本页面介绍如何使用 VPC Service Controls,通过服务边界保护 Managed Lustre 实例。
VPC Service Controls 可避免数据渗漏,并为实例提供额外的安全防护。如需详细了解 VPC Service Controls,请参阅 VPC Service Controls 概览。
当 Managed Lustre API 受服务边界保护后,来自边界外客户端的 Managed Lustre API 请求必须具有适当的访问权限级别规则。
使用 VPC Service Controls 保护 Google Cloud Managed Lustre 实例
将 VPC Service Controls 与客户管理的加密密钥 (CMEK) 搭配使用
在 VPC Service Controls 边界内创建受 CMEK 保护的 Managed Lustre 实例时,您的 Cloud KMS 密钥必须满足以下条件之一:
- 位于同一 VPC Service Controls 边界内;或
- 可通过出站规则访问。
当受 CMEK 保护的实例和 Cloud KMS 密钥位于同一安全边界内时,无需进行进一步配置。
如果 Cloud KMS 密钥位于边界之外,请将以下规则添加到 VPC Service Controls 边界:
{
"egressFrom": {
"identityType": "ANY_SERVICE_ACCOUNT",
"sourceRestriction": "SOURCE_RESTRICTION_ENABLED",
"sources": [
{
"resource": "projects/CONSUMER_PROJECT_NUMBER"
}
]
},
"egressTo": {
"operations": [
{
"methodSelectors": [{"method": "*"}],
"serviceName": "cloudkms.googleapis.com"
}
],
"resources": [
"projects/KMS_PROJECT_NUMBER"
]
}
}
按如下所示替换占位符:
- CONSUMER_PROJECT_NUMBER 是将包含受 CMEK 保护的 Managed Lustre 实例的项目的编号。
- KMS_PROJECT_NUMBER 是包含 Cloud Key Management Service 密钥的项目的编号。
了解如何查找项目编号。
针对 Managed Lustre 实例的 VPC Service Controls 的限制
将 VPC Service Controls 与 Managed Lustre 搭配使用时,存在以下限制:
- 如果您同时使用共享 VPC 和 VPC Service Controls,则包含网络的宿主项目与包含 Managed Lustre 实例的服务项目必须位于同一边界内。使用边界分隔宿主项目和服务项目可能会导致现有实例不可用,并且可能会阻止创建新实例。