Nesta página, mostramos como proteger as instâncias gerenciadas do Lustre com um perímetro de serviço usando o VPC Service Controls.
O VPC Service Controls protege contra a exfiltração de dados e fornece uma camada extra de segurança para suas instâncias. Para mais informações sobre o VPC Service Controls, consulte a Visão geral do VPC Service Controls.
Depois que a API Managed Lustre estiver protegida por um perímetro de serviço, as solicitações da API Managed Lustre provenientes de clientes fora do perímetro precisarão ter as regras de nível de acesso adequadas.
Como proteger as instâncias gerenciadas do Google Cloud Lustre usando o VPC Service Controls
Adicione a API Managed Lustre ao perímetro de serviço. Para instruções sobre como adicionar um serviço ao seu perímetro de serviço, consulte Como atualizar um perímetro de serviço.
Limitações do VPC Service Controls para instâncias gerenciadas do Lustre
As limitações a seguir se aplicam ao usar o VPC Service Controls com o Lustre gerenciado:
- O VPC Service Controls não é compatível com chaves de criptografia gerenciadas pelo cliente (CMEK) no Lustre gerenciado. Se você tentar criar uma instância protegida por CMEK em um perímetro de serviço, a operação de criação da instância vai falhar.
- Para transferir dados entre o Managed Lustre e o Cloud Storage, o projeto que contém o bucket do Cloud Storage precisa estar no mesmo perímetro de serviço da instância do Managed Lustre. Para importar ou exportar dados fora do perímetro, configure uma regra de saída que permita que o agente de serviço do Managed Lustre (
service-PROJECT_NUMBER@gcp-sa-lustre.iam.gserviceaccount.com) acesse o bucket. - Se você usa a VPC compartilhada e o VPC Service Controls, o projeto host que contém a rede e o projeto de serviço que contém a instância do Managed Lustre precisam estar dentro do mesmo perímetro. Separar o projeto host e o de serviço com um perímetro pode fazer com que as instâncias atuais fiquem indisponíveis e impedir a criação de novas instâncias.