CMEK)をサポートしていません。サービス境界内で CMEK で保護されたインスタンスを作成しようとすると、インスタンス作成オペレーションは失敗します。
- Managed Lustre と Cloud Storage の間でデータを転送するには、Cloud Storage バケットを含むプロジェクトが、Managed Lustre インスタンスと同じサービス境界内にある必要があります。境界外でデータをインポートまたはエクスポートするには、Managed Lustre サービス エージェント(
service-PROJECT_NUMBER@gcp-sa-lustre.iam.gserviceaccount.com)がバケットにアクセスできるように、下り(外向き)ルールを構成する必要があります。 - 共有 VPC と VPC Service Controls の両方を使用する場合、ネットワークを含むホスト プロジェクトと、マネージド Lustre インスタンスを含むサービス プロジェクトの両方が同じ境界内にある必要があります。ホスト プロジェクトとサービス プロジェクトを境界で分離すると、既存のインスタンスが利用できなくなり、新しいインスタンスの作成が妨げられる可能性があります。