使用 VPC Service Controls 保护 Backup for GKE 资源


本页面介绍如何使用 VPC Service Controls 保护 Backup for GKE 资源。如需详细了解 VPC Service Controls,请参阅 VPC Service Controls 概览

准备工作

确保您拥有管理 VPC Service Controls 所需的 IAM 权限

创建用于保护 Backup for GKE 资源的服务边界

  1. 在 Google Cloud 控制台中,转到 VPC Service Controls 页面。

    转到 VPC Service Controls

  2. 如果收到提示,请选择您的组织。

  3. VPC Service Controls 页面上,点击新建边界

  4. 新建 VPC 服务边界页面的边界名称框中,为边界输入一个名称。

  5. 选择您想要在边界内保护的项目:

    1. 点击添加项目按钮。

    2. 要向边界添加项目,请在添加项目对话框中,选中相应项目的复选框。

    3. 点击添加 n 个项目 (Add n Projects) 按钮,其中 n 是您在上一步中选择的项目数量。

  6. 选择要在边界内保护的 Backup for GKE:

    1. 点击添加服务按钮。

    2. 要保护边界内的 Backup for GKE,请在指定要限制的服务对话框中,选中 Backup for GKE 对应的复选框。

    3. 点击添加 Backup for GKE API 按钮。

  7. 点击保存按钮。

您已创建限制对 Backup for GKE 资源的访问权限的服务边界。服务边界最长可能需要 30 分钟才能传播和生效。更改传播后,只有添加到该边界中的项目才能访问 Backup for GKE。例如,除非入站规则明确允许,否则无法从边界外创建备份计划或备份。

关于 Backup for GKE 如何与服务边界配合使用的详细信息

  1. 如果 Backup for GKE 不在服务边界的 VPC 可访问服务列表中,即使您可以使用 Google Cloud 控制台或 gcloud CLI 创建备份或恢复,备份和恢复也可能会失败。这是因为 Backup for GKE 代理在服务边界内的 GKE 集群中运行,并且需要访问 Backup for GKE 才能执行备份和恢复操作。

  2. Backup for GKE 不支持进行跨项目备份和恢复,因此创建出站流量政策以允许访问另一个项目中的 Backup for GKE 资源将不起作用。这是因为,根据定义,如果项目在服务边界内,则其所有 GKE 集群都被视为在服务边界内。