Configura los Controles del servicio de VPC para el servicio de copia de seguridad y DR

En esta página, se proporciona una descripción general de los Controles del servicio de VPC y cómo puedes integrarlos con el servicio de copia de seguridad y DR para proteger tus datos y recursos.

Información acerca de los Controles del servicio de VPC

Los Controles del servicio de VPC ayudan a mitigar el riesgo de robo de datos de la consola de administración del servicio de copia de seguridad y DR. Puedes usar los Controles del servicio de VPC para crear perímetros de servicio que protejan los recursos y datos de varios servicios. Si el servicio de Backup and DR está protegido por un perímetro, los recursos fuera del perímetro no pueden comunicarse con la consola de administración. Sin embargo, puedes permitir que los recursos fuera del perímetro del servicio accedan a la consola de administración y a la API. Para obtener más información, consulta Permite el acceso a recursos protegidos desde fuera del perímetro.

Para obtener una descripción general de los Controles del servicio de VPC, sus beneficios de seguridad y sus capacidades en los productos de Google Cloud CLI, consulta la descripción general de los Controles del servicio de VPC.

Antes de comenzar

Antes de comenzar a configurar los Controles del servicio de VPC para el servicio de copia de seguridad y DR, haz lo siguiente:

  1. En la consola de Google Cloud, en la página Selector de proyectos, selecciona Crear un proyecto de Google Cloud CLI.
  2. Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud . Obtén información para verificar si la facturación está habilitada en un proyecto.
  3. Sigue las instrucciones de la sección Habilitar APIs y habilita la API de Access Context Manager para tu proyecto.

Configura los niveles de acceso y las políticas de dirección para la bóveda de copia de seguridad

Si el dispositivo de copia de seguridad o recuperación y la bóveda de copia de seguridad se encuentran en el mismo perímetro de Controles del servicio de VPC, no es necesario que configures los niveles de acceso ni las políticas de dirección. De lo contrario, elige una de las siguientes situaciones de configuración según tus requisitos de configuración del perímetro de seguridad.

  • Si el dispositivo de copia de seguridad o recuperación y la bóveda de copia de seguridad se encuentran en perímetros, pero existen en perímetros diferentes, haz lo siguiente:
    • Configura excepciones de entrada en el perímetro donde existen recursos de backup vault. Agrega backupdr.googleapis.com y storage.googleapis.com en la regla de entrada. La fuente puede ser la dirección IP, la red o el proyecto en el que se encuentra el dispositivo de copia de seguridad o recuperación.
    • Configura excepciones de salida en el perímetro donde existen dispositivos de copia de seguridad o recuperación. Agrega backupdr.googleapis.com y storage.googleapis.com a la regla de salida. El destino es el proyecto en el que existe el recurso de la bóveda de copia de seguridad. Puedes combinarlo con la dirección IP del dispositivo de copia de seguridad o recuperación, o cualquier otra propiedad.
  • Si solo los recursos de la bóveda de copia de seguridad están en el perímetro: Configura excepciones de entrada en el perímetro donde existen los recursos de la bóveda de copia de seguridad. Agrega backupdr.googleapis.com y storage.googleapis.com a la regla de entrada. La fuente puede ser una dirección IP, una red o un proyecto en el que se encuentra el dispositivo de copia de seguridad o recuperación.
  • Si solo existe un dispositivo de copia de seguridad o recuperación en el perímetro: Configura excepciones de salida en el perímetro donde existen dispositivos de copia de seguridad o recuperación. Agrega backupdr.googleapis.com y storage.googleapis.com a la regla de salida. El destino es el proyecto en el que existe el recurso de la bóveda de copia de seguridad. Puedes combinarlo con la dirección IP del dispositivo de copia de seguridad o recuperación, o cualquier otra propiedad.

Configura los niveles de acceso y las políticas de dirección para Compute Engine

Si el proyecto de administrador y el proyecto de carga de trabajo se encuentran en el mismo perímetro de los Controles del servicio de VPC, no es necesario que configures los niveles de acceso ni las políticas de dirección. De lo contrario, elige una de las siguientes situaciones de configuración según tus requisitos de configuración del perímetro de seguridad.

  • Si el proyecto de administrador y el proyecto de carga de trabajo existen en diferentes perímetros de servicio, haz lo siguiente:
    • El proyecto de administrador debe agregar una regla de salida para el agente de servicio de la bóveda de copia de seguridad al proyecto de carga de trabajo para backupdr.googleapis.com y compute.googleapis.com.
    • El proyecto de carga de trabajo debe agregar una regla de entrada para permitir llamadas del agente de servicio de la bóveda de copia de seguridad y una regla de salida para el agente de servicio de la bóveda de copia de seguridad al proyecto de administrador para backupdr.googleapis.com y compute.googleapis.com.
  • Si solo el proyecto de administrador tiene un perímetro de servicio: El proyecto de administrador debe agregar una regla de salida para el agente de servicio de la bóveda de copia de seguridad al proyecto de carga de trabajo para backupdr.googleapis.com y compute.googleapis.com.
  • Si solo el proyecto de carga de trabajo tiene un perímetro de servicio: El proyecto de carga de trabajo debe agregar una regla de entrada para permitir llamadas del agente de servicio de la bóveda de copia de seguridad y una regla de salida para el agente de servicio de la bóveda de copia de seguridad al proyecto de administrador para backupdr.googleapis.com y compute.googleapis.com.

Configura los Controles del servicio de VPC para el servicio de copia de seguridad y DR

Sigue estos pasos para configurar los Controles del servicio de VPC para el servicio de copia de seguridad y DR:

  1. Crea un perímetro de servicio
  2. Configura la conectividad a los servicios y las APIs de Google

En las siguientes secciones, se describen esos pasos en detalle.

Crea un perímetro de servicio

Sigue las siguientes instrucciones para crear un perímetro de servicio:

  1. En la página del selector de proyectos de la consola de Google Cloud, selecciona el proyecto de servicio de copia de seguridad y DR que deseas que proteja el perímetro de servicio de VPC.
  2. Crea un perímetro de servicio con las instrucciones que se describen en Crea un perímetro de servicio.

  3. Agrega las siguientes APIs al perímetro de servicio en la sección Servicios restringidos:

    • Obligatorio: API de Backup and DR Service: backupdr.googleapis.com
    • Opcional: API de Compute Engine: compute.googleapis.com
    • Opcional: API de Resource Manager: cloudresourcemanager.googleapis.com
    • Opcional: API de Workflows: workflows.googleapis.com
    • Opcional: API de Cloud Key Management Service: cloudkms.googleapis.com
    • Opcional: API de Identity and Access Management: iam.googleapis.com
    • Opcional: API de Cloud Logging: logging.googleapis.com
    • Opcional: API de Cloud Storage: storage.googleapis.com

  4. Si usas una VPC compartida, agrega el host y los proyectos de servicio en la sección Agregar recursos.

Una vez que configures un perímetro, de forma predeterminada, solo se permitirá el acceso a la consola de administración y a la API del servicio de Backup and DR desde el perímetro de seguridad.

Si un dispositivo de copia de seguridad o recuperación realiza solicitudes a la API de la nube fuera del perímetro de servicio, por ejemplo, para recuperar una instancia de Compute Engine en un proyecto o una red de VPC que no está en el mismo perímetro, es posible que veas una violación de acceso de los Controles del servicio de VPC. Para permitir solicitudes a la API, debes crear las reglas de entrada y salida adecuadas en el perímetro de servicio de los Controles del servicio de VPC para la cuenta de servicio del dispositivo de copia de seguridad o recuperación.

Configura la conectividad a los servicios y las APIs de Google

En una configuración de Controles del servicio de VPC, para controlar el tráfico de red, configura el acceso a las APIs y los servicios de Google a través del dominio restricted.googleapis.com. Este dominio bloquea el acceso a los servicios y las APIs de Google que no son compatibles con los Controles del servicio de VPC. Para obtener más información, consulta Opciones de dominio.

Si no configuras reglas de DNS para las APIs y los servicios de Google, estas se resuelven con la opción de dominio para los dominios predeterminados.

El servicio de copia de seguridad y DR usa los siguientes dominios:

  • *.backupdr.cloud.google.com se usa para acceder a la consola de administración.
  • *.googleapis.com se usa para acceder a otros servicios de Google.

Configura la conectividad con los siguientes extremos restricted.googleapis.com en la sección Registro DNS.

Dominio Nombre de DNS Registro CNAME Registro A
*.googleapis.com googleapis.com. Nombre de DNS: *.googleapis.com.
Tipo de registro de recursos: CNAME
Nombre canónico: googleapis.com. 		Tipo de registro de recursos: A
Direcciones IPv4: 199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7
*.backupdr.cloud.google.com backupdr.cloud.google.com. Nombre de DNS: *.backupdr.cloud.google.com.
Tipo de registro de recursos: CNAME
Nombre canónico: backupdr.cloud.google.com. 		Tipo de registro de recursos: A
Direcciones IPv4:
199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7
*.backupdr.googleusercontent.com backupdr.googleusercontent.com Nombre de DNS: *.backupdr.googleusercontent.com.
Tipo de registro de recursos: CNAME
Nombre canónico: backupdr.googleusercontent.com. 		Tipo de registro de recursos: A
Direcciones IPv4:
199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7

Crea un registro DNS

Usa las siguientes instrucciones para crear un registro DNS:

  1. En la consola de Google Cloud, ve a la página Crear una zona del DNS.

    Ir a Crear una zona de DNS

  2. En Tipo de zona, selecciona Privada.

  3. En el campo Nombre de zona, ingresa un nombre. Por ejemplo, backup-dr-new-zone

  4. En el campo Nombre de DNS, ingresa un nombre para la zona con un nombre de dominio de tu propiedad, por ejemplo, backupdr.cloud.google.com.

  5. Opcional: Agrega una descripción.

  6. En Opciones, selecciona Predeterminada (privada).

  7. Haz clic en Crear.

  8. En la página Detalles de la zona, haz clic en Agregar estándar.

  9. En la página Crear conjunto de registros, sigue los pasos que se indican a continuación para agregar un conjunto de registros para el registro CNAME:

    1. En el campo Nombre de DNS, ingresa *.backupdr.cloud.google.com.
    2. En Tipo de registro de recursos, selecciona CNAME.
    3. En el campo Nombre canónico, ingresa backupdr.cloud.google.com.
    4. Haz clic en Crear.

  10. En la página Detalles de la zona, haz clic en Agregar estándar y sigue los siguientes pasos para agregar un conjunto de registros con direcciones IP:

    1. En el campo Nombre de DNS, ingresa *.backupdr.cloud.google.com.
    2. Selecciona A como el Tipo de registro de recursos.
    3. En el campo Direcciones IPv4, ingresa 199.36.153.4, 199.36.153.5, 199.36.153.6 y 199.36.153.7.
    4. Haz clic en Crear.

Para obtener más información, consulta Configura una conectividad privada a los servicios y las APIs de Google.

Solucionar problemas

Los Controles del servicio de VPC para el servicio de copia de seguridad y DR son compatibles con la versión 11.0.5 y versiones posteriores. Puedes verificar la versión en Ayuda > Acerca de de la consola de administración.

Si tienes algún problema mientras configuras los Controles del servicio de VPC para el servicio de copia de seguridad y DR, consulta la sección de solución de problemas de los Controles del servicio de VPC.

Limitaciones

Si quitaste la ruta predeterminada de Internet del proyecto del productor de servicios con el comando gcloud: gcloud services vpc-peerings enable-vpc-service-controls, es posible que no puedas acceder a la consola de administración ni crearla. Comunícate con Atención al cliente de Google Cloud si te encuentras con este problema.

Antes de activar una imagen de copia de seguridad de Compute Engine, agrega los proyectos de servicio y host al mismo perímetro. De lo contrario, es posible que no veas las redes disponibles.