Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הגדרת אבטחה לממשקי Private Service Connect

בדף הזה מוסבר איך אדמינים של רשתות של ספקי שירותים יכולים לנהל את האבטחה ברשתות VPC שמשתמשות בממשקי Private Service Connect.

ממשק Private Service Connect קיים ברשת Private Service Connect של צרכן, ולכן לארגון שמספק את השירות אין שליטה על כללי חומת האש שחלים ישירות על הממשק. אם ארגון שמספק שירותים רוצה לוודא שעומסי עבודה של צרכנים לא יכולים ליזום תנועה למכונות וירטואליות ברשת של ספק השירותים, או שרק עומסי עבודה נבחרים של צרכנים יכולים ליזום תנועה, הוא צריך להגדיר מדיניות אבטחה במערכת ההפעלה של האורח במכונה הווירטואלית של הממשק שלו.

חסימת תעבורת נתונים נכנסת (ingress) מצרכן ליצרן

אתם יכולים להשתמש ב-iptables כדי להגדיר ממשק Private Service Connect לחסימת תעבורת נתונים נכנסת מרשת צרכנית, אבל עדיין לאפשר תעבורת נתונים יוצאת מרשת של ספק. איור 1 מציג את ההגדרה הזו.

תעבורת נתונים של צרכנים נחסמת בכניסה דרך ממשק Private Service Connect, אבל תעבורת נתונים יוצאת של בעלי שירותים מנוהלים מותרת (לחצו כדי להגדיל).

כדי להגדיר ממשק Private Service Connect לחסימת תעבורת נתונים נכנסת מרשת הצרכן, אבל לאפשר תעבורת נתונים יוצאת מרשת הספק, צריך לבצע את הפעולות הבאות:

מוודאים שכללי חומת האש מוגדרים כך שחיבורי SSH נכנסים מותרים למכונה הווירטואלית של ממשק Private Service Connect.
מתחברים ל-VM.
אם הפקודה iptables לא זמינה, מתקינים אותה.
מאפשרים לתעבורת נתונים נכנסת של תשובות של צרכנים להיכנס לממשק Private Service Connect:
```
sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -i OS_INTERFACE_NAME
```
מחליפים את OS_INTERFACE_NAME בשם מערכת ההפעלה של האורח בממשק Private Service Connect.
חסימה של תנועה שיוצאת מצרכנים ונכנסת דרך ממשק Private Service Connect:
```
sudo iptables -A INPUT -j DROP -i OS_INTERFACE_NAME
```

חסימת יצירה של ממשק Private Service Connect

כדי ליצור ממשקי Private Service Connect, למשתמשים צריכה להיות הרשאת ניהול זהויות והרשאות גישה (IAM) מסוג compute.instances.pscInterfaceCreate. ההרשאה הזו כלולה בתפקידים הבאים:

אדמין ב-Compute (roles/compute.admin)
אדמין מכונות של Compute (גרסה 1) (roles/compute.instanceAdmin.v1)

אם אתם רוצים שלמשתמש יהיו ההרשאות שמשויכות לתפקידים האלה, אבל אתם לא רוצים שהוא יוכל ליצור ממשקי Private Service Connect, אתם יכולים ליצור תפקיד בהתאמה אישית ולהקצות אותו למשתמש. מוסיפים לתפקיד את ההרשאות הנדרשות. משמיטים את ההרשאה compute.instances.pscInterfaceCreate.

מה השלב הבא?

ניהול חפיפה ביעדים ברשת שיש בה חיבור לממשק Private Service Connect.