Proteggere le istanze con un perimetro di servizio

Questa pagina mostra come proteggere le istanze Managed Lustre con un perimetro di servizio utilizzando i Controlli di servizio VPC.

I Controlli di servizio VPC proteggono dall'esfiltrazione di dati e forniscono un ulteriore livello di sicurezza per le istanze. Per saperne di più sui Controlli di servizio VPC, consulta la panoramica dei Controlli di servizio VPC.

Una volta che l'API Managed Lustre è protetta da un perimetro di servizio, le richieste dell'API Managed Lustre provenienti da client esterni al perimetro devono avere le regole del livello di accesso appropriate.

Proteggere le istanze Google Cloud Managed Lustre utilizzando i Controlli di servizio VPC

  1. Crea un perimetro di servizio.

  2. Aggiungi l'API Managed Lustre al perimetro di servizio. Per istruzioni su come aggiungere un servizio al perimetro di servizio, consulta Aggiornamento di un perimetro di servizio.

Limitazioni dei Controlli di servizio VPC per le istanze Managed Lustre

Quando utilizzi i Controlli di servizio VPC con Managed Lustre, si applicano le seguenti limitazioni:

  • I Controlli di servizio VPC non supportano le chiavi di crittografia gestite dal cliente (CMEK) in Managed Lustre. Se tenti di creare un'istanza protetta da CMEK all'interno di un perimetro di servizio, l'operazione di creazione dell'istanza non riesce.
  • Per trasferire i dati tra Managed Lustre e Cloud Storage, il progetto contenente il bucket Cloud Storage deve trovarsi nello stesso perimetro di servizio dell'istanza Managed Lustre. Per importare o esportare dati al di fuori del perimetro, devi configurare una regola di uscita per consentire all' agente di servizio Managed Lustre (service-PROJECT_NUMBER@gcp-sa-lustre.iam.gserviceaccount.com) di accedere al bucket.
  • Se utilizzi sia il VPC condiviso sia i Controlli di servizio VPC, sia il progetto host che contiene la rete sia il progetto di servizio che contiene l'istanza Managed Lustre devono trovarsi all'interno dello stesso perimetro. La separazione del progetto host e del progetto di servizio con un perimetro può causare la mancata disponibilità delle istanze esistenti e impedire la creazione di nuove istanze.