Proteger o backup para recursos do GKE usando o VPC Service Controls

Nesta página, descrevemos como usar o VPC Service Controls para proteger o backup de recursos do GKE. Para mais informações sobre o VPC Service Controls, leia a Visão geral do VPC Service Controls.

Antes de começar

Verifique se você tem as permissões do IAM necessárias para administrar o VPC Service Controls.

Criar um perímetro de serviço para proteger o Backup de recursos do GKE

1. No console Google Cloud , acesse a página VPC Service Controls.

   Acessar o VPC Service Controls

2. Se solicitado, selecione a Organização.

3. Na página VPC Service Controls, clique em Novo perímetro.

4. Na página Novo perímetro de serviço da VPC, digite um nome para o perímetro na caixa Nome do perímetro.

5. Selecione os projetos que você quer proteger no perímetro:

   1. Clique no botão Adicionar projetos.

   2. Na caixa de diálogo Adicionar projetos, marque a caixa de seleção dos projetos para adicioná-los ao perímetro.

   3. Clique no botão Adicionar n projetos, em que n é o número de projetos selecionados na etapa anterior.

6. Selecione "Backup para o GKE" para proteger o perímetro:

   1. Clique no botão Adicionar serviços.

   2. Para proteger Backup para GKE no perímetro, na caixa de diálogo Especificar serviços a serem restringidos, marque a caixa de seleção do Backup para GKE.

   3. Clique no botão Adicionar backup para a API GKE.

7. Clique no botão Salvar.

Você criou um perímetro de serviço que restringe o acesso aos recursos do Backup para o GKE. O perímetro de serviço pode levar até 30 minutos para se propagar e entrar em vigor. Quando as alterações forem propagadas, o acesso ao Backup para o GKE será limitado para os projetos adicionados ao perímetro. Por exemplo, nenhum plano de backup pode ser criado fora do perímetro, a menos que seja explicitamente permitido por uma regra de entrada.

Detalhes sobre como o backup para GKE funciona com perímetros de serviço

1. Se o Backup para GKE não estiver na lista de serviços acessíveis por VPC de um perímetro de serviço, o backup e a restauração poderão falhar, mesmo que você consiga criar o backup ou a restauração usando o console Google Cloud ou a CLI gcloud. Isso ocorre porque o agente do Backup para GKE está em execução no cluster do GKE (dentro do perímetro de serviço) e requer acesso ao Backup para GKE para realizar o backup e a restauração.

2. Para realizar backups e restaurações entre projetos, os backup_project, cluster_project e restore_project precisam estar no mesmo perímetro do VPC Service Controls.