En esta página, se describe cómo usar los Controles del servicio de VPC a fin de proteger los recursos de Copia de seguridad para GKE. Si deseas obtener más información sobre los Controles del servicio de VPC, consulta la descripción general de los Controles del servicio de VPC.
Antes de comenzar
Asegúrate de tener los permisos de IAM necesarios para administrar los Controles del servicio de VPC.
Crea un perímetro de servicio a fin de proteger los recursos de Copia de seguridad para GKE
En la consola de Google Cloud, ve a la página Controles del servicio de VPC.
Si se te solicita, selecciona tu organización.
En la página Controles del servicio de VPC, haz clic en Nuevo perímetro.
En la página Nuevo perímetro de servicio de VPC, en el cuadro Nombre del perímetro, escribe un nombre para el perímetro.
Selecciona los proyectos que desees proteger dentro del perímetro:
Haz clic en el botón Agregar proyectos.
Para agregar un proyecto al perímetro, en el diálogo Agregar proyectos, selecciona la casilla de verificación de ese proyecto.
Haz clic en el botón Agregar proyectos n, en el que n es la cantidad de proyectos que seleccionaste en el paso anterior.
Selecciona Copia de seguridad para GKE a fin de proteger el perímetro:
Haz clic en el botón Agregar servicios.
A fin de proteger la copia de seguridad para GKE dentro del perímetro, en el cuadro de diálogo Especificar los servicios que deseas restringir, selecciona la casilla de verificación Copia de seguridad para GKE.
Haz clic en el botón Agregar API de Copia de seguridad para GKE.
Haga clic en el botón Guardar.
Creaste un perímetro de servicio que restringe el acceso a los recursos de Copia de seguridad para GKE. El perímetro de servicio puede demorar hasta 30 minutos en propagarse y surtir efecto. Cuando se propaguen los cambios, el acceso a la Copia de seguridad para GKE será limitado para los proyectos que agregaste al perímetro. Por ejemplo, no se puede crear un plan de copias de seguridad ni una copia de seguridad desde fuera del perímetro, a menos que una regla de entrada lo permita de forma explícita.
Detalles sobre cómo funciona Copia de seguridad para GKE con perímetros de servicio
Si la Copia de seguridad para GKE no está entre la lista de servicios de VPC accesibles de un perímetro de servicio, la copia de seguridad y el restablecimiento pueden fallar, incluso si puedes crear una copia de seguridad o restablecimiento mediante la consola de Google Cloud o la CLI de gcloud. Esto se debe a que el agente de Copia de seguridad para GKE se ejecuta en el clúster de GKE (dentro del perímetro de servicio) y requiere acceso a la Copia de seguridad para GKE a fin de realizar la copia de seguridad y el restablecimiento.
La Copia de seguridad para GKE no admite la copia de seguridad y restablecimiento entre proyectos, por lo que la creación de una política de salida para permitir el acceso a los recursos de Copia de seguridad para GKE en otro proyecto no tiene efecto. Esto se debe a que, por definición, si un proyecto está dentro de un perímetro de servicio, todos sus clústeres de GKE se consideran dentro del perímetro de servicio.