本頁面說明如何使用 VPC Service Controls,透過服務範圍保護 Managed Lustre 執行個體。
VPC Service Controls 可防止資料遭竊,並為執行個體提供額外的安全防護層。如要進一步瞭解 VPC Service Controls,請參閱「VPC Service Controls 總覽」。
受服務範圍保護後,來自範圍外的用戶端必須具備適當的存取層級規則,才能提出 Managed Lustre API 要求。
使用 VPC Service Controls 保護 Google Cloud Managed Lustre 執行個體
將 Managed Lustre API 新增至服務範圍。如要瞭解如何將服務新增至 service perimeter,請參閱「更新 service perimeter」。
VPC Service Controls 對於 Managed Lustre 執行個體的限制
搭配使用 VPC Service Controls 與 Managed Lustre 時,會受到下列限制:
- VPC Service Controls 不支援 Managed Lustre 中的客戶自行管理的加密金鑰 (CMEK)。如果您嘗試在服務範圍內建立受 CMEK 保護的執行個體,執行個體建立作業會失敗。
- 如要在 Managed Lustre 和 Cloud Storage 之間移轉資料,包含 Cloud Storage bucket 的專案必須與 Managed Lustre 執行個體位於相同的服務邊界。如要匯入/匯出 perimeter 外部的資料,您必須設定輸出規則,允許 Managed Lustre 服務代理程式 (
service-PROJECT_NUMBER@gcp-sa-lustre.iam.gserviceaccount.com) 存取 bucket。 - 如果您同時使用 Shared VPC 和 VPC Service Controls,則包含網路的主專案和包含 Managed Lustre 執行個體的服務專案,都必須位於相同的範圍內。使用服務範圍分隔主專案和服務專案,可能會導致現有執行個體無法使用,並禁止建立新的執行個體。