本頁面說明如何使用 VPC Service Controls,透過服務邊界保護 Managed Lustre 執行個體。
VPC Service Controls 可防範資料竊取,並為執行個體提供額外的安全防護層。如要進一步瞭解 VPC Service Controls,請參閱「VPC Service Controls 總覽」。
受服務範圍保護的 Managed Lustre API,必須具備適當的存取層級規則,才能處理來自範圍外用戶端的 Managed Lustre API 要求。
使用 VPC Service Controls 保護 Google Cloud Managed Lustre 執行個體
將 Managed Lustre API 新增至服務範圍。如要瞭解如何將服務新增至 service perimeter,請參閱「更新 service perimeter」。
將 VPC Service Controls 與客戶自行管理的加密金鑰 (CMEK) 搭配使用
在 VPC Service Controls 範圍內建立受 CMEK 保護的 Managed Lustre 執行個體時,Cloud KMS 金鑰必須符合下列條件:
- 位於同一個 VPC Service Controls 範圍內;或
- 可透過輸出規則存取。
如果受 CMEK 保護的執行個體和 Cloud KMS 金鑰位於同一安全防護範圍,則不需要進行其他設定。
如果 Cloud KMS 金鑰位於 perimeter 外部,請將下列規則新增至 VPC Service Controls perimeter:
{
"egressFrom": {
"identityType": "ANY_SERVICE_ACCOUNT",
"sourceRestriction": "SOURCE_RESTRICTION_ENABLED",
"sources": [
{
"resource": "projects/CONSUMER_PROJECT_NUMBER"
}
]
},
"egressTo": {
"operations": [
{
"methodSelectors": [{"method": "*"}],
"serviceName": "cloudkms.googleapis.com"
}
],
"resources": [
"projects/KMS_PROJECT_NUMBER"
]
}
}
請依下列方式替換預留位置:
- CONSUMER_PROJECT_NUMBER 是專案的專案編號,其中會包含受 CMEK 保護的 Managed Lustre 執行個體。
- KMS_PROJECT_NUMBER 是包含 Cloud Key Management Service 金鑰的專案編號。
瞭解如何找出專案編號。
VPC Service Controls 對 Managed Lustre 執行個體的限制
搭配使用 VPC Service Controls 與 Managed Lustre 時,會受到下列限制:
- 如果您同時使用 Shared VPC 和 VPC Service Controls,則包含網路的主機專案和包含 Managed Lustre 執行個體的服務專案,都必須位於相同的範圍內。使用安全防護範圍分隔主專案和服務專案,可能會導致現有執行個體無法使用,並禁止建立新的執行個體。