VMware Engine에서 VPC 서비스 제어
Google Cloud VMware Engine 리소스를 추가로 보호하려면 VPC 서비스 제어를 사용하여 보호할 수 있습니다.
VPC 서비스 제어를 사용하면 VMware Engine 리소스의 보안 경계를 정의할 수 있습니다. 서비스 경계는 리소스와 관련 데이터의 내보내기와 가져오기를 정의된 경계 내로 제한합니다. 첫 번째 프라이빗 클라우드를 만들기 전에 서비스 경계를 만들고 VMware Engine을 제한된 서비스에 추가하는 것이 좋습니다.
서비스 경계를 만들 때 경계로 보호할 프로젝트를 하나 이상 선택합니다. 동일한 경계 내에 있는 프로젝트 간의 요청은 영향을 받지 않습니다. 관련된 리소스가 동일한 서비스 경계 내에 있는 한 모든 기존 API는 계속 작동합니다. IAM 역할 및 정책은 서비스 경계 내에서 계속 적용됩니다.
서비스가 경계로 보호되는 경우 경계 내부 서비스는 경계 외부 리소스에 요청을 할 수 없습니다. 여기에는 경계 내부에서 외부로 리소스 내보내기가 포함됩니다. 자세한 내용은 VPC 서비스 제어 문서의 개요를 참조하세요.
VMware Engine에서 VPC 서비스 제어를 사용하려면 VPC 서비스 제어의 제한된 서비스에 VMware Engine 서비스를 추가해야 합니다.
제한사항
- VMware Engine은 VPC 서비스 제어의 미리보기에 있습니다.
- 기존 VMware Engine, 프라이빗 클라우드, 네트워크 정책, VPC 피어링을 VPC 서비스 경계에 추가할 때 Google은 이전에 생성된 리소스가 경계 정책을 준수하는지 여부를 확인하지 않습니다.
예상 동작
- 경계 외부의 VPC에 대한 VPC 피어링을 만들면 차단됩니다.
- VMware Engine 워크로드 인터넷 액세스 서비스 사용이 차단됩니다.
- 외부 IP 주소 서비스 서비스를 사용합니다.
- 제한된 Google API IP만 사용할 수 있습니다(
199.36.153.4/30
).
허용되는 VPC 서비스 제어에 VMware Engine 추가
허용되는 VPC 서비스 제어에 VMware Engine 서비스를 추가하려면 Google Cloud 콘솔에서 다음 단계를 따르세요.
- VPC 서비스 제어 페이지로 이동
- 수정할 경계 이름을 클릭합니다.
- VPC 서비스 경계 수정 페이지에서 제한된 서비스 탭을 클릭합니다.
- 서비스 추가를 클릭합니다.
- 제한할 서비스 지정 섹션에서 VMware Engine 필드를 확인합니다. 아직 선택하지 않았으면 Compute Engine API 및 Cloud DNS API 필드를 확인합니다.
- 서비스 추가를 클릭합니다.
- 저장을 클릭합니다.
다음 단계
- VPC 서비스 제어 자세히 알아보기
- 제한된 가상 IP에서 지원하는 서비스 알아보기
- 서비스 경계 구성 단계에 대해 자세히 알아보기