Protege copias de seguridad de los recursos de GKE mediante los Controles del servicio de VPC
Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
Autopilot
Estándar
En esta página, se describe cómo usar los Controles del servicio de VPC a fin de proteger los recursos de Copia de seguridad para GKE. Si deseas obtener más información sobre los Controles del servicio de VPC, consulta la descripción general de los Controles del servicio de VPC.
En la página Controles del servicio de VPC, haz clic en Nuevo perímetro.
En la página Nuevo perímetro de servicio de VPC, en el cuadro Nombre del perímetro, escribe un nombre para el perímetro.
Selecciona los proyectos que desees proteger dentro del perímetro:
Haz clic en el botón Agregar proyectos.
Para agregar un proyecto al perímetro, en el diálogo Agregar proyectos, selecciona la casilla de verificación de ese proyecto.
Haz clic en el botón Agregar proyectos n, en el que n es la cantidad de proyectos que seleccionaste en el paso anterior.
Selecciona Copia de seguridad para GKE a fin de proteger el perímetro:
Haz clic en el botón Agregar servicios.
Para proteger la copia de seguridad para GKE dentro del perímetro, en el cuadro de diálogo Especificar los servicios que deseas restringir, selecciona la casilla de verificación de Copia de seguridad para GKE.
Haz clic en el botón Agregar API de Copia de seguridad para GKE.
Haga clic en el botón Guardar.
Creaste un perímetro de servicio que restringe el acceso a los recursos de Copia de seguridad para GKE. El perímetro de servicio puede demorar hasta 30 minutos en propagarse y surtir efecto. Cuando se propaguen los cambios, el acceso a la Copia de seguridad para GKE será limitado para los proyectos que agregaste al perímetro. Por ejemplo, no se puede crear un plan de copias de seguridad ni una copia de seguridad desde fuera del perímetro, a menos que una regla de entrada lo permita de forma explícita.
Detalles sobre cómo funciona Copia de seguridad para GKE con perímetros de servicio
Si la Copia de seguridad para GKE no está entre la lista de servicios accesibles de VPC de un perímetro de servicio, la copia de seguridad y el restablecimiento pueden fallar, incluso si puedes crear una copia de seguridad o restablecimiento con la Google Cloud consola o gcloud CLI. Esto se debe a que el agente de Copia de seguridad para GKE se ejecuta en el clúster de GKE (dentro del perímetro de servicio) y requiere acceso a la Copia de seguridad para GKE a fin de realizar la copia de seguridad y el restablecimiento.
Para realizar copias de seguridad y restablecimientos entre proyectos de forma correcta, backup_project, cluster_project y restore_project deben estar dentro del mismo perímetro de los Controles del servicio de VPC.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-01 (UTC)"],[],[],null,["# Protect Backup for GKE resources using VPC Service Controls\n\nAutopilot Standard\n\n*** ** * ** ***\n\nThis page describes how to use VPC Service Controls to protect Backup for GKE\nresources. For more information about VPC Service Controls, read the [Overview of VPC Service Controls](/vpc-service-controls/docs/overview).\n\nBefore you begin\n----------------\n\nEnsure that you have the [required IAM permissions](/vpc-service-controls/docs/access-control) to\nadminister VPC Service Controls.\n\nCreate a service perimeter to protect Backup for GKE resources\n--------------------------------------------------------------\n\n1. In the Google Cloud console, go to the **VPC Service Controls** page.\n\n [Go to VPC Service Controls](https://console.cloud.google.com/security/service-perimeter)\n2. If you are prompted, select your Organization.\n\n3. On the **VPC Service Controls** page, click **New Perimeter**.\n\n4. On the **New VPC Service Perimeter** page, in the **Perimeter Name** box,\n type a name for the perimeter.\n\n5. Select the projects that you want to secure within the perimeter:\n\n 1. Click **Add Projects** button.\n\n 2. To add a project to the perimeter, in the **Add Projects** dialog, select that project's checkbox.\n\n 3. Click **Add \u003cvar translate=\"no\"\u003en\u003c/var\u003e Projects** button, where \u003cvar translate=\"no\"\u003en\u003c/var\u003e is\n the number of projects you selected in the previous step.\n\n6. Select Backup for GKE to secure within the perimeter:\n\n 1. Click **Add Services** button.\n\n 2. To secure Backup for GKE within the perimeter, in the\n **Specify services to restrict** dialog, select Backup for GKE's\n checkbox.\n\n 3. Click **Add Backup for GKE API** button.\n\n7. Click **Save** button.\n\nYou've created a service perimeter that restricts access to Backup for GKE\nresources. The service perimeter may take up to 30 minutes to propagate and take\neffect. When the changes have propagated, access to Backup for GKE will be\nlimited for the projects you added to the perimeter. For example, no backup plan\nor backup can be created from outside of the perimeter, unless otherwise explicitly allowed by an ingress rule.\n\nDetails about how Backup for GKE works with service perimeters\n--------------------------------------------------------------\n\n1. If Backup for GKE is not among the list of VPC accessible services of a\n service perimeter, backup and restore may fail even if you are able to create\n backup or restore using the Google Cloud console or gcloud CLI. This\n is because the Backup for GKE agent is running in your GKE\n cluster (within the service perimeter) and requires access to\n Backup for GKE to perform backup and restore.\n\n2. To perform cross-project backups and restores successfully, the\n `backup_project`, `cluster_project`, and `restore_project` should be within\n the same VPC Service Controls perimeter."]]
