Melindungi resource Pencadangan untuk GKE menggunakan Kontrol Layanan VPC


Halaman ini menjelaskan cara menggunakan Kontrol Layanan VPC untuk melindungi resource Pencadangan untuk GKE. Untuk mengetahui informasi Kontrol Layanan VPC selengkapnya, baca Ringkasan Kontrol Layanan VPC.

Sebelum memulai

Pastikan Anda telah memiliki izin IAM yang diperlukan untuk mengelola Kontrol Layanan VPC.

Membuat perimeter layanan untuk melindungi resource Pencadangan untuk GKE

  1. Di konsol Google Cloud, buka halaman Kontrol Layanan VPC.

    Buka Kontrol Layanan VPC

  2. Jika diminta, pilih Organisasi Anda.

  3. Di halaman Kontrol Layanan VPC, klik Perimeter Baru.

  4. Di halaman Perimeter Layanan VPC Baru, di kotak Nama Perimeter, masukkan nama perimeter.

  5. Pilih project yang ingin Anda amankan dalam perimeter:

    1. Klik tombol Tambahkan Project.

    2. Untuk menambahkan project ke perimeter, di dialog Tambahkan Project, pilih kotak centang project tersebut.

    3. Klik tombol Tambahkan n Project, dengan n adalah jumlah project yang telah Anda pilih di langkah sebelumnya.

  6. Pilih Pencadangan untuk GKE yang akan diamankan di dalam perimeter:

    1. Klik tombol Tambahkan Layanan.

    2. Untuk mengamankan Pencadangan untuk GKE dalam perimeter, di dialog Tentukan layanan yang akan dibatasi, pilih kotak centang Pencadangan untuk GKE.

    3. Klik tombol Tambahkan Backup for GKE API.

  7. Klik tombol Simpan.

Anda telah membuat perimeter layanan yang membatasi akses ke resource Pencadangan untuk GKE. Perimeter layanan mungkin memerlukan waktu sampai 30 menit hingga dapat diterapkan dan berlaku. Setelah perubahan diterapkan, maka akses ke Pencadangan untuk GKE akan dibatasi untuk project yang Anda tambahkan ke perimeter. Misalnya, tidak akan ada rencana pencadangan atau pencadangan yang dapat dibuat dari luar perimeter, kecuali jika secara eksplisit diizinkan oleh aturan masuk.

Detail cara kerja Pencadangan untuk GKE menggunakan perimeter layanan

  1. Jika Pencadangan untuk GKE tidak termasuk dalam daftar layanan aksesibilitas VPC perimeter layanan, pencadangan dan pemulihan mungkin akan gagal meskipun Anda dapat membuat pencadangan atau pemulihan menggunakan Konsol Google Cloud atau gcloud CLI. Hal ini karena agen Pencadangan untuk GKE berjalan di cluster GKE Anda (di dalam perimeter layanan) dan memerlukan akses ke Pencadangan untuk GKE guna melakukan pencadangan dan pemulihan.

  2. Pencadangan untuk GKE tidak mendukung pencadangan dan pemulihan lintas project, sehingga pembuatan kebijakan traffic keluar untuk mengizinkan akses ke Pencadangan untuk resource GKE di project lain tidak akan berdampak apa pun. Menurut definisi, ketidakmampuan ini dikarenakan jika project berada dalam perimeter layanan, semua cluster GKE-nya dianggap berada di dalam perimeter layanan.