将本地转移服务与 VPC Service Controls 配合使用

Transfer Service for On Premises Data(本地转移服务)支持在本地转移到受 VPC Service Controls 保护的 Cloud Storage 存储桶,条件如下:

  • 使用 Storage Transfer Service API 创建转移作业可保护所有转移的数据。

  • 使用 Google Cloud Console 创建转移作业只能保护文件内容。文件元数据(例如文件名和文件大小)不受保护。

本指南介绍了使用本地转移服务将数据转移至安全边界内的 Cloud Storage 存储桶所需的设置。

如需详细了解 VPC Service Controls,请参阅 VPC Service Controls 概览

如需了解如何将 VPC Service Controls 与 Storage Transfer Service 配合使用,请参阅将 Storage Transfer Service 与 VPC Service Controls 配合使用

前提条件

为了将本地转移服务与 VPC Service Controls 配合使用,以下项需要位于同一服务边界内:

  • 用于创建本地转移作业的项目
  • 目标 Cloud Storage 存储分区。

受支持的配置

使用以下任一方法配置本地转移代理以使用 VPC Service Controls:

  • 如果本地转移代理作业必须保持在包含 Cloud Storage 存储分区和本地转移项目的服务边界以外,请将本地转移代理添加到某个访问权限级别

    此方法更易于设置,并允许本地转移代理访问服务边界内外的 Google Cloud 资源。

  • 如果可以将本地转移代理添加到包含 Cloud Storage 存储分区的本地转移项目的服务边界,则对于本地转移代理使用的本地网络,请为 VPC Service Controls 配置专用 Google 访问通道

    此方法需要完成更多步骤,而本地转移代理只能访问服务边界内的 Google Cloud 资源。

将代理添加到访问权限级别

如需将本地转移代理添加到访问权限级别,请执行以下操作:

  1. 确定将代理添加到访问权限级别的方式:按 IP 地址还是按服务帐号。

  2. 将代理添加到访问权限级别:

将专用 Google 访问通道与 VPC Service Controls 配合使用

如果需要将专用 Google 访问通道与 VPC Service Controls 配合使用,请执行以下操作:

  1. 创建服务边界以限制以下服务:

    • Cloud Storage
    • Pub/Sub
    • Storage Transfer Service
  2. 为本地主机配置专用 Google 访问通道

  3. 在处于服务边界内的项目中创建转移作业。这样可确保 Pub/Sub 资源位于服务边界内,因此本地转移代理可以访问这些资源。

问题排查

如需排查错误,请参阅排查 VPC Service Controls 错误