VPC Service Controls עוזר לצמצם את הסיכון להעתקה או להעברה לא מורשות של נתונים מהשירותים המנוהלים של Google.
בעזרת VPC Service Controls אפשר להגדיר גבולות גזרה לשירותים מסביב למשאבים של השירותים המנוהלים על ידי Google, ולשלוט בתנועת הנתונים מעבר לגבולות הגזרה.
יצירה של גבולות גזרה לשירות
כדי ליצור גבולות גזרה לשירות, פועלים לפי ההוראות במאמר יצירת גבולות גזרה לשירות במדריך VPC Service Controls.
כשמציינים את השירותים שרוצים להגביל, חשוב להוסיף את כל השירותים הבאים:
- VMMigration API (
vmmigration.googleapis.com) - Pub/Sub API (
pubsub.googleapis.com) - Cloud Storage API (
storage.googleapis.com) - Cloud Logging API (
logging.googleapis.com) - Secret Manager API (
secretmanager.googleapis.com) - Compute Engine API (
compute.googleapis.com)
כדי ש-Migrate to Virtual Machines יפעל עם VPC Service Controls, גבולות גזרה לשירות צריכים להגביל את כל השירותים האלה.
צריך לוודא שהפרויקט שבו הפעלתם את VMMigration API עם פרויקטי היעד כלול בגבולות הגזרה.
הגדרת Migrate Connector בסביבה שמופעל בה VPC-SC
בסביבה שבה נעשה שימוש ב-VPC-SC, צריך לוודא ש-Migrate Connector יכול לתקשר עם ממשקי ה-API. Google Cloud
יש כמה דרכים לאפשר ל-Migrate Connector לגשת לסביבת VPC-SC. השיטות הזמינות תלויות בהגדרה של סביבת VPC-SC ובשאלה אם תנועת הרשת של Migrate Connector מנותבת באופן פרטי או ציבורי:
- אם תעבורת הנתונים ברשת של Migrate Connector מנותבת אלGoogle Cloud באמצעות VPN או חיבור בין רשתות אל ה-VPC-SC של הפרויקט, אפשר לעיין במסמכי התיעוד בנושא קישוריות פרטית של VPC-SC.
- אם תנועת הרשת של Migrate Connector מנותבת באמצעות רשת ציבורית, כדאי לעיין במסמכי התיעוד בנושא סקירה כללית של VPC-SC.