VPC Service Controls für Dateisystemübertragungen konfigurieren

Storage Transfer Service unterstützt unter den folgenden Bedingungen lokale Übertragungen zu Cloud Storage-Buckets, die durch VPC Service Controls geschützt sind:

  • Wenn Sie eine Übertragung mit der Storage Transfer Service API erstellen, werden alle übertragenen Daten geschützt.

  • Beim Erstellen einer Übertragung mit der Google Cloud Console werden nur Dateiinhalte geschützt. Dateimetadaten wie Dateinamen und Dateigrößen werden nicht geschützt.

In diesem Leitfaden wird die Einrichtung beschrieben, die erforderlich ist, um mit Storage Transfer Service Übertragungen zu Cloud Storage-Buckets innerhalb von Sicherheitsbereichen durchzuführen.

Weitere Informationen zu VPC Service Controls finden Sie im Überblick über VPC Service Controls.

Informationen zum Verwenden von VPC Service Controls mit dem Storage Transfer Service finden Sie unter Storage Transfer Service mit VPC Service Controls verwenden.

Vorbereitung

Wenn Sie Storage Transfer Service mit VPC Service Controls verwenden möchten, müssen sich die folgenden Elemente im selben Dienstperimeter befinden:

  • Das Projekt, mit dem lokale Übertragungsjobs erstellt werden
  • Der Ziel-Bucket von Cloud Storage

Unterstützte Konfigurationen

Verwenden Sie eine der folgenden Methoden, um Übertragungs-Agents für VPC Service Controls zu konfigurieren:

  • Wenn Übertragungs-Agents außerhalb des Dienstperimeters bleiben müssen, der Ihren Cloud Storage-Bucket und das Storage Transfer Service-Projekt enthält, fügen Sie die Agents einer Zugriffsebene hinzu.

    Diese Methode ist einfacher einzurichten und ermöglicht Übertragungs-Agents den Zugriff auf Google Cloud-Ressourcen innerhalb und außerhalb des Dienstperimeters.

  • Wenn Übertragungsagents zum Dienstperimeter hinzugefügt werden können, der Ihren Cloud Storage-Bucket und das Storage Transfer Service-Projekt enthält, konfigurieren Sie den privaten Google-Zugriff mit VPC Service Controls für das lokale Netzwerk, das von Übertragungs-Agents verwendet wird.

    Für diese Methode sind mehr Schritte erforderlich und Übertragungs-Agents können nur auf die Google Cloud-Ressourcen innerhalb des Dienstperimeters zugreifen.

Agents zu einer Zugriffsebene hinzufügen

So fügen Sie einer Zugriffsebene Übertragungs-Agents hinzu:

  1. Legen Sie fest, ob Sie die Agents nach IP-Adresse oder nach Dienstkonten zu einer Zugriffsebene hinzufügen:

  2. Fügen Sie die Agents einer Zugriffsebene hinzu:

Privaten Google-Zugriff mit VPC Service Controls verwenden

So verwenden Sie den privaten Google-Zugriff mit VPC Service Controls:

  1. Erstellen Sie einen Dienstperimeter, um die folgenden Dienste zu beschränken:

    • Cloud Storage
    • Pub/Sub
    • Storage Transfer Service
  2. Konfigurieren Sie den privaten Google-Zugriff für lokale Hosts.

  3. Erstellen Sie Übertragungsjobs in einem Projekt, das sich innerhalb des Dienstperimeters befindet. Dadurch wird sichergestellt, dass sich Pub/Sub-Ressourcen innerhalb des Dienstperimeters befinden und daher für Übertragungs-Agents zugänglich sind.

Fehlerbehebung

Informationen zur Fehlerbehebung finden Sie unter Fehler in VPC Service Controls beheben.