透過 VMware Engine 使用 VPC Service Controls

如要進一步保護 Google Cloud VMware Engine 資源，您可以使用 VPC Service Controls 進行防護。

您可以使用 VPC Service Controls 定義 VMware Engine 資源的安全範圍。服務範圍會將資源和相關資料的匯出和匯入限制在指定範圍內。Google 建議您先建立服務範圍，並將 VMware Engine 新增至「受限服務」，再建立第一個私有雲。

建立服務範圍時，您會選取一或多個要受範圍保護的專案。同一個服務範圍內的專案之間要求不會受到影響。只要相關資源位於相同的服務範圍內，所有現有 API 都會繼續運作。請注意，IAM 角色和政策仍會在服務範圍內套用。

當服務受到範圍保護時，範圍「內」的服務無法向範圍「外」的任何資源提出要求。這包括從範圍內匯出至範圍外的資源。詳情請參閱 VPC Service Controls 說明文件中的「總覽」一節。

為確保 VPC Service Controls 可用於 VMware Engine，您必須將 VMware Engine 服務新增至 VPC Service Controls 中的「受限服務」。

限制

• 將現有的 VMware Engine、私有雲、網路政策和 VPC 對等互連功能新增至 VPC 服務範圍時，Google 不會檢查先前建立的資源，確認這些資源是否仍符合範圍的政策。

預期行為

• 系統會封鎖建立範圍外 VPC 對等互連連線的操作。
• 使用 VMware Engine 工作負載網際網路存取服務的權限將遭到封鎖。
• 使用外部 IP 位址服務會遭到封鎖。
• 只有受限制的 Google API IP 可供使用 - 199.36.153.4/30。

將 VMware Engine 新增至允許的 VPC Service Controls

如要將 VMware Engine 服務新增至允許的 VPC Service Controls，請在 Google Cloud 控制台中按照下列步驟操作：

1. 前往「VPC Service Controls」頁面。
2. 按一下要修改的周界名稱。
3. 在「Edit VPC Service Perimeter」(編輯 VPC 服務範圍) 頁面中，按一下「Restricted Services」(受限制的服務) 分頁。
4. 按一下「新增服務」。
5. 在「Specify services to restrict」部分，勾選 VMware Engine 的欄位。如果尚未選取，請勾選「Compute Engine API」和「Cloud DNS API」的欄位。
6. 按一下「新增服務」。
7. 按一下 [儲存]。

後續步驟

• 進一步瞭解 VPC Service Controls。
• 瞭解受限制的虛擬 IP 位址支援的服務。
• 進一步瞭解服務範圍設定步驟。