VPC Service Controls com VMware Engine

Para proteger ainda mais os recursos do Google Cloud VMware Engine, use o VPC Service Controls.

O VPC Service Controls permite a definição de um perímetro de segurança para os recursos do VMware Engine. O perímetro de serviço limita a exportação e a importação de recursos e dados associados a eles dentro do perímetro definido. O Google recomenda criar seu perímetro de serviço e adicionar o VMware Engine aos serviços restritos antes de criar sua primeira nuvem privada.

Ao criar um perímetro de serviço, basta selecionar um ou mais projetos que serão protegidos pelo perímetro. As solicitações entre projetos dentro do mesmo perímetro não são afetadas. Todas as APIs existentes continuarão funcionando, desde que os recursos envolvidos estejam no mesmo perímetro de serviço. Observe que as políticas e os papéis do IAM ainda se aplicam em um perímetro de serviço.

Quando um serviço é protegido por um perímetro, as solicitações não podem ser feitas por dentro do perímetro a qualquer recurso fora dele. Isso inclui a exportação de recursos de dentro para fora do perímetro. Para mais informações, consulte Visão geral na documentação do VPC Service Controls.

Para garantir que o VPC Service Controls funcione no VMware Engine, precisa adicionar o serviço do VMware Engine aos serviços restritos em VPC Service Controls.

Limitações

  • Ao adicionar o VMware Engine, nuvens privadas, políticas de rede e peering de VPC a um perímetro de serviço VPC, o Google não verifica os recursos criados anteriormente para ver se eles ainda obedecem às políticas do perímetro.

Comportamentos esperados

  • A criação de peering de VPC para uma VPC fora do perímetro será bloqueada.
  • O uso do serviço de acesso à Internet de carga de trabalho do VMware Engine será bloqueado.
  • O uso do serviço de endereço IP externo será bloqueado.
  • Apenas os IPs restritos das APIs do Google estarão disponíveis: 199.36.153.4/30.

Adicionar o VMware Engine ao VPC Service Controls permitido

Para adicionar o serviço VMware Engine ao VPC Service Controls permitido, siga estas etapas no console do Google Cloud:

  1. Acesse a página do VPC Service Controls.
  2. Clique no nome do perímetro que você quer modificar.
  3. Na página Editar perímetro de serviço da VPC, clique na guia Serviços restritos.
  4. Clique em Adicionar serviços.
  5. Na seção Especificar serviços a serem restringidos, verifique o campo do VMware Engine. Verifique os campos API Compute Engine e API Cloud DNS, caso ainda não estejam selecionados.
  6. Clique em Adicionar serviços.
  7. Clique em Save.

A seguir