Mengonfigurasi Kontrol Layanan VPC untuk Layanan Pencadangan dan DR

Halaman ini memberikan ringkasan tentang Kontrol Layanan VPC dan cara mengintegrasikannya dengan Layanan Pencadangan dan DR untuk mengamankan data dan resource Anda.

Tentang Kontrol Layanan VPC

Kontrol Layanan VPC membantu mengurangi risiko pemindahan data yang tidak sah dari konsol pengelolaan Layanan Pencadangan dan DR. Anda dapat menggunakan Kontrol Layanan VPC untuk membuat perimeter layanan yang melindungi resource dan data berbagai layanan. Jika Layanan Pencadangan dan DR dilindungi oleh perimeter, resource dari luar perimeter tidak dapat berkomunikasi dengan konsol pengelolaan. Namun, Anda dapat mengizinkan resource dari luar perimeter layanan untuk mengakses konsol dan API pengelolaan. Untuk informasi selengkapnya, lihat mengizinkan akses ke resource yang dilindungi dari luar perimeter.

Untuk ringkasan umum Kontrol Layanan VPC, manfaat keamanannya, dan kemampuannya di seluruh produk Google Cloud CLI, lihat Ringkasan Kontrol Layanan VPC.

Sebelum memulai

Sebelum Anda mulai mengonfigurasi Kontrol Layanan VPC untuk Layanan Pencadangan dan DR, lakukan hal berikut:

  1. Di konsol Google Cloud, pada halaman Project Selector, pilih create a Google Cloud CLI project.
  2. Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda. Pelajari cara memeriksa apakah penagihan telah diaktifkan pada suatu project.
  3. Ikuti petunjuk di bagian Aktifkan API dan aktifkan Access Context Manager API untuk project Anda.

Mengonfigurasi tingkat akses dan kebijakan arah untuk vault cadangan

Jika appliance pencadangan/pemulihan dan vault pencadangan berada dalam perimeter Kontrol Layanan VPC yang sama, Anda tidak perlu mengonfigurasi tingkat akses dan kebijakan arah. Jika tidak, pilih dari salah satu skenario konfigurasi berikut berdasarkan persyaratan konfigurasi perimeter keamanan Anda.

  • Jika appliance pencadangan/pemulihan dan vault pencadangan berada dalam perimeter, tetapi berada di perimeter yang berbeda:
    • Konfigurasikan pengecualian traffic masuk di perimeter tempat resource vault cadangan berada. Tambahkan backupdr.googleapis.com dan storage.googleapis.com dalam aturan ingress. Sumbernya dapat berupa alamat IP, atau jaringan, atau project tempat appliance pencadangan/pemulihan berada.
    • Konfigurasikan pengecualian keluar di perimeter tempat perangkat cadangan/pemulihan berada. Tambahkan backupdr.googleapis.com dan storage.googleapis.com ke aturan keluar. Targetnya adalah project tempat resource vault cadangan berada. Anda dapat menggabungkannya dengan alamat IP perangkat pencadangan/pemulihan, atau properti lainnya.
  • Jika hanya resource vault cadangan yang ada di perimeter: Konfigurasikan pengecualian masuk di perimeter tempat resource vault cadangan berada. Tambahkan backupdr.googleapis.com dan storage.googleapis.com ke aturan masuk. Sumbernya dapat berupa alamat IP, jaringan, atau project tempat appliance pencadangan/pemulihan berada.
  • Jika hanya ada perangkat cadangan/pemulihan di perimeter: Konfigurasi pengecualian keluar di perimeter tempat perangkat cadangan/pemulihan berada. Tambahkan backupdr.googleapis.com dan storage.googleapis.com ke aturan keluar. Targetnya adalah project tempat resource vault cadangan berada. Anda dapat menggabungkannya dengan alamat IP perangkat pencadangan/pemulihan, atau properti lainnya.

Mengonfigurasi tingkat akses dan kebijakan arah untuk Compute Engine

Jika project administrator dan project workload berada dalam perimeter Kontrol Layanan VPC yang sama, Anda tidak perlu mengonfigurasi tingkat akses dan kebijakan arah. Jika tidak, pilih dari salah satu skenario konfigurasi berikut berdasarkan persyaratan konfigurasi perimeter keamanan Anda.

  • Jika project administrator dan project workload berada di perimeter layanan yang berbeda:
    • Project administrator perlu menambahkan aturan keluar untuk agen layanan vault cadangan ke project beban kerja untuk backupdr.googleapis.com dan compute.googleapis.com.
    • Project beban kerja perlu menambahkan aturan traffic masuk untuk mengizinkan panggilan dari agen layanan vault cadangan dan aturan traffic keluar untuk agen layanan vault cadangan ke project administrator untuk backupdr.googleapis.com dan compute.googleapis.com.
  • Jika hanya project administrator yang memiliki perimeter layanan: Project administrator perlu menambahkan aturan keluar untuk agen layanan vault cadangan ke project beban kerja untuk backupdr.googleapis.com dan compute.googleapis.com.
  • Jika hanya project workload yang memiliki perimeter layanan: Project workload perlu menambahkan aturan masuk untuk mengizinkan panggilan dari agen layanan vault cadangan dan aturan keluar untuk agen layanan vault cadangan ke project administrator untuk backupdr.googleapis.com dan compute.googleapis.com.

Mengonfigurasi Kontrol Layanan VPC untuk Layanan Pencadangan dan DR

Gunakan langkah-langkah berikut untuk mengonfigurasi Kontrol Layanan VPC untuk Layanan Pencadangan dan DR:

  1. Membuat perimeter layanan
  2. Mengonfigurasi konektivitas ke Google API dan layanan Google

Bagian berikut menjelaskan langkah-langkah ini secara mendetail.

Membuat perimeter layanan

Gunakan petunjuk berikut untuk membuat perimeter layanan:

  1. Di konsol Google Cloud, pada halaman pemilih project, pilih project Backup and DR Service yang ingin Anda lindungi dengan perimeter layanan VPC.
  2. Buat perimeter layanan menggunakan petunjuk yang dijelaskan di Membuat perimeter layanan.

  3. Tambahkan API berikut ke perimeter layanan di bagian Layanan yang Dibatasi:

    • Wajib: Backup and DR Service API - backupdr.googleapis.com
    • Opsional: Compute Engine API - compute.googleapis.com
    • Opsional: Resource Manager API - cloudresourcemanager.googleapis.com
    • Opsional: Workflows API - workflows.googleapis.com
    • Opsional: Cloud Key Management Service API - cloudkms.googleapis.com
    • Opsional: Identity and Access Management API - iam.googleapis.com
    • Opsional: Cloud Logging API - logging.googleapis.com
    • Opsional: Cloud Storage API - storage.googleapis.com

  4. Jika Anda menggunakan VPC Bersama, tambahkan project host dan layanan di bagian Tambahkan Resource.

Setelah Anda menyiapkan perimeter, secara default, akses ke konsol dan API pengelolaan Layanan Pencadangan dan DR hanya diizinkan dari dalam perimeter keamanan.

Jika aplikasi pencadangan/pemulihan membuat permintaan API cloud ke luar perimeter layanan, misalnya, untuk memulihkan instance Compute Engine ke project atau jaringan VPC yang tidak berada dalam perimeter yang sama, Anda mungkin melihat pelanggaran akses Kontrol Layanan VPC. Untuk mengizinkan permintaan API, Anda harus membuat aturan traffic masuk dan keluar yang sesuai di perimeter layanan Kontrol Layanan VPC untuk akun layanan perangkat pencadangan/pemulihan.

Mengonfigurasi konektivitas ke Google API dan layanan Google

Dalam konfigurasi Kontrol Layanan VPC, untuk mengontrol traffic jaringan, konfigurasikan akses ke Google API dan layanan melalui domain restricted.googleapis.com. Domain ini memblokir akses ke Google API dan layanan yang tidak mendukung Kontrol Layanan VPC. Untuk mengetahui informasi selengkapnya, lihat opsi domain.

Jika Anda tidak mengonfigurasi aturan DNS untuk Google API dan layanan Google, aturan tersebut akan di-resolve menggunakan opsi domain untuk domain default.

Backup and DR Service menggunakan domain berikut:

  • *.backupdr.cloud.google.com digunakan untuk mengakses konsol pengelolaan.
  • *.googleapis.com digunakan untuk mengakses layanan Google lainnya.

Konfigurasikan konektivitas ke endpoint restricted.googleapis.com berikut di bagian data DNS.

Domain Nama DNS Data CNAME Data A
*.googleapis.com googleapis.com. Nama DNS: *.googleapis.com.
Jenis data resource: CNAME
Nama kanonis: googleapis.com. 		Jenis data resource: A
Alamat IPv4: 199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7
*.backupdr.cloud.google.com backupdr.cloud.google.com. Nama DNS: *.backupdr.cloud.google.com.
Jenis data resource: CNAME
Nama kanonis: backupdr.cloud.google.com. 		Jenis data resource: A
Alamat IPv4:
199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7
*.backupdr.googleusercontent.com backupdr.googleusercontent.com Nama DNS: *.backupdr.googleusercontent.com.
Jenis data resource: CNAME
Nama kanonis: backupdr.googleusercontent.com. 		Jenis data resource: A
Alamat IPv4:
199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7

Membuat data DNS

Gunakan petunjuk berikut untuk membuat data DNS:

  1. Di konsol Google Cloud, buka halaman Create a DNS zone.

    Buka Membuat zona DNS

  2. Untuk Jenis zona, pilih Pribadi.

  3. Di kolom Nama zona, masukkan nama. Contoh, backup-dr-new-zone.

  4. Di kolom DNS name, masukkan nama untuk zona menggunakan nama domain yang Anda miliki, misalnya, backupdr.cloud.google.com.

  5. Opsional: Tambahkan deskripsi.

  6. Di bagian Options, pilih Default (private).

  7. Klik Create.

  8. Di halaman Zone details, klik Add Standard.

  9. Di halaman Create record set, gunakan langkah-langkah berikut untuk menambahkan kumpulan data untuk Data CNAME:

    1. Di kolom DNS Name, masukkan *.backupdr.cloud.google.com.
    2. Untuk Jenis data resource, pilih CNAME.
    3. Di kolom Canonical name, masukkan backupdr.cloud.google.com.
    4. Klik Create.

  10. Di halaman Detail zona, klik Tambahkan Standar dan gunakan langkah-langkah berikut untuk menambahkan kumpulan data dengan alamat IP:

    1. Di kolom DNS Name, masukkan *.backupdr.cloud.google.com.
    2. Pilih A sebagai Resource record type.
    3. Di kolom IPv4 addresses, masukkan 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7.
    4. Klik Create.

Untuk mengetahui informasi selengkapnya, lihat Menyiapkan konektivitas pribadi ke Google API dan layanan.

Memecahkan masalah

Kontrol Layanan VPC untuk Layanan Pencadangan dan DR didukung oleh versi 11.0.5 dan yang lebih baru. Anda dapat memeriksa versi dari Bantuan > Tentang konsol pengelolaan.

Jika Anda mengalami masalah saat mengonfigurasi Kontrol Layanan VPC untuk Layanan Pencadangan dan DR, lihat bagian pemecahan masalah Kontrol Layanan VPC.

Batasan

Jika Anda telah menghapus rute default internet dari project produsen layanan menggunakan perintah gcloud: gcloud services vpc-peerings enable-vpc-service-controls, Anda mungkin tidak dapat mengakses atau membuat konsol pengelolaan. Hubungi Cloud Customer Care Google Cloud jika Anda mengalami masalah ini.

Sebelum memasang image cadangan Compute Engine, tambahkan project layanan dan host ke perimeter yang sama. Jika tidak, Anda mungkin tidak akan melihat jaringan yang tersedia.