VPC Service Controls avec VMware Engine

Pour mieux protéger vos ressources Google Cloud VMware Engine, vous pouvez utiliser VPC Service Controls.

VPC Service Controls vous permet de définir un périmètre de sécurité pour vos ressources VMware Engine. Le périmètre de service limite l'exportation et l'importation de ressources et des données associées au sein du périmètre défini. Google vous recommande de créer votre périmètre de service et d'ajouter VMware Engine aux services restreints avant de créer votre premier cloud privé.

Lorsque vous créez un périmètre de service, vous sélectionnez un ou plusieurs projets à protéger par le périmètre. Les requêtes entre plusieurs projets situés au sein d'un même périmètre ne sont pas affectées. Toutes les API existantes continuent de fonctionner tant que les ressources impliquées se trouvent dans le même périmètre de service. Notez que les rôles et stratégies IAM s'appliquent toujours dans un périmètre de service.

Lorsqu'un service est protégé par un périmètre, les requêtes ne peuvent pas être effectuées par le service à l'intérieur du périmètre vers une ressource en dehors du périmètre. Cela inclut l'exportation de ressources de l'intérieur vers l'extérieur du périmètre. Pour en savoir plus, consultez la section Présentation dans la documentation de VPC Service Controls.

Pour vous assurer que VPC Service Controls fonctionne pour VMware Engine, vous devez ajouter le service VMware Engine aux services restreints de VPC Service Controls.

Limites

• VMware Engine est disponible en version preview pour VPC Service Controls.
• Lorsque vous ajoutez VMware Engine, les clouds privés, les règles de réseau et l'appairage de VPC à un périmètre de service VPC, Google ne vérifie pas si les ressources créées précédemment respectent toujours les règles du périmètre.

Comportements attendus

• La création d'un appairage de VPC à un VPC situé en dehors du périmètre sera bloquée.
• L'utilisation du service d'accès Internet pour les charges de travail VMware Engine sera bloquée.
• L'utilisation du service d'adresses IP externes sera bloquée.
• Seules les adresses IP des API Google limitées seront disponibles : 199.36.153.4/30.

Ajouter VMware Engine aux VPC Service Controls autorisés

Pour ajouter le service VMware Engine au VPC Service Controls autorisé, vous pouvez suivre ces étapes dans la console Google Cloud:

1. Accédez à la page VPC Service Controls.
2. Cliquez sur le nom du périmètre que vous souhaitez modifier.
3. Sur la page Modifier le périmètre de service VPC, cliquez sur l'onglet Services restreints.
4. Cliquez sur Ajouter des services.
5. Dans la section Spécifier les services à limiter, cochez la case correspondant à VMware Engine. Si ce n'est pas déjà fait, vérifiez les champs API Compute Engine et API Cloud DNS.
6. Cliquez sur Ajouter des services.
7. Cliquez sur Enregistrer.

Étapes suivantes

• Apprenez-en plus sur VPC Service Controls.
• Découvrez les services compatibles avec les adresses IP virtuelles restreintes.
• Découvrez la procédure de configuration du périmètre de service.