Questa pagina è stata tradotta dall'API Cloud Translation.

Configura la sicurezza per le interfacce Private Service Connect

Questa pagina descrive in che modo gli amministratori della rete del produttore possono gestire la sicurezza nelle reti VPC che utilizzano le interfacce Private Service Connect.

Poiché un'interfaccia Private Service Connect esiste in una rete consumer Private Service Connect, un'organizzazione producer non controlla le regole del firewall applicate direttamente all'interfaccia. Se un'organizzazione di produttori vuole assicurarsi che i carichi di lavoro dei consumatori non possano avviare traffico verso le VM nella rete del produttore o che solo alcuni carichi di lavoro dei consumatori possano avviare il traffico, deve definire i criteri di sicurezza nel sistema operativo guest della VM dell'interfaccia.

Bloccare l'ingresso consumer-to-producer

Puoi utilizzare iptables per configurare un'interfaccia Private Service Connect per bloccare il traffico in entrata da una rete consumer, ma consentire comunque il traffico in uscita dalla rete del producer. Questa configurazione è illustrata nella Figura 1.

Il traffico in entrata dei consumer è bloccato tramite un'interfaccia Private Service Connect, ma il traffico in uscita dei producer è consentito (fai clic per ingrandire).

Per configurare un'interfaccia Private Service Connect in modo da bloccare il traffico in entrata dalla rete del consumer, ma consentire il traffico in uscita dalla rete del producer, segui questi passaggi:

Assicurati che le regole del firewall siano configurate in modo da consentire le connessioni SSH in entrata alla VM dell'interfaccia Private Service Connect.
Connettiti alla VM.
Se il comando iptables non è disponibile, installalo.
Consenti l'ingresso del traffico di risposta dei consumer nell'interfaccia Private Service Connect:
```
sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -i OS_INTERFACE_NAME
```
Sostituisci OS_INTERFACE_NAME con il nome del sistema operativo guest per l'interfaccia Private Service Connect, ad esempio ens5.
Blocca l'ingresso del traffico avviato dal consumatore tramite l'interfaccia Private Service Connect:
```
sudo iptables -A INPUT -j DROP -i OS_INTERFACE_NAME
```

Bloccare la creazione di interfacce Private Service Connect

Per creare interfacce Private Service Connect, gli utenti devono disporre dell'autorizzazione compute.instances.pscInterfaceCreate Identity and Access Management (IAM). Questa autorizzazione è inclusa nei seguenti ruoli:

Amministratore di Compute (roles/compute.admin)
Amministratore istanze Compute (v1) (roles/compute.instanceAdmin.v1)

Se vuoi che un utente disponga delle autorizzazioni associate a questi ruoli, impedendogli al contempo di creare interfacce Private Service Connect, puoi creare un ruolo personalizzato e concederlo all'utente. Aggiungi le autorizzazioni necessarie al ruolo. Ometti l'autorizzazione compute.instances.pscInterfaceCreate.

Passaggi successivi

Gestisci l'interferenza delle destinazioni in una rete con una connessione dell'interfaccia Private Service Connect.