本页面介绍如何使用 VPC Service Controls,通过服务边界保护代管式 Lustre 实例。
VPC Service Controls 可避免数据渗漏,并为实例提供额外的安全防护。如需详细了解 VPC Service Controls,请参阅 VPC Service Controls 概览。
当 Managed Lustre API 受服务边界保护后,来自边界外客户端的 Managed Lustre API 请求必须具有适当的访问权限级别规则。
使用 VPC Service Controls 保护 Google Cloud Managed Lustre 实例
针对代管式 Lustre 实例的 VPC Service Controls 的限制
将 VPC Service Controls 与 Managed Lustre 搭配使用时,存在以下限制:
- VPC Service Controls 不支持 Managed Lustre 中的客户管理的加密密钥 (CMEK)。如果您尝试在服务边界内创建受 CMEK 保护的实例,实例创建操作将失败。
- 如需在受管 Lustre 与 Cloud Storage 之间转移数据,包含 Cloud Storage 存储桶的项目必须与受管 Lustre 实例位于同一服务边界内。如需在边界之外导入或导出数据,您必须配置出站流量规则,以允许受管理的 Lustre 服务代理 (
service-PROJECT_NUMBER@gcp-sa-lustre.iam.gserviceaccount.com) 访问相应存储桶。 - 如果您同时使用共享 VPC 和 VPC Service Controls,则包含网络的宿主项目与包含受管 Lustre 实例的服务项目必须位于同一边界内。使用边界分隔宿主项目和服务项目可能会导致现有实例不可用,并且可能会阻止创建新实例。