Controles del servicio de VPC con VMware Engine

Para proteger aún más tus recursos de Google Cloud VMware Engine, puedes hacerlo mediante los Controles del servicio de VPC.

Los Controles del servicio de VPC te permiten definir un perímetro de seguridad para los recursos de VMware Engine. El perímetro de servicio limita la importación y exportación de recursos y sus datos asociados dentro del perímetro definido. Google recomienda crear tu perímetro de servicio y agregar VMware Engine a los servicios restringidos antes de crear tu primera nube privada.

Cuando creas un perímetro de servicio, selecciona uno o más proyectos para protegerlos. Las solicitudes entre proyectos dentro del mismo perímetro no se ven afectadas. Todas las API existentes continúan funcionando siempre que los recursos involucrados estén dentro del mismo perímetro de servicio. Ten en cuenta que las funciones y políticas de IAM aún se aplican dentro de un perímetro de servicio.

Cuando un perímetro protege un servicio, este no puede realizar solicitudes dentro del perímetro a ningún recurso fuera del perímetro. Esto incluye la exportación de recursos desde el interior hacia el exterior del perímetro. Para obtener más información, consulta Descripción general en la documentación de Controles del servicio de VPC.

Para asegurarte de que los Controles del servicio de VPC funcionen para VMware Engine, debes agregar el servicio de VMware Engine a los Servicios restringidos dentro de los Controles del servicio de VPC.

Limitaciones

  • Cuando se agregan VMware Engine, nubes privadas, políticas de red y el intercambio de tráfico de VPC existentes a un perímetro de servicio de VPC, Google no verifica los recursos creados anteriormente para ver si aún cumplen con las políticas del perímetro.

Comportamientos esperados

  • Se bloqueará la creación de intercambio de tráfico entre VPC con una VPC fuera del perímetro.
  • Se bloqueará el uso del servicio de acceso a Internet de las cargas de trabajo de VMware Engine.
  • Se bloqueará el uso del servicio de dirección IP externa.
  • Solo estarán disponibles las IPs restringidas de las APIs de Google: 199.36.153.4/30.

Agrega VMware Engine a los Controles del servicio de VPC permitidos

Para agregar el servicio de VMware Engine a los Controles del servicio de VPC permitidos, puedes seguir estos pasos en la consola de Google Cloud:

  1. Ir a la página Controles del servicio de VPC
  2. Haz clic en el nombre del perímetro que deseas modificar.
  3. En la página Editar perímetro de servicio de VPC, haz clic en la pestaña Servicios restringidos.
  4. Haz clic en Agregar servicios.
  5. En la sección Especificar los servicios que deseas restringir, marca el campo de VMware Engine. Si aún no están seleccionados, marca los campos de la API de Compute Engine y la API de Cloud DNS.
  6. Haz clic en Agregar servicios.
  7. Haz clic en Guardar.

¿Qué sigue?