Cette page explique comment utiliser VPC Service Controls pour protéger les ressources Sauvegarde pour GKE. Consultez la présentation de VPC Service Controls pour en savoir plus sur cette solution.
Avant de commencer
Assurez-vous de disposer des autorisations IAM requises pour administrer VPC Service Controls.
Créer un périmètre de service pour protéger les ressources de Sauvegarde pour GKE
Dans Google Cloud Console, accédez à la page VPC Service Controls.
Si vous y êtes invité, sélectionnez votre organisation.
Sur la page VPC Service Controls, cliquez sur Nouveau périmètre.
Sur la page Nouveau périmètre de service VPC, saisissez un nom dans le champ Nom du périmètre.
Sélectionnez les projets que vous souhaitez sécuriser au sein du périmètre :
Cliquez sur le bouton Ajouter des projets.
Pour ajouter un projet au périmètre, cochez la case correspondant à ce projet dans la boîte de dialogue Ajouter des projets.
Cliquez sur le bouton Ajouter n projets, où n correspond au nombre de projets que vous avez sélectionnés à l'étape précédente.
Sélectionnez "Sauvegarde pour GKE" à sécuriser dans le périmètre:
Cliquez sur le bouton Ajouter des services.
Pour sécuriser Sauvegarde pour GKE au sein du périmètre, cochez la case "Sauvegarde pour GKE" dans la boîte de dialogue Spécifier les services à limiter.
Cliquez sur le bouton Ajouter une sauvegarde pour l'API GKE.
Cliquez sur le bouton Enregistrer.
Vous avez créé un périmètre de service qui limite l'accès aux ressources Sauvegarde pour GKE. La propagation et la prise en compte du périmètre peuvent prendre jusqu'à 30 minutes. Une fois les modifications propagées, l'accès à Sauvegarde pour GKE sera limité aux projets que vous avez ajoutés au périmètre. Par exemple, aucun plan de sauvegarde ni sauvegarde ne peut être créé en dehors du périmètre, sauf autorisation explicite par une règle d'entrée.
Détails sur le fonctionnement de Sauvegarde pour GKE avec les périmètres de service
Si Sauvegarde pour GKE ne figure pas dans la liste des services accessibles au VPC d'un périmètre de service, la sauvegarde et la restauration peuvent échouer même si vous pouvez effectuer une sauvegarde ou une restauration à l'aide de la console Google Cloud ou de gcloud CLI. En effet, l'agent Sauvegarde pour GKE s'exécute dans votre cluster GKE (dans le périmètre de service) et nécessite un accès à Sauvegarde pour GKE pour effectuer une sauvegarde et une restauration.
Sauvegarde pour GKE n'est pas compatible avec la sauvegarde et la restauration inter-projets. La création d'une règle de sortie pour autoriser l'accès aux ressources Sauvegarde pour GKE dans un autre projet n'a donc aucun effet. En effet, si, par définition, un projet se trouve dans un périmètre de service, tous ses clusters GKE sont pris en compte dans le périmètre de service.