Storage Transfer Service 支持在本地转移到受 VPC Service Controls 保护的 Cloud Storage 存储桶,条件如下:
使用 Storage Transfer Service API 创建转移作业可保护所有转移的数据。
使用 Google Cloud Console 创建转移作业只能保护文件内容。文件元数据(例如文件名和文件大小)不受保护。
本指南介绍了使用 Storage Transfer Service 将数据转移至安全边界内的 Cloud Storage 存储桶所需的设置。
如需详细了解 VPC Service Controls,请参阅 VPC Service Controls 概览。
如需了解如何将 VPC Service Controls 与 Storage Transfer Service 配合使用,请参阅将 Storage Transfer Service 与 VPC Service Controls 配合使用。
前提条件
要将 Storage Transfer Service 与 VPC Service Controls 配合使用,以下项需要位于同一服务边界内:
- 用于创建本地转移作业的项目
- 目标 Cloud Storage 存储分区。
受支持的配置
使用以下任一方法配置转移代理以使用 VPC Service Controls:
如果转移代理必须保持在包含 Cloud Storage 存储桶和 Storage Transfer Service 项目的服务边界以外,请将代理添加到某个访问权限级别。
此方法更易于设置,并允许转移代理访问服务边界内外的Google Cloud 资源。
如果可以将转移代理添加到包含 Cloud Storage 存储桶和 Storage Transfer Service 项目的服务边界,则对于转移代理使用的本地网络,请为 VPC Service Controls 配置专用 Google 访问通道。
此方法需要完成更多步骤,而转移代理只能访问服务边界内的资源。 Google Cloud
将代理添加到访问权限级别
如需将转移代理添加到某个访问权限级别,请执行以下操作:
确定将代理添加到访问权限级别的方式:按 IP 地址还是按服务账号。
将代理添加到访问权限级别:
如需将代理的 IP 地址添加到访问权限级别,请按照限制公司网络上的访问权限中的说明操作。
如需将代理的服务账号添加到访问权限级别,请按照按用户或服务账号限制访问权限中的说明操作。
将专用 Google 访问通道与 VPC Service Controls 配合使用
如果需要将专用 Google 访问通道与 VPC Service Controls 配合使用,请执行以下操作:
问题排查
如需排查错误,请参阅排查 VPC Service Controls 错误。