Protege instancias con un perímetro de servicio

En esta página, se muestra cómo proteger tus instancias de Lustre administrado con un perímetro de servicio mediante los Controles del servicio de VPC.

Los Controles del servicio de VPC protegen contra el robo de datos y proporcionan una capa adicional de seguridad para tus instancias. Para obtener más información sobre los Controles del servicio de VPC, consulta descripción general de los controles del servicio de VPC.

Una vez que un perímetro de servicio protege la API de Lustre administrado, las solicitudes a la API de Lustre administrado que provienen de clientes fuera del perímetro deben tener las reglas de nivel de acceso correspondientes.

Protege tus instancias de Lustre administrado de Google Cloud con los Controles del servicio de VPC

  1. Crear un perímetro de servicio

  2. Agrega la API de Lustre administrado a tu perímetro de servicio. Si deseas obtener instrucciones para agregar un servicio a tu perímetro de servicio, consulta Actualiza un perímetro de servicio.

Limitaciones de los Controles del servicio de VPC para instancias de Lustre administradas

Se aplican las siguientes limitaciones cuando se usan los Controles del servicio de VPC con Lustre administrado:

  • Los Controles del servicio de VPC no admiten las claves de encriptación administradas por el cliente (CMEK) en Lustre administrado. Si intentas crear una instancia protegida por CMEK dentro de un perímetro de servicio, la operación de creación de la instancia fallará.
  • Para transferir datos entre Managed Lustre y Cloud Storage, el proyecto que contiene el bucket de Cloud Storage debe estar dentro del mismo perímetro de servicio que la instancia de Managed Lustre. Para importar o exportar datos fuera del perímetro, debes configurar una regla de salida que permita que el agente de servicio de Lustre administrado (service-PROJECT_NUMBER@gcp-sa-lustre.iam.gserviceaccount.com) acceda al bucket.
  • Si usas tanto VPC compartida como Controles del servicio de VPC, el proyecto host que contiene la red y el proyecto de servicio que contiene la instancia de Lustre administrado deben estar dentro del mismo perímetro. Separar el proyecto host y el proyecto de servicio con un perímetro puede hacer que las instancias existentes dejen de estar disponibles y que no se creen instancias nuevas.