VPC Service Controls を使用すると、Google マネージド サービスからのデータの不正コピーや転送のリスクを軽減できます。
VPC Service Controls を使用すると、Google マネージド サービスのリソースにサービス境界を構成し、境界をまたがるデータの移動を制御できます。
サービス境界を作成する
サービス境界を作成するには、VPC Service Controls ガイドに従ってサービス境界を作成します。
制限するサービスを指定する場合は、次のサービスをすべて追加してください。
- VMMigration API(
vmmigration.googleapis.com
) - Pub/Sub API(
pubsub.googleapis.com
) - Cloud Storage API(
storage.googleapis.com
) - Cloud Logging API(
logging.googleapis.com
) - Secret Manager API(
secretmanager.googleapis.com
) - Compute Engine API(
compute.googleapis.com
)
Migrate to Virtual Machines と VPC Service Controls を連携させるには、サービス境界でこれらのサービスをすべて制限する必要があります。
ターゲット プロジェクトで VMMigration API を有効にしたプロジェクトが境界に含まれることを確認する必要があります。
VPC-SC 対応環境で Migrate Connector を構成する
VPC-SC を使用する環境では、Migrate Connector が Google Cloud APIs と通信できることを確認する必要があります。
Migrate Connector による VPC-SC 環境へのアクセスを許可する方法は複数あります。使用できる方法は、VPC-SC 環境の構成と、Migrate Connector ネットワーク トラフィックが非公開と一般公開のどちらでルーティングされるかによって異なります。
- Migrate Connector のネットワーク トラフィックが、プロジェクト VPC-SC への VPN または Interconnect を使用して Google Cloud にルーティングされている場合は、VPC-SC のプライベート接続のドキュメントをご覧ください。
- Migrate Connector ネットワーク トラフィックがパブリック ネットワークを使用してルーティングされる場合は、VPC-SC の概要のドキュメントをご覧ください。