Questa pagina è stata tradotta dall'API Cloud Translation.

Configura la sicurezza per le interfacce Private Service Connect

Questa pagina descrive in che modo gli amministratori di reti dei produttori possono gestire la sicurezza nelle reti VPC che utilizzano le interfacce Private Service Connect.

Poiché un'interfaccia Private Service Connect esiste in una rete consumer Private Service Connect, un'organizzazione di produttori non controlla le regole del firewall applicate direttamente all'interfaccia. Se un produttore vuole assicurarsi che i carichi di lavoro dei consumatori non possano avviare il traffico verso alle VM nella rete del producer oppure che solo determinati carichi di lavoro consumer possono per avviare il traffico, devono definire i criteri di sicurezza nel sistema operativo guest dell'interfaccia utente.

Bloccare l'ingresso consumer-to-producer

Puoi utilizzare iptables per configurare un'interfaccia Private Service Connect per bloccare il traffico in entrata da una rete consumer, ma consentire comunque il traffico in uscita dalla rete del producer. Questa configurazione è illustrata figura 1.

Il traffico dei consumatori è bloccato dal traffico in entrata mediante un'interfaccia Private Service Connect, ma il producer di traffico in uscita (fai clic per ingrandire).

Per configurare un'interfaccia Private Service Connect in modo da bloccare il traffico in entrata dalla rete del consumer, ma consentire il traffico in uscita dalla rete del producer, procedi nel seguente modo:

Assicurati che le regole firewall siano configurate su consenti connessioni SSH in entrata alla VM della tua interfaccia Private Service Connect.
Connettiti alla VM.
Se il comando iptables non è disponibile, installalo.
Consenti al traffico di risposta dei consumatori di entrare nel Interfaccia di Private Service Connect:
```
sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -i OS_INTERFACE_NAME
```
Sostituisci OS_INTERFACE_NAME con nome del sistema operativo guest per l'interfaccia di Private Service Connect, ad esempio: ens5.
Blocca l'ingresso del traffico avviato dal consumatore tramite l'interfaccia Private Service Connect:
```
sudo iptables -A INPUT -j DROP -i OS_INTERFACE_NAME
```

Bloccare la creazione di interfacce Private Service Connect

Per creare interfacce Private Service Connect, gli utenti devono disporre dell'autorizzazione compute.instances.pscInterfaceCreate Identity and Access Management (IAM). Questa autorizzazione è inclusa nei seguenti ruoli:

Amministratore di Compute (roles/compute.admin)
Amministratore istanze Compute (v1) (roles/compute.instanceAdmin.v1)

Se vuoi che un utente disponga delle autorizzazioni associate ruoli, impedendo al contempo che l'utente crei le interfacce di Private Service Connect, Crea un ruolo personalizzato e concedi all'utente. Aggiungi le autorizzazioni necessarie al ruolo. Ometti il Autorizzazione compute.instances.pscInterfaceCreate.

Passaggi successivi

Gestire la sovrapposizione delle destinazioni in una rete con un'interfaccia Private Service Connect connessione.