本页面介绍如何使用 VPC Service Controls 保护 Backup for GKE 资源。如需详细了解 VPC Service Controls,请参阅 VPC Service Controls 概览。
准备工作
确保您拥有管理 VPC Service Controls 所需的 IAM 权限。
创建用于保护 Backup for GKE 资源的服务边界
在 Google Cloud 控制台中,前往 VPC Service Controls 页面。
如果收到提示,请选择您的组织。
在 VPC Service Controls 页面上,点击新建边界。
在新建 VPC 服务边界页面的边界名称框中,为边界输入一个名称。
选择您想要在边界内保护的项目:
点击添加项目按钮。
要向边界添加项目,请在添加项目对话框中,选中相应项目的复选框。
点击添加 n 个项目 (Add n Projects) 按钮,其中 n 是您在上一步中选择的项目数量。
选择要在边界内保护的 Backup for GKE:
点击添加服务按钮。
要保护边界内的 Backup for GKE,请在指定要限制的服务对话框中,选中 Backup for GKE 对应的复选框。
点击添加 Backup for GKE API 按钮。
点击保存按钮。
您已创建限制对 Backup for GKE 资源的访问权限的服务边界。服务边界最长可能需要 30 分钟才能传播和生效。更改传播后,只有添加到该边界中的项目才能访问 Backup for GKE。例如,除非入站规则明确允许,否则无法从边界外创建备份计划或备份。
关于 Backup for GKE 如何与服务边界配合使用的详细信息
如果 Backup for GKE 不在服务边界的 VPC 可访问服务列表中,即使您可以使用 Google Cloud 控制台或 gcloud CLI 创建备份或恢复,备份和恢复也可能会失败。这是因为 Backup for GKE 代理在服务边界内的 GKE 集群中运行,并且需要访问 Backup for GKE 才能执行备份和恢复操作。
如需成功执行跨项目备份和恢复操作,
backup_project、cluster_project和restore_project应位于同一 VPC Service Controls 边界内。