Mengonfigurasi keamanan untuk antarmuka Private Service Connect

Halaman ini menjelaskan cara administrator jaringan produsen mengelola keamanan jaringan VPC yang menggunakan antarmuka Private Service Connect.

Karena antarmuka Private Service Connect berada dalam jaringan Private Service Connect, organisasi produsen tidak mengontrol aturan firewall yang diterapkan secara langsung ke antarmuka. Apabila organisasi produsen ingin memastikan bahwa workload konsumen tidak dapat memulai traffic ke VM dalam jaringan produsen, atau hanya workload konsumen tertentu yang dapat memulai traffic, mereka harus menentukan kebijakan keamanan di OS tamu pada antarmuka VM mereka.

Memblokir traffic masuk konsumen ke produsen

Anda dapat menggunakan iptables untuk mengonfigurasi antarmuka Private Service Connect guna memblokir traffic masuk dari jaringan konsumen, tetapi tetap mengizinkan traffic keluar dari jaringan produsen. Konfigurasi ini diilustrasikan oleh gambar 1.

**Gambar 1.** Traffic konsumen diblokir agar tidak masuk melalui antarmuka Private Service Connect, tetapi traffic keluar produsen diizinkan.

Untuk mengonfigurasi antarmuka Private Service Connect agar memblokir traffic masuk dari jaringan konsumen tetapi mengizinkan traffic keluar dari jaringan produsen, lakukan hal berikut:

Pastikan aturan firewall dikonfigurasi untuk mengizinkan koneksi SSH masuk ke VM antarmuka Private Service Connect.
Menghubungkan ke VM.
Lakukan penginstalan apabila perintah iptables tidak tersedia.
Izinkan traffic balasan konsumen untuk masuk ke dalam antarmuka Private Service Connect:
```
sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -i OS_INTERFACE_NAME
```
Ganti OS_INTERFACE_NAME dengan nama OS tamu untuk antarmuka Private Service Connect, sebagai contoh, ens5.
Blokir traffic yang dimulai konsumen agar tidak masuk melalui antarmuka Private Service Connect:
```
sudo iptables -A INPUT -j DROP -i OS_INTERFACE_NAME
```

Memblokir pembuatan antarmuka Private Service Connect

Untuk membuat antarmuka Private Service Connect, pengguna harus memiliki izin Identity and Access Management (IAM) compute.instances.pscInterfaceCreate. Izin ini termasuk dalam peran berikut:

Compute Admin (roles/compute.admin)
Compute Instance Admin (v1) (roles/compute.instanceAdmin.v1)

Apabila ingin pengguna memiliki izin yang terkait dengan peran ini sekaligus mencegah pengguna untuk membuat antarmuka Private Service Connect, Anda dapat Membuat peran khusus dan memberikannya kepada pengguna. Tambahkan izin yang diperlukan untuk peran tersebut. Hapus izin compute.instances.pscInterfaceCreate.

Apa langkah selanjutnya?

Mengelola tujuan tumpang tindih pada jaringan yang memiliki koneksi antarmuka Private Service Connect.