O Serviço de transferência de dados locais (transferência local) é compatível com transferências no local para buckets do Cloud Storage protegidos pelo VPC Service Controls nas seguintes condições:
Criar uma transferência com a API Storage Transfer Service protege todos os dados transferidos.
Criar uma transferência com o Console do Google Cloud protege apenas o conteúdo do arquivo. Os metadados, como nomes e tamanhos de arquivos, não são protegidos.
Neste guia, descrevemos a configuração necessária para usar a transferência local nos buckets do Cloud Storage dentro dos perímetros de segurança.
Para saber mais sobre o VPC Service Controls, consulte a Visão geral do VPC Service Controls.
Para informações sobre como usar o VPC Service Controls com o serviço de transferência do Cloud Storage, consulte a seção Como usar o serviço de transferência do Cloud Storage com VPC Service Controls.
Pré-requisitos
Para usar a transferência local com o VPC Service Controls, os itens a seguir precisam estar no mesmo perímetro de serviço:
- O projeto usado para criar jobs de transferência local
- O bucket de destino do Cloud Storage
Configurações aceitas
Use um dos métodos a seguir para configurar o funcionamento de agentes de transferência local com o VPC Service Controls:
Se os agentes precisarem ficar fora do perímetro de serviço que contém o bucket do Cloud Storage e o projeto de transferência local, adicione-os a um nível de acesso.
Esse método é mais fácil de configurar e permite que agentes de transferência local acessem recursos do Google Cloud dentro e fora do perímetro de serviço.
Se for possível adicionar os agentes ao perímetro de serviço que contém o bucket do Cloud Storage e o projeto de transferência local, configure o acesso privado do Google com o VPC Service Controls para a rede local usada por eles.
Esse método tem mais etapas e os agentes de transferência local só podem acessar recursos do Google Cloud no perímetro de serviço.
Como adicionar agentes a um nível de acesso
Siga estas etapas para adicionar agentes de transferência local a um nível de acesso:
Determine como você adicionará agentes a um nível de acesso: por endereço IP ou por contas de serviço.
Adicione os agentes a um nível de acesso:
Para adicionar endereços IP dos agentes a um nível de acesso, siga as instruções em Limitar acesso em uma rede corporativa.
Para adicionar a conta de serviço dos agentes a um nível de acesso, siga as instruções em Limitar acesso por usuário ou conta de serviço.
Como usar o acesso privado do Google com o VPC Service Controls
Siga estas etapas para usar o acesso privado do Google com o VPC Service Controls:
Crie um perímetro de serviço para restringir:
- o Cloud Storage;
- o Pub/Sub;
- Serviço de transferência do Cloud Storage
Crie jobs de transferência em um projeto que esteja dentro do perímetro de serviço. Isso garante que os recursos do Pub/Sub estejam dentro do perímetro de serviço e, portanto, possam ser acessados por agentes de transferência local.
Solução de problemas
Para corrigir erros, consulte Como solucionar problemas do VPC Service Controls.