为 Backup and DR Service 配置 VPC Service Controls

本页面简要介绍了 VPC Service Controls，以及如何将其与备份和灾难恢复服务集成以保护您的数据和资源。

VPC Service Controls 简介

VPC Service Controls 有助于降低从备份和灾难恢复服务管理控制台数据渗漏的风险。您可以使用 VPC Service Controls 创建服务边界，以保护各种服务的资源和数据。如果备份和灾难恢复服务受边界保护，则边界外的资源无法与管理控制台通信。不过，您可以允许服务边界外的资源访问管理控制台和 API。如需了解详情，请参阅允许从边界外访问受保护的资源。

如需大致了解 VPC Service Controls、其安全优势以及在 Google Cloud CLI 产品中的功能，请参阅 VPC Service Controls 概览。

准备工作

在开始为备份和灾难恢复服务配置 VPC Service Controls 之前，请执行以下操作：

1. 在 Google Cloud 控制台的项目选择器页面上，选择创建 Google Cloud CLI 项目。
2. 确保您的 Google Cloud 项目已启用结算功能。 了解如何检查项目是否已启用结算功能。
3. 按照启用 API部分中的说明操作，为您的项目启用 Access Context Manager API。

为备份保险柜配置访问权限级别和传输方向政策

如果备份/恢复设备和备份保险柜位于同一 VPC Service Controls 边界中，则无需配置访问权限级别和方向政策。否则，请根据您的安全边界配置要求，从以下某种配置场景中进行选择。

• 如果备份/恢复设备和备份保险柜位于边界内，但位于不同的边界内：
  • 在包含备份保险柜资源的边界中配置入站例外情况。在入站流量规则中添加 backupdr.googleapis.com 和 storage.googleapis.com。来源可以是IP 地址、网络，或备份/恢复设备所在的项目。
  • 在包含备份/恢复设备的外围网中配置出站流量例外情况。将 backupdr.googleapis.com 和 storage.googleapis.com 添加到出站流量规则。目标是备份保险柜资源所在的项目。您可以将其与备份/恢复设备的 IP 地址或任何其他属性组合使用。
• 如果边界中只有备份保险柜资源：在包含备份保险柜资源的边界中配置入站例外情况。将 backupdr.googleapis.com 和 storage.googleapis.com 添加到入站规则。来源可以是 IP 地址、网络或备份/恢复设备所在的项目。
• 如果边界中只有备份/恢复设备：在包含备份/恢复设备的边界中配置出站流量例外情况。将 backupdr.googleapis.com 和 storage.googleapis.com 添加到出站流量规则。目标是备份保险柜资源所在的项目。您可以将其与备份/恢复设备的 IP 地址或任何其他属性组合使用。

为 Compute Engine 配置访问权限级别和方向政策

如果管理员项目和工作负载项目位于同一 VPC Service Controls 边界内，则无需配置访问权限级别和方向政策。否则，请根据您的安全边界配置要求，从以下某种配置场景中进行选择。

• 如果管理员项目和工作负载项目位于不同的服务边界中：
  • 管理员项目需要为 backupdr.googleapis.com 和 compute.googleapis.com 的工作负载项目添加备份保险柜服务代理的出站规则。
  • 工作负载项目需要添加入站规则，以允许从备份保险柜服务代理进行调用，并添加出站规则，以允许备份保险柜服务代理对 backupdr.googleapis.com 和 compute.googleapis.com 的管理员项目进行调用。
• 如果只有管理员项目具有服务边界：管理员项目需要为 backupdr.googleapis.com 和 compute.googleapis.com 的工作负载项目添加备份保险柜服务代理的出站规则。
• 如果只有工作负载项目具有服务边界：工作负载项目需要添加入站规则，以允许备份保险柜服务代理进行调用，并为备份保险柜服务代理添加出站规则，以便其向 backupdr.googleapis.com 和 compute.googleapis.com 管理员项目发出调用。

为 Backup and DR Service 配置 VPC Service Controls

如需为备份和灾难恢复服务配置 VPC Service Controls，请按以下步骤操作：

1. 创建服务边界
2. 配置与 Google API 和服务的连接

下面几部分将详细介绍这些步骤。

创建服务边界

请按照以下说明创建服务边界：

1. 在 Google Cloud 控制台的“项目选择器”页面上，选择您希望 VPC 服务边界保护的备份和灾难恢复服务项目。
2. 按照创建服务边界中所述的说明创建服务边界。

3. 在受限服务部分，将以下 API 添加到服务边界：

   • 必需：Backup and DR Service API - backupdr.googleapis.com
   • 可选：Compute Engine API - compute.googleapis.com
   • 可选：Resource Manager API - cloudresourcemanager.googleapis.com
   • 可选：Workflows API - workflows.googleapis.com
   • 可选：Cloud Key Management Service API - cloudkms.googleapis.com
   • 可选：Identity and Access Management API - iam.googleapis.com
   • 可选：Cloud Logging API - logging.googleapis.com
   • 可选：Cloud Storage API - storage.googleapis.com

4. 如果您使用的是共享 VPC，请在添加资源部分添加宿主项目和服务项目。

设置边界后，默认情况下，只有在安全边界内才能访问备份和灾难恢复服务管理控制台和 API。

如果备份/恢复设备向服务边界之外发出 Cloud API 请求（例如，将 Compute Engine 实例恢复到不在同一边界的项目或 VPC 网络），您可能会看到 VPC Service Controls 访问权限违规问题。如需允许 API 请求，您必须在 VPC Service Controls 服务边界中为备份/恢复设备服务账号创建适当的入站和出站规则。

配置与 Google API 和服务的连接

在 VPC Service Controls 配置中，如需控制网络流量，请通过 restricted.googleapis.com 网域配置对 Google API 和服务的访问权限。此网域会阻止对不支持 VPC Service Controls 的 Google API 和服务的访问。如需了解详情，请参阅网域选项。

如果您未为 Google API 和服务配置 DNS 规则，系统会使用默认网域的域名选项解析它们。

备份和灾难恢复服务使用以下网域：

• *.backupdr.cloud.google.com 用于访问管理控制台。
• *.googleapis.com 用于访问其他 Google 服务。

在 DNS 记录部分中，配置与以下 restricted.googleapis.com 端点的连接。

网域	DNS 名称	CNAME 记录	A 记录
*.googleapis.com	googleapis.com.	DNS 名称：*.googleapis.com. 资源记录类型：CNAME 规范名称：googleapis.com.	资源记录类型：A IPv4 地址： 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7
*.backupdr.cloud.google.com	backupdr.cloud.google.com.	DNS 名称：*.backupdr.cloud.google.com. 资源记录类型：CNAME 规范名称：backupdr.cloud.google.com.	资源记录类型：A IPv4 地址： 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7
*.backupdr.googleusercontent.com	backupdr.googleusercontent.com	DNS 名称：*.backupdr.googleusercontent.com. 资源记录类型：CNAME 规范名称：backupdr.googleusercontent.com.	资源记录类型：A IPv4 地址： 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7

创建 DNS 记录

按照以下说明创建 DNS 记录：

1. 在 Google Cloud Console 中，转到创建 DNS 可用区页面。

   转到“创建 DNS 可用区”

2. 对于可用区类型，请选择专用。

3. 在可用区名称字段中，输入名称。例如 backup-dr-new-zone。

4. 在 DNS 名称字段中，使用您拥有的域名为该区域输入名称，例如 backupdr.cloud.google.com。

5. 可选：添加说明。

6. 在选项下，选择默认（专用）。

7. 点击创建。

8. 在区域详情页面上，点击添加标准。

9. 在创建记录集页面中，按照以下步骤为 CNAME 记录添加记录集：

   1. 在 DNS 名称字段中，输入 *.backupdr.cloud.google.com。
   2. 在资源记录类型部分，选择 CNAME。
   3. 在规范名称字段中，输入 backupdr.cloud.google.com。
   4. 点击创建。

10. 在区域详情页面上，点击添加标准，然后按照以下步骤添加包含 IP 地址的记录集：

    1. 在 DNS 名称字段中，输入 *.backupdr.cloud.google.com。
    2. 选择 A 作为资源记录类型。
    3. 在 IPv4 地址字段中，输入 199.36.153.4、199.36.153.5、199.36.153.6、199.36.153.7。
    4. 点击创建。

如需了解详情，请参阅设置与 Google API 和服务的专用连接。

问题排查

版本 11.0.5 及更高版本支持备份和灾难恢复服务的 VPC Service Controls。您可以前往管理控制台的帮助 > 关于，查看版本。

如果您在为备份和灾难恢复服务配置 VPC Service Controls 时遇到任何问题，请参阅 VPC Service Controls 问题排查部分。

限制

如果您使用 gcloud 命令 gcloud services vpc-peerings enable-vpc-service-controls 从服务提供方项目中移除了互联网默认路由，则可能无法访问或创建管理控制台。如果您遇到此问题，请与 Google Cloud Customer Care 联系。

在挂载 Compute Engine 备份映像之前，请将服务项目和主机项目添加到同一边界。否则，您可能看不到可用影音平台。