Protege copias de seguridad de los recursos de GKE mediante los Controles del servicio de VPC

En esta página, se describe cómo usar los Controles del servicio de VPC a fin de proteger los recursos de Copia de seguridad para GKE. Si deseas obtener más información sobre los Controles del servicio de VPC, consulta la descripción general de los Controles del servicio de VPC.

Antes de comenzar

Asegúrate de tener los permisos de IAM necesarios para administrar los Controles del servicio de VPC.

Crea un perímetro de servicio a fin de proteger los recursos de Copia de seguridad para GKE

  1. En la Google Cloud consola, ve a la página Controles del servicio de VPC.

    Ir a los Controles del servicio de VPC

  2. Si se te solicita, selecciona tu organización.

  3. En la página Controles del servicio de VPC, haz clic en Nuevo perímetro.

  4. En la página Nuevo perímetro de servicio de VPC, en el cuadro Nombre del perímetro, escribe un nombre para el perímetro.

  5. Selecciona los proyectos que desees proteger dentro del perímetro:

    1. Haz clic en el botón Agregar proyectos.

    2. Para agregar un proyecto al perímetro, en el diálogo Agregar proyectos, selecciona la casilla de verificación de ese proyecto.

    3. Haz clic en el botón Agregar proyectos n, en el que n es la cantidad de proyectos que seleccionaste en el paso anterior.

  6. Selecciona Copia de seguridad para GKE a fin de proteger el perímetro:

    1. Haz clic en el botón Agregar servicios.

    2. Para proteger la copia de seguridad para GKE dentro del perímetro, en el diálogo Especificar los servicios que deseas restringir, selecciona la casilla de verificación Copia de seguridad para GKE.

    3. Haz clic en el botón Agregar API de Copia de seguridad para GKE.

  7. Haga clic en el botón Guardar.

Creaste un perímetro de servicio que restringe el acceso a los recursos de Copia de seguridad para GKE. El perímetro de servicio puede demorar hasta 30 minutos en propagarse y surtir efecto. Cuando se propaguen los cambios, el acceso a la Copia de seguridad para GKE será limitado para los proyectos que agregaste al perímetro. Por ejemplo, no se puede crear un plan de copias de seguridad ni una copia de seguridad desde fuera del perímetro, a menos que una regla de entrada lo permita de forma explícita.

Detalles sobre cómo funciona Copia de seguridad para GKE con perímetros de servicio

  1. Si la Copia de seguridad para GKE no está entre la lista de servicios accesibles de VPC de un perímetro de servicio, la copia de seguridad y el restablecimiento pueden fallar, incluso si puedes crear una copia de seguridad o restablecimiento mediante la consola de Google Cloud o la CLI de gcloud. Esto se debe a que el agente de Copia de seguridad para GKE se ejecuta en el clúster de GKE (dentro del perímetro de servicio) y requiere acceso a la Copia de seguridad para GKE a fin de realizar la copia de seguridad y el restablecimiento.

  2. Para realizar copias de seguridad y restauraciones entre proyectos de forma correcta, backup_project, cluster_project y restore_project deben estar dentro del mismo perímetro de los Controles del servicio de VPC.