为文件系统转移配置 VPC Service Controls

Storage Transfer Service 支持在本地转移到受 VPC Service Controls 保护的 Cloud Storage 存储桶,条件如下:

  • 使用 Storage Transfer Service API 创建转移作业可保护所有转移的数据。

  • 使用 Google Cloud Console 创建转移作业只能保护文件内容。文件元数据(例如文件名和文件大小)不受保护。

本指南介绍了使用 Storage Transfer Service 将数据转移至安全边界内的 Cloud Storage 存储桶所需的设置。

如需详细了解 VPC Service Controls,请参阅 VPC Service Controls 概览

如需了解如何将 VPC Service Controls 与 Storage Transfer Service 配合使用,请参阅将 Storage Transfer Service 与 VPC Service Controls 配合使用

前提条件

要将 Storage Transfer Service 与 VPC Service Controls 配合使用,以下项需要位于同一服务边界内:

  • 用于创建本地转移作业的项目
  • 目标 Cloud Storage 存储分区。

受支持的配置

使用以下任一方法配置转移代理以使用 VPC Service Controls:

  • 如果转移代理必须保持在包含 Cloud Storage 存储桶和 Storage Transfer Service 项目的服务边界以外,请将代理添加到某个访问权限级别

    此方法更易于设置,并允许转移代理访问服务边界内外的 Google Cloud 资源。

  • 如果可以将转移代理添加到包含 Cloud Storage 存储桶和 Storage Transfer Service 项目的服务边界,则对于转移代理使用的本地网络,请为 VPC Service Controls 配置专用 Google 访问通道

    此方法需要完成更多步骤,而转移代理只能访问服务边界内的 Google Cloud 资源。

将代理添加到访问权限级别

如需将转移代理添加到某个访问权限级别,请执行以下操作:

  1. 确定将代理添加到访问权限级别的方式:按 IP 地址还是按服务账号。

  2. 将代理添加到访问权限级别:

将专用 Google 访问通道与 VPC Service Controls 配合使用

如果需要将专用 Google 访问通道与 VPC Service Controls 配合使用,请执行以下操作:

  1. 创建服务边界以限制以下服务:

    • Cloud Storage
    • Storage Transfer Service
  2. 为本地主机配置专用 Google 访问通道

  3. 在处于服务边界内的项目中创建转移作业

问题排查

如需排查错误,请参阅排查 VPC Service Controls 错误