Backup and DR Service 用に VPC Service Controls を構成する

このページでは、VPC Service Controls の概要と、Backup と DR Service と統合してデータとリソースを保護する方法について説明します。

VPC Service Controls について

VPC Service Controls を使用すると、バックアップと DR サービスの管理コンソールからデータが漏洩するリスクを軽減できます。VPC Service Controls を使用すると、さまざまなサービスのリソースとデータを保護するサービス境界を作成できます。Backup and DR Service が境界で保護されている場合、境界外のリソースは管理コンソールと通信できません。ただし、サービス境界外のリソースが管理コンソールと API にアクセスできるようにすることはできます。詳細については、境界の外部から保護されたリソースへのアクセスを許可するをご覧ください。

VPC Service Controls の概要、セキュリティ上のメリット、Google Cloud CLI プロダクト全体での機能については、VPC Service Controls の概要をご覧ください。

始める前に

バックアップと DR サービス用の VPC Service Controls の構成を開始する前に、次の操作を行います。

  1. Google Cloud コンソールの [プロジェクト セレクタ] ページで、[Google Cloud CLI プロジェクトを作成] を選択します。
  2. Google Cloud プロジェクトで課金が有効になっていることを確認します。詳しくは、プロジェクトで課金が有効になっているかどうかを確認する方法をご覧ください。
  3. API を有効にするセクションの手順に沿って、プロジェクトで Access Context Manager API を有効にします。

バックアップ バットのアクセスレベルと転送ポリシーを構成する

バックアップ/リカバリ アプライアンスとバックアップ ボールトが同じ VPC Service Controls 境界内にある場合は、アクセスレベルと方向ポリシーを構成する必要はありません。それ以外の場合は、セキュリティ境界の構成要件に基づいて、次のいずれかの構成シナリオを選択します。

  • バックアップ/リカバリ アプライアンスとバックアップ ボールトが境界内にあるが、異なる境界にある場合:
    • バックアップ ボールト リソースが存在する境界で Ingress 例外を構成します。上り(内向き)ルールに backupdr.googleapis.comstorage.googleapis.com の両方を追加します。ソースは、IP アドレス、ネットワーク、バックアップ/リカバリ アプライアンスがあるプロジェクトです。
    • バックアップ/リカバリ アプライアンスがある境界で下り(外向き)の例外を構成します。下り(外向き)ルールに backupdr.googleapis.comstorage.googleapis.com の両方を追加します。ターゲットは、バックアップ ボールト リソースが存在するプロジェクトです。バックアップ/リカバリ アプライアンスの IP アドレスやその他のプロパティと組み合わせることができます。
  • Backup Vault リソースのみが境界内にある場合: Backup Vault リソースが存在する境界で上り(内向き)の例外を構成します。上り(内向き)ルールに backupdr.googleapis.comstorage.googleapis.com の両方を追加します。ソースは、バックアップ/リカバリ アプライアンスがある IP アドレス、ネットワーク、プロジェクトです。
  • 境界にバックアップ/リカバリ アプライアンスのみがある場合: バックアップ/リカバリ アプライアンスがある境界で下り(外向き)の例外を構成します。下り(外向き)ルールに backupdr.googleapis.comstorage.googleapis.com の両方を追加します。ターゲットは、バックアップ ボールト リソースが存在するプロジェクトです。バックアップ/リカバリ アプライアンスの IP アドレスやその他のプロパティと組み合わせることができます。

Compute Engine のアクセスレベルと方向ポリシーを構成する

管理者プロジェクトとワークロード プロジェクトが同じ VPC Service Controls の境界内にある場合、アクセスレベルと方向ポリシーを構成する必要はありません。それ以外の場合は、セキュリティ境界の構成要件に基づいて、次のいずれかの構成シナリオを選択します。

  • 管理者プロジェクトとワークロード プロジェクトの両方が異なるサービス境界にある場合:
    • 管理者プロジェクトは、backupdr.googleapis.comcompute.googleapis.com の両方のワークロード プロジェクトに、Backup Vault サービス エージェントの下り(外向き)ルールを追加する必要があります。
    • ワークロード プロジェクトには、Backup Vault サービス エージェントからの呼び出しを許可する上り(内向き)ルールと、backupdr.googleapis.comcompute.googleapis.com の両方の管理プロジェクトへの Backup Vault サービス エージェントの下り(外向き)ルールを追加する必要があります。
  • 管理者プロジェクトにのみサービス境界がある場合: 管理者プロジェクトは、backupdr.googleapis.comcompute.googleapis.com の両方のワークロード プロジェクトにバックアップ ボールト サービス エージェントの下り(外向き)ルールを追加する必要があります。
  • ワークロード プロジェクトにのみサービス境界がある場合: ワークロード プロジェクトには、バックアップ ボールト サービス エージェントからの呼び出しを許可する上り(内向き)ルールと、backupdr.googleapis.comcompute.googleapis.com の両方の管理者プロジェクトへのバックアップ ボールト サービス エージェントの下り(外向き)ルールを追加する必要があります。

Backup and DR Service 用に VPC Service Controls を構成する

Backup and DR Service の VPC Service Controls を構成する手順は次のとおりです。

  1. サービス境界を作成する
  2. Google API とサービスへの接続を構成する

以降のセクションで、この手順について詳しく説明します。

サービス境界を作成する

サービス境界を作成するには、次の手順を行います。

  1. Google Cloud コンソールのプロジェクト選択ページで、VPC サービス境界で保護するバックアップと DR サービスのプロジェクトを選択します。
  2. サービス境界を作成するの手順に沿って、サービス境界を作成します。

  3. [制限付きサービス] セクションで、次の API をサービス境界に追加します。

    • 必須: Backup and DR Service API - backupdr.googleapis.com
    • 省略可: Compute Engine API - compute.googleapis.com
    • 省略可: Resource Manager API - cloudresourcemanager.googleapis.com
    • 省略可: Workflows API - workflows.googleapis.com
    • 省略可: Cloud Key Management Service API - cloudkms.googleapis.com
    • 省略可: Identity and Access Management API - iam.googleapis.com
    • 省略可: Cloud Logging API - logging.googleapis.com
    • 省略可: Cloud Storage API - storage.googleapis.com

  4. 共有 VPC を使用している場合は、[リソースを追加] セクションでホスト プロジェクトとサービス プロジェクトを追加します。

境界を設定すると、デフォルトでは、バックアップと DR サービスの管理コンソールと API へのアクセスはセキュリティ境界内からのみ許可されます。

バックアップ/復元アプライアンスがサービス境界の外部に Cloud API リクエストを送信する場合(Compute Engine インスタンスを同じ境界にないプロジェクトまたは VPC ネットワークに復元する場合など)、VPC Service Controls のアクセス違反が発生することがあります。API リクエストを許可するには、バックアップ/リカバリ アプライアンスのサービス アカウントの VPC Service Controls サービス境界に適切な上り(内向き)ルールと下り(外向き)ルールを作成する必要があります。

Google API とサービスへの接続

VPC Service Controls 構成でネットワーク トラフィックを制御するには、restricted.googleapis.com ドメインを介して Google API とサービスへのアクセスを構成します。このドメインは、VPC Service Controls をサポートしていない Google API とサービスへのアクセスをブロックします。詳細については、ドメイン オプションをご覧ください。

Google API とサービスの DNS ルールを構成しない場合、DNS ルールはデフォルト ドメインのドメイン オプションを使用して解決されます。

Backup & DR サービスは次のドメインを使用します。

  • *.backupdr.cloud.google.com は、管理コンソールへのアクセスに使用されます。
  • *.googleapis.com は、他の Google サービスへのアクセスに使用されます。

[DNS レコード] セクションで、次の restricted.googleapis.com エンドポイントへの接続を構成します。

ドメイン DNS 名 CNAME レコード A レコード
*.googleapis.com googleapis.com. DNS 名: *.googleapis.com.
リソース レコードのタイプ: CNAME
正規名: googleapis.com. 		リソース レコードのタイプ: A
IPv4 アドレス: 199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7
*.backupdr.cloud.google.com backupdr.cloud.google.com. DNS 名: *.backupdr.cloud.google.com.
リソース レコードのタイプ: CNAME
正規名: backupdr.cloud.google.com. 		リソース レコードのタイプ: A
IPv4 アドレス:
199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7
*.backupdr.googleusercontent.com backupdr.googleusercontent.com DNS 名: *.backupdr.googleusercontent.com.
リソース レコードのタイプ: CNAME
正規名: backupdr.googleusercontent.com. 		リソース レコードのタイプ: A
IPv4 アドレス:
199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7

DNS レコードを作成する

DNS レコードを作成するには、次の手順を行います。

  1. Google Cloud コンソールで、[DNS ゾーンの作成] ページに移動します。

    [DNS ゾーンの作成] に移動

  2. [ゾーンのタイプ] で [非公開] を選択します。

  3. [ゾーン名] フィールドに名前を入力します。例: backup-dr-new-zone

  4. [DNS 名] フィールドに、所有しているドメイン名を使用してゾーンの名前を入力します(例: backupdr.cloud.google.com)。

  5. (省略可)説明を追加します。

  6. [オプション] で、[デフォルト(限定公開)] を選択します。

  7. [作成] をクリックします。

  8. [ゾーンの詳細] ページで、[標準を追加] をクリックします。

  9. [レコードセットの作成] ページで、次の手順に沿って CNAME レコードのレコードセットを追加します。

    1. [DNS 名] フィールドに「*.backupdr.cloud.google.com」と入力します。
    2. [リソース レコードのタイプ] で [CNAME] を選択します。
    3. [Canonical name] フィールドに「backupdr.cloud.google.com」と入力します。
    4. [作成] をクリックします。

  10. [ゾーンの詳細] ページで、[標準を追加] をクリックし、次の手順で IP アドレスを含むレコードセットを追加します。

    1. [DNS 名] フィールドに「*.backupdr.cloud.google.com」と入力します。
    2. [リソース レコードのタイプ] として [A] を選択します。
    3. [IPv4 アドレス] フィールドに、199.36.153.4199.36.153.5199.36.153.6199.36.153.7 と入力します。
    4. [作成] をクリックします。

詳細については、Google API とサービスへのプライベート接続を設定するをご覧ください。

トラブルシューティング

バックアップと DR サービス用の VPC Service Controls は、バージョン 11.0.5 以降でサポートされています。バージョンを確認するには、管理コンソールの [ヘルプ] > [概要] に移動します。

バックアップと DR サービスの VPC Service Controls の構成中に問題が発生した場合は、VPC Service Controls のトラブルシューティングのセクションをご覧ください。

制限事項

gcloud コマンド gcloud services vpc-peerings enable-vpc-service-controls を使用して、サービス プロデューサー プロジェクトからインターネットのデフォルト ルートを削除した場合、管理コンソールにアクセスまたは作成できない場合があります。この問題が発生した場合は、Google Cloud カスタマーケアにお問い合わせください。

Compute Engine バックアップ イメージをマウントする前に、サービス プロジェクトとホスト プロジェクトを同じ境界に追加します。有効にしないと、利用可能なネットワークが表示されない場合があります。