VPC Service Controls mit VMware Engine

Mit VPC Service Controls können Sie Ihre Google Cloud VMware Engine-Ressourcen zusätzlich schützen.

Mit VPC Service Controls können Sie einen Sicherheitsbereich für Ihre VMware Engine-Ressourcen definieren. Der Dienstperimeter beschränkt den Export und Import von Ressourcen und der zugehörigen Daten innerhalb des definierten Perimeters. Google empfiehlt, den Dienstperimeter zu erstellen und den eingeschränkten Diensten die VMware Engine hinzuzufügen, bevor Sie Ihre erste Private Cloud erstellen.

Wenn Sie einen Dienstperimeter erstellen, wählen Sie ein oder mehrere Projekte aus, die durch den Perimeter geschützt werden sollen. Anfragen zwischen Projekten innerhalb desselben Perimeters bleiben unverändert. Alle vorhandenen APIs funktionieren weiterhin, solange sich die betroffenen Ressourcen im selben Dienstperimeter befinden. Beachten Sie, dass die IAM-Rollen und -Richtlinien auch innerhalb eines Dienstperimeters gelten.

Wenn ein Dienst durch einen Perimeter geschützt ist, können keine Anfragen vom Dienst innerhalb des Perimeters an eine Ressource außerhalb des Perimeters gesendet werden. Dazu gehört das Exportieren von Ressourcen von innerhalb nach außerhalb des Perimeters. Weitere Informationen finden Sie unter Übersicht in der Dokumentation zu VPC Service Controls.

Damit VPC Service Controls für VMware Engine funktioniert, müssen Sie den VMware Engine-Dienst den eingeschränkten Diensten in VPC Service Controls hinzufügen.

Beschränkungen

  • Die VMware Engine befindet sich für VPC Service Controls in der Vorschau.
  • Beim Hinzufügen von VMware Engine, Private Clouds, Netzwerkrichtlinien und VPC-Peering zu einem VPC-Dienstperimeter prüft Google nicht, ob zuvor erstellte Ressourcen noch den Richtlinien des Perimeters entsprechen.

Erwartetes Verhalten

  • Das Erstellen von VPC-Peering zu einer VPC außerhalb des Perimeters wird blockiert.
  • Die Verwendung des Internetzugriffsdienstes der VMware Engine-Arbeitslast wird blockiert.
  • Die Nutzung des Diensts für externe IP-Adressen wird blockiert.
  • Nur die eingeschränkten IP-Adressen der Google APIs sind verfügbar: 199.36.153.4/30.

VMware Engine zu zulässigen VPC Service Controls hinzufügen

Führen Sie die folgenden Schritte in der Google Cloud Console aus, um den VMware Engine-Dienst zu den zulässigen VPC Service Controls hinzuzufügen:

  1. Zur Seite VPC Service Controls.
  2. Klicken Sie auf den Namen des Perimeters, den Sie ändern möchten.
  3. Klicken Sie auf der Seite VPC-Dienstperimeter bearbeiten auf den Tab Eingeschränkte Dienste.
  4. Klicken Sie auf Dienste hinzufügen.
  5. Klicken Sie im Abschnitt Geben Sie Dienste an, die eingeschränkt werden sollen das Feld für VMware Engine an. Prüfen Sie die Felder für Compute Engine API und Cloud DNS API, falls noch nicht geschehen.
  6. Klicken Sie auf Dienste hinzufügen.
  7. Klicken Sie auf Speichern.

Nächste Schritte