Sécuriser des instances avec un périmètre de service

Cette page vous explique comment protéger vos instances Managed Lustre avec un périmètre de service à l'aide de VPC Service Controls.

VPC Service Controls protège vos instances contre l'exfiltration de données et leur offre une couche de sécurité supplémentaire. Pour en savoir plus sur VPC Service Controls, consultez la page Présentation de VPC Service Controls.

Une fois l'API Managed Lustre protégée par un périmètre de service, les requêtes de l'API Managed Lustre provenant de clients extérieurs au périmètre doivent disposer des règles de niveau d'accès appropriées.

Sécuriser vos instances Google Cloud Managed Lustre à l'aide de VPC Service Controls

  1. Créez un périmètre de service.

  2. Ajoutez l'API Managed Lustre à votre périmètre de service. Pour obtenir des instructions sur l'ajout d'un service à votre périmètre, consultez la section Mettre à jour un périmètre de service.

Limites de VPC Service Controls pour les instances Lustre gérées

Les limites suivantes s'appliquent lorsque vous utilisez VPC Service Controls avec Managed Lustre :

  • VPC Service Controls n'est pas compatible avec les clés de chiffrement gérées par le client (CMEK) dans Managed Lustre. Si vous essayez de créer une instance protégée par une clé CMEK dans un périmètre de service, l'opération de création d'instance échoue.
  • Pour transférer des données entre Managed Lustre et Cloud Storage, le projet contenant le bucket Cloud Storage doit se trouver dans le même périmètre de service que l'instance Managed Lustre. Pour importer ou exporter des données en dehors du périmètre, vous devez configurer une règle de sortie afin d'autoriser l'agent de service Managed Lustre (service-PROJECT_NUMBER@gcp-sa-lustre.iam.gserviceaccount.com) à accéder au bucket.
  • Si vous utilisez à la fois le VPC partagé et VPC Service Controls, le projet hôte qui contient le réseau et le projet de service qui contient l'instance Lustre gérée doivent se trouver dans le même périmètre. La séparation du projet hôte et du projet de service par rapport au périmètre peut rendre les instances existantes indisponibles et empêcher la création d'instances.