Sécuriser les instances avec VPC Service Controls

Cette page vous explique comment protéger vos instances Managed Lustre avec un périmètre de service à l'aide de VPC Service Controls.

VPC Service Controls protège vos instances contre l'exfiltration de données et leur offre une couche de sécurité supplémentaire. Pour en savoir plus sur VPC Service Controls, consultez la page Présentation de VPC Service Controls.

Une fois l'API Managed Lustre protégée par un périmètre de service, les requêtes de l'API Managed Lustre provenant de clients extérieurs au périmètre doivent disposer des règles de niveau d'accès appropriées.

Sécuriser vos instances Google Cloud Managed Lustre à l'aide de VPC Service Controls

  1. Créez un périmètre de service.

  2. Ajoutez l'API Managed Lustre à votre périmètre de service. Pour obtenir des instructions sur l'ajout d'un service à votre périmètre, consultez la section Mettre à jour un périmètre de service.

Utiliser VPC Service Controls avec des clés de chiffrement gérées par le client (CMEK)

Lorsque vous créez une instance Lustre gérée protégée par une CMEK dans un périmètre VPC Service Controls, votre clé Cloud KMS doit être :

  • dans le même périmètre VPC Service Controls ;
  • Accessible via une règle de sortie.

Lorsque l'instance protégée par une clé CMEK et les clés Cloud KMS se trouvent dans le même périmètre, aucune autre configuration n'est requise.

Si les clés Cloud KMS se trouvent en dehors du périmètre, ajoutez la règle suivante à votre périmètre VPC Service Controls :

{
  "egressFrom": {
    "identityType": "ANY_SERVICE_ACCOUNT",
    "sourceRestriction": "SOURCE_RESTRICTION_ENABLED",
    "sources": [
      {
        "resource": "projects/CONSUMER_PROJECT_NUMBER"
      }
    ]
  },
  "egressTo": {
    "operations": [
      {
        "methodSelectors": [{"method": "*"}],
        "serviceName": "cloudkms.googleapis.com"
      }
    ],
    "resources": [
      "projects/KMS_PROJECT_NUMBER"
    ]
  }
}

Remplacez les espaces réservés comme suit :

  • CONSUMER_PROJECT_NUMBER est le numéro du projet qui contiendra votre instance Managed Lustre protégée par CMEK.
  • KMS_PROJECT_NUMBER correspond au numéro du projet contenant vos clés Cloud Key Management Service.

Découvrez comment trouver un numéro de projet.

Limites de VPC Service Controls pour les instances Lustre gérées

La limite suivante s'applique lorsque vous utilisez VPC Service Controls avec Managed Lustre :

  • Si vous utilisez à la fois le VPC partagé et VPC Service Controls, le projet hôte qui contient le réseau et le projet de service qui contient l'instance Lustre gérée doivent se trouver dans le même périmètre. La séparation du projet hôte et du projet de service par rapport au périmètre peut rendre les instances existantes indisponibles et empêcher la création d'instances.