Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Configura la sicurezza per le interfacce Private Service Connect
Questa pagina descrive come gli amministratori di rete producer possono gestire la sicurezza nelle reti VPC che utilizzano interfacce Private Service Connect.
Poiché esiste un'interfaccia Private Service Connect in una rete Private Service Connect consumer, un'organizzazione producer non controlla le regole firewall che si applicano direttamente all'interfaccia. Se un'organizzazione
produttrice vuole assicurarsi che i carichi di lavoro dei consumatori non possano avviare il traffico verso
le VM nella rete del produttore o che solo i carichi di lavoro dei consumatori selezionati possano
avviare il traffico, deve definire i criteri di sicurezza nel sistema operativo guest della
VM dell'interfaccia.
Bloccare l'ingresso da consumer a producer
Puoi utilizzare iptables per configurare un'interfaccia Private Service Connect per bloccare il traffico in entrata da una rete consumer, ma consentire comunque il traffico in uscita dalla rete producer. Questa configurazione è illustrata
nella figura 1.
Il traffico consumer è bloccato dall'ingresso
tramite un'interfaccia Private Service Connect, ma il traffico
in uscita del producer è consentito (fai clic per ingrandire).
Per configurare un'interfaccia Private Service Connect in modo da bloccare il traffico in entrata dalla rete consumer, ma consentire il traffico in uscita dalla rete producer, procedi nel seguente modo:
Blocca il traffico avviato dai consumer in entrata tramite l'interfaccia
Private Service Connect:
sudo iptables -A INPUT -j DROP -i OS_INTERFACE_NAME
Blocca la creazione dell'interfaccia Private Service Connect
Per creare interfacce Private Service Connect, gli utenti
devono disporre dell'autorizzazione compute.instances.pscInterfaceCreate Identity and Access Management (IAM). Questa autorizzazione è inclusa nei seguenti ruoli:
Se vuoi che un utente disponga delle autorizzazioni associate a questi ruoli, impedendogli al contempo di creare interfacce Private Service Connect, puoi creare un ruolo personalizzato e concederlo all'utente. Aggiungi le autorizzazioni necessarie al ruolo. Ometti l'autorizzazione
compute.instances.pscInterfaceCreate.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-05 UTC."],[],[],null,["# Configure security for Private Service Connect interfaces\n=========================================================\n\nThis page describes how producer network administrators can manage\nsecurity in VPC networks that use\nPrivate Service Connect interfaces.\n\nBecause a Private Service Connect interface exists in a consumer\nPrivate Service Connect network, a producer organization does not\ncontrol firewall rules that apply directly to the interface. If a producer\norganization wants to ensure that consumer workloads cannot initiate traffic to\nVMs in the producer network, or that only selected consumer workloads can\ninitiate traffic, they must define security policies in the guest OS of their\ninterface's VM.\n\nBlock consumer-to-producer ingress\n----------------------------------\n\nYou can use `iptables` to configure a Private Service Connect\ninterface to block ingress traffic from a consumer network, but still allow\negress traffic from the producer network. This configuration is illustrated by\nfigure 1.\n[](/static/vpc/images/psc-interfaces/block-consumer-to-producer-ingress.svg) Consumer traffic is blocked from ingress through a Private Service Connect interface, but producer egress traffic is allowed (click to enlarge).\n\nTo configure a Private Service Connect interface to block ingress\ntraffic from the consumer network but allow egress traffic from the producer\nnetwork, do the following:\n\n1. Ensure that firewall rules are configured to\n [allow ingress SSH connections](/firewall/docs/using-firewalls#common-use-cases-allow-ssh)\n to your Private Service Connect interface's VM.\n\n2. [Connect](/compute/docs/connect/standard-ssh#connect_to_vms) to the VM.\n\n3. If the `iptables` command isn't available, install it.\n\n4. Allow consumer reply traffic to ingress into the\n Private Service Connect interface:\n\n ```\n sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -i OS_INTERFACE_NAME\n ```\n\n Replace \u003cvar translate=\"no\"\u003eOS_INTERFACE_NAME\u003c/var\u003e with the\n [guest OS name for your Private Service Connect interface](/vpc/docs/configure-routing-private-service-connect-interfaces#find-os-interface-name).\n5. Block consumer-initiated traffic from ingressing through the\n Private Service Connect interface:\n\n ```\n sudo iptables -A INPUT -j DROP -i OS_INTERFACE_NAME\n ```\n\nBlock Private Service Connect interface creation\n------------------------------------------------\n\nTo create Private Service Connect interfaces, users\nmust have the `compute.instances.pscInterfaceCreate` Identity and Access Management (IAM)\npermission. This permission is included in the following roles:\n\n- [Compute Admin](/compute/docs/access/iam#compute.admin) (`roles/compute.admin`)\n- [Compute Instance Admin (v1)](/iam/docs/understanding-roles#compute.instanceAdmin.v1) (`roles/compute.instanceAdmin.v1`)\n\nIf you want a user to have the permissions that are associated with these\nroles, while preventing that user from creating\nPrivate Service Connect interfaces, you can\n[Create a custom role](/iam/docs/creating-custom-roles#creating) and grant\nit to the user. Add the necessary permissions to the role. Omit the\n`compute.instances.pscInterfaceCreate` permission.\n\nWhat's next?\n------------\n\n- [Manage destination overlap](/vpc/docs/manage-destination-overlap) in a network that has a Private Service Connect interface connection."]]
