Auf dieser Seite erfahren Sie, wie Sie Ihre verwalteten Lustre-Instanzen über VPC Service Controls mit einem Dienstperimeter schützen.
VPC Service Controls schützt vor Datenexfiltration und bieten eine zusätzliche Sicherheitsebene für die Instanzen. Weitere Informationen finden Sie unter VPC Service Controls.
Wenn die Managed Lustre API durch einen Dienstperimeter geschützt ist, müssen die Managed Lustre API-Anfragen von Clients außerhalb des Perimeters die richtigen Zugriffsebenenregeln haben.
Google Cloud Managed Lustre-Instanzen mit VPC Service Controls schützen
Fügen Sie die Managed Lustre API Ihrem Dienstperimeter hinzu. Eine Anleitung zum Hinzufügen eines Dienstes zu Ihrem Dienstperimeter finden Sie unter Dienstperimeter aktualisieren.
VPC Service Controls mit kundenverwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verwenden
Wenn Sie eine CMEK-geschützte Managed Lustre-Instanz innerhalb eines VPC Service Controls-Perimeters erstellen, muss Ihr Cloud KMS-Schlüssel eine der folgenden Bedingungen erfüllen:
- Innerhalb desselben VPC Service Controls-Perimeters oder
- Über eine Regel für ausgehenden Traffic zugänglich.
Wenn sich die CMEK-geschützte Instanz und die Cloud KMS-Schlüssel im selben Perimeter befinden, ist keine weitere Konfiguration erforderlich.
Wenn sich die Cloud KMS-Schlüssel außerhalb des Perimeters befinden, fügen Sie Ihrem VPC Service Controls-Perimeter die folgende Regel hinzu:
{
"egressFrom": {
"identityType": "ANY_SERVICE_ACCOUNT",
"sourceRestriction": "SOURCE_RESTRICTION_ENABLED",
"sources": [
{
"resource": "projects/CONSUMER_PROJECT_NUMBER"
}
]
},
"egressTo": {
"operations": [
{
"methodSelectors": [{"method": "*"}],
"serviceName": "cloudkms.googleapis.com"
}
],
"resources": [
"projects/KMS_PROJECT_NUMBER"
]
}
}
Ersetzen Sie die Platzhalter so:
- CONSUMER_PROJECT_NUMBER ist die Projektnummer des Projekts, das Ihre CMEK-geschützte verwaltete Lustre-Instanz enthält.
- KMS_PROJECT_NUMBER ist die Projektnummer des Projekts, das Ihre Cloud Key Management Service-Schlüssel enthält.
Informationen zum Ermitteln der Projektnummer
Einschränkungen von VPC Service Controls für Managed Lustre-Instanzen
Die folgende Einschränkung gilt, wenn Sie VPC Service Controls mit Managed Lustre verwenden:
- Wenn Sie sowohl eine freigegebene VPC als auch VPC Service Controls verwenden, müssen sich das Hostprojekt, das das Netzwerk enthält, und das Dienstprojekt, das die verwaltete Lustre-Instanz enthält, im selben Perimeter befinden. Wenn Sie das Hostprojekt und das Dienstprojekt durch einen Perimeter trennen, sind die vorhandenen Instanzen möglicherweise nicht mehr verfügbar und es werden möglicherweise keine neuen Instanzen erstellt.