网络访问

本文介绍了网络安全配置砖的部署和管理账户和工作区。

网络安全概述

砖默认提供一个安全的网络环境,但如果您的组织有额外的需求,您可以配置网络安全特性在你砖的资源。并不是所有的安全功能都可用在所有定价层。下表包含的功能概述和他们如何定价计划一致。

谷歌云虚拟私有云(VPC)允许您提供谷歌云一个逻辑上独立的部分,你可以在虚拟网络推出丰富的资源。VPC是砖集群的网络位置。默认情况下,砖创建并管理的VPC砖工作区。

你可以提供你自己的VPC主机砖集群,使您保持GCP帐户和更多的控制自己的极限输出连接。要利用customer-managed VPC,您必须指定一个VPC当你第一次创建砖工作区。你可以在工作空间共享vpc,但你不能在工作区之间共享子网。有关更多信息,请参见Customer-managed VPC。

谷歌私人服务连接(PSC)私人连接和减轻数据漏出的风险。砖支持两种私人服务连接连接类型:

所有新工作区创建默认集群安全连接。启用安全集群连接时,客户虚拟网络没有开放港口和砖运行时的集群节点没有公共IP地址。这简化了网络管理的需要配置端口安全组或网络对等。更多地BOB低频彩了解集群部署一个工作区与安全连接,看到的安全集群连接。

验证用户身份证明,但是它不执行用户的网络位置。从一个不安全的网络访问云服务带来的安全风险,特别是当用户授权访问敏感数据或个人数据。与IP访问列表,您可以配置数据砖工作区,这样用户连接到服务只有通过现有的网络安全的周长。

工作区管理员可以指定IP地址(或CIDR范围)的公共网络上被允许访问。这些IP地址可能属于出口网关或特定的用户环境。您还可以指定IP地址和子网。有关详细信息,请参见IP访问列表工作区。

您还可以使用私人服务连接屏蔽所有公共互联网访问数据砖工作区。

还可以控制访问帐户控制台使用IP访问列表使用一个类似的系统,可以通过UI或配置一个API。此功能只控制控制台访问帐户。控制IP地址访问帐户控制台,明白了IP访问列表账户控制台。

许多组织使用防火墙阻止基于域名的流量。你必须允许砖域名列表,确保访问砖资源。有关更多信息,请参见配置域名防火墙规则。

使用砖REST api,你的一些安全配置任务可以自动使用起程拓殖。这些模板可以用来配置和部署新工作区以及更新行政配置现有的工作空间。特别是对于大公司的工作区,使用模板可以快速且一致的自动配置。