Questa pagina mostra come proteggere le istanze di Managed Lustre con un perimetro di servizio utilizzando i Controlli di servizio VPC.
I Controlli di servizio VPC proteggono dall'esfiltrazione di dati e forniscono un ulteriore livello di sicurezza per le istanze. Per saperne di più sui Controlli di servizio VPC, consulta la panoramica dei Controlli di servizio VPC.
Una volta che l'API Managed Lustre è protetta da un perimetro di servizio, le richieste dell'API Managed Lustre provenienti da client esterni al perimetro devono avere le regole del livello di accesso appropriate.
Proteggere le istanze di Google Cloud Managed Lustre utilizzando i Controlli di servizio VPC
Aggiungi l'API Managed Lustre al perimetro di servizio. Per istruzioni su come aggiungere un servizio al perimetro di servizio, consulta Aggiornamento di un perimetro di servizio.
Utilizzare i Controlli di servizio VPC con le chiavi di crittografia gestite dal cliente (CMEK)
Quando crei un'istanza di Managed Lustre protetta da CMEK all'interno di un perimetro dei Controlli di servizio VPC, la chiave Cloud KMS deve essere:
- All'interno dello stesso perimetro dei Controlli di servizio VPC; oppure
- Accessibile tramite una regola in uscita.
Quando l'istanza protetta da CMEK e le chiavi Cloud KMS si trovano nello stesso perimetro, non è necessaria alcuna configurazione aggiuntiva.
Se le chiavi Cloud KMS si trovano all'esterno del perimetro, aggiungi la seguente regola al perimetro dei Controlli di servizio VPC perimetro:
{
"egressFrom": {
"identityType": "ANY_SERVICE_ACCOUNT",
"sourceRestriction": "SOURCE_RESTRICTION_ENABLED",
"sources": [
{
"resource": "projects/CONSUMER_PROJECT_NUMBER"
}
]
},
"egressTo": {
"operations": [
{
"methodSelectors": [{"method": "*"}],
"serviceName": "cloudkms.googleapis.com"
}
],
"resources": [
"projects/KMS_PROJECT_NUMBER"
]
}
}
Sostituisci i segnaposto come segue:
- CONSUMER_PROJECT_NUMBER è il numero di progetto del progetto che conterrà l'istanza di Managed Lustre protetta da CMEK.
- KMS_PROJECT_NUMBER è il numero di progetto del progetto che contiene le chiavi di Cloud Key Management Service.
Scopri come trovare il numero di un progetto.
Limitazioni dei Controlli di servizio VPC per le istanze di Managed Lustre
Quando utilizzi i Controlli di servizio VPC con Managed Lustre, si applica la seguente limitazione:
- Se utilizzi sia il VPC condiviso sia i Controlli di servizio VPC, il progetto host che contiene la rete e il progetto di servizio che contiene l'istanza di Managed Lustre devono trovarsi nello stesso perimetro. La separazione del progetto host e del progetto di servizio con un perimetro può causare la mancata disponibilità delle istanze esistenti e impedire la creazione di nuove istanze.