이 페이지에서는 VPC 서비스 제어를 사용하여 서비스 경계로 관리형 Lustre 인스턴스를 보호하는 방법을 보여줍니다.
VPC 서비스 제어는 데이터 유출을 방지하고 인스턴스에 추가 보안 레이어를 제공합니다. VPC 서비스 제어에 대한 상세 내용은 VPC 서비스 제어 개요를 참조하세요.
관리형 Lustre API가 서비스 경계로 보호되면 경계 외부에 있는 클라이언트에서 전송하는 관리형 Lustre API 요청에 적절한 액세스 수준 규칙이 있어야 합니다.
VPC 서비스 제어를 사용하여 Google Cloud 관리형 Lustre 인스턴스 보호
서비스 경계에 관리형 Lustre API를 추가합니다. 서비스 경계에 서비스를 추가하는 방법은 서비스 경계 업데이트를 참조하세요.
고객 관리 암호화 키 (CMEK)와 함께 VPC 서비스 제어 사용
VPC 서비스 제어 경계 내에서 CMEK로 보호되는 관리형 Lustre 인스턴스를 만들 때 Cloud KMS 키는 다음 중 하나여야 합니다.
- 동일한 VPC 서비스 제어 경계 내에 있거나
- 이그레스 규칙을 통해 액세스할 수 있습니다.
CMEK로 보호되는 인스턴스와 Cloud KMS 키가 동일한 경계에 있는 경우 추가 구성이 필요하지 않습니다.
Cloud KMS 키가 경계 외부에 있는 경우 다음 규칙을 추가합니다. VPC 서비스 제어 경계에
{
"egressFrom": {
"identityType": "ANY_SERVICE_ACCOUNT",
"sourceRestriction": "SOURCE_RESTRICTION_ENABLED",
"sources": [
{
"resource": "projects/CONSUMER_PROJECT_NUMBER"
}
]
},
"egressTo": {
"operations": [
{
"methodSelectors": [{"method": "*"}],
"serviceName": "cloudkms.googleapis.com"
}
],
"resources": [
"projects/KMS_PROJECT_NUMBER"
]
}
}
다음과 같이 자리표시자를 바꿉니다.
- CONSUMER_PROJECT_NUMBER은 CMEK로 보호되는 관리형 Lustre 인스턴스를 포함할 프로젝트의 프로젝트 번호입니다.
- KMS_PROJECT_NUMBER은 Cloud Key Management Service 키가 포함된 프로젝트의 프로젝트 번호입니다.
관리형 Lustre 인스턴스의 VPC 서비스 제어 제한사항
관리형 Lustre에서 VPC 서비스 제어를 사용할 때는 다음과 같은 제한사항이 적용됩니다.
- 공유 VPC와 VPC 서비스 제어를 모두 사용하는 경우 네트워크를 포함하는 호스트 프로젝트와 관리형 Lustre 인스턴스를 포함하는 서비스 프로젝트가 모두 동일한 경계 내에 있어야 합니다. 호스트 프로젝트와 서비스 프로젝트를 경계로 분리하면 기존 인스턴스를 사용할 수 없게 되고 새 인스턴스를 만들 수 없게 됩니다.