Proteggi le risorse di Backup per GKE utilizzando i Controlli di servizio VPC


Questa pagina descrive come utilizzare i Controlli di servizio VPC per proteggere le risorse di Backup per GKE. Per ulteriori informazioni sui Controlli di servizio VPC, leggi la Panoramica dei Controlli di servizio VPC.

Prima di iniziare

Assicurati di disporre delle autorizzazioni IAM richieste per gestire i Controlli di servizio VPC.

Crea un perimetro di servizio per proteggere le risorse di Backup per GKE

  1. Nella console Google Cloud, vai alla pagina Controlli di servizio VPC.

    Vai a Controlli di servizio VPC

  2. Se ti viene chiesto, seleziona la tua organizzazione.

  3. Nella pagina Controlli di servizio VPC, fai clic su Nuovo perimetro.

  4. Nella pagina Nuovo perimetro di servizio VPC, nella casella Nome perimetro, digita un nome per il perimetro.

  5. Seleziona i progetti che vuoi proteggere all'interno del perimetro:

    1. Fai clic sul pulsante Aggiungi progetti.

    2. Per aggiungere un progetto al perimetro, seleziona la relativa casella di controllo nella finestra di dialogo Aggiungi progetti.

    3. Fai clic sul pulsante Aggiungi n progetti, dove n è il numero di progetti selezionati nel passaggio precedente.

  6. Seleziona Backup per GKE per proteggere i dati all'interno del perimetro:

    1. Fai clic sul pulsante Aggiungi servizi.

    2. Per proteggere Backup per GKE all'interno del perimetro, seleziona la casella di controllo di Backup per GKE nella finestra di dialogo Specifica i servizi da limitare.

    3. Fai clic sul pulsante Aggiungi API Backup per GKE GKE.

  7. Fai clic sul pulsante Salva.

Hai creato un perimetro di servizio che limita l'accesso alle risorse di Backup per GKE. La propagazione e l'applicazione del perimetro di servizio potrebbero richiedere fino a 30 minuti. Una volta propagate le modifiche, l'accesso a Backup per GKE sarà limitato per i progetti che hai aggiunto al perimetro. Ad esempio, non è possibile creare un piano di backup o un backup dall'esterno del perimetro, a meno che non sia consentito esplicitamente da una regola di ingresso.

Dettagli su come funziona Backup per GKE con i perimetri di servizio

  1. Se Backup per GKE non è presente nell'elenco dei servizi accessibili tramite VPC di un perimetro di servizio, il backup e il ripristino potrebbero non riuscire anche se riesci a creare il backup o il ripristino utilizzando la console Google Cloud o gcloud CLI. Questo accade perché l'agente Backup per GKE è in esecuzione nel tuo cluster GKE (all'interno del perimetro di servizio) e richiede l'accesso a Backup per GKE per eseguire il backup e il ripristino.

  2. Backup per GKE non supporta il backup e il ripristino tra progetti, pertanto la creazione di un criterio di uscita per consentire l'accesso alle risorse di Backup per GKE in un altro progetto non ha alcun effetto. Questo accade perché, per definizione, se un progetto si trova all'interno di un perimetro di servizio, tutti i suoi cluster GKE sono considerati all'interno del perimetro di servizio.