VPC Service Controls com o VMware Engine

Para proteger ainda mais os seus recursos do Google Cloud VMware Engine, pode protegê-los com os VPC Service Controls.

Os VPC Service Controls permitem-lhe definir um perímetro de segurança para os seus recursos do VMware Engine. O perímetro de serviço limita a exportação e a importação de recursos e os respetivos dados ao perímetro definido. A Google recomenda que crie o perímetro de serviço e adicione o VMware Engine aos serviços restritos antes de criar a primeira nuvem privada.

Quando cria um perímetro de serviço, seleciona um ou mais projetos a serem protegidos pelo perímetro. Os pedidos entre projetos dentro do mesmo perímetro permanecem inalterados. Todas as APIs existentes continuam a funcionar desde que os recursos envolvidos estejam dentro do mesmo perímetro de serviço. Tenha em atenção que as políticas e as funções do IAM continuam a aplicar-se num perímetro de serviço.

Quando um serviço está protegido por um perímetro, os pedidos não podem ser feitos pelo serviço no interior do perímetro a nenhum recurso no exterior do perímetro. Isto inclui a exportação de recursos de dentro para fora do perímetro. Para mais informações, consulte a vista geral na documentação dos VPC Service Controls.

Para garantir que o VPC Service Controls funciona para o VMware Engine, tem de adicionar o serviço VMware Engine aos serviços restritos no VPC Service Controls.

Limitações

• Quando adiciona o VMware Engine, nuvens privadas, políticas de rede e interligação de VPCs existentes a um perímetro de serviço de VPC, a Google não verifica se os recursos criados anteriormente continuam em conformidade com as políticas do perímetro.

Comportamentos esperados

• A criação de intercâmbio da VPC para uma VPC fora do perímetro é bloqueada.
• A utilização do serviço de acesso à Internet da carga de trabalho do VMware Engine vai ser bloqueada.
• A utilização do serviço de endereço IP externo é bloqueada.
• Apenas os IPs das APIs Google restritas estarão disponíveis: 199.36.153.4/30.

Adicione o VMware Engine aos VPC Service Controls permitidos

Para adicionar o serviço VMware Engine aos VPC Service Controls permitidos, pode seguir estes passos na Google Cloud consola:

1. Aceda à página VPC Service Controls.
2. Clique no nome do perímetro que quer modificar.
3. Na página Editar perímetro de serviço da VPC, clique no separador Serviços restritos.
4. Clique em Adicionar serviços.
5. Na secção Especifique os serviços a restringir, selecione o campo do VMware Engine. Se ainda não estiverem selecionados, selecione os campos para a API Compute Engine e a API Cloud DNS.
6. Clique em Adicionar serviços.
7. Clique em Guardar.

O que se segue?

• Saiba mais acerca dos VPC Service Controls.
• Saiba mais acerca dos serviços suportados por IPs virtuais restritos.
• Leia mais sobre os passos de configuração do perímetro de serviço.