Storage Transfer Service 支持在本地转移到受 VPC Service Controls 保护的 Cloud Storage 存储桶,条件如下:
使用 Storage Transfer Service API 创建转移作业可保护所有转移的数据。
使用 Google Cloud Console 创建转移作业只能保护文件内容。文件元数据(例如文件名和文件大小)不受保护。
本指南介绍了使用 Storage Transfer Service 将数据转移至安全边界内的 Cloud Storage 存储桶所需的设置。
如需详细了解 VPC Service Controls,请参阅 VPC Service Controls 概览。
如需了解如何将 VPC Service Controls 与 Storage Transfer Service 配合使用,请参阅将 Storage Transfer Service 与 VPC Service Controls 配合使用。
前提条件
要将 Storage Transfer Service 与 VPC Service Controls 配合使用,以下项需要位于同一服务边界内:
- 用于创建本地转移作业的项目
- 目标 Cloud Storage 存储分区。
受支持的配置
使用以下任一方法配置转移代理以使用 VPC Service Controls:
如果转移代理必须保持在包含 Cloud Storage 存储桶和 Storage Transfer Service 项目的服务边界以外,请将代理添加到某个访问权限级别。
此方法更易于设置,并允许转移代理访问服务边界内外的 Google Cloud 资源。
如果可以将转移代理添加到包含 Cloud Storage 存储桶和 Storage Transfer Service 项目的服务边界,则对于转移代理使用的本地网络,请为 VPC Service Controls 配置专用 Google 访问通道。
此方法需要完成更多步骤,而转移代理只能访问服务边界内的 Google Cloud 资源。
将代理添加到访问权限级别
如需将转移代理添加到某个访问权限级别,请执行以下操作:
确定将代理添加到访问权限级别的方式:按 IP 地址还是按服务账号。
将代理添加到访问权限级别:
如需将代理的 IP 地址添加到访问权限级别,请按照限制公司网络上的访问权限中的说明操作。
如需将代理的服务账号添加到访问权限级别,请按照按用户或服务账号限制访问权限中的说明操作。
将专用 Google 访问通道与 VPC Service Controls 配合使用
如果需要将专用 Google 访问通道与 VPC Service Controls 配合使用,请执行以下操作:
问题排查
如需排查错误,请参阅排查 VPC Service Controls 错误。