כדי להגדיר את השירותים שאפשר לגשת אליהם מרשת בתוך גבולות גזרה לשירות, משתמשים בתכונה VPC accessible services. התכונה 'שירותים נגישים ב-VPC' מגבילה את קבוצת השירותים שאפשר לגשת אליהם מנקודות קצה ברשת בתוך גבולות גזרה לשירות.
התכונה 'שירותים נגישים ב-VPC' חלה רק על תנועה מנקודות הקצה של רשת ה-VPC אל ממשקי ה-API של Google. בניגוד לגבולות שירות, התכונה 'שירותים שניתן לגשת אליהם ב-VPC' לא חלה על תקשורת בין ממשקי Google API שונים, או על רשתות של יחידות דיירות, שמשמשות להטמעה של שירותים מסוימים של Google Cloud .
כשמגדירים שירותים שנגישים ל-VPC עבור perimeter, אפשר לציין רשימה של שירותים ספציפיים, וגם לכלול את הערך RESTRICTED-SERVICES, שכולל באופן אוטומטי את כל השירותים שמוגנים על ידי ה-perimeter.
כדי לוודא שהגישה לשירותים הצפויים מוגבלת באופן מלא, צריך:
מגדירים את גבולות הגזרה כך שיגנו על אותה קבוצת שירותים שרוצים להפוך לנגישים.
מגדירים את ה-VPC בגבולות הגזרה כך שישתמש ב-VIP המוגבל.
משתמשים בחומות אש בשכבה 3.
דוגמה: רשת VPC עם גישה ל-Cloud Storage בלבד
נניח שיש לכם גבולות גזרה לשירות בשם my-authorized-perimeter שכולל שני פרויקטים: my-authorized-compute-project ו-my-authorized-gcs-project.
גבולות הגזרה מגנים על שירות Cloud Storage.
my-authorized-gcs-project משתמש במספר שירותים, כולל Cloud Storage, Bigtable ועוד.
my-authorized-compute-project מארח רשת VPC.
מכיוון שלשני הפרויקטים יש גבול גזרה משותף, לרשת ה-VPC ב-my-authorized-compute-project יש גישה למשאבי השירותים ב-my-authorized-gcs-project, בלי קשר לשאלה אם גבול הגזרה מגן על השירותים האלה. עם זאת, אתם רוצים שלרשת ה-VPC שלכם תהיה גישה רק למשאבים של Cloud Storage ב-my-authorized-gcs-project.
אתם חוששים שאם פרטי הכניסה של מכונה וירטואלית ברשת ה-VPC שלכם ייגנבו, גורם עוין יוכל להשתמש במכונה הווירטואלית הזו כדי להעביר נתונים משירות זמין כלשהו ב-my-authorized-gcs-project.
כבר הגדרתם את רשת ה-VPC שלכם לשימוש ב-VIP המוגבל, שמגביל את הגישה מרשת ה-VPC רק לממשקי API שנתמכים על ידי VPC Service Controls. לצערנו, זה לא מונע מרשת VPC שלכם לגשת לשירותים נתמכים, כמו משאבי Bigtable ב-my-authorized-gcs-project.
כדי להגביל את הגישה של רשת ה-VPC רק לשירות האחסון, מפעילים את האפשרות 'שירותים שניתן לגשת אליהם דרך VPC' ומגדירים את storage.googleapis.com כשירות מותר:
gcloud access-context-manager perimeters update my-authorized-perimeter \
--enable-vpc-accessible-services \
--add-vpc-allowed-services=storage.googleapis.com
הצלחת, מעכשיו, רשת ה-VPC ב-my-authorized-compute-project מוגבלת לגישה רק למשאבים של שירות Cloud Storage. ההגבלה הזו חלה גם על פרויקטים ורשתות VPC שתוסיפו בהמשך לגבולות הגזרה.