Protezione delle risorse Backup per GKE utilizzando i Controlli di servizio VPC

Questa pagina descrive come utilizzare i Controlli di servizio VPC per proteggere le risorse di Backup per GKE. Per ulteriori informazioni sui Controlli di servizio VPC, consulta la pagina Panoramica dei Controlli di servizio VPC.

Prima di iniziare

Assicurati di disporre delle autorizzazioni IAM necessarie per gestire i Controlli di servizio VPC.

Crea un perimetro di servizio per proteggere le risorse di Backup per GKE

  1. Nella console Google Cloud, vai alla pagina Controlli di servizio VPC.

    Vai a Controlli di servizio VPC

  2. Se richiesto, seleziona la tua organizzazione.

  3. Nella pagina Controlli di servizio VPC, fai clic su Nuovo perimetro.

  4. Nella pagina Nuovo perimetro di servizio VPC, nella casella Nome perimetro, digita un nome per il perimetro.

  5. Seleziona i progetti che vuoi proteggere all'interno del perimetro:

    1. Fai clic sul pulsante Aggiungi progetti.

    2. Per aggiungere un progetto al perimetro, seleziona la casella di controllo del progetto nella finestra di dialogo Aggiungi progetti.

    3. Fai clic sul pulsante Aggiungi progetti n, dove n è il numero di progetti selezionati nel passaggio precedente.

  6. Seleziona Backup per GKE per la protezione all'interno del perimetro:

    1. Fai clic sul pulsante Aggiungi servizi.

    2. Per proteggere Backup per GKE all'interno del perimetro, nella finestra di dialogo Specifica i servizi da limitare, seleziona la casella di controllo di Backup per GKE.

    3. Fai clic sul pulsante Aggiungi API Backup per GKE.

  7. Fai clic sul pulsante Salva.

Hai creato un perimetro di servizio che limita l'accesso alle risorse di Backup per GKE. La propagazione e l'applicazione del perimetro di servizio potrebbero richiedere fino a 30 minuti. Una volta che le modifiche sono state propagate, l'accesso a Backup per GKE sarà limitato per i progetti che hai aggiunto al perimetro. Ad esempio, non è possibile creare piani di backup o backup dall'esterno del perimetro, a meno che non sia altrimenti esplicitamente consentito da una regola in entrata.

Dettagli su come funziona Backup per GKE con i perimetri di servizio

  1. Se Backup per GKE non è nell'elenco dei servizi accessibili da VPC di un perimetro di servizio, il backup e ripristino potrebbe non riuscire anche se riesci a creare backup o ripristino utilizzando la console Google Cloud o gcloud CLI. Il motivo è che l'agente Backup per GKE è in esecuzione nel tuo cluster GKE (all'interno del perimetro di servizio) e richiede l'accesso a Backup per GKE per eseguire backup e ripristino.

  2. Backup per GKE non supporta il backup e il ripristino tra progetti, quindi la creazione di un criterio in uscita per consentire l'accesso alle risorse Backup per GKE in un altro progetto non ha alcun effetto. Questo perché, per definizione, se un progetto si trova all'interno di un perimetro di servizio, tutti i suoi cluster GKE sono considerati all'interno di quel perimetro di servizio.