Controlli di servizio VPC con VMware Engine

Per proteggere ulteriormente le risorse Google Cloud VMware Engine, puoi proteggerle utilizzando Controlli di servizio VPC.

Controlli di servizio VPC consente di definire un perimetro di sicurezza per le risorse VMware Engine. Il perimetro di servizio limita l'esportazione e l'importazione delle risorse e dei dati associati all'interno del perimetro definito. Google consiglia di creare il perimetro di servizio e di aggiungere VMware Engine ai servizi limitati prima di creare il tuo primo cloud privato.

Quando crei un perimetro di servizio, selezioni uno o più progetti da proteggere dal perimetro. Le richieste tra progetti all'interno dello stesso perimetro rimangono inalterate. Tutte le API esistenti continuano a funzionare finché le risorse interessate si trovano all'interno dello stesso perimetro di servizio. Tieni presente che i ruoli e i criteri IAM si applicano ancora all'interno di un perimetro di servizio.

Quando un servizio è protetto da un perimetro, il servizio non può effettuare richieste all'interno del perimetro a qualsiasi risorsa all'esterno del perimetro. Ciò include l'esportazione delle risorse dall'interno all'esterno del perimetro. Per ulteriori informazioni, consulta la Panoramica nella documentazione sui Controlli di servizio VPC.

Per assicurarti che i Controlli di servizio VPC funzionino per VMware Engine, devi aggiungere il servizio VMware Engine a Servizi limitati all'interno dei Controlli di servizio VPC.

Limitazioni

• VMware Engine è in anteprima per i Controlli di servizio VPC.
• Quando aggiungi VMware Engine, cloud privati, criteri di rete e peering VPC esistenti a un perimetro di servizio VPC, Google non controlla le risorse create in precedenza per verificare se sono ancora conformi ai criteri del perimetro.

Comportamenti previsti

• La creazione del peering VPC a un VPC all'esterno del perimetro verrà bloccata.
• L'utilizzo del servizio di accesso a internet per i carichi di lavoro di VMware Engine verrà bloccato.
• L'utilizzo del servizio di indirizzi IP esterni verrà bloccato.
• Saranno disponibili solo gli IP delle API di Google limitati: 199.36.153.4/30.

Aggiungi VMware Engine ai Controlli di servizio VPC consentiti

Per aggiungere il servizio VMware Engine ai Controlli di servizio VPC consentiti, puoi seguire questi passaggi nella console Google Cloud:

1. Vai alla pagina Controlli di servizio VPC.
2. Fai clic sul nome del perimetro che vuoi modificare.
3. Nella pagina Modifica perimetro di servizio VPC, fai clic sulla scheda Servizi limitati.
4. Fai clic su Aggiungi servizi.
5. Nella sezione Specifica i servizi da limitare, seleziona il campo relativo a VMware Engine. Se non è già selezionato, verifica i campi API Compute Engine e API Cloud DNS.
6. Fai clic su Aggiungi servizi.
7. Fai clic su Salva.

Passaggi successivi

• Scopri di più sui Controlli di servizio VPC.
• Scopri di più sui servizi supportati da IP virtuali limitati.
• Scopri di più sui passaggi per la configurazione del perimetro di servizio.