Proteger o backup para recursos do GKE usando o VPC Service Controls

Nesta página, descrevemos como usar o VPC Service Controls para proteger o backup de recursos do GKE. Para mais informações sobre o VPC Service Controls, leia a Visão geral do VPC Service Controls.

Antes de começar

Verifique se você tem as permissões do IAM necessárias para administrar o VPC Service Controls.

Criar um perímetro de serviço para proteger o Backup de recursos do GKE

  1. No console do Google Cloud, acesse a página VPC Service Controls.

    Acessar o VPC Service Controls

  2. Se solicitado, selecione a Organização.

  3. Na página VPC Service Controls, clique em Novo perímetro.

  4. Na página Novo perímetro de serviço da VPC, digite um nome para o perímetro na caixa Nome do perímetro.

  5. Selecione os projetos que você quer proteger no perímetro:

    1. Clique no botão Adicionar projetos.

    2. Na caixa de diálogo Adicionar projetos, marque a caixa de seleção dos projetos para adicioná-los ao perímetro.

    3. Clique no botão Adicionar n projetos, em que n é o número de projetos selecionados na etapa anterior.

  6. Selecione "Backup para o GKE" para proteger o perímetro:

    1. Clique no botão Adicionar serviços.

    2. Para proteger o Backup do GKE no perímetro, noEspecificar serviços a serem restringidos marque a caixa de seleção "Backup para GKE".

    3. Clique no botão Adicionar backup para a API GKE.

  7. Clique no botão Salvar.

Você criou um perímetro de serviço que restringe o acesso aos recursos do Backup para o GKE. O perímetro de serviço pode levar até 30 minutos para se propagar e entrar em vigor. Quando as alterações forem propagadas, o acesso ao Backup para o GKE será limitado para os projetos adicionados ao perímetro. Por exemplo, nenhum plano de backup pode ser criado fora do perímetro, a menos que seja explicitamente permitido por uma regra de entrada.

Detalhes sobre como o backup para GKE funciona com perímetros de serviço

  1. Se o Backup para GKE não estiver na lista de serviços acessíveis por VPC de um perímetro de serviço, o backup e a restauração poderão falhar, mesmo que você consiga criar o backup ou a restauração usando o Console do Google Cloud ou a gcloud CLI. Isso ocorre porque o agente do Backup para GKE está em execução no cluster do GKE (dentro do perímetro de serviço) e requer acesso ao Backup para GKE para realizar o backup e a restauração.

  2. O Backup para GKE não é compatível com backup e restauração entre projetos. Portanto, criar uma política de saída para permitir o acesso aos recursos do Backup para GKE em outro projeto não terá efeito. Isso ocorre porque, por definição, se um projeto estiver dentro de um perímetro de serviço, todos os clusters do GKE serão considerados dentro do perímetro de serviço.