将 VPC Service Controls 与 VMware Engine 搭配使用

为进一步保护 Google Cloud VMware Engine 资源,您可以使用 VPC Service Controls 来保护它们。

VPC Service Controls 可让您为 VMware Engine 资源定义安全边界。服务边界会将资源及其关联数据的导出和导入限制在定义的边界内。Google 建议 创建服务边界并将 VMware Engine 添加到 然后再创建您的第一个私有云。

创建服务边界时,您需要选择一个或多个要受该边界保护的项目。同一边界内的项目之间的请求不会受影响。只要所涉及的资源在同一服务边界内,所有现有的 API 就会继续起作用。请注意,IAM 角色和政策在服务边界内仍然适用。

当服务受某边界保护时,此服务不能在该边界内对该边界外的任何资源发出请求。这包括将资源从边界内导出到边界外。如需了解详情,请参阅 VPC Service Controls 文档中的概览

为确保 VPC Service Controls 适用于 VMware Engine,您必须将 VMware Engine 服务添加到 VPC Service Controls 中的“受限服务”中。

限制

  • 添加现有的 VMware Engine、私有云、网络时 政策以及与 VPC 服务边界的 VPC 对等互连,Google 不会检查 查看它们是否仍符合边界的 政策。

预期行为

  • 系统会阻止创建与边界外 VPC 的 VPC 对等互连。
  • 系统将禁止使用 VMware Engine 工作负载互联网访问服务。
  • 外部 IP 地址服务将被屏蔽。
  • 只有受限的 Google API IP 可用 - 199.36.153.4/30

将 VMware Engine 添加到允许的 VPC Service Controls

如需将 VMware Engine 服务添加到允许的 VPC Service Controls,您可以执行以下操作: 在 Google Cloud 控制台中按以下步骤操作:

  1. 转到 VPC Service Controls 页面。
  2. 点击要修改的边界的名称。
  3. 修改 VPC 服务边界页面上,点击受限的服务标签页。
  4. 点击添加服务
  5. 指定要限制的服务部分中,选中 VMware Engine如果尚未选择,请检查 Compute Engine APICloud DNS API
  6. 点击添加服务
  7. 点击保存

后续步骤