Mengamankan instance dengan Kontrol Layanan VPC

Halaman ini menunjukkan cara melindungi instance Managed Lustre Anda dengan perimeter layanan menggunakan Kontrol Layanan VPC.

Kontrol Layanan VPC melindungi dari pemindahan data yang tidak sah dan memberikan lapisan keamanan tambahan untuk instance Anda. Untuk mengetahui informasi selengkapnya tentang Kontrol Layanan VPC, lihat Ringkasan Kontrol Layanan VPC.

Setelah Managed Lustre API dilindungi oleh perimeter layanan, permintaan Managed Lustre API yang berasal dari klien di luar perimeter harus memiliki aturan tingkat akses yang tepat.

Mengamankan instance Lustre Terkelola Google Cloud menggunakan Kontrol Layanan VPC

  1. Buat perimeter layanan.

  2. Tambahkan Managed Lustre API ke perimeter layanan Anda. Untuk petunjuk tentang cara menambahkan layanan ke perimeter layanan, lihat Memperbarui perimeter layanan.

Menggunakan Kontrol Layanan VPC dengan kunci enkripsi yang dikelola pelanggan (CMEK)

Saat membuat instance Managed Lustre yang dilindungi CMEK dalam perimeter Kontrol Layanan VPC, kunci Cloud KMS Anda harus:

  • Dalam perimeter Kontrol Layanan VPC yang sama; atau
  • Dapat diakses melalui aturan traffic keluar.

Jika instance yang dilindungi CMEK dan kunci Cloud KMS berada di perimeter yang sama, tidak ada konfigurasi lebih lanjut yang diperlukan.

Jika kunci Cloud KMS berada di luar perimeter, tambahkan aturan berikut ke perimeter Kontrol Layanan VPC Anda:

{
  "egressFrom": {
    "identityType": "ANY_SERVICE_ACCOUNT",
    "sourceRestriction": "SOURCE_RESTRICTION_ENABLED",
    "sources": [
      {
        "resource": "projects/CONSUMER_PROJECT_NUMBER"
      }
    ]
  },
  "egressTo": {
    "operations": [
      {
        "methodSelectors": [{"method": "*"}],
        "serviceName": "cloudkms.googleapis.com"
      }
    ],
    "resources": [
      "projects/KMS_PROJECT_NUMBER"
    ]
  }
}

Ganti placeholder sebagai berikut:

  • CONSUMER_PROJECT_NUMBER adalah nomor project yang akan berisi instance Managed Lustre yang dilindungi CMEK.
  • KMS_PROJECT_NUMBER adalah nomor project yang berisi kunci Cloud Key Management Service Anda.

Pelajari cara menemukan nomor project.

Batasan Kontrol Layanan VPC untuk instance Managed Lustre

Batasan berikut berlaku saat menggunakan Kontrol Layanan VPC dengan Managed Lustre:

  • Jika Anda menggunakan VPC Bersama dan Kontrol Layanan VPC, project host yang berisi jaringan dan project layanan yang berisi instance Managed Lustre harus berada di dalam perimeter yang sama. Memisahkan project host dan project layanan dengan perimeter dapat menyebabkan instance yang ada menjadi tidak tersedia dan dapat mencegah pembuatan instance baru.