Controles de Servicio de VPC con VMware Engine

Para proteger aún más tus recursos de Google Cloud VMware Engine, puedes usar Controles de Servicio de VPC.

Controles de Servicio de VPC te permite definir un perímetro de seguridad para tus recursos de VMware Engine. El perímetro de servicio limita la exportación e importación de recursos y sus datos asociados al perímetro definido. Google recomienda crear el perímetro de servicio y añadir VMware Engine a los servicios restringidos antes de crear tu primera nube privada.

Cuando creas un perímetro de servicio, seleccionas uno o varios proyectos que quieres proteger con el perímetro. Las solicitudes entre proyectos que se encuentren en el mismo perímetro no se verán afectadas. Todas las APIs seguirán funcionando siempre que los recursos implicados estén dentro del mismo perímetro de servicio. Ten en cuenta que los roles y las políticas de IAM siguen aplicándose dentro de un perímetro de servicio.

Cuando un servicio está protegido por un perímetro, el servicio dentro del perímetro no puede enviar solicitudes a ningún recurso fuera del perímetro. Esto incluye la exportación de recursos desde dentro hacia fuera del perímetro. Para obtener más información, consulta la sección Descripción general de la documentación de Controles de Servicio de VPC.

Para que Controles de Servicio de VPC funcione con VMware Engine, debes añadir el servicio VMware Engine a los servicios restringidos de Controles de Servicio de VPC.

Limitaciones

  • Cuando se añaden VMware Engine, nubes privadas, políticas de red y peerings de VPC a un perímetro de servicio de VPC, Google no comprueba si los recursos creados anteriormente siguen cumpliendo las políticas del perímetro.

Comportamientos esperados

  • Se bloqueará la creación de un emparejamiento de VPC con una VPC que esté fuera del perímetro.
  • Se bloqueará el uso del servicio de acceso a Internet de las cargas de trabajo de VMware Engine.
  • Se bloqueará el uso del servicio de direcciones IP externas.
  • Solo estarán disponibles las IPs de las APIs de Google restringidas: 199.36.153.4/30.

Añadir VMware Engine a los Controles de Servicio de VPC permitidos

Para añadir el servicio VMware Engine a los controles de servicio de VPC permitidos, puedes seguir estos pasos en la Google Cloud consola:

  1. Ve a la página Controles de Servicio de VPC.
  2. Haga clic en el nombre del perímetro que quiera modificar.
  3. En la página Editar perímetro de servicio de VPC, haga clic en la pestaña Servicios restringidos.
  4. Haz clic en Añadir servicios.
  5. En la sección Specify services to restrict (Especificar servicios que se van a restringir), marca el campo de VMware Engine. Si aún no lo has hecho, marca los campos de API de Compute Engine y API de Cloud DNS.
  6. Haz clic en Añadir servicios.
  7. Haz clic en Guardar.

Siguientes pasos