Proteger los recursos de Backup para GKE con los Controles de Servicio de VPC

En esta página se describe cómo usar Controles de Servicio de VPC para proteger los recursos de Backup for GKE. Para obtener más información sobre Controles de Servicio de VPC, consulta la descripción general de Controles de Servicio de VPC.

Antes de empezar

Asegúrate de que tienes los permisos de gestión de identidades y accesos necesarios para administrar Controles de Servicio de VPC.

Crear un perímetro de servicio para proteger los recursos de la función de copia de seguridad de GKE

  1. En la Google Cloud consola, ve a la página Controles de Servicio de VPC.

    Ir a Controles de Servicio de VPC

  2. Si se te solicita, selecciona tu organización.

  3. En la página Controles de Servicio de VPC, haga clic en Nuevo perímetro.

  4. En la página Nuevo perímetro de servicio de VPC, en el cuadro Nombre del perímetro, escribe un nombre para el perímetro.

  5. Selecciona los proyectos que quieras proteger dentro del perímetro:

    1. Haz clic en el botón Añadir proyectos.

    2. Para añadir un proyecto al perímetro, en el cuadro de diálogo Añadir proyectos, selecciona la casilla del proyecto.

    3. Haz clic en el botón Añadir n proyectos, donde n es el número de proyectos que has seleccionado en el paso anterior.

  6. Selecciona Copia de seguridad de GKE para protegerla en el perímetro:

    1. Haz clic en el botón Añadir servicios.

    2. Para proteger Backup for GKE dentro del perímetro, en el cuadro de diálogo Especificar servicios que restringir, selecciona la casilla de Backup for GKE.

    3. Haz clic en el botón Añadir API Backup for GKE.

  7. Haz clic en el botón Guardar.

Has creado un perímetro de servicio que restringe el acceso a los recursos de Backup for GKE. El perímetro de servicio puede tardar hasta 30 minutos en propagarse y aplicarse. Cuando los cambios se hayan propagado, el acceso a Backup para GKE estará limitado a los proyectos que hayas añadido al perímetro. Por ejemplo, no se puede crear ningún plan de backup ni ninguna copia de seguridad desde fuera del perímetro, a menos que se permita explícitamente mediante una regla de entrada.

Detalles sobre cómo funciona la función de copia de seguridad de GKE con los perímetros de servicio

  1. Si Copia de seguridad de GKE no está en la lista de servicios accesibles de VPC de un perímetro de servicio, es posible que se produzca un error al crear o restaurar una copia de seguridad, aunque puedas hacerlo con la consola o la CLI de gcloud. Google Cloud Esto se debe a que el agente de Copia de seguridad de GKE se ejecuta en tu clúster de GKE (dentro del perímetro de servicio) y requiere acceso a Copia de seguridad de GKE para realizar copias de seguridad y restauraciones.

  2. Para realizar copias de seguridad y restauraciones entre proyectos correctamente, backup_project, cluster_project y restore_project deben estar dentro del mismo perímetro de Controles de Servicio de VPC.