VMware Engine での VPC Service Controls の使用

Google Cloud VMware Engine のリソースをさらに保護するには、VPC Service Controls を使用します。

VPC Service Controls では、VMware Engine リソースにセキュリティ境界を定義できます。サービス境界により、定義した境界内のリソースとその関連データに対するエクスポートとインポートが制限されます。最初の Private Cloud を作成する前に、サービス境界を作成して、制限付きサービスに VMware Engine を追加することをおすすめします。

サービス境界を作成するときに、境界で保護するプロジェクトを 1 つ以上選択します。同じ境界内のプロジェクト間のリクエストに影響はありません。関連するリソースが同じサービス境界内にある限り、既存のすべての API が引き続き機能します。IAM のロールとポリシーはサービス境界内でも適用されます。

サービスが境界で保護されている場合、境界内のリソースは、境界外のリソースに対してリクエストを送信できません。境界の内部から外部にリソースをエクスポートすることもできません。詳細については、VPC Service Controls のドキュメントの概要をご覧ください。

VMware Engine で VPC Service Controls が機能できるようにするには、VPC Service Controls 内の制限付きサービスに VMware Engine サービスを追加する必要があります。

制限事項

既存の VMware Engine、プライベートクラウド、ネットワークポリシー、VPC ピアリングを VPC サービス境界に追加する場合、Google は以前に作成されたリソースが引き続き境界のポリシーを遵守しているかどうか確認しません。

想定される動作

境界外の VPC への VPC ピアリングの作成はブロックされます。
VMware Engine ワークロードのインターネットアクセスサービスの使用はブロックされます。
外部 IP アドレスサービスの使用はブロックされます。
制限付き Google API の IP のみが使用できます（199.36.153.4/30）。

許可された VPC Service Controls に VMware Engine を追加する

許可された VPC Service Controls に VMware Engine サービスを追加するには、Google Cloud コンソールで次の手順を行います。

[VPC Service Controls] ページに移動します。
更新する境界の名前をクリックします。
[VPC サービス境界の編集ページ] で、[制限付きサービス] タブをクリックします。
[サービスを追加] をクリックします。
[制限するサービスの指定] セクションで、VMware Engine のフィールドをオンにします。まだ選択していない場合は、Compute Engine API と Cloud DNS API のフィールドを確認します。
[サービスを追加] をクリックします。
[保存] をクリックします。

次のステップ

VPC Service Controls の詳細を確認する。
制限付きの仮想 IP でサポートされているサービスについて学習する。
サービス境界の構成手順の詳細を確認する。