이 페이지에서는 VPC 서비스 제어를 사용하여 Backup for GKE 리소스를 보호하는 방법을 설명합니다. VPC 서비스 제어에 대한 자세한 내용은 VPC 서비스 제어 개요를 참조하세요.
시작하기 전에
VPC 서비스 제어를 관리하는 데 필요한 IAM 권한이 있는지 확인합니다.
Backup for GKE 리소스를 보호하기 위한 서비스 경계 만들기
Google Cloud Console에서 VPC 서비스 제어 페이지로 이동합니다.
메시지가 표시되면 조직을 선택합니다.
VPC 서비스 제어 페이지에서 새 경계를 클릭합니다.
새 VPC 서비스 경계 페이지의 경계 이름 상자에 경계의 이름을 입력합니다.
경계 내에서 보호하려는 프로젝트를 선택합니다.
프로젝트 추가 버튼을 클릭합니다.
경계에 프로젝트를 추가하려면 프로젝트 추가 대화상자에서 해당 프로젝트의 체크박스를 선택합니다.
n 프로젝트 추가 버튼을 클릭합니다. 여기서 n은 이전 단계에서 선택한 프로젝트 수입니다.
경계 내에서 보호하려면 Backup for GKE를 선택합니다.
서비스 추가 버튼을 클릭합니다.
경계 내에서 Backup for GKE를 보호하려면 제한할 서비스 지정 대화상자에서 Backup for GKE의 체크박스를 선택합니다.
Backup for GKE API 추가 버튼을 클릭합니다.
저장 버튼을 클릭합니다.
Backup for GKE 리소스에 대한 액세스를 제한하는 서비스 경계를 만들었습니다. 서비스 경계가 전파되어 적용되려면 최대 30분이 걸릴 수 있습니다. 변경사항이 전파되면 경계에 추가한 프로젝트에서 Backup for GKE 액세스가 제한됩니다. 예를 들어 인그레스 규칙에 따라 명시적으로 허용되지 않는 한 경계 외부에서 백업 계획 또는 백업을 만들 수 없습니다.
Backup for GKE가 서비스 경계와 함께 작동하는 방식에 대한 세부정보
Backup for GKE가 서비스 경계의 VPC 액세스 가능 서비스 목록에 없으면 백업을 만들거나 Google Cloud 콘솔 또는 gcloud CLI를 사용하여 복원할 수 있더라도 백업 및 복원이 실패할 수 있습니다. Backup for GKE 에이전트가 서비스 경계 내부에 있는 GKE 클러스터에서 실행 중이고 백업 및 복원 수행을 위해 Backup for GKE 액세스 권한이 필요하기 때문입니다.
Backup for GKE는 프로젝트 간 백업 및 복원을 지원하지 않으므로, 다른 프로젝트에 있는 Backup for GKE 리소스에 대해 액세스를 허용하는 이그레스 정책을 만들어도 효과가 없습니다. 기본적으로 프로젝트가 서비스 경계 내에 있으면 모든 GKE 클러스터가 서비스 경계 내에 있는 것으로 간주되기 때문입니다.