本頁面說明如何使用 VPC Service Controls 保護 Backup for GKE 資源。如要進一步瞭解 VPC Service Controls,請參閱「VPC Service Controls 總覽」。
事前準備
確認您具備管理 VPC Service Controls 的必要 IAM 權限。
建立服務範圍,保護 GKE 備份資源
在 Google Cloud 控制台中,前往「VPC Service Controls」頁面。
如果系統提示您選取機構,請依提示選取您的機構。
在「VPC Service Controls」頁面上,按一下「New Perimeter」(新增範圍)。
在「New VPC Service Perimeter」(新增虛擬私人雲端服務範圍) 頁面的「Perimeter Name」(範圍名稱) 方塊中,輸入範圍的名稱。
選取您想在該範圍內保護的專案:
按一下「Add Projects」(新增專案) 按鈕。
如要將專案新增至安全範圍,請在「Add Projects」(新增專案) 對話方塊中,選取該專案的核取方塊。
按一下「新增 n 個專案」按鈕,其中 n 是您在上一個步驟中選取的專案數。
選取要在範圍內保護的 GKE 備份:
按一下「新增服務」按鈕。
如要在範圍內保護 Backup for GKE,請在「Specify services to restrict」(指定要限制的服務) 對話方塊中,勾選 Backup for GKE 的核取方塊。
按一下「新增 Backup for GKE API」按鈕。
按一下「儲存」按鈕。
您已建立服務範圍,限制對 Backup for GKE 資源的存取權。服務範圍可能需要 30 分鐘才會傳播並生效。變更生效後,只有您新增至範圍的專案才能存取 Backup for GKE。舉例來說,除非輸入規則明確允許,否則無法從範圍外建立備份方案或備份。
瞭解 GKE 備份如何搭配服務範圍運作
如果 GKE 備份功能不在服務安全防護範圍的 VPC 可存取服務清單中,即使您可以使用 Google Cloud 主控台或 gcloud CLI 建立備份或還原,備份和還原作業仍可能會失敗。這是因為 GKE 備份代理程式是在 GKE 叢集 (服務安全防護範圍內) 中執行,且需要存取 GKE 備份服務才能執行備份和還原作業。
如要順利執行跨專案備份及還原作業,
backup_project、cluster_project和restore_project應位於同一個 VPC Service Controls 範圍內。