VMware Engine での VPC Service Controls の使用

Google Cloud VMware Engine のリソースをさらに保護するには、VPC Service Controls を使用します。

VPC Service Controls では、VMware Engine リソースにセキュリティ境界を定義できます。サービス境界により、定義した境界内のリソースとその関連データに対するエクスポートとインポートが制限されます。最初のプライベート クラウドを作成する前に、サービス境界を作成し、制限付きサービスに VMware Engine を追加することをおすすめします。

サービス境界を作成するときに、境界で保護するプロジェクトを 1 つ以上選択します。同じ境界内のプロジェクト間のリクエストに影響はありません。関連するリソースが同じサービス境界内にある限り、既存のすべての API が引き続き機能します。IAM のロールとポリシーはサービス境界内でも適用されます。

サービスが境界で保護されている場合、境界内のリソースは、境界外のリソースに対してリクエストを送信できません。境界の内部から外部にリソースをエクスポートすることもできません。詳細については、VPC Service Controls のドキュメントの概要をご覧ください。

VPC Service Controls を VMware Engine で機能させるには、VPC Service Controls 内で制限付きサービスに VMware Engine サービスを追加する必要があります。

制限事項

• VMware Engine は VPC Service Controls のプレビュー版です。
• 既存の VMware Engine、プライベート クラウド、ネットワーク ポリシー、VPC ピアリングを VPC サービス境界に追加する場合、Google は以前に作成されたリソースが引き続き境界のポリシーを遵守しているかどうか確認しません。

想定される動作

• 境界外の VPC への VPC ピアリングの作成はブロックされます。
• VMware Engine ワークロードのインターネット アクセス サービスの使用はブロックされます。
• 外部 IP アドレス サービスの使用はブロックされます。
• 制限付きの Google API IP（199.36.153.4/30）のみが利用可能になります。

許可された VPC Service Controls に VMware Engine を追加する

許可された VPC Service Controls に VMware Engine サービスを追加するには、Google Cloud コンソールで次の手順を行います。

1. [VPC Service Controls] ページに移動します。
2. 変更する境界の名前をクリックします。
3. [VPC サービス境界の編集ページ] で、[制限付きサービス] タブをクリックします。
4. [サービスを追加] をクリックします。
5. [制限するサービスの指定] セクションで、VMware Engine のフィールドを確認します。Compute Engine API と Cloud DNS API のフィールドをまだ選択していない場合は確認します。
6. [サービスを追加] をクリックします。
7. [保存] をクリックします。

次のステップ

• VPC Service Controls の詳細を確認する。
• 制限付きの仮想 IP でサポートされているサービスについて学習する。
• サービス境界の構成手順の詳細を確認する。