Schützen Sie Ressourcen von "Sicherung für GKE" mit VPC Service Controls


Auf dieser Seite wird beschrieben, wie Sie VPC Service Controls verwenden, um Ressourcen von „Sicherung für GKE“ zu schützen. Weitere Informationen finden Sie unter VPC Service Controls.

Hinweis

Prüfen Sie, ob Sie die erforderlichen IAM-Berechtigungen zum Verwalten von VPC Service Controls haben.

Dienstperimeter erstellen, um Ressourcen von „Sicherung für GKE“ zu schützen

  1. Rufen Sie in der Google Cloud Console die Seite VPC Service Controls auf.

    Zu „VPC Service Controls“

  2. Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.

  3. Klicken Sie auf der Seite VPC Service Controls auf Neuer Perimeter.

  4. Geben Sie auf der Seite Neuer VPC-Dienstperimeter im Feld Perimetername einen Namen für den Perimeter ein.

  5. Wählen Sie die Projekte aus, die Sie im Perimeter sichern möchten:

    1. Klicken Sie auf die Schaltfläche Projekte hinzufügen.

    2. Wenn Sie dem Perimeter ein Projekt hinzufügen möchten, klicken Sie im Dialogfeld Projekte hinzufügen auf das Kästchen für das gewünschte Projekt.

    3. Klicken Sie auf die Schaltfläche n Projekte hinzufügen, wobei n die Anzahl der Projekte ist, die Sie im vorherigen Schritt ausgewählt haben.

  6. Wählen Sie "Sicherung für GKE" aus, um sie im Perimeter zu sichern:

    1. Klicken Sie auf die Schaltfläche Dienste hinzufügen.

    2. Wenn Sie "Sicherung für GKE" innerhalb des Perimeters sichern möchten, klicken Sie im Dialogfeld Geben Sie Dienste an, die eingeschränkt werden sollen auf das Kästchen für "Sicherung für GKE".

    3. Klicken Sie auf Backup for GKE API hinzufügen.

  7. Klicken Sie auf Speichern.

Sie haben einen Dienstperimeter erstellt, der den Zugriff auf Ressourcen von "Sicherung für GKE" einschränkt. Es kann bis zu 30 Minuten dauern, bis die Änderungen übernommen werden und der Dienstperimeter aktiv ist. Wenn die Änderungen übernommen wurden, ist der Zugriff auf "Sicherung für GKE" für die Projekte eingeschränkt, die Sie dem Perimeter hinzugefügt haben. Beispielsweise können keine Sicherungspläne oder Sicherungen von außerhalb des Perimeters erstellt werden, sofern nicht ausdrücklich eine Eingangsregel zulässig ist.

Details zur Funktionsweise von "Sicherung für GKE" mit Dienstperimetern

  1. Wenn "Sicherung für GKE" nicht in der Liste der über VPC zugänglichen Dienste eines Dienstperimeters enthalten ist, kann die Sicherung und Wiederherstellung fehlschlagen, auch wenn Sie eine Sicherung oder Wiederherstellung mit der Google Cloud Console oder der gcloud CLI erstellen können. Dies liegt daran, dass der Agent von „Sicherung für GKE“ in Ihrem GKE-Cluster (innerhalb des Dienstperimeters) ausgeführt wird und Zugriff auf „Sicherung für GKE“ benötigt, um die Sicherung und Wiederherstellung durchzuführen.

  2. „Sicherung für GKE“ unterstützt das projektübergreifende Sichern und Wiederherstellen nicht. Daher hat das Erstellen einer Richtlinie für ausgehenden Traffic, um den Zugriff auf Ressourcen von „Sicherung für GKE“ in einem anderen Projekt zu ermöglichen, keine Auswirkungen. Dies liegt daran, dass standardmäßig alle GKE-Cluster innerhalb des Dienstperimeters berücksichtigt werden, wenn sich ein Projekt in einem Dienstperimeter befindet.