Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Controlli di servizio VPC con VMware Engine
Per proteggere ulteriormente le risorse Google Cloud VMware Engine, puoi utilizzare
Controlli di servizio VPC.
I Controlli di servizio VPC ti consentono di definire un perimetro di sicurezza per le risorse VMware Engine. Il perimetro di servizio limita l'esportazione e l'importazione delle risorse e
i relativi dati associati all'interno del perimetro definito. Google consiglia di creare il perimetro di servizio e di aggiungere VMware Engine ai servizi con limitazioni prima di creare il primo cloud privato.
Quando crei un perimetro di servizio, selezioni uno o più progetti da proteggere dal perimetro. Le richieste tra progetti all'interno dello stesso perimetro rimangono invariate. Tutte le API esistenti continueranno a funzionare a condizione che le risorse coinvolte rientrino nello stesso perimetro di servizio. Tieni presente che i ruoli e i criteri IAM si applicano ancora all'interno di un perimetro di servizio.
Quando un servizio è protetto da un perimetro, il servizio all'interno del perimetro non può inviare richieste a nessuna risorsa all'esterno del perimetro. Sono incluse le risorse esportate dall'interno all'esterno del perimetro. Per ulteriori informazioni, consulta la sezione Panoramica della documentazione di VPC Service Controls.
Per assicurarti che i Controlli di servizio VPC funzionino per VMware Engine, devi aggiungere il servizio VMware Engine ai servizi con limitazioni in Controlli di servizio VPC.
Limitazioni
Quando aggiungi VMware Engine, cloud privati, criteri di rete e peering VPC esistenti a un perimetro di servizio VPC, Google non controlla se le risorse create in precedenza sono ancora conformi ai criteri del perimetro.
Comportamenti previsti
La creazione di un peering VPC con un VPC esterno al perimetro verrà bloccata.
L'utilizzo del servizio di accesso a internet per i carichi di lavoro VMware Engine verrà bloccato.
L'utilizzo del servizio di indirizzi IP esterni verrà bloccato.
Saranno disponibili solo gli IP delle API di Google con limitazioni: 199.36.153.4/30.
Aggiungere VMware Engine ai Controlli di servizio VPC consentiti
Per aggiungere il servizio VMware Engine ai Controlli di servizio VPC consentiti, puoi seguire questi passaggi nella consoleGoogle Cloud :
Nella pagina Modifica perimetro di servizio VPC, fai clic sulla scheda Servizi limitati.
Fai clic su Aggiungi servizi.
Nella sezione Specifica i servizi da limitare, controlla il campo per VMware Engine. Se non sono già selezionati, seleziona i campi per
API Compute Engine e API Cloud DNS.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-04 UTC."],[],[],null,["# VPC Service Controls with VMware Engine\n=======================================\n\nTo further protect your Google Cloud VMware Engine resources, you can protect them\nusing [VPC Service Controls](/vpc-service-controls/docs/overview).\n\nVPC Service Controls lets you define a security perimeter for your VMware Engine\nresources. The service perimeter limits exporting and importing of resources and\ntheir associated data to within the defined perimeter. Google recommends\ncreating your service perimeter and adding VMware Engine to the Restricted\nServices before creating your first Private Cloud.\n\nWhen you create a service perimeter, you select one or more projects to be\nprotected by the perimeter. Requests between projects within the same perimeter\nremain unaffected. All existing APIs continue to function as long as the\nresources involved are within the same service perimeter. Note the IAM\nroles and policies still apply within a service perimeter.\n\nWhen a service is protected by a perimeter, requests cannot be made by the\nservice *inside* the perimeter to any resource *outside* the perimeter. This\nincludes exporting resources from inside to outside the perimeter. For more\ninformation, see [Overview](/vpc-service-controls/docs/overview) in the\nVPC Service Controls documentation.\n\nIn order to ensure VPC Service Controls works for VMware Engine, you\nmust add the VMware Engine service to the Restricted Services within\nVPC Service Controls.\n\nLimitations\n-----------\n\n- When adding existing VMware Engine, Private Clouds, Network Policies, and VPC Peering to a VPC Service Perimeter, Google does not check previously created resources to see if they still comply with the perimeter's policies.\n\nExpected behaviors\n------------------\n\n- Creating VPC Peering to a VPC outside of the perimeter will be blocked.\n- Use of VMware Engine workload internet access service will be blocked.\n- Use of External IP address service will be blocked.\n- Only the restricted Google APIs IPs will be available - `199.36.153.4/30`.\n\nAdd VMware Engine to allowed VPC Service Controls\n-------------------------------------------------\n\nTo add the VMware Engine service to the allowed VPC Service Controls, you can\nfollow these steps in the [Google Cloud console](https://console.cloud.google.com/):\n\n1. Go to the [VPC Service Controls](/console/security/service-perimeter) page.\n2. Click the name of the perimeter that you want to modify.\n3. On the **Edit VPC Service Perimeter page** , click the **Restricted Services** tab.\n4. Click **Add Services**.\n5. In the **Specify services to restrict** section, check the field for VMware Engine. If not already selected, check the fields for **Compute Engine API** and **Cloud DNS API**.\n6. Click **Add Services**.\n7. Click **Save**.\n\nWhat's next\n-----------\n\n- Learn more about [VPC Service Controls](/vpc-service-controls/docs/overview).\n- Learn about services supported by [restricted virtual IPs](/vpc-service-controls/docs/restricted-vip-services).\n- Read more about [service perimeter configuration steps](/vpc-service-controls/docs/service-perimeters#stages)."]]
