Configurar Controles de Servicio de VPC para el servicio de copias de seguridad y recuperación ante desastres

En esta página se ofrece una descripción general de Controles de Servicio de VPC y se explica cómo puede integrarlo con el servicio Backup and DR para proteger sus datos y recursos.

Acerca de los Controles de Servicio de VPC

Controles de Servicio de VPC ayuda a mitigar el riesgo de filtración externa de datos desde la consola de gestión del servicio Backup and DR. Puedes usar Controles de Servicio de VPC para crear perímetros de servicio que protejan los recursos y los datos de varios servicios. Si el servicio de copia de seguridad y recuperación ante desastres está protegido por un perímetro, los recursos que se encuentren fuera de él no podrán comunicarse con la consola de gestión. Sin embargo, puedes permitir que los recursos de fuera del perímetro de servicio accedan a la consola de gestión y a la API. Para obtener más información, consulta el artículo sobre cómo permitir el acceso a recursos protegidos desde fuera de un perímetro.

Para obtener una descripción general de Controles de Servicio de VPC, sus ventajas de seguridad y sus funciones en los productos de la CLI de Google Cloud, consulta la descripción general de Controles de Servicio de VPC.

Antes de empezar

Antes de empezar a configurar Controles de Servicio de VPC para el servicio Backup and DR, haz lo siguiente:

  1. En la Google Cloud consola, en la página Selector de proyectos, selecciona crear un proyecto de la CLI de Google Cloud.
  2. Comprueba que la facturación esté habilitada en tu Google Cloud proyecto. Consulta cómo comprobar si la facturación está habilitada en un proyecto.
  3. Sigue las instrucciones de la sección Habilitar APIs y habilita la API Access Context Manager en tu proyecto.

Configurar los niveles de acceso y las políticas de dirección de un almacén de copias de seguridad

Si el dispositivo de copia de seguridad o recuperación y el vault de copias de seguridad están en el mismo perímetro de Controles de Servicio de VPC, no es necesario que configures los niveles de acceso ni las políticas de dirección. De lo contrario, elige uno de los siguientes casos de configuración en función de tus requisitos de configuración del perímetro de seguridad.

  • Si el dispositivo de copia de seguridad o recuperación y el almacén de copias de seguridad están en perímetros, pero en perímetros diferentes:
    • Configura excepciones de entrada en el perímetro donde se encuentran los recursos del almacén de copias de seguridad. Añade backupdr.googleapis.com y storage.googleapis.com en la regla de entrada. La fuente puede ser la dirección IP, la red o el proyecto en el que se encuentra el dispositivo de copia de seguridad o recuperación.
    • Configura excepciones de salida en el perímetro donde se encuentren los dispositivos de copia de seguridad o recuperación. Añade backupdr.googleapis.com y storage.googleapis.com a la regla de salida. El destino es el proyecto en el que se encuentra el recurso de bóveda de copias de seguridad. Puedes combinarlo con la dirección IP del dispositivo de copia de seguridad o recuperación, o con cualquier otra propiedad.
  • Si solo hay recursos de bóveda de copias de seguridad en el perímetro: Configura excepciones de entrada en el perímetro donde se encuentren los recursos de bóveda de copias de seguridad. Añade backupdr.googleapis.com y storage.googleapis.com a la regla de entrada. La fuente puede ser una dirección IP, una red o un proyecto en el que esté presente el dispositivo de copia de seguridad o recuperación.
  • Si solo hay un dispositivo de copia de seguridad o recuperación en el perímetro: Configura excepciones de salida en el perímetro donde se encuentren los dispositivos de copia de seguridad o recuperación. Añade backupdr.googleapis.com y storage.googleapis.com a la regla de salida. El destino es el proyecto en el que se encuentra el recurso de bóveda de copias de seguridad. Puedes combinarlo con la dirección IP del dispositivo de copia de seguridad o recuperación, o con cualquier otra propiedad.

Configurar niveles de acceso y políticas de dirección para Compute Engine

Si el proyecto de administrador y el proyecto de carga de trabajo están en el mismo perímetro de Controles de Servicio de VPC, no es necesario configurar los niveles de acceso ni las políticas de dirección. De lo contrario, elige uno de los siguientes casos de configuración en función de tus requisitos de configuración del perímetro de seguridad.

  • Si el proyecto de administrador y el proyecto de carga de trabajo se encuentran en perímetros de servicio diferentes:
    • El proyecto de administrador debe añadir una regla de salida para el agente de servicio del almacén de copias de seguridad al proyecto de carga de trabajo para backupdr.googleapis.com y compute.googleapis.com.
    • El proyecto de carga de trabajo debe añadir una regla de entrada para permitir las llamadas del agente de servicio del vault de copias de seguridad y una regla de salida para que el agente de servicio del vault de copias de seguridad pueda acceder al proyecto de administrador tanto para backupdr.googleapis.com como para compute.googleapis.com.
  • Si solo el proyecto de administrador tiene un perímetro de servicio: El proyecto de administrador debe añadir una regla de salida para el agente de servicio del vault de copia de seguridad al proyecto de carga de trabajo para backupdr.googleapis.com y compute.googleapis.com.
  • Si solo el proyecto de carga de trabajo tiene un perímetro de servicio: El proyecto de carga de trabajo debe añadir una regla de entrada para permitir las llamadas del agente de servicio del vault de copias de seguridad y una regla de salida para que el agente de servicio del vault de copias de seguridad pueda acceder al proyecto de administrador tanto para backupdr.googleapis.com como para compute.googleapis.com.

Configurar Controles de Servicio de VPC para el servicio de copias de seguridad y recuperación ante desastres

Sigue estos pasos para configurar Controles de Servicio de VPC para el servicio Backup and DR:

  1. Crear un perímetro de servicio
  2. Configurar la conectividad con las APIs y los servicios de Google

En las secciones siguientes se describen estos pasos en detalle.

Crear un perímetro de servicio

Sigue estas instrucciones para crear un perímetro de servicio:

  1. En la Google Cloud consola, en la página del selector de proyectos, selecciona el proyecto de servicio Backup and DR que quieras que proteja el perímetro de servicio de la VPC.
  2. Crea un perímetro de servicio siguiendo las instrucciones que se describen en el artículo Crear un perímetro de servicio.

  3. Añada las siguientes APIs al perímetro de servicio en la sección Servicios restringidos:

    • Obligatorio: API del servicio de copias de seguridad y recuperación ante desastres - backupdr.googleapis.com
    • Opcional: API de Compute Engine - compute.googleapis.com
    • Opcional: API Resource Manager - cloudresourcemanager.googleapis.com
    • Opcional: API Workflows - workflows.googleapis.com
    • Opcional: API Cloud Key Management Service - cloudkms.googleapis.com
    • Opcional: API de gestión de identidades y accesos - iam.googleapis.com
    • Opcional: API de Cloud Logging - logging.googleapis.com
    • Opcional: API de Cloud Storage - storage.googleapis.com

  4. Si utilizas una VPC compartida, añade los proyectos del host y de servicio en la sección Añadir recursos.

Una vez que hayas configurado un perímetro, de forma predeterminada, solo se podrá acceder a la consola de gestión y a la API del servicio Backup and DR desde dentro del perímetro de seguridad.

Si un dispositivo de copia de seguridad o recuperación realiza solicitudes a la API de Cloud fuera del perímetro de servicio (por ejemplo, para recuperar una instancia de Compute Engine en un proyecto o una red VPC que no esté en el mismo perímetro), es posible que se produzca una infracción de acceso de los controles de servicio de VPC. Para permitir las solicitudes de API, debes crear las reglas de entrada y salida adecuadas en el perímetro de servicio de Controles de Servicio de VPC para la cuenta de servicio del dispositivo de copia de seguridad o recuperación.

Configurar la conectividad con las APIs y los servicios de Google

En una configuración de Controles de Servicio de VPC, para controlar el tráfico de red, configure el acceso a las APIs y los servicios de Google a través del dominio restricted.googleapis.com. Este dominio bloquea el acceso a las APIs y los servicios de Google que no admiten Controles de Servicio de VPC. Para obtener más información, consulta las opciones de dominio.

Si no configuras reglas de DNS para las APIs y los servicios de Google, se resolverán mediante la opción de dominio para los dominios predeterminados.

El servicio de copia de seguridad y recuperación tras fallos usa los siguientes dominios:

  • *.backupdr.cloud.google.com se usa para acceder a la consola de gestión.
  • *.googleapis.com se usa para acceder a otros servicios de Google.

Configure la conectividad con los siguientes endpoints de restricted.googleapis.com en la sección Registro DNS.

Domain (Dominio) Nombre de DNS Registro CNAME Registro A
*.googleapis.com googleapis.com. Nombre de DNS: *.googleapis.com.
Tipo de registro de recursos: CNAME
Nombre canónico: googleapis.com. 		Tipo de registro de recursos: A
Direcciones IPv4: 199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7
*.backupdr.cloud.google.com backupdr.cloud.google.com. Nombre de DNS: *.backupdr.cloud.google.com.
Tipo de registro de recursos: CNAME
Nombre canónico: backupdr.cloud.google.com. 		Tipo de registro de recursos: A
Direcciones IPv4:
199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7
*.backupdr.googleusercontent.com backupdr.googleusercontent.com Nombre de DNS: *.backupdr.googleusercontent.com.
Tipo de registro de recursos: CNAME
Nombre canónico: backupdr.googleusercontent.com. 		Tipo de registro de recursos: A
Direcciones IPv4:
199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7

Crear un registro DNS

Sigue estas instrucciones para crear un registro DNS:

  1. En la consola de Google Cloud, ve a la página Crear una zona DNS. Google Cloud

    Ir a Crear una zona DNS

  2. En Tipo de zona, selecciona Privada.

  3. En el campo Nombre de la zona, introduce un nombre. Por ejemplo, backup-dr-new-zone.

  4. En el campo Nombre de DNS, introduce un nombre para la zona con un nombre de dominio que te pertenezca (por ejemplo, backupdr.cloud.google.com).

  5. Opcional: Añade una descripción.

  6. En Opciones, selecciona Predeterminado (privado).

  7. Haz clic en Crear.

  8. En la página Detalles de la zona, haz clic en Añadir estándar.

  9. En la página Crear conjunto de registros, sigue estos pasos para añadir un conjunto de registros CNAME:

    1. En el campo Nombre de DNS, introduce *.backupdr.cloud.google.com.
    2. En Tipo de registro del recurso, selecciona CNAME.
    3. En el campo Nombre canónico, introduce backupdr.cloud.google.com.
    4. Haz clic en Crear.

  10. En la página Detalles de la zona, haga clic en Añadir estándar y siga estos pasos para añadir un conjunto de registros con direcciones IP:

    1. En el campo Nombre de DNS, introduce *.backupdr.cloud.google.com.
    2. Seleccione A como Tipo de registro del recurso.
    3. En el campo Direcciones IPv4, introduce 199.36.153.4, 199.36.153.5, 199.36.153.6 y 199.36.153.7.
    4. Haz clic en Crear.

Para obtener más información, consulta el artículo Configurar la conectividad privada en servicios y APIs de Google.

Solucionar problemas

La versión 11.0.5 y posteriores admiten los Controles de Servicio de VPC para el servicio Backup y DR. Puedes consultar la versión en la consola de administración, en Ayuda > Acerca de.

Si tienes algún problema al configurar Controles de Servicio de VPC para el servicio Backup and DR, consulta la sección Solución de problemas de Controles de Servicio de VPC.

Limitaciones

Si has quitado la ruta predeterminada de Internet del proyecto de productor de servicios con el comando gcloud: gcloud services vpc-peerings enable-vpc-service-controls, es posible que no puedas acceder a la consola de gestión ni crearla. Si tienes este problema, ponte en contacto con el equipo de Asistencia de Google Cloud.

Antes de montar una imagen de backup de Compute Engine, añade los proyectos de servicio y host al mismo perímetro. De lo contrario, es posible que no veas las redes disponibles.