Proteger o backup para recursos do GKE usando o VPC Service Controls

Nesta página, descrevemos como usar o VPC Service Controls para proteger o backup de recursos do GKE. Para mais informações sobre o VPC Service Controls, leia a Visão geral do VPC Service Controls.

Antes de começar

Verifique se você tem as permissões do IAM necessárias para administrar o VPC Service Controls.

Criar um perímetro de serviço para proteger o Backup de recursos do GKE

  1. No Google Cloud console, acesse a página VPC Service Controls.

    Acessar o VPC Service Controls

  2. Se solicitado, selecione a Organização.

  3. Na página VPC Service Controls, clique em Novo perímetro.

  4. Na página Novo perímetro de serviço da VPC, digite um nome para o perímetro na caixa Nome do perímetro.

  5. Selecione os projetos que você quer proteger no perímetro:

    1. Clique no botão Adicionar projetos.

    2. Na caixa de diálogo Adicionar projetos, marque a caixa de seleção dos projetos para adicioná-los ao perímetro.

    3. Clique no botão Adicionar n projetos, em que n é o número de projetos selecionados na etapa anterior.

  6. Selecione "Backup para o GKE" para proteger o perímetro:

    1. Clique no botão Adicionar serviços.

    2. Para proteger o Backup para GKE no perímetro, na caixa de diálogo Especificar serviços a serem restringidos, marque a caixa de seleção do Backup para GKE.

    3. Clique no botão Adicionar backup para a API GKE.

  7. Clique no botão Salvar.

Você criou um perímetro de serviço que restringe o acesso aos recursos do Backup para o GKE. O perímetro de serviço pode levar até 30 minutos para se propagar e entrar em vigor. Quando as alterações forem propagadas, o acesso ao Backup para o GKE será limitado para os projetos adicionados ao perímetro. Por exemplo, nenhum plano de backup pode ser criado fora do perímetro, a menos que seja explicitamente permitido por uma regra de entrada.

Detalhes sobre como o backup para GKE funciona com perímetros de serviço

  1. Se o Backup para GKE não estiver na lista de serviços acessíveis por VPC de um perímetro de serviço, o backup e a restauração poderão falhar, mesmo que você consiga criar o backup ou a restauração usando o console Google Cloud ou a CLI gcloud. Isso ocorre porque o agente do Backup para GKE está em execução no cluster do GKE (dentro do perímetro de serviço) e requer acesso ao Backup para GKE para realizar o backup e a restauração.

  2. Para fazer backups e restaurações entre projetos, o backup_project, o cluster_project e o restore_project precisam estar no mesmo perímetro do VPC Service Controls.