Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Sicherheit für Private Service Connect-Schnittstellen konfigurieren
Auf dieser Seite wird beschrieben, wie Administratoren des Netzwerk des Erstellers die Sicherheit in VPC-Netzwerken verwalten können, die Private Service Connect-Schnittstellen verwenden.
Da eine Private Service Connect-Schnittstelle im Private Service Connect-Netzwerk eines Nutzers existiert, steuern Erstellerorganisation keine Firewallregeln, die direkt auf die Schnittstelle angewendet werden. Wenn Erstellerorganisationen sicher sein möchte, dass Nutzerarbeitslasten keinen Traffic zu VMs im Netzwerk des Erstellers initiieren können, oder dass nur ausgewählte Nutzerarbeitslasten Traffic initiieren können, müssen sie Sicherheitsrichtlinien im Gastbetriebssystem der VM ihrer Schnittstelle definieren.
Eingehenden Traffic von Nutzer zu Ersteller blockieren
Sie können mit iptables eine Private Service Connect-Schnittstelle konfigurieren, um eingehenden Traffic von einem Nutzernetzwerk zu blockieren, aber weiterhin ausgehenden Traffic vom Netzwerk des Erstellers zuzulassen. Diese Konfiguration wird in Abbildung 1 dargestellt:
Nutzer-Traffic darf nicht über eine Private Service Connect-Schnittstelle eingehen, aber ausgehender Traffic vom Ersteller ist zulässig (zum Vergrößern klicken).
So konfigurieren Sie eine Private Service Connect-Schnittstelle, um eingehenden Traffic vom Nutzernetzwerk zu blockieren, aber ausgehenden Traffic vom Netzwerk des Erstellers zuzulassen:
Verhindern Sie, dass vom Nutzer initiierter Traffic über die Private Service Connect-Schnittstelle eingeht:
sudo iptables -A INPUT -j DROP -i OS_INTERFACE_NAME
Erstellen der Private Service Connect-Schnittstelle blockieren
Zum Erstellen von Private Service Connect-Schnittstellen benötigen Nutzer die IAM-Berechtigung (Identity and Access Management) compute.instances.pscInterfaceCreate. Diese Berechtigung ist in den folgenden Rollen enthalten:
Wenn Sie möchten, dass ein Nutzer die Berechtigungen hat, die mit diesen Rollen verknüpft sind, während er gleichzeitig verhindert, dass Nutzer private Service Connect-Schnittstellen erstellen, können Sie eine benutzerdefinierte Rolle erstellen und sie dem Nutzer gewähren. Fügen Sie der Rolle die erforderlichen Berechtigungen hinzu. Lassen Sie die Berechtigung compute.instances.pscInterfaceCreate weg.
Nächste Schritte
Verwalten Sie Zielüberschneidungen in einem Netzwerk mit einer Verbindung zur Private Service Connect-Schnittstelle.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-07-08 (UTC)."],[],[],null,["# Configure security for Private Service Connect interfaces\n=========================================================\n\nThis page describes how producer network administrators can manage\nsecurity in VPC networks that use\nPrivate Service Connect interfaces.\n\nBecause a Private Service Connect interface exists in a consumer\nPrivate Service Connect network, a producer organization does not\ncontrol firewall rules that apply directly to the interface. If a producer\norganization wants to ensure that consumer workloads cannot initiate traffic to\nVMs in the producer network, or that only selected consumer workloads can\ninitiate traffic, they must define security policies in the guest OS of their\ninterface's VM.\n\nBlock consumer-to-producer ingress\n----------------------------------\n\nYou can use `iptables` to configure a Private Service Connect\ninterface to block ingress traffic from a consumer network, but still allow\negress traffic from the producer network. This configuration is illustrated by\nfigure 1.\n[](/static/vpc/images/psc-interfaces/block-consumer-to-producer-ingress.svg) Consumer traffic is blocked from ingress through a Private Service Connect interface, but producer egress traffic is allowed (click to enlarge).\n\nTo configure a Private Service Connect interface to block ingress\ntraffic from the consumer network but allow egress traffic from the producer\nnetwork, do the following:\n\n1. Ensure that firewall rules are configured to\n [allow ingress SSH connections](/firewall/docs/using-firewalls#common-use-cases-allow-ssh)\n to your Private Service Connect interface's VM.\n\n2. [Connect](/compute/docs/connect/standard-ssh#connect_to_vms) to the VM.\n\n3. If the `iptables` command isn't available, install it.\n\n4. Allow consumer reply traffic to ingress into the\n Private Service Connect interface:\n\n ```\n sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -i OS_INTERFACE_NAME\n ```\n\n Replace \u003cvar translate=\"no\"\u003eOS_INTERFACE_NAME\u003c/var\u003e with the\n [guest OS name for your Private Service Connect interface](/vpc/docs/configure-routing-private-service-connect-interfaces#find-os-interface-name).\n5. Block consumer-initiated traffic from ingressing through the\n Private Service Connect interface:\n\n ```\n sudo iptables -A INPUT -j DROP -i OS_INTERFACE_NAME\n ```\n\nBlock Private Service Connect interface creation\n------------------------------------------------\n\nTo create Private Service Connect interfaces, users\nmust have the `compute.instances.pscInterfaceCreate` Identity and Access Management (IAM)\npermission. This permission is included in the following roles:\n\n- [Compute Admin](/compute/docs/access/iam#compute.admin) (`roles/compute.admin`)\n- [Compute Instance Admin (v1)](/iam/docs/understanding-roles#compute.instanceAdmin.v1) (`roles/compute.instanceAdmin.v1`)\n\nIf you want a user to have the permissions that are associated with these\nroles, while preventing that user from creating\nPrivate Service Connect interfaces, you can\n[Create a custom role](/iam/docs/creating-custom-roles#creating) and grant\nit to the user. Add the necessary permissions to the role. Omit the\n`compute.instances.pscInterfaceCreate` permission.\n\nWhat's next?\n------------\n\n- [Manage destination overlap](/vpc/docs/manage-destination-overlap) in a network that has a Private Service Connect interface connection."]]
