VPC Service Controls を使用して GKE リソースのバックアップを保護する


このページでは、VPC Service Controls を使用してBackup for GKE リソースを保護する方法について説明します。VPC Service Controls の詳細については、VPC Service Controls の概要をご覧ください。

始める前に

VPC Service Controls の管理に必要な IAM 権限があることを確認します。

Backup for GKE リソースを保護するサービス境界を作成する

  1. Google Cloud Console で、[VPC Service Controls] ページに移動します。

    [VPC Service Controls] に移動

  2. プロンプトが表示されたら、組織を選択します。

  3. [VPC Service Controls] ページで、[新しい境界] をクリックします。

  4. [新しい VPC サービス境界] ページの [境界名] ボックスに、境界の名前を入力します。

  5. 境界内で保護するプロジェクトを選択します。

    1. [プロジェクトの追加] ボタンをクリックします。

    2. 境界にプロジェクトを追加するには、[プロジェクトの追加] ダイアログで、プロジェクトのチェックボックスをオンにします。

    3. [n 個のプロジェクトを追加] ボタンをクリックします。n は、前のステップで選択したプロジェクトの数です。

  6. 境界内で保護する Backup for GKE を選択します。

    1. [サービスを追加] ボタンをクリックします。

    2. 境界内の Backup for GKE を保護するには、[制限するサービスの指定] ダイアログで、その Backup for GKE のチェックボックスをオンにします。

    3. [ Backup for GKE API を追加] ボタンをクリックします。

  7. [保存] ボタンをクリックします。

Backup for GKE リソースへのアクセスを制限するサービス境界を作成しました。サービス境界が伝播されて有効になるまでに 30 分ほどかかる場合があります。変更が伝播されると、Backup for GKE へのアクセスは、境界に追加したプロジェクトのみに制限されます。たとえば、上り(内向き)ルールで明示的に許可されていない限り、境界外からバックアップ プランやバックアップを作成することはできません。

Backup for GKE がサービス境界でどのように機能するかの詳細

  1. Backup for GKE がサービス境界の VPC のアクセス可能なサービスのリストに含まれていない場合、Google Cloud コンソールまたは gcloud CLI を使用してバックアップや復元を作成できても、バックアップと復元が失敗することがあります。これは、Backup for GKE エージェントが GKE クラスタ(サービス境界内)で実行され、バックアップと復元を行うために Backup for GKE へのアクセスが必要になるためです。

  2. Backup for GKE ではプロジェクトをまたぐバックアップと復元がサポートされていないため、別のプロジェクトの Backup for GKE リソースへのアクセスを許可する下り(外向き)ポリシーを作成しても効果がありません。定義上、プロジェクトがサービス境界内にある場合、そのすべての GKE クラスタはサービス境界内にあると見なされるためです。