Mengonfigurasi keamanan untuk antarmuka Private Service Connect
Halaman ini menjelaskan cara administrator jaringan produsen mengelola keamanan jaringan VPC yang menggunakan antarmuka Private Service Connect.
Karena antarmuka Private Service Connect berada dalam jaringan Private Service Connect, organisasi produsen tidak mengontrol aturan firewall yang diterapkan secara langsung ke antarmuka. Apabila organisasi produsen ingin memastikan bahwa workload konsumen tidak dapat memulai traffic ke VM dalam jaringan produsen, atau hanya workload konsumen tertentu yang dapat memulai traffic, mereka harus menentukan kebijakan keamanan di OS tamu pada antarmuka VM mereka.
Memblokir traffic masuk konsumen ke produsen
Anda dapat menggunakan iptables
untuk mengonfigurasi antarmuka Private Service Connect
guna memblokir traffic masuk dari jaringan konsumen, tetapi tetap mengizinkan
traffic keluar dari jaringan produsen. Konfigurasi ini diilustrasikan oleh
gambar 1.
Untuk mengonfigurasi antarmuka Private Service Connect agar memblokir traffic masuk dari jaringan konsumen tetapi mengizinkan traffic keluar dari jaringan produsen, lakukan hal berikut:
Pastikan aturan firewall dikonfigurasi untuk mengizinkan koneksi SSH masuk ke VM antarmuka Private Service Connect.
Lakukan penginstalan apabila perintah
iptables
tidak tersedia.Izinkan traffic balasan konsumen untuk masuk ke dalam antarmuka Private Service Connect:
sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -i OS_INTERFACE_NAME
Ganti
OS_INTERFACE_NAME
dengan nama OS tamu untuk antarmuka Private Service Connect, sebagai contoh,ens5
.Blokir traffic yang dimulai konsumen agar tidak masuk melalui antarmuka Private Service Connect:
sudo iptables -A INPUT -j DROP -i OS_INTERFACE_NAME
Memblokir pembuatan antarmuka Private Service Connect
Untuk membuat antarmuka Private Service Connect, pengguna
harus memiliki izin Identity and Access Management (IAM)
compute.instances.pscInterfaceCreate
. Izin ini termasuk dalam peran berikut:
- Compute Admin (
roles/compute.admin
) - Compute Instance Admin (v1) (
roles/compute.instanceAdmin.v1
)
Apabila ingin pengguna memiliki izin yang terkait dengan peran
ini sekaligus mencegah pengguna untuk membuat
antarmuka Private Service Connect, Anda dapat
Membuat peran khusus dan memberikannya
kepada pengguna. Tambahkan izin yang diperlukan untuk peran tersebut. Hapus izin
compute.instances.pscInterfaceCreate
.
Apa langkah selanjutnya?
- Mengelola tujuan tumpang tindih pada jaringan yang memiliki koneksi antarmuka Private Service Connect.