VPC Service Controls עם VMware Engine

כדי להגן על המשאבים של Google Cloud VMware Engine, אתם יכולים להשתמש ב-VPC Service Controls.

בעזרת VPC Service Controls אפשר להגדיר מתחם אבטחה היקפית למשאבים של VMware Engine. מתחם האבטחה ההיקפית מגביל את הייצוא והייבוא של משאבים והנתונים שמשויכים אליהם לתחום המתחם המוגדר. ‫Google ממליצה ליצור את גבולות הגזרה לשירות ולהוסיף את VMware Engine לשירותים המוגבלים לפני שיוצרים את הענן הפרטי הראשון.

כשיוצרים גבולות גזרה לשירות, בוחרים פרויקט אחד או יותר שיוגנו על ידי הגבולות. הבקשות בין פרויקטים באותו היקף לא יושפעו. כל ממשקי ה-API הקיימים ימשיכו לפעול כל עוד המשאבים שבהם הם משתמשים נמצאים באותו גבולות גזרה לשירות. חשוב לזכור שהתפקידים והמדיניות של IAM עדיין חלים בתוך גבולות גזרה לשירות.

כששירות מוגן על ידי גבולות גזרה, השירות בתוך גבולות הגזרה לא יכול לשלוח בקשות למשאבים מחוץ לגבולות הגזרה. הפעולה הזו כוללת ייצוא משאבים מתוך ההיקף אל מחוצה לו. מידע נוסף זמין במאמר סקירה כללית במסמכי העזרה בנושא VPC Service Controls.

כדי לוודא ש-VPC Service Controls פועל ב-VMware Engine, צריך להוסיף את שירות VMware Engine לשירותים המוגבלים ב-VPC Service Controls.

מגבלות

  • כשמוסיפים ל-VPC Service Perimeter משאבים קיימים של VMware Engine, עננים פרטיים, מדיניות רשת ו-VPC Peering,‏ Google לא בודקת משאבים שנוצרו בעבר כדי לראות אם הם עדיין עומדים בדרישות המדיניות של גבולות הגזרה.

התנהגויות צפויות

  • היצירה של קישור בין רשתות שכנות (peering) של VPC לרשת VPC מחוץ לגבולות הגזרה תיחסם.
  • השימוש בשירות הגישה לאינטרנט של עומס העבודה ב-VMware Engine ייחסם.
  • השימוש בשירות כתובות IP חיצוניות ייחסם.
  • רק כתובות ה-IP של ממשקי Google APIs המוגבלים יהיו זמינות – 199.36.153.4/30.

הוספת VMware Engine ל-VPC Service Controls המותרים

כדי להוסיף את שירות VMware Engine ל-VPC Service Controls המותרים, אפשר לבצע את השלבים הבאים במסוףGoogle Cloud :

  1. עוברים לדף VPC Service Controls.
  2. לוחצים על השם של ההיקף שרוצים לשנות.
  3. בדף Edit VPC Service Perimeter (עריכת גבולות גזרה לשירות VPC), לוחצים על הכרטיסייה Restricted Services (שירותים מוגבלים).
  4. לוחצים על הוספת שירותים.
  5. בקטע Specify services to restrict, מסמנים את השדה של VMware Engine. אם הם לא מסומנים, מסמנים את השדות Compute Engine API ו-Cloud DNS API.
  6. לוחצים על הוספת שירותים.
  7. לוחצים על Save.

המאמרים הבאים