Proteja os recursos da Cópia de segurança do GKE com os VPC Service Controls

Esta página descreve como usar os VPC Service Controls para proteger os recursos do Backup for GKE. Para mais informações sobre os VPC Service Controls, leia a Vista geral dos VPC Service Controls.

Antes de começar

Certifique-se de que tem as autorizações de IAM necessárias para administrar os VPC Service Controls.

Crie um perímetro de serviço para proteger os recursos da Cópia de segurança do GKE

  1. Na Google Cloud consola, aceda à página VPC Service Controls.

    Aceda aos VPC Service Controls

  2. Se lhe for pedido, selecione a sua organização.

  3. Na página VPC Service Controls, clique em Novo perímetro.

  4. Na página Novo perímetro de serviço da VPC, na caixa Nome do perímetro, introduza um nome para o perímetro.

  5. Selecione os projetos que quer manter seguros dentro do perímetro:

    1. Clique no botão Adicionar projetos.

    2. Para adicionar um projeto ao perímetro, na caixa de diálogo Adicionar projetos, selecione a caixa de verificação desse projeto.

    3. Clique no botão Adicionar n projetos, onde n é o número de projetos que selecionou no passo anterior.

  6. Selecione Cópia de segurança do GKE para proteger dentro do perímetro:

    1. Clique no botão Adicionar serviços.

    2. Para proteger a Cópia de segurança do GKE no perímetro, na caixa de diálogo Especificar serviços a restringir, selecione a caixa de verificação da Cópia de segurança do GKE.

    3. Clique no botão Adicionar API Backup for GKE.

  7. Clique no botão Guardar.

Criou um perímetro de serviço que restringe o acesso aos recursos do Backup for GKE. A propagação e a entrada em vigor do perímetro de serviço podem demorar até 30 minutos. Quando as alterações forem propagadas, o acesso ao Backup for GKE vai ser limitado para os projetos que adicionou ao perímetro. Por exemplo, não é possível criar um plano de backup nem um backup a partir do exterior do perímetro, a menos que seja explicitamente permitido por uma regra de entrada.

Detalhes sobre como a Cópia de segurança do GKE funciona com os perímetros de serviço

  1. Se a Cópia de segurança para o GKE não estiver na lista de serviços acessíveis da VPC de um perímetro de serviço, a cópia de segurança e o restauro podem falhar, mesmo que consiga criar uma cópia de segurança ou fazer o restauro através da Google Cloud consola ou da CLI gcloud. Isto deve-se ao facto de o agente da Cópia de segurança do GKE estar a ser executado no seu cluster do GKE (dentro do perímetro de serviço) e precisar de acesso à Cópia de segurança do GKE para fazer cópias de segurança e restaurar.

  2. Para fazer cópias de segurança e restauros entre projetos com êxito, os projetos backup_project, cluster_project e restore_project devem estar dentro do mesmo perímetro do VPC Service Controls.