Instanzen mit einem Dienstperimeter sichern

Auf dieser Seite erfahren Sie, wie Sie Ihre verwalteten Lustre-Instanzen über VPC Service Controls mit einem Dienstperimeter schützen.

VPC Service Controls schützt vor Datenexfiltration und bieten eine zusätzliche Sicherheitsebene für die Instanzen. Weitere Informationen finden Sie unter VPC Service Controls.

Wenn die Managed Lustre API durch einen Dienstperimeter geschützt ist, müssen die Managed Lustre API-Anfragen von Clients außerhalb des Perimeters die richtigen Zugriffsebenenregeln haben.

Google Cloud Managed Lustre-Instanzen mit VPC Service Controls schützen

  1. Dienstperimeter erstellen

  2. Fügen Sie die Managed Lustre API Ihrem Dienstperimeter hinzu. Eine Anleitung zum Hinzufügen eines Dienstes zu Ihrem Dienstperimeter finden Sie unter Dienstperimeter aktualisieren.

Einschränkungen von VPC Service Controls für Managed Lustre-Instanzen

Die folgenden Einschränkungen gelten bei der Verwendung von VPC Service Controls mit Managed Lustre:

  • VPC Service Controls unterstützt keine kundenverwalteten Verschlüsselungsschlüssel (CMEK) in Managed Lustre. Wenn Sie versuchen, eine CMEK-geschützte Instanz innerhalb eines Dienstperimeters zu erstellen, schlägt der Vorgang zum Erstellen der Instanz fehl.
  • Wenn Sie Daten zwischen Managed Lustre und Cloud Storage übertragen möchten, muss sich das Projekt mit dem Cloud Storage-Bucket im selben Serviceperimeter wie die Managed Lustre-Instanz befinden. Wenn Sie Daten außerhalb des Perimeters importieren oder exportieren möchten, müssen Sie eine Regel für ausgehenden Traffic konfigurieren, damit der Managed Lustre-Dienst-Agent (service-PROJECT_NUMBER@gcp-sa-lustre.iam.gserviceaccount.com) auf den Bucket zugreifen kann.
  • Wenn Sie sowohl eine freigegebene VPC als auch VPC Service Controls verwenden, müssen sich das Hostprojekt, das das Netzwerk bereitstellt, und das Dienstprojekt, das die verwaltete Lustre-Instanz enthält, im selben Perimeter befinden. Wenn Sie das Hostprojekt und das Dienstprojekt durch einen Perimeter trennen, sind die vorhandenen Instanzen möglicherweise nicht mehr verfügbar und es werden möglicherweise keine neuen Instanzen erstellt.