Controles del servicio de VPC con VMware Engine

Para proteger aún más los recursos de Google Cloud VMware Engine, puedes hacerlo mediante los Controles del servicio de VPC.

Los Controles del servicio de VPC te permiten definir un perímetro de seguridad para los recursos de VMware Engine. El perímetro de servicio limita la importación y exportación de recursos y sus datos asociados dentro del perímetro definido. Google recomienda crear tu perímetro de servicio y agregar VMware Engine a los servicios restringidos antes de crear tu primera nube privada.

Cuando creas un perímetro de servicio, selecciona uno o más proyectos para protegerlos. Las solicitudes entre proyectos dentro del mismo perímetro no se ven afectadas. Todas las API existentes continúan funcionando siempre que los recursos involucrados estén dentro del mismo perímetro de servicio. Ten en cuenta que las funciones y políticas de IAM aún se aplican dentro de un perímetro de servicio.

Cuando un perímetro protege un servicio, este no puede realizar solicitudes dentro del perímetro a ningún recurso fuera del perímetro. Esto incluye la exportación de recursos desde el interior hacia el exterior del perímetro. Para obtener más información, consulta Descripción general en la documentación de los Controles del servicio de VPC.

Para garantizar que los Controles del servicio de VPC funcionen con VMware Engine, debes agregar el servicio de VMware Engine a los servicios restringidos dentro de los Controles del servicio de VPC.

Limitaciones

  • VMware Engine está en vista previa para los Controles del servicio de VPC.
  • Cuando se agregan VMware Engine, nubes privadas, políticas de red y intercambio de tráfico de VPC a un perímetro de servicio de VPC, Google no verifica los recursos creados con anterioridad para ver si aún cumplen con las políticas del perímetro.

Comportamientos esperados

  • Se bloqueará la creación de intercambio de tráfico de VPC a una VPC fuera del perímetro.
  • Se bloqueará el uso del servicio de acceso a Internet para la carga de trabajo de VMware Engine.
  • Se bloqueará el uso del servicio de dirección IP externa.
  • Solo estarán disponibles las direcciones IP restringidas de las APIs de Google: 199.36.153.4/30.

Agrega VMware Engine a los Controles del servicio de VPC permitidos

Para agregar el servicio de VMware Engine a los Controles del servicio de VPC permitidos, sigue estos pasos en la consola de Google Cloud:

  1. Ir a la página Controles del servicio de VPC
  2. Haz clic en el nombre del perímetro que deseas modificar.
  3. En la página Editar Perímetro de servicio de VPC, haz clic en la pestaña Servicios restringidos.
  4. Haz clic en Agregar servicios.
  5. En la sección Especificar los servicios que deseas restringir, marca el campo para VMware Engine. Si aún no lo has hecho, verifica los campos de la API de Compute Engine y la API de Cloud DNS.
  6. Haz clic en Agregar servicios.
  7. Haz clic en Guardar.

¿Qué sigue?