将 VPC Service Controls 与 VMware Engine 搭配使用
为进一步保护 Google Cloud VMware Engine 资源,您可以使用 VPC Service Controls 来保护它们。
VPC Service Controls 可让您为 VMware Engine 资源定义安全边界。服务边界会将资源及其关联数据的导出和导入限制在定义的边界内。Google 建议您先创建服务边界并将 VMware Engine 添加到“受限服务”,然后再创建第一个私有云。
创建服务边界时,您需要选择一个或多个要受该边界保护的项目。同一边界内的项目之间的请求不会受影响。只要所涉及的资源在同一服务边界内,所有现有的 API 就会继续起作用。请注意,IAM 角色和政策在服务边界内仍然适用。
当服务受某边界保护时,此服务不能在该边界内对该边界外的任何资源发出请求。这包括将资源从边界内导出到边界外。如需了解详情,请参阅 VPC Service Controls 文档中的概览。
为确保 VPC Service Controls 适用于 VMware Engine,您必须将 VMware Engine 服务添加到 VPC Service Controls 中的“受限服务”中。
限制
- 将现有 VMware Engine、私有云、网络政策和 VPC 对等互连添加到 VPC 服务边界时,Google 不会检查之前创建的资源,以查看它们是否仍符合边界的政策。
预期行为
- 系统会阻止创建与边界外 VPC 的 VPC 对等互连。
- 系统将禁止使用 VMware Engine 工作负载互联网访问服务。
- 外部 IP 地址服务将被屏蔽。
- 只有受限 Google API IP 可用 -
199.36.153.4/30。
将 VMware Engine 添加到允许的 VPC Service Controls
如需将 VMware Engine 服务添加到允许的 VPC Service Controls 中,您可以在 Google Cloud 控制台中按照以下步骤操作:
- 转到 VPC Service Controls 页面。
- 点击要修改的边界的名称。
- 在修改 VPC 服务边界页面上,点击受限的服务标签页。
- 点击添加服务。
- 在指定要限制的服务部分,选中 VMware Engine 对应的字段。如果尚未选择,请选中 Compute Engine API 和 Cloud DNS API 对应的字段。
- 点击添加服务。
- 点击保存。
后续步骤
- 详细了解 VPC Service Controls。
- 了解受限虚拟 IP 支持的服务。
- 详细了解服务边界配置步骤。