網絡訪問

本文介紹了網絡安全配置磚的部署和管理賬戶和工作區。

網絡安全概述

磚默認提供一個安全的網絡環境,但如果您的組織有額外的需求,您可以配置網絡安全特性在你磚的資源。並不是所有的安全功能都可用在所有定價層。下表包含的功能概述和他們如何定價計劃一致。

功能

定價層

Customer-managed VPC

溢價

私人服務連接支持

溢價

安全集群連接

標準

IP訪問列表

溢價

在自己的VPC部署一個工作區

穀歌雲虛擬私有雲(VPC)允許您提供穀歌雲一個邏輯上獨立的部分,你可以在虛擬網絡推出豐富的資源。VPC是磚集群的網絡位置。默認情況下,磚創建並管理的VPC磚工作區。

你可以提供你自己的VPC主機磚集群,使您保持GCP帳戶和更多的控製自己的極限輸出連接。要利用customer-managed VPC,您必須指定一個VPC當你第一次創建磚工作區。你可以在工作空間共享vpc,但你不能在工作區之間共享子網。有關更多信息,請參見Customer-managed VPC

啟用私人服務連接

穀歌私人服務連接(PSC)私人連接和減輕數據漏出的風險。磚支持兩種私人服務連接連接類型:

  • 前端(用戶空間):允許用戶連接到磚web應用程序中,REST API,磚連接API的一個虛擬私有雲(VPC)端點。

  • 後端(數據平麵控製平麵):這使得私人連接從磚計算customer-managed VPC磚工作空間的核心服務。

有關更多信息,請參見使私人服務連接您的工作區

集群部署一個工作區與安全連接

所有新工作區創建默認集群安全連接。啟用安全集群連接時,客戶虛擬網絡沒有開放港口和磚運行時的集群節點沒有公共IP地址。這簡化了網絡管理的需要配置端口安全組或網絡對等。更多地了解集群部署一個工作區與安全連接,看到的安全集群連接

IP訪問列表

驗證用戶身份證明,但是它不執行用戶的網絡位置。從一個不安全的網絡訪問雲服務帶來的安全風險,特別是當用戶授權訪問敏感數據或個人數據。與IP訪問列表,您可以配置數據磚工作區,這樣用戶連接到服務隻有通過現有的網絡安全的周長。

工作區管理員可以指定IP地址(或CIDR範圍)的公共網絡上被允許訪問。這些IP地址可能屬於出口網關或特定的用戶環境。您還可以指定IP地址和子網。有關詳細信息,請參見IP訪問列表工作區

您還可以使用私人服務連接屏蔽所有公共互聯網訪問數據磚工作區。

還可以控製訪問帳戶控製台使用IP訪問列表使用一個類似的係統,可以通過UI或配置一個API。此功能隻控製控製台訪問帳戶。控製IP地址訪問帳戶控製台,明白了IP訪問列表賬戶控製台

配置防火牆規則

許多組織使用防火牆阻止基於域名的流量。你必須允許磚域名列表,確保訪問磚資源。有關更多信息,請參見配置域名防火牆規則

自動化模板選項

使用磚REST api,你的一些安全配置任務可以自動使用起程拓殖。這些模板可以用來配置和部署新工作區以及更新行政配置現有的工作空間。特別是對於大公司的工作區,使用模板可以快速且一致的自動配置。

看到自動化工作區創建使用起程拓殖