Configure o VPC Service Controls para o serviço de cópia de segurança e recuperação de desastres

Esta página apresenta uma vista geral do VPC Service Controls e como pode integrá-lo com o serviço Backup and DR para proteger os seus dados e recursos.

Acerca dos VPC Service Controls

Os VPC Service Controls ajudam a mitigar o risco de exfiltração de dados da consola de gestão do serviço de cópia de segurança e RD. Pode usar os VPC Service Controls para criar perímetros de serviço que protegem os recursos e os dados de vários serviços. Se o serviço de cópia de segurança e recuperação de desastres estiver protegido por um perímetro, os recursos externos ao perímetro não podem comunicar com a consola de gestão. No entanto, pode permitir que os recursos fora do perímetro de serviço acedam à consola de gestão e à API. Para mais informações, consulte o artigo Permita o acesso a recursos protegidos a partir do exterior de um perímetro.

Para uma vista geral dos VPC Service Controls, das respetivas vantagens de segurança e das respetivas capacidades nos produtos da CLI do Google Cloud, consulte a vista geral dos VPC Service Controls.

Antes de começar

Antes de começar a configurar o VPC Service Controls para o serviço de cópia de segurança e recuperação de desastres, faça o seguinte:

  1. Na Google Cloud consola, na página Selecionador de projetos, selecione criar um projeto da CLI Google Cloud.
  2. Certifique-se de que a faturação está ativada para o seu Google Cloud projeto. Saiba como verificar se a faturação está ativada num projeto.
  3. Siga as instruções na secção Ative APIs e ative a API Access Context Manager para o seu projeto.

Configure níveis de acesso e políticas de direção para o cofre de cópias de segurança

Se o dispositivo de cópia de segurança/recuperação e o cofre de cópias de segurança estiverem no mesmo perímetro do VPC Service Controls, não precisa de configurar níveis de acesso nem políticas de direção. Caso contrário, escolha um dos seguintes cenários de configuração com base nos requisitos de configuração do perímetro de segurança.

  • Se o dispositivo de cópia de segurança/recuperação e o cofre de cópias de segurança estiverem em perímetros, mas existirem em perímetros diferentes:
    • Configure exceções de entrada no perímetro onde existem recursos do cofre de cópias de segurança. Adicione backupdr.googleapis.com e storage.googleapis.com na regra de entrada. A origem pode ser o endereço IP, a rede ou o projeto no qual o dispositivo de cópia de segurança/recuperação está presente.
    • Configure exceções de saída no perímetro onde existem aparelhos de cópia de segurança/recuperação. Adicione backupdr.googleapis.com e storage.googleapis.com à regra de saída. O destino é o projeto onde o recurso do cofre de cópias de segurança existe. Pode combinar isso com o endereço IP do dispositivo de cópia de segurança/recuperação ou qualquer outra propriedade.
  • Se apenas os recursos do cofre de cópias de segurança estiverem no perímetro: configure exceções de entrada no perímetro onde existem recursos do cofre de cópias de segurança. Adicione backupdr.googleapis.com e storage.googleapis.com à regra de entrada. A origem pode ser o endereço IP, a rede ou o projeto onde o dispositivo de cópia de segurança/recuperação está presente.
  • Se apenas existir um dispositivo de cópia de segurança/recuperação no perímetro: Configure exceções de saída no perímetro onde existem dispositivos de cópia de segurança/recuperação. Adicione backupdr.googleapis.com e storage.googleapis.com à regra de saída. O destino é o projeto onde o recurso do cofre de cópias de segurança existe. Pode combinar isso com o endereço IP do dispositivo de cópia de segurança/recuperação ou qualquer outra propriedade.

Configure os níveis de acesso e as políticas de direção para o Compute Engine

Se o projeto do administrador e o projeto da carga de trabalho estiverem no mesmo perímetro do VPC Service Controls, não precisa de configurar níveis de acesso nem políticas de direção. Caso contrário, escolha um dos seguintes cenários de configuração com base nos requisitos de configuração do perímetro de segurança.

  • Se o projeto do administrador e o projeto da carga de trabalho existirem em perímetros de serviço diferentes:
    • O projeto do administrador tem de adicionar uma regra de saída para o agente do serviço do cofre de cópias de segurança ao projeto da carga de trabalho para backupdr.googleapis.com e compute.googleapis.com.
    • O projeto de carga de trabalho tem de adicionar uma regra de entrada para permitir chamadas do agente de serviço do cofre de cópias de segurança e uma regra de saída para o agente de serviço do cofre de cópias de segurança para o projeto de administrador para backupdr.googleapis.com e compute.googleapis.com.
  • Se apenas o projeto de administrador tiver um perímetro de serviço: O projeto de administrador tem de adicionar uma regra de saída para o agente do serviço de cofre de cópias de segurança ao projeto de carga de trabalho para backupdr.googleapis.com e compute.googleapis.com.
  • Se apenas o projeto da carga de trabalho tiver um perímetro de serviço: O projeto da carga de trabalho tem de adicionar uma regra de entrada para permitir chamadas do agente de serviço do cofre de cópias de segurança e uma regra de saída para o agente de serviço do cofre de cópias de segurança para o projeto de administrador para backupdr.googleapis.com e compute.googleapis.com.

Configure o VPC Service Controls para o serviço de cópia de segurança e recuperação de desastres

Siga estes passos para configurar os VPC Service Controls para o serviço de cópia de segurança e recuperação de desastres:

  1. Crie um perímetro de serviço
  2. Configure a conetividade às APIs e aos serviços Google

As secções seguintes descrevem estes passos detalhadamente.

Crie um perímetro de serviço

Siga as instruções que se seguem para criar um perímetro de serviço:

  1. Na Google Cloud consola, na página do seletor de projetos, selecione o projeto do serviço de cópia de segurança e recuperação de desastres que quer que o perímetro de serviço da VPC proteja.
  2. Crie um perímetro de serviço seguindo as instruções descritas no artigo Crie um perímetro de serviço.

  3. Adicione as seguintes APIs ao perímetro de serviço na secção Serviços restritos:

    • Obrigatório: API Backup and DR Service – backupdr.googleapis.com
    • Opcional: API Compute Engine – compute.googleapis.com
    • Opcional: API Resource Manager – cloudresourcemanager.googleapis.com
    • Opcional: API Workflows – workflows.googleapis.com
    • Opcional: API Cloud Key Management Service – cloudkms.googleapis.com
    • Opcional: API Identity and Access Management – iam.googleapis.com
    • Opcional: Cloud Logging API – logging.googleapis.com
    • Opcional: API Cloud Storage – storage.googleapis.com

  4. Se estiver a usar uma VPC partilhada, adicione os projetos anfitrião e de serviço na secção Adicionar recursos.

Depois de configurar um perímetro, por predefinição, o acesso à consola de gestão e à API do serviço de cópias de segurança e RD só é permitido a partir do interior do perímetro de segurança.

Se um dispositivo de cópia de segurança/recuperação fizer pedidos de API de nuvem para fora do perímetro de serviço, por exemplo, para recuperar uma instância do Compute Engine para um projeto ou uma rede VPC que não esteja no mesmo perímetro, pode ver uma violação de acesso dos VPC Service Controls. Para permitir pedidos de API, tem de criar regras de entrada e saída adequadas no perímetro de serviço dos VPC Service Controls para a conta de serviço do dispositivo de cópia de segurança/recuperação.

Configure a conetividade às APIs e aos serviços Google

Numa configuração do VPC Service Controls, para controlar o tráfego de rede, configure o acesso às APIs e aos serviços Google através do domínio restricted.googleapis.com. Este domínio bloqueia o acesso a APIs e serviços Google que não suportam os VPC Service Controls. Para mais informações, consulte as opções de domínio.

Se não configurar regras de DNS para as APIs e os serviços Google, estes são resolvidos através da opção de domínio para domínios predefinidos.

O serviço de cópia de segurança e RD usa os seguintes domínios:

  • *.backupdr.cloud.google.com é usado para aceder à consola de gestão.
  • *.googleapis.com é usado para aceder a outros serviços Google.

Configure a conetividade aos seguintes pontos finais restricted.googleapis.com na secção Registo de DNS.

Domínio Nome DNS Registo CNAME Registo A
*.googleapis.com googleapis.com. Nome DNS: *.googleapis.com.
Tipo de registo de recurso: CNAME
Nome canónico: googleapis.com. 		Tipo de registo de recursos: A
Endereços IPv4: 199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7
*.backupdr.cloud.google.com backupdr.cloud.google.com. Nome DNS: *.backupdr.cloud.google.com.
Tipo de registo de recurso: CNAME
Nome canónico: backupdr.cloud.google.com. 		Tipo de registo de recursos: A
Endereços IPv4:
199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7
*.backupdr.googleusercontent.com backupdr.googleusercontent.com Nome DNS: *.backupdr.googleusercontent.com.
Tipo de registo de recurso: CNAME
Nome canónico: backupdr.googleusercontent.com. 		Tipo de registo de recursos: A
Endereços IPv4:
199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7

Crie um registo DNS

Siga estas instruções para criar um registo de DNS:

  1. Na Google Cloud consola, aceda à página Criar uma zona DNS.

    Aceda a Crie uma zona DNS

  2. Para o Tipo de zona, selecione Privado.

  3. No campo Nome da zona, introduza um nome. Por exemplo, backup-dr-new-zone.

  4. No campo Nome DNS, introduza um nome para a zona com um nome de domínio que lhe pertence, por exemplo, backupdr.cloud.google.com.

  5. Opcional: adicione uma descrição.

  6. Em Opções, selecione Predefinição (privado).

  7. Clique em Criar.

  8. Na página Detalhes da zona, clique em Adicionar padrão.

  9. Na página Criar conjunto de registos, use os seguintes passos para adicionar um conjunto de registos para o registo CNAME:

    1. No campo Nome DNS, introduza *.backupdr.cloud.google.com.
    2. Para o Tipo de registo de recursos, selecione CNAME.
    3. No campo Nome canónico, introduza backupdr.cloud.google.com.
    4. Clique em Criar.

  10. Na página Detalhes da zona, clique em Adicionar padrão e siga os passos abaixo para adicionar um conjunto de registos com endereços IP:

    1. No campo Nome DNS, introduza *.backupdr.cloud.google.com.
    2. Selecione A como o tipo de registo de recurso.
    3. No campo Endereços IPv4, introduza 199.36.153.4, 199.36.153.5, 199.36.153.6 e 199.36.153.7.
    4. Clique em Criar.

Para mais informações, consulte o artigo Configure a conetividade privada às APIs e aos serviços Google.

Resolver problemas

Os VPC Service Controls para o serviço de cópia de segurança e recuperação de desastres são suportados pela versão 11.0.5 e posteriores. Pode verificar a versão em Ajuda > Acerca de na consola de gestão.

Se tiver problemas ao configurar os VPC Service Controls para o serviço de backup e recuperação de desastres, consulte a secção de resolução de problemas dos VPC Service Controls.

Limitações

Se tiver removido a rota predefinida da Internet do projeto do produtor de serviços através do comando gcloud: gcloud services vpc-peerings enable-vpc-service-controls, pode não conseguir aceder nem criar a consola de gestão. Contacte o apoio ao cliente do Google Cloud se tiver este problema.

Antes de montar uma imagem de cópia de segurança do Compute Engine, adicione os projetos de serviço e de anfitrião ao mesmo perímetro. Caso contrário, pode não ver as redes disponíveis.