将 VPC Service Controls 与 VMware Engine 搭配使用

为进一步保护 Google Cloud VMware Engine 资源，您可以使用 VPC Service Controls 来保护它们。

VPC Service Controls 可让您为 VMware Engine 资源定义安全边界。服务边界会将资源及其关联数据的导出和导入限制在定义的边界内。必须将基本或高级规则集添加到 VPC 服务边界入站和出站政策才能成功部署 VMware Engine 私有云和专用连接。

如果在没有私有云或任何专用连接的新建项目上选择启用 VPC Service Controls，您必须指定自定义键标识符值，并提供您计划建立与 VPC 的专用连接的项目编号。如果使用高级政策，则必须预先指定您计划部署私有云的区域。

创建服务边界时，您需要选择一个或多个要受该边界保护的项目。同一边界内的项目之间的请求不会受影响。只要所涉及的资源在同一服务边界内，所有现有的 API 就会继续起作用。请注意，IAM 角色和政策在服务边界内仍然适用。

当服务受某边界保护时，此服务不能在该边界内对该边界外的任何资源发出请求。这包括将资源从边界内导出到边界外。如需了解详情，请参阅 VPC Service Controls 文档中的概览。

注意：VMware Engine 目前不符合 VPC Service Controls 要求，但它实施了临时解决方案，您仍然可以从 VPC Service Controls 边界内的项目中使用 VMware Engine。
本文档中介绍的临时解决方法支持以下操作，从而使您获得安全优势：

通过现有界面/API 使用 VMware Engine。

停用 VMware Engine 私有云的互联网连接（选择启用后）。

VMware Engine 仅允许支持受限 API 的服务（选择启用后）。

通过撤销相应路由阻止 VMware Engine 的专用 Google Cloud API 访问（选择启用后）。

阻止创建新的专用连接（选择启用后）。

注意：如果将私有云部署到新区域，系统会创建一个新的防火墙服务账号。您必须在 View/Edit Key Identifiers（查看/修改键标识符）下指定任何身份，才能成功部署私有云。部署后，系统值会更新，以反映新的区域服务账号。VPC Service Controls 可以从任何身份更新为更严格的服务账号列表。

选择启用 VPC Service Controls

准备工作

在选择启用 VPC Service Controls 之前，您必须关闭每个私有云的互联网连接。

检查并移除未配置与启用了 VMware Engine 服务的项目相同的边界的每个专用连接。VMware Engine 不会验证现有专用连接。

在选择启用之前，请创建所有必要的专用连接。

查看如何为 VPC Service Controls 配置入站和出站政策。配置键标识符时，您将配置新政策。

选择启用步骤

访问 VMware Engine 门户。

在您的账号下的 VPC-SC 部分中，点击选择启用 VPC-SC 控制（如果您想创建新的专用连接，请跳过此步骤）。

如需创建新的专用连接，请修改密钥标识符并在具有 VPC 连接的对等项目编号文本框中添加项目编号，然后从基本或高级政策中选择所有规则。

注意：如需停用，请与支持团队联系。

在 VPC-SC 部分的 Key Identifiers（键标识符）下，点击基本政策或高级政策。

基本政策 - 基本政策提供了一组完整的规则，允许在所有区域部署 VMware Engine 服务，同时仍保持合规和安全。

高级政策 - 高级政策提供 VPC 服务政策框架中最严格的规则级别。它指定最精细的服务和方法访问权限；如果您在与要连接的 VPC 不同的项目中部署了 VMware Engine，则提供规则突破。高级政策将 VMware Engine 连接限制为已连接 VMware Engine 的区域或修改政策时在键标识符中选择的区域。

注意：随着 VMware Engine 服务发布新功能，系统将使用新增的规则修改或更新政策规则。

[可选]在 Key Identifiers（键标识符）下，点击 View/Edit Key Identifiers（查看/修改键标识符）。

注意：键标识符用于编译 VPC 服务边界内的规则。您可以自定义这些键标识符以调整基本政策和高级政策。

将与现有专用连接或未来可能添加的连接关联的项目编号添加到 Peer Project Numbers with VPC Connectivity（具有 VPC 连接的对等项目编号）文本框中。

将 Interconnect Regional Attachments（互连区域连接）设置为不限（将私有云和专用连接部署到所有区域），或选择 Specific List（特定列表），以指定特定项目。

注意：这仅适用于使用任何的基本政策中的高级政策。

将 Service Accounts for Firewall Access（用于防火墙访问的服务账号）设置为任何身份（在新区域中部署私有云时使用），或选择 Specific List（特定列表），以指定更严格的服务账号列表。

注意：这仅适用于使用任何身份的基本政策中的高级政策。

点击完成以完成项目的配置。

复制所选政策，然后按照更新服务边界的入站和出站政策中的步骤操作，通过 Google Cloud CLI 更新 VPC 服务边界规则。

如果使用基本政策，请复制规则集。

如果使用高级政策，请复制所有规则规则集。系统将显示 VPC 和 VMware Engine 规则，以方便检查规则集。

规则集由入站和出站部分组成。每个部分单独部署。

gcloud access-context-manager perimeters update 命令会替换现有的入站或出站规则。请确保所有现有规则和 VMware Engine 规则都包含在用于更新边界的 YAML 文件中。

限制

VMware Engine 服务无法在 VPC Service Controls 政策中配置为受限服务，并且不完全符合 VPC Service Controls 要求。但是，临时 VMware Engine 控制提供的级别与 VPC Service Controls 中提供的控制级别相同。

客户负责在 VMware Engine 界面中标记 VPC Service Controls 模式下的项目。VMware Engine 无法根据 VPC Service Controls 设置自动确定此选择。

只有在 VMware Engine 中为项目启用 VPC Service Controls 模式之前才能建立专用连接。如果您希望在启用 VPC Service Controls 模式后添加专用连接，则必须创建支持服务工单，以暂时移除项目的 VPC Service Controls 模式。

后续步骤

详细了解 VPC Service Controls。

了解受限虚拟 IP 支持的服务。

详细了解服务边界配置步骤。