設定 Private Service Connect 介面的安全性

本頁面說明服務供應商網路管理員如何管理使用 Private Service Connect 介面的虛擬私有雲網路安全性。

由於用戶 Private Service Connect 網路中存在 Private Service Connect 介面，因此生產端機構無法控管直接套用至介面的防火牆規則。如果生產者機構想確保消費者工作負載無法啟動前往生產者網路中 VM 的流量，或只有選定的消費者工作負載可以啟動流量，就必須在介面 VM 的客體 OS 中定義安全政策。

封鎖消費者到生產者的傳入流量

您可以使用 iptables 設定 Private Service Connect 介面，封鎖來自消費者網路的連入流量，但仍允許來自生產者網路的連出流量。圖 1 說明瞭這項設定。

系統會透過 Private Service Connect 介面，禁止消費者流量進入，但允許生產者輸出流量 (按一下即可放大)。

如要設定 Private Service Connect 介面，封鎖來自消費者網路的連入流量，但允許來自生產者網路的連出流量，請按照下列步驟操作：

請確認防火牆規則已設定為允許連入的 SSH 連線連至 Private Service Connect 介面的 VM。
連線至 VM。
如果無法使用 iptables 指令，請安裝該指令。
允許消費者回覆流量進入 Private Service Connect 介面：
```
sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -i OS_INTERFACE_NAME
```
將 OS_INTERFACE_NAME 替換為 Private Service Connect 介面的客體 OS 名稱。
禁止消費者透過 Private Service Connect 介面發起的流量輸入：
```
sudo iptables -A INPUT -j DROP -i OS_INTERFACE_NAME
```

禁止建立 Private Service Connect 介面

如要建立 Private Service Connect 介面，使用者必須具備 compute.instances.pscInterfaceCreate Identity and Access Management (IAM) 權限。下列角色具備這項權限：

運算管理員 (roles/compute.admin)
Compute 執行個體管理員 (v1) (roles/compute.instanceAdmin.v1)

如要讓使用者擁有與這些角色相關聯的權限，但禁止使用者建立 Private Service Connect 介面，您可以建立自訂角色並授予使用者。為角色新增必要權限。省略 compute.instances.pscInterfaceCreate 權限。

後續步驟

管理目的地重疊：在具有 Private Service Connect 介面連線的網路中。