Auf dieser Seite erfahren Sie, wie Sie Ihre Managed Lustre-Instanzen über VPC Service Controls mit einem Dienstperimeter schützen.
VPC Service Controls schützt vor Daten-Exfiltration und bietet eine zusätzliche Sicherheitsebene für die Instanzen. Weitere Informationen finden Sie unter VPC Service Controls Übersicht über VPC Service Controls.
Wenn die Managed Lustre API durch einen Dienstperimeter geschützt ist, müssen die Managed Lustre API-Anfragen von Clients außerhalb des Perimeters die richtigen Zugriffsebenenregeln haben.
Google Cloud Managed Lustre-Instanzen mit VPC Service Controls sichern
Fügen Sie die Managed Lustre API Ihrem Dienstperimeter hinzu. Eine Anleitung zum Hinzufügen eines Dienstes zu Ihrem Dienstperimeter finden Sie unter Dienstperimeter aktualisieren.
VPC Service Controls mit kundenverwalteten Verschlüsselungsschlüsseln (Customer Managed Encryption Keys, CMEK) verwenden
Wenn Sie eine CMEK-geschützte Managed Lustre-Instanz innerhalb eines VPC Service Controls-Perimeters erstellen, muss Ihr Cloud KMS-Schlüssel entweder:
- sich im selben VPC Service Controls-Perimeter befinden oder
- über eine Regel für ausgehenden Traffic zugänglich sein.
Wenn sich die CMEK-geschützte Instanz und die Cloud KMS-Schlüssel im selben Perimeter befinden, ist keine weitere Konfiguration erforderlich.
Wenn sich die Cloud KMS-Schlüssel außerhalb des Perimeters befinden, fügen Sie Ihrem VPC Service Controls Perimeter die folgende Regel hinzu:
{
"egressFrom": {
"identityType": "ANY_SERVICE_ACCOUNT",
"sourceRestriction": "SOURCE_RESTRICTION_ENABLED",
"sources": [
{
"resource": "projects/CONSUMER_PROJECT_NUMBER"
}
]
},
"egressTo": {
"operations": [
{
"methodSelectors": [{"method": "*"}],
"serviceName": "cloudkms.googleapis.com"
}
],
"resources": [
"projects/KMS_PROJECT_NUMBER"
]
}
}
Ersetzen Sie die Platzhalter wie folgt:
- CONSUMER_PROJECT_NUMBER ist die Projektnummer des Projekts, das Ihre CMEK-geschützte Managed Lustre-Instanz enthält.
- KMS_PROJECT_NUMBER ist die Projektnummer des Projekts, das Ihre Cloud Key Management Service-Schlüssel enthält.
Informationen zum Ermitteln einer Projektnummer
Einschränkungen von VPC Service Controls für Managed Lustre-Instanzen
Die folgende Einschränkung gilt bei der Verwendung von VPC Service Controls mit Managed Lustre:
- Wenn Sie sowohl eine freigegebene VPC als auch VPC Service Controls verwenden, müssen sich das Hostprojekt, das das Netzwerk enthält, und das Dienstprojekt, das die Managed Lustre-Instanz enthält, im selben Perimeter befinden. Wenn Sie das Hostprojekt und das Dienstprojekt durch einen Perimeter trennen, sind die vorhandenen Instanzen möglicherweise nicht mehr verfügbar und es können keine neuen Instanzen erstellt werden.