Controlli di servizio VPC con VMware Engine

Per proteggere ulteriormente le risorse Google Cloud VMware Engine, puoi utilizzare Controlli di servizio VPC.

I Controlli di servizio VPC ti consentono di definire un perimetro di sicurezza per le risorse VMware Engine. Il perimetro di servizio limita l'esportazione e l'importazione delle risorse e i relativi dati associati all'interno del perimetro definito. Google consiglia di creare il perimetro di servizio e di aggiungere VMware Engine ai servizi con limitazioni prima di creare il primo cloud privato.

Quando crei un perimetro di servizio, selezioni uno o più progetti da proteggere dal perimetro. Le richieste tra progetti all'interno dello stesso perimetro rimangono invariate. Tutte le API esistenti continueranno a funzionare a condizione che le risorse coinvolte rientrino nello stesso perimetro di servizio. Tieni presente che i ruoli e i criteri IAM si applicano ancora all'interno di un perimetro di servizio.

Quando un servizio è protetto da un perimetro, il servizio all'interno del perimetro non può inviare richieste a nessuna risorsa all'esterno del perimetro. Sono incluse le risorse esportate dall'interno all'esterno del perimetro. Per ulteriori informazioni, consulta la sezione Panoramica della documentazione di VPC Service Controls.

Per assicurarti che i Controlli di servizio VPC funzionino per VMware Engine, devi aggiungere il servizio VMware Engine ai servizi con limitazioni in Controlli di servizio VPC.

Limitazioni

  • Quando aggiungi VMware Engine, cloud privati, criteri di rete e peering VPC esistenti a un perimetro di servizio VPC, Google non controlla se le risorse create in precedenza sono ancora conformi ai criteri del perimetro.

Comportamenti previsti

  • La creazione di un peering VPC con un VPC esterno al perimetro verrà bloccata.
  • L'utilizzo del servizio di accesso a internet per i carichi di lavoro VMware Engine verrà bloccato.
  • L'utilizzo del servizio di indirizzi IP esterni verrà bloccato.
  • Saranno disponibili solo gli IP delle API di Google con limitazioni: 199.36.153.4/30.

Aggiungere VMware Engine ai Controlli di servizio VPC consentiti

Per aggiungere il servizio VMware Engine ai Controlli di servizio VPC consentiti, puoi seguire questi passaggi nella consoleGoogle Cloud :

  1. Vai alla pagina Controlli di servizio VPC.
  2. Fai clic sul nome del perimetro da modificare.
  3. Nella pagina Modifica perimetro di servizio VPC, fai clic sulla scheda Servizi limitati.
  4. Fai clic su Aggiungi servizi.
  5. Nella sezione Specifica i servizi da limitare, controlla il campo per VMware Engine. Se non sono già selezionati, seleziona i campi per API Compute Engine e API Cloud DNS.
  6. Fai clic su Aggiungi servizi.
  7. Fai clic su Salva.

Passaggi successivi