Kontrol Layanan VPC membantu Anda mengurangi risiko penyalinan atau transfer data tanpa izin dari layanan yang dikelola Google.
Dengan Kontrol Layanan VPC, Anda dapat mengonfigurasi perimeter layanan di sekitar resource layanan yang dikelola Google dan mengontrol pergerakan data melintasi batas perimeter.
Membuat perimeter layanan
Untuk membuat perimeter layanan, ikuti panduan Kontrol Layanan VPC untuk membuat perimeter layanan.
Saat Anda mendesain perimeter layanan, sertakan layanan berikut:
- Migration Center API (
migrationcenter.googleapis.com
) - RMA API (
rapidmigrationassessment.googleapis.com
) - Cloud Storage API (
storage.googleapis.com
) - Resource Manager API (
cloudresourcemanager.googleapis.com
) - Cloud Logging API (
logging.googleapis.com
)
Mengizinkan traffic dengan aturan transfer data masuk
Secara default, perimeter layanan dirancang untuk mencegah transfer data masuk dari layanan di luar perimeter. Jika Anda berencana menggunakan impor data untuk mengupload data dari luar perimeter, atau menggunakan klien penemuan untuk mengumpulkan data infrastruktur, konfigurasikan aturan akses data untuk mengizinkannya.
Mengaktifkan impor data
Untuk mengaktifkan impor data, tentukan aturan transfer data masuk menggunakan sintaksis berikut:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.create
resources:
- projects/PROJECT_ID
Ganti kode berikut:
SERVICE_ACCOUNT
: akun layanan per produk, per project yang Anda gunakan untuk mengupload data ke Migration Center, dengan format berikut:service-PROJECT_NUMBER@gcp-sa-migcenter.iam.gserviceaccount.com.
Di sini,
PROJECT_NUMBER
adalah ID unik project Google Cloud tempat Anda mengaktifkan Migration Center API. Untuk mengetahui informasi selengkapnya tentang nomor project, lihat Mengidentifikasi project.PROJECT_ID
: ID project di dalam perimeter tempat Anda ingin mengupload data.
Anda tidak dapat menggunakan
jenis identitas ANY_SERVICE_ACCOUNT
dan ANY_USER_ACCOUNT
dengan URL yang ditandatangani.
Untuk mengetahui informasi selengkapnya, lihat
Mengizinkan akses ke resource yang dilindungi dari luar perimeter.
Mengaktifkan pengumpulan data dengan klien penemuan
Untuk mengaktifkan pengumpulan data dengan klien penemuan, tentukan aturan transfer data masuk dengan sintaksis berikut:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: \"*\"
resources:
- projects/PROJECT_ID
Ganti kode berikut:
SERVICE_ACCOUNT
: akun layanan yang Anda gunakan untuk membuat klien penemuan. Untuk informasi selengkapnya, tinjau proses penginstalan klien penemuan.PROJECT_ID
: ID project di dalam perimeter tempat Anda ingin mengupload data.
Batasan
Batasan berikut berlaku saat Anda mengaktifkan perimeter layanan.
StratoZone
StratoZone tidak mematuhi Kontrol Layanan VPC. Jika Anda mencoba mengaktifkan integrasi StratoZone dengan Migration Center setelah membuat perimeter layanan, Anda akan menerima error.
Namun, jika Anda mengaktifkan integrasi StratoZone sebelum membuat perimeter layanan, Anda masih dapat mengakses StratoZone dan data yang telah dikumpulkan, tetapi Migration Center tidak akan mengirim data baru apa pun ke StratoZone.