為備份和災難復原服務設定 VPC Service Controls

本頁面將介紹 VPC Service Controls,以及如何將其與 Backup and DR Service 整合,以保護資料和資源。

關於 VPC Service Controls

VPC Service Controls 可協助降低 Backup and DR Service 管理主控台的資料竊取風險。您可以使用 VPC Service Controls 建立服務範圍,保護各種服務的資源和資料。如果備份和災難復原服務受到範圍保護,範圍外部的資源就無法與管理控制台通訊。不過,您可以允許服務範圍外部的資源存取管理控制台和 API。詳情請參閱「允許服務範圍外的受保護資源存取要求」。

如要概略瞭解 VPC Service Controls、其安全性優勢,以及跨 Google Cloud CLI 產品的功能,請參閱 VPC Service Controls 總覽

事前準備

開始為備份和災難復原服務設定 VPC Service Controls 前,請先執行下列操作:

  1. 在 Google Cloud 控制台的「Project Selector」頁面中,選取「create a Google Cloud CLI project」
  2. 請確認您已為 Google Cloud 專案啟用計費功能。瞭解如何檢查專案是否已啟用計費功能
  3. 按照「啟用 API」一節中的操作說明,為專案啟用 Access Context Manager API

設定備份金鑰庫的存取層級和方向政策

如果備份/復原裝置和備份金庫位於相同的 VPC Service Controls 範圍內,您就不需要設定存取層級和方向政策。否則,請根據安全性邊界設定需求,從下列任一設定情境中選擇。

  • 如果備份/復原設備和備份金鑰庫位於不同區域的邊界內
    • 在備份金鑰庫資源所在的邊界中設定入站例外狀況。在 ingress 規則中新增 backupdr.googleapis.comstorage.googleapis.com。來源可以是 IP 位址、網路,或是備份/復原工具所在的專案。
    • 在備份/復原設備所在的邊界中設定傳出例外狀況。將 backupdr.googleapis.comstorage.googleapis.com 新增至出口規則。目標是備份金庫資源所在的專案。您可以將該值與備份/復原裝置的 IP 位址或任何其他屬性結合。
  • 如果只有 backup vault 資源位於範圍內: 在 backup vault 資源所在的範圍內設定 ingress 例外狀況。將 backupdr.googleapis.comstorage.googleapis.com 新增至 ingress 規則。來源可以是 IP 位址、網路或備份/復原設備所在的專案。
  • 如果邊界中只有備份/復原設備: 在備份/復原設備所在的邊界中設定例外情況。將 backupdr.googleapis.comstorage.googleapis.com 新增至出口規則。目標是備份金庫資源所在的專案。您可以將該值與備份/復原裝置的 IP 位址或任何其他屬性結合。

設定 Compute Engine 的存取層級和方向政策

如果管理員專案和工作負載專案位於相同的 VPC Service Controls 範圍內,您就不需要設定存取層級和方向政策。否則,請根據安全性邊界設定需求,從下列任一設定情境中選擇。

  • 如果管理員專案和工作負載專案位於不同的服務範圍內
    • 管理員專案需要為 backupdr.googleapis.comcompute.googleapis.com 的負載專案,新增 backup vault 服務代理的傳出規則。
    • 工作負載專案需要新增入站規則,允許 backup vault 服務代理的呼叫,以及 backup vault 服務代理的出口規則,以便將 backupdr.googleapis.comcompute.googleapis.com 傳送至管理員專案。
  • 如果只有管理員專案具有服務邊界:管理員專案需要為備份金庫服務代理程式,在 backupdr.googleapis.comcompute.googleapis.com 的工作負載專案中新增傳出規則。
  • 如果只有工作負載專案具有服務範圍:工作負載專案需要新增輸入規則,允許備份金庫服務代理的呼叫,以及備份金庫服務代理的輸出規則,以便將 backupdr.googleapis.comcompute.googleapis.com 傳送至管理員專案。

為備份和災難復原服務設定 VPC Service Controls

請按照下列步驟,為備份和災難復原服務設定 VPC Service Controls:

  1. 建立服務範圍
  2. 設定連線至 Google API 和服務

以下各節將詳細說明這些步驟。

建立服務範圍

請按照以下操作說明建立服務範圍

  1. 在 Google Cloud 控制台的專案選取器頁面中,選取要由虛擬私有雲服務範圍保護的備份和 DR 服務專案。
  2. 按照「建立服務範圍」一文的操作說明建立服務範圍。

  3. 將下列 API 新增至「Restricted Services」區段的服務範圍

    • 必備:Backup and DR Service API - backupdr.googleapis.com
    • 選用:Compute Engine API - compute.googleapis.com
    • 選用:Resource Manager API - cloudresourcemanager.googleapis.com
    • 選用:Workflows API - workflows.googleapis.com
    • 選用:Cloud Key Management Service API - cloudkms.googleapis.com
    • 選用:Identity and Access Management API - iam.googleapis.com
    • 選用:Cloud Logging API - logging.googleapis.com
    • 選用:Cloud Storage API - storage.googleapis.com

  4. 如果您使用共用虛擬私有雲,請在「新增資源」專區中新增主機和服務專案。

設定範圍後,根據預設,只有安全範圍內的使用者才能存取備份和災難復原服務管理控制台和 API。

如果備份/還原裝置向服務範圍以外的雲端 API 提出要求,例如將 Compute Engine 執行個體還原至不在同一個範圍內的專案或 VPC 網路,您可能會看到 VPC Service Controls 存取權違規。如要允許 API 要求,您必須在備份/復原機器服務帳戶的 VPC Service Controls 服務範圍中,建立適當的入站和出站規則

設定連線至 Google API 和服務

在 VPC Service Controls 設定中,如要控管網路流量,請透過 restricted.googleapis.com 網域設定 Google API 和服務的存取權。這個網域會封鎖對不支援 VPC Service Controls 的 Google API 和服務的存取權。詳情請參閱網域選項

如果您未為 Google API 和服務設定 DNS 規則,系統會使用預設網域的網域選項來解析這些 API 和服務。

備份和災難復原服務會使用下列網域:

  • *.backupdr.cloud.google.com 用於存取管理主控台。
  • *.googleapis.com 可用於存取其他 Google 服務。

DNS 記錄區段中,設定與下列 restricted.googleapis.com 端點的連線。

網域 DNS 名稱 CNAME 記錄 A 記錄
*.googleapis.com googleapis.com. DNS 名稱:*.googleapis.com.
資源記錄類型:CNAME
正式名稱:googleapis.com. 		資源記錄類型:A
IPv4 位址: 199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7
*.backupdr.cloud.google.com backupdr.cloud.google.com. DNS 名稱:*.backupdr.cloud.google.com.
資源記錄類型:CNAME
正式名稱:backupdr.cloud.google.com. 		資源記錄類型:A
IPv4 位址:
199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7
*.backupdr.googleusercontent.com backupdr.googleusercontent.com DNS 名稱:*.backupdr.googleusercontent.com.
資源記錄類型:CNAME
正式名稱:backupdr.googleusercontent.com. 		資源記錄類型:A
IPv4 位址:
199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7

建立 DNS 記錄

請按照下列操作說明建立 DNS 記錄:

  1. 前往 Google Cloud 控制台的「Create a DNS zone」頁面。

    前往「建立 DNS 區域」

  2. 在「可用區類型」中,選取「Private」

  3. 在「可用區名稱」欄位中輸入名稱。例如:backup-dr-new-zone

  4. 在「DNS name」(DNS 名稱) 欄位中,使用您擁有的網域名稱輸入區域名稱,例如 backupdr.cloud.google.com

  5. 選用步驟:新增說明。

  6. 在「選項」下方,選取「預設 (私人)」

  7. 按一下 [建立]。

  8. 在「可用區詳細資料」頁面中,按一下「新增標準」

  9. 在「Create record set」頁面中,按照下列步驟新增 CNAME 記錄的記錄集:

    1. 在「DNS Name」欄位中輸入 *.backupdr.cloud.google.com
    2. 在「Resource record type」(資源記錄類型) 中,選取「CNAME」
    3. 在「Canonical name」欄位中輸入 backupdr.cloud.google.com
    4. 按一下 [建立]。

  10. 在「可用區詳細資料」頁面中,按一下「Add Standard」,然後按照下列步驟新增含有 IP 位址的記錄集:

    1. 在「DNS Name」欄位中輸入 *.backupdr.cloud.google.com
    2. 選取「A」做為「Resource record type」
    3. 在「IPv4 位址」欄位中輸入 199.36.153.4199.36.153.5199.36.153.6199.36.153.7
    4. 按一下 [建立]。

詳情請參閱「設定連至 Google API 與服務的私人連線」。

疑難排解

備份與 DR 服務的 VPC Service Controls 支援 11.0.5 以上版本。您可以前往管理控制台的「說明」>「關於」,查看版本。

如果在為備份和 DR 服務設定 VPC Service Controls 時遇到任何問題,請參閱 VPC Service Controls 疑難排解一節。

限制

如果您已使用 gcloud 指令:gcloud services vpc-peerings enable-vpc-service-controls 從服務供應者專案中移除網際網路預設路徑,則可能無法存取或建立管理主控台。如果遇到這個問題,請與 Google Cloud Customer Care 聯絡。

掛載 Compute Engine 備份映像檔前,請將服務和主機專案新增至相同範圍。否則可能看不到可用的網路。