VPC Service Controls を使用して Backup for GKE リソースを保護する

このページでは、VPC Service Controls を使用して Backup for GKE リソースを保護する方法について説明します。VPC Service Controls の詳細については、VPC Service Controls の概要をご覧ください。

始める前に

VPC Service Controls の管理に必要な IAM 権限があることを確認します。

Backup for GKE リソースを保護するサービス境界を作成する

1. Google Cloud コンソールで、[VPC Service Controls] ページに移動します。

   [VPC Service Controls] に移動

2. プロンプトが表示されたら、組織を選択します。

3. [VPC Service Controls] ページで、[新しい境界] をクリックします。

4. [新しい VPC サービス境界] ページの [境界名] ボックスに、境界の名前を入力します。

5. 境界内で保護するプロジェクトを選択します。

   1. [プロジェクトの追加] ボタンをクリックします。

   2. 境界にプロジェクトを追加するには、[プロジェクトの追加] ダイアログで、プロジェクトのチェックボックスをオンにします。

   3. [n 個のプロジェクトを追加] ボタンをクリックします。n は、前のステップで選択したプロジェクトの数です。

6. 境界内で保護する Backup for GKE を選択します。

   1. [サービスを追加] ボタンをクリックします。

   2. 境界内の Backup for GKE を保護するには、[制限するサービスの指定] ダイアログで、その Backup for GKE のチェックボックスをオンにします。

   3. [ Backup for GKE API を追加] ボタンをクリックします。

7. [保存] ボタンをクリックします。

Backup for GKE リソースへのアクセスを制限するサービス境界を作成しました。サービス境界が伝播されて有効になるまでに 30 分ほどかかる場合があります。変更が伝播されると、Backup for GKE へのアクセスは、境界に追加したプロジェクトのみに制限されます。たとえば、上り（内向き）ルールで明示的に許可されていない限り、境界外からバックアップ プランやバックアップを作成することはできません。

サービス境界に関する Backup for GKE の動作の詳細

1. サービス境界で Backup for GKE が VPC でアクセス可能なサービスのリストに含まれていない場合、 Google Cloud コンソールまたは gcloud CLI を使用してバックアップや復元を作成できても、バックアップと復元が失敗することがあります。これは、Backup for GKE エージェントが GKE クラスタ（サービス境界内にある）で実行され、バックアップと復元を行うために Backup for GKE へのアクセスが必要になるためです。

2. プロジェクト間のバックアップと復元を正常に実行するには、backup_project、cluster_project、restore_project が同じ VPC Service Controls の境界内にある必要があります。