VPC Service Controls avec VMware Engine

Pour protéger davantage vos ressources Google Cloud VMware Engine, vous pouvez les protéger à l'aide de VPC Service Controls.

VPC Service Controls vous permet de définir un périmètre de sécurité pour vos ressources VMware Engine. Le périmètre de service limite l'exportation et l'importation des ressources et de leurs données associées dans le périmètre défini. Google vous recommande de créer votre périmètre de service et d'ajouter VMware Engine aux services restreints avant de créer votre premier cloud privé.

Lorsque vous créez un périmètre de service, vous sélectionnez un ou plusieurs projets à protéger par le périmètre. Les requêtes entre plusieurs projets situés au sein d'un même périmètre ne sont pas affectées. Toutes les API existantes continuent de fonctionner tant que les ressources impliquées se trouvent dans le même périmètre de service. Notez que les rôles et stratégies IAM s'appliquent toujours dans un périmètre de service.

Lorsqu'un service est protégé par un périmètre, les requêtes ne peuvent pas être effectuées par le service à l'intérieur du périmètre vers une ressource en dehors du périmètre. Cela inclut l'exportation de ressources de l'intérieur vers l'extérieur du périmètre. Pour en savoir plus, consultez la section Présentation dans la documentation de VPC Service Controls.

Pour vous assurer que VPC Service Controls fonctionne pour VMware Engine, vous devez ajouter le service VMware Engine aux services restreints dans VPC Service Controls.

Limites

  • Lorsque vous ajoutez des VMware Engine, des clouds privés, des règles réseau et des pairages VPC existants à un périmètre de services VPC, Google ne vérifie pas les ressources créées précédemment pour voir si elles respectent toujours les règles du périmètre.

Comportements attendus

  • La création d'un appairage VPC avec un VPC en dehors du périmètre sera bloquée.
  • L'utilisation du service d'accès Internet de la charge de travail VMware Engine sera bloquée.
  • L'utilisation du service d'adresses IP externes sera bloquée.
  • Seules les adresses IP des API Google limitées seront disponibles : 199.36.153.4/30.

Ajouter VMware Engine aux VPC Service Controls autorisés

Pour ajouter le service VMware Engine aux VPC Service Controls autorisés, vous pouvez suivre ces étapes dans la console Google Cloud:

  1. Accédez à la page VPC Service Controls.
  2. Cliquez sur le nom du périmètre que vous souhaitez modifier.
  3. Sur la page Modifier le périmètre de service VPC, cliquez sur l'onglet Services restreints.
  4. Cliquez sur Ajouter des services.
  5. Dans la section Spécifier les services à limiter, cochez le champ VMware Engine. Si ce n'est pas déjà fait, cochez les champs API Compute Engine et API Cloud DNS.
  6. Cliquez sur Ajouter des services.
  7. Cliquez sur Enregistrer.

Étape suivante