このページでは、VPC Service Controls を使用してBackup for GKE リソースを保護する方法について説明します。VPC Service Controls の詳細については、VPC Service Controls の概要をご覧ください。
始める前に
VPC Service Controls の管理に必要な IAM 権限があることを確認します。
Backup for GKE リソースを保護するサービス境界を作成する
Google Cloud Console で、[VPC Service Controls] ページに移動します。
プロンプトが表示されたら、組織を選択します。
[VPC Service Controls] ページで、[新しい境界] をクリックします。
[新しい VPC サービス境界] ページの [境界名] ボックスに、境界の名前を入力します。
境界内で保護するプロジェクトを選択します。
[プロジェクトの追加] ボタンをクリックします。
境界にプロジェクトを追加するには、[プロジェクトの追加] ダイアログで、プロジェクトのチェックボックスをオンにします。
[n 個のプロジェクトを追加] ボタンをクリックします。n は、前のステップで選択したプロジェクトの数です。
境界内で保護する Backup for GKE を選択します。
[サービスを追加] ボタンをクリックします。
境界内の Backup for GKE を保護するには、[制限するサービスの指定] ダイアログで、その Backup for GKE のチェックボックスをオンにします。
[ Backup for GKE API を追加] ボタンをクリックします。
[保存] ボタンをクリックします。
Backup for GKE リソースへのアクセスを制限するサービス境界を作成しました。サービス境界が伝播されて有効になるまでに 30 分ほどかかる場合があります。変更が伝播されると、Backup for GKE へのアクセスは、境界に追加したプロジェクトのみに制限されます。たとえば、上り(内向き)ルールで明示的に許可されていない限り、境界外からバックアップ プランやバックアップを作成することはできません。
Backup for GKE がサービス境界でどのように機能するかの詳細
Backup for GKE がサービス境界の VPC のアクセス可能なサービスのリストに含まれていない場合、Google Cloud コンソールまたは gcloud CLI を使用してバックアップや復元を作成できても、バックアップと復元が失敗することがあります。これは、Backup for GKE エージェントが GKE クラスタ(サービス境界内)で実行され、バックアップと復元を行うために Backup for GKE へのアクセスが必要になるためです。
Backup for GKE ではプロジェクトをまたぐバックアップと復元がサポートされていないため、別のプロジェクトの Backup for GKE リソースへのアクセスを許可する下り(外向き)ポリシーを作成しても効果がありません。定義上、プロジェクトがサービス境界内にある場合、そのすべての GKE クラスタはサービス境界内にあると見なされるためです。