本頁面由 Cloud Translation API 翻譯而成。

設定 Private Service Connect 介面的安全性

本頁面說明供應者網路管理員如何管理使用 Private Service Connect 介面的 VPC 網路安全性。

由於 Private Service Connect 介面位於用戶 Private Service Connect 網路中，因此供應商機構不會控制直接套用至介面的防火牆規則。如果生產者機構想確保消費者工作負載無法向生產者網路中的 VM 發出流量，或是只有特定消費者工作負載可以發出流量，就必須在介面 VM 的來賓作業系統中定義安全性政策。

封鎖消費者至生產者的入站連線

您可以使用 iptables 設定 Private Service Connect 介面，封鎖來自消費者網路的流入流量，但仍允許來自供應商網路的流出流量。這項設定如圖 1 所示。

消費者流量無法透過 Private Service Connect 介面傳入，但供應端流量可以傳出 (按一下即可放大)。

如要設定 Private Service Connect 介面，以便封鎖來自消費者網路的流量，但允許來自供應商網路的流量，請執行下列操作：

請確認防火牆規則已設定為允許輸入 SSH 連線，連線至 Private Service Connect 介面的 VM。
連線至 VM。
如果無法使用 iptables 指令，請先安裝。
允許消費者回覆流量進入 Private Service Connect 介面：
```
sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -i OS_INTERFACE_NAME
```
將 OS_INTERFACE_NAME 替換為 Private Service Connect 介面中的訪客作業系統名稱，例如 ens5。
封鎖消費者啟動的流量，不讓其透過 Private Service Connect 介面輸入：
```
sudo iptables -A INPUT -j DROP -i OS_INTERFACE_NAME
```

封鎖 Private Service Connect 介面建立作業

如要建立 Private Service Connect 介面，使用者必須具備 compute.instances.pscInterfaceCreate Identity and Access Management (IAM) 權限。下列角色具備這項權限：

Compute Admin (roles/compute.admin)
Compute 執行個體管理員 (v1) (roles/compute.instanceAdmin.v1)

如果您希望使用者擁有與這些角色相關聯的權限，同時避免使用者建立 Private Service Connect 介面，可以建立自訂角色，並將該角色授予使用者。為角色新增必要權限。省略 compute.instances.pscInterfaceCreate 權限。

後續步驟

在有 Private Service Connect 介面連線的網路中管理目的地重疊。