Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Configurar a segurança para interfaces do Private Service Connect
Nesta página, descrevemos como os administradores de rede do produtor podem gerenciar a segurança em redes VPC que usam interfaces do Private Service Connect.
Como há uma interface do Private Service Connect em uma rede pessoal do Private Service Connect, uma organização produtora não controla as regras de firewall que se aplicam diretamente à interface. Se uma organização de produtores quiser garantir que as cargas de trabalho de consumidores não possam iniciar o tráfego para VMs na rede do produtor ou que apenas cargas de trabalho de consumidor selecionadas possam iniciar o tráfego, eles precisarão definir políticas de segurança no SO convidado da VM da interface.
Bloquear a entrada de consumidor para produtor
É possível usar iptables para configurar uma interface do Private Service Connect
para bloquear o tráfego de entrada de uma rede do consumidor, mas ainda permitir o tráfego de saída
da rede do produtor. Essa configuração é ilustrada na Figura 1.
A entrada do tráfego do consumidor é bloqueada
por uma interface do Private Service Connect, mas o
o tráfego de saída é permitido (clique para ampliar).
Para configurar uma interface do Private Service Connect para bloquear o tráfego de entrada da rede do consumidor, mas permitir o tráfego de saída da rede do produtor, faça o seguinte:
Verifique se as regras de firewall estão configuradas para permitir conexões SSH de entrada com a VM da interface do Private Service Connect.
Bloqueie a entrada de tráfego iniciado pelo consumidor pela interface do Private Service Connect:
sudo iptables -A INPUT -j DROP -i OS_INTERFACE_NAME
Bloquear a criação da interface do Private Service Connect
Para criar interfaces do Private Service Connect, os usuários
precisam ter a permissão compute.instances.pscInterfaceCreate do Identity and Access Management (IAM). Esta permissão está incluída nos seguintes papéis predefinidos:
Se você quiser que um usuário tenha as permissões associadas a esses
papéis e impeça que ele crie
interfaces do Private Service Connect,
crie um papel personalizado e ao usuário. Adicione as permissões necessárias ao papel. Omita a
permissão compute.instances.pscInterfaceCreate.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-07-08 UTC."],[],[],null,["# Configure security for Private Service Connect interfaces\n=========================================================\n\nThis page describes how producer network administrators can manage\nsecurity in VPC networks that use\nPrivate Service Connect interfaces.\n\nBecause a Private Service Connect interface exists in a consumer\nPrivate Service Connect network, a producer organization does not\ncontrol firewall rules that apply directly to the interface. If a producer\norganization wants to ensure that consumer workloads cannot initiate traffic to\nVMs in the producer network, or that only selected consumer workloads can\ninitiate traffic, they must define security policies in the guest OS of their\ninterface's VM.\n\nBlock consumer-to-producer ingress\n----------------------------------\n\nYou can use `iptables` to configure a Private Service Connect\ninterface to block ingress traffic from a consumer network, but still allow\negress traffic from the producer network. This configuration is illustrated by\nfigure 1.\n[](/static/vpc/images/psc-interfaces/block-consumer-to-producer-ingress.svg) Consumer traffic is blocked from ingress through a Private Service Connect interface, but producer egress traffic is allowed (click to enlarge).\n\nTo configure a Private Service Connect interface to block ingress\ntraffic from the consumer network but allow egress traffic from the producer\nnetwork, do the following:\n\n1. Ensure that firewall rules are configured to\n [allow ingress SSH connections](/firewall/docs/using-firewalls#common-use-cases-allow-ssh)\n to your Private Service Connect interface's VM.\n\n2. [Connect](/compute/docs/connect/standard-ssh#connect_to_vms) to the VM.\n\n3. If the `iptables` command isn't available, install it.\n\n4. Allow consumer reply traffic to ingress into the\n Private Service Connect interface:\n\n ```\n sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -i OS_INTERFACE_NAME\n ```\n\n Replace \u003cvar translate=\"no\"\u003eOS_INTERFACE_NAME\u003c/var\u003e with the\n [guest OS name for your Private Service Connect interface](/vpc/docs/configure-routing-private-service-connect-interfaces#find-os-interface-name).\n5. Block consumer-initiated traffic from ingressing through the\n Private Service Connect interface:\n\n ```\n sudo iptables -A INPUT -j DROP -i OS_INTERFACE_NAME\n ```\n\nBlock Private Service Connect interface creation\n------------------------------------------------\n\nTo create Private Service Connect interfaces, users\nmust have the `compute.instances.pscInterfaceCreate` Identity and Access Management (IAM)\npermission. This permission is included in the following roles:\n\n- [Compute Admin](/compute/docs/access/iam#compute.admin) (`roles/compute.admin`)\n- [Compute Instance Admin (v1)](/iam/docs/understanding-roles#compute.instanceAdmin.v1) (`roles/compute.instanceAdmin.v1`)\n\nIf you want a user to have the permissions that are associated with these\nroles, while preventing that user from creating\nPrivate Service Connect interfaces, you can\n[Create a custom role](/iam/docs/creating-custom-roles#creating) and grant\nit to the user. Add the necessary permissions to the role. Omit the\n`compute.instances.pscInterfaceCreate` permission.\n\nWhat's next?\n------------\n\n- [Manage destination overlap](/vpc/docs/manage-destination-overlap) in a network that has a Private Service Connect interface connection."]]
