Kontrol Layanan VPC membantu Anda mengurangi risiko penyalinan atau transfer data tanpa izin dari layanan yang dikelola Google.
Dengan Kontrol Layanan VPC, Anda dapat mengonfigurasi perimeter layanan di sekitar resource dalam layanan yang dikelola Google Anda dan mengontrol pergerakan data melintasi batas perimeter.
Membuat perimeter layanan
Untuk membuat perimeter layanan, ikuti panduan Kontrol Layanan VPC untuk membuat perimeter layanan.
Saat Anda mendesain perimeter layanan, sertakan layanan berikut:
- API Pusat Migrasi (
migrationcenter.googleapis.com
) - RMA API (
rapidmigrationassessment.googleapis.com
) - Cloud Storage API (
storage.googleapis.com
) - API Resource Manager (
cloudresourcemanager.googleapis.com
) - Cloud Logging API (
logging.googleapis.com
)
Mengizinkan traffic dengan aturan transfer data masuk
Secara default, perimeter layanan didesain untuk mencegah transfer data masuk dari layanan di luar perimeter. Jika Anda berencana menggunakan impor data untuk mengupload data dari luar perimeter, atau menggunakan klien discovery untuk mengumpulkan data infrastruktur, konfigurasikan aturan akses data untuk mengizinkannya.
Aktifkan impor data
Untuk mengaktifkan impor data, tentukan aturan transfer data masuk menggunakan sintaksis berikut:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.create
resources:
- projects/PROJECT_ID
Ganti kode berikut:
SERVICE_ACCOUNT
: akun layanan per produk per project yang Anda gunakan untuk mengupload data ke Pusat Migrasi, dengan format berikut:service-PROJECT_NUMBER@gcp-sa-migcenter.iam.gserviceaccount.com.
Di sini,
PROJECT_NUMBER
adalah ID unik project Google Cloud tempat Anda mengaktifkan Migration Center API. Untuk informasi selengkapnya tentang nomor project, lihat Mengidentifikasi project.PROJECT_ID
: ID project di dalam perimeter tempat Anda ingin mengupload data.
Anda tidak dapat menggunakan
jenis identitas ANY_SERVICE_ACCOUNT
dan ANY_USER_ACCOUNT
dengan URL yang ditandatangani.
Untuk mengetahui informasi selengkapnya, lihat
Mengizinkan akses ke resource yang dilindungi dari luar perimeter.
Mengaktifkan pengumpulan data dengan klien discovery
Untuk mengaktifkan pengumpulan data dengan klien discovery, tentukan aturan transfer data masuk dengan sintaksis berikut:
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: \"*\"
resources:
- projects/PROJECT_ID
Ganti kode berikut:
SERVICE_ACCOUNT
: akun layanan yang Anda gunakan untuk membuat klien Discovery. Untuk informasi selengkapnya, tinjau proses penginstalan klien Discovery.PROJECT_ID
: ID project di dalam perimeter tempat Anda ingin mengupload data.
Batasan
Batasan berikut berlaku jika Anda mengaktifkan perimeter layanan.
StratoZone
StratoZone tidak mematuhi Kontrol Layanan VPC. Jika mencoba mengaktifkan integrasi StratoZone dengan Pusat Migrasi setelah membuat perimeter layanan, Anda akan menerima pesan error.
Namun, jika mengaktifkan integrasi StratoZone sebelum membuat perimeter layanan, Anda tetap dapat mengakses StratoZone dan data yang sudah dikumpulkan, tetapi Migration Center tidak mengirimkan data baru ke StratoZone.
Mengekspor laporan
Mengekspor laporan harga mendetail tidak didukung di perimeter layanan.