Proteggere le istanze con un perimetro di servizio

Questa pagina mostra come proteggere le istanze Managed Lustre con un perimetro di servizio utilizzando i Controlli di servizio VPC.

I Controlli di servizio VPC proteggono dall'esfiltrazione di dati e forniscono un livello aggiuntivo di sicurezza per le tue istanze. Per saperne di più sui Controlli di servizio VPC, consulta la panoramica dei Controlli di servizio VPC.

Una volta che l'API Managed Lustre è protetta da un perimetro di servizio, le richieste API Managed Lustre provenienti da client esterni al perimetro devono disporre delle regole del livello di accesso corrette.

Protezione delle istanze Google Cloud Managed Lustre utilizzando i Controlli di servizio VPC

  1. Crea un perimetro di servizio.

  2. Aggiungi l'API Managed Lustre al perimetro di servizio. Per istruzioni su come aggiungere un servizio al perimetro di servizio, vedi Aggiornamento di un perimetro di servizio.

Limitazioni dei Controlli di servizio VPC per le istanze Managed Lustre

Quando utilizzi Controlli di servizio VPC con Managed Lustre, si applicano le seguenti limitazioni:

  • Controlli di servizio VPC non supporta le chiavi di crittografia gestite dal cliente (CMEK) in Managed Lustre. Se tenti di creare un'istanza protetta da CMEK all'interno di un perimetro di servizio, l'operazione di creazione dell'istanza non va a buon fine.
  • Per trasferire dati tra Managed Lustre e Cloud Storage, il progetto contenente il bucket Cloud Storage deve trovarsi all'interno dello stesso perimetro di servizio dell'istanza Managed Lustre. Per importare o esportare dati al di fuori del perimetro, devi configurare una regola di uscita per consentire al service agent Managed Lustre (service-PROJECT_NUMBER@gcp-sa-lustre.iam.gserviceaccount.com) di accedere al bucket.
  • Se utilizzi sia il VPC condiviso sia Controlli di servizio VPC, il progetto host che contiene la rete e il progetto di servizio che contiene l'istanza Managed Lustre devono trovarsi all'interno dello stesso perimetro. La separazione del progetto host e del progetto di servizio con un perimetro può causare la mancata disponibilità delle istanze esistenti e impedire la creazione di nuove istanze.