Instanzen mit einem Dienstperimeter sichern

Auf dieser Seite erfahren Sie, wie Sie Ihre Managed Lustre-Instanzen mit einem Dienstperimeter über VPC Service Controls schützen.

VPC Service Controls schützt vor Datenexfiltration und bietet eine zusätzliche Sicherheitsebene für die Instanzen. Weitere Informationen finden Sie unter VPC Service Controls Übersicht über VPC Service Controls.

Wenn die Managed Lustre API durch einen Dienstperimeter geschützt ist, müssen die Managed Lustre API-Anfragen von Clients außerhalb des Perimeters die richtigen Zugriffsebenenregeln haben.

Google Cloud Managed Lustre-Instanzen mit VPC Service Controls sichern

  1. Dienstperimeter erstellen.

  2. Fügen Sie die Managed Lustre API Ihrem Dienstperimeter hinzu. Eine Anleitung zum Hinzufügen eines Dienstes zu Ihrem Dienstperimeter finden Sie unter Dienstperimeter aktualisieren.

Einschränkungen von VPC Service Controls für Managed Lustre-Instanzen

Die folgenden Einschränkungen gelten bei der Verwendung von VPC Service Controls mit Managed Lustre:

  • VPC Service Controls unterstützt keine kundenverwalteten Verschlüsselungsschlüssel (CMEK) in Managed Lustre. Wenn Sie versuchen, eine CMEK-geschützte Instanz innerhalb eines Dienstperimeters zu erstellen, schlägt der Vorgang zum Erstellen der Instanz fehl.
  • Wenn Sie Daten zwischen Managed Lustre und Cloud Storage übertragen möchten, muss sich das Projekt mit dem Cloud Storage-Bucket im selben Dienstperimeter wie die Managed Lustre-Instanz befinden. Wenn Sie Daten außerhalb des Perimeters importieren oder exportieren möchten, müssen Sie eine Ausstiegsregel konfigurieren, damit der Managed Lustre-Dienstagent (service-PROJECT_NUMBER@gcp-sa-lustre.iam.gserviceaccount.com) auf den Bucket zugreifen kann.
  • Wenn Sie sowohl eine freigegebene VPC als auch VPC Service Controls verwenden, müssen sich das Hostprojekt mit dem Netzwerk und das Dienstprojekt mit der Managed Lustre-Instanz im selben Perimeter befinden. Wenn Sie das Hostprojekt und das Dienstprojekt durch einen Perimeter trennen, sind die vorhandenen Instanzen möglicherweise nicht mehr verfügbar und es können keine neuen Instanzen erstellt werden.