Configura los Controles del servicio de VPC para el servicio de copia de seguridad y DR

En esta página, se proporciona una descripción general de los Controles del servicio de VPC y cómo puedes integrarlos con el servicio de Backup and DR para proteger tus datos y recursos.

Acerca de los Controles del servicio de VPC

Los Controles del servicio de VPC ayudan a mitigar el riesgo de robo de datos de la consola de administración del servicio de copia de seguridad y DR. Puedes usar los Controles del servicio de VPC para crear perímetros de servicio que protejan los recursos y los datos de varios servicios. Si el servicio Backup and DR está protegido por un perímetro, los recursos externos a este no podrán comunicarse con la consola de administración. Sin embargo, puedes permitir que los recursos externos al perímetro de servicio accedan a la consola de administración y a la API. Para obtener más información, consulta Permite el acceso a recursos protegidos desde fuera del perímetro.

Para obtener una descripción general de los Controles del servicio de VPC, sus beneficios de seguridad y sus capacidades en los productos de Google Cloud CLI, consulta la Descripción general de los Controles del servicio de VPC.

Antes de comenzar

Antes de comenzar a configurar los Controles del servicio de VPC para el servicio de Backup and DR, haz lo siguiente:

  1. En la consola de Google Cloud , en la página del selector de proyectos, selecciona crear Google Cloud CLI Cloud.
  2. Asegúrate de tener habilitada la facturación para tu Google Cloud proyecto. Obtén información para verificar si la facturación está habilitada en un proyecto.
  3. Sigue las instrucciones de la sección Habilita APIs y habilita la API de Access Context Manager para tu proyecto.

Configura los niveles de acceso y las políticas de dirección para la bóveda de copias de seguridad

Si el dispositivo de copia de seguridad y recuperación y la bóveda de copias de seguridad se encuentran en el mismo perímetro de Controles del servicio de VPC, no es necesario que configures niveles de acceso ni políticas de dirección. De lo contrario, elige uno de los siguientes casos de configuración según tus requisitos de configuración del perímetro de seguridad.

  • Si el dispositivo de copia de seguridad o recuperación y la backup vault se encuentran en perímetros, pero existen en diferentes perímetros:
    • Configura excepciones de entrada en el perímetro donde existen recursos de backup vault. Agrega backupdr.googleapis.com y storage.googleapis.com en la regla de entrada. La fuente puede ser la dirección IP, la red o el proyecto en el que se encuentra el dispositivo de copia de seguridad o recuperación.
    • Configura excepciones de salida en el perímetro donde existen dispositivos de copia de seguridad y recuperación. Agrega backupdr.googleapis.com y storage.googleapis.com a la regla de salida. El destino es el proyecto en el que existe el recurso de backup vault. Puedes combinar eso con la dirección IP del dispositivo de copia de seguridad o recuperación, o cualquier otra propiedad.
  • Si solo hay recursos de backup vault en el perímetro: Configura excepciones de entrada en el perímetro donde existen recursos de backup vault. Agrega backupdr.googleapis.com y storage.googleapis.com a la regla de entrada. La fuente puede ser la dirección IP, la red o el proyecto en el que se encuentra el dispositivo de copia de seguridad o recuperación.
  • Si solo existe un dispositivo de copia de seguridad o recuperación en el perímetro: Configura excepciones de salida en el perímetro donde existen dispositivos de copia de seguridad o recuperación. Agrega backupdr.googleapis.com y storage.googleapis.com a la regla de salida. El destino es el proyecto en el que existe el recurso de backup vault. Puedes combinar eso con la dirección IP del dispositivo de copia de seguridad o recuperación, o cualquier otra propiedad.

Configura los niveles de acceso y las políticas de dirección para Compute Engine

Si el proyecto de administrador y el proyecto de carga de trabajo se encuentran en el mismo perímetro de los Controles del servicio de VPC, no es necesario que configures niveles de acceso ni políticas de dirección. De lo contrario, elige uno de los siguientes casos de configuración según tus requisitos de configuración del perímetro de seguridad.

  • Si el proyecto de administrador y el proyecto de carga de trabajo existen en diferentes perímetros de servicio, haz lo siguiente:
    • El proyecto de administrador debe agregar una regla de salida para el agente de servicio de backup vault al proyecto de carga de trabajo para backupdr.googleapis.com y compute.googleapis.com.
    • El proyecto de la carga de trabajo debe agregar una regla de entrada para permitir llamadas desde el agente de servicio de backup vault y una regla de salida para que el agente de servicio de backup vault se conecte al proyecto del administrador para backupdr.googleapis.com y compute.googleapis.com.
  • Si solo el proyecto de administrador tiene un perímetro de servicio: El proyecto de administrador debe agregar una regla de salida para el agente de servicio de la bóveda de copias de seguridad al proyecto de carga de trabajo para backupdr.googleapis.com y compute.googleapis.com.
  • Si solo el proyecto de la carga de trabajo tiene un perímetro de servicio: El proyecto de la carga de trabajo debe agregar una regla de entrada para permitir llamadas desde el agente de servicio de backup vault y una regla de salida para que el agente de servicio de backup vault se dirija al proyecto del administrador para backupdr.googleapis.com y compute.googleapis.com.

Configura los niveles de acceso y las políticas de dirección para Cloud SQL y AlloyDB

Tanto el proyecto de administrador como el proyecto de carga de trabajo deben estar dentro del mismo perímetro de los Controles del servicio de VPC.

Configura los Controles del servicio de VPC para el servicio Backup and DR

Sigue estos pasos para configurar los Controles del servicio de VPC para el servicio Backup and DR:

  1. Crea un perímetro de servicio
  2. Configura la conectividad a los servicios y las APIs de Google

En las siguientes secciones, se describen estos pasos en detalle.

Crea un perímetro de servicio

Sigue estas instrucciones para crear un perímetro de servicio:

  1. En la Google Cloud consola, en la página del selector de proyectos, selecciona el proyecto del servicio de Backup and DR que deseas que proteja el perímetro de servicio de VPC.
  2. Crea un perímetro de servicio siguiendo las instrucciones que se describen en Crea un perímetro de servicio.

  3. Agrega las siguientes APIs al perímetro de servicio en la sección Servicios restringidos:

    • Obligatorio: API del servicio Backup and DR - backupdr.googleapis.com
    • Opcional: API de Compute Engine: compute.googleapis.com
    • Opcional: API de Resource Manager: cloudresourcemanager.googleapis.com
    • Opcional: API de Workflows - workflows.googleapis.com
    • Opcional: API de Cloud Key Management Service: cloudkms.googleapis.com
    • Opcional: API de Identity and Access Management: iam.googleapis.com
    • Opcional: API de Cloud Logging: logging.googleapis.com
    • Opcional: API de Cloud Storage: storage.googleapis.com
    • Opcional: API de Cloud SQL Admin: sqladmin.googleapis.com

  4. Si usas una VPC compartida, agrega el host y los proyectos de servicio en la sección Agregar recursos.

Una vez que configures un perímetro, de forma predeterminada, el acceso a la consola de administración y la API del servicio Backup and DR solo se permitirá desde dentro del perímetro de seguridad.

Si un dispositivo de copia de seguridad o recuperación realiza solicitudes a la API de Cloud fuera del perímetro de servicio, por ejemplo, para recuperar una instancia de Compute Engine en un proyecto o una red de VPC que no se encuentra en el mismo perímetro, es posible que veas un incumplimiento de acceso de los Controles del servicio de VPC. Para permitir solicitudes a la API, debes crear reglas de entrada y salida adecuadas en el perímetro de servicio de los Controles del servicio de VPC para la cuenta de servicio del dispositivo de copia de seguridad y recuperación.

Configura la conectividad a los servicios y las APIs de Google

En una configuración de Controles del servicio de VPC, para controlar el tráfico de red, configura el acceso a las APIs y los servicios de Google a través del dominio restricted.googleapis.com. Este dominio bloquea el acceso a las APIs y los servicios de Google que no admiten los Controles del servicio de VPC. Para obtener más información, consulta Opciones de dominio.

Si no configuras reglas de DNS para las APIs y los servicios de Google, se resuelven con la opción de dominio para los dominios predeterminados.

El servicio Backup and DR usa los siguientes dominios:

  • *.backupdr.cloud.google.com se usa para acceder a la consola de administración.
  • *.googleapis.com se usa para acceder a otros servicios de Google.

Configura la conectividad con los siguientes extremos restricted.googleapis.com en la sección Registro DNS.

Dominio Nombre de DNS Registro CNAME Registro A
*.googleapis.com googleapis.com. Nombre de DNS: *.googleapis.com.
Tipo de registro de recurso: CNAME
Nombre canónico: googleapis.com. 		Tipo de registro de recurso: A
Direcciones IPv4: 199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7
*.backupdr.cloud.google.com backupdr.cloud.google.com. Nombre de DNS: *.backupdr.cloud.google.com.
Tipo de registro de recurso: CNAME
Nombre canónico: backupdr.cloud.google.com. 		Tipo de registro de recurso: A
Direcciones IPv4:
199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7
*.backupdr.googleusercontent.com backupdr.googleusercontent.com Nombre de DNS: *.backupdr.googleusercontent.com.
Tipo de registro de recurso: CNAME
Nombre canónico: backupdr.googleusercontent.com. 		Tipo de registro de recurso: A
Direcciones IPv4:
199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7

Crea un registro DNS

Sigue estas instrucciones para crear un registro DNS:

  1. En la consola de Google Cloud , dirígete a la página Crea una zona del DNS.

    Ir a Crea una zona del DNS

  2. En Tipo de zona, selecciona Privada.

  3. En el campo Nombre de la zona, ingresa un nombre. Por ejemplo, backup-dr-new-zone

  4. En el campo Nombre de DNS, ingresa un nombre para la zona con un nombre de dominio de tu propiedad, por ejemplo, backupdr.cloud.google.com.

  5. Opcional: agrega una descripción.

  6. En Opciones, selecciona Predeterminada (privada).

  7. Haz clic en Crear.

  8. En la página Detalles de la zona, haz clic en Agregar estándar.

  9. En la página Crear conjunto de registros, sigue estos pasos para agregar un conjunto de registros para el registro CNAME:

    1. En el campo Nombre de DNS, ingresa *.backupdr.cloud.google.com.
    2. En Tipo de registro del recurso, selecciona CNAME.
    3. En el campo Nombre canónico, ingresa backupdr.cloud.google.com.
    4. Haz clic en Crear.

  10. En la página Detalles de la zona, haz clic en Agregar estándar y sigue estos pasos para agregar un conjunto de registros con direcciones IP:

    1. En el campo Nombre de DNS, ingresa *.backupdr.cloud.google.com.
    2. Selecciona A como el Tipo de registro de recursos.
    3. En el campo Direcciones IPv4, ingresa 199.36.153.4, 199.36.153.5, 199.36.153.6 y 199.36.153.7.
    4. Haz clic en Crear.

Para obtener más información, consulta Configura la conectividad privada a los servicios y las APIs de Google.

Solucionar problemas

Los Controles del servicio de VPC para el servicio de copia de seguridad y DR son compatibles con la versión 11.0.5 y versiones posteriores. Puedes consultar la versión en Ayuda > Acerca de de la consola de administración.

Si tienes algún problema mientras configuras los Controles del servicio de VPC para el servicio de Backup and DR, consulta la sección de solución de problemas de los Controles del servicio de VPC.

Limitaciones

Si quitaste la ruta predeterminada de Internet del proyecto del productor de servicios con el comando gcloud: gcloud services vpc-peerings enable-vpc-service-controls, es posible que no puedas acceder a la consola de administración ni crearla. Si te encuentras con este problema, comunícate con Atención al cliente de Google Cloud.

Antes de activar una imagen de copia de seguridad de Compute Engine, agrega los proyectos de servicio y host al mismo perímetro. De lo contrario, es posible que no veas las redes disponibles.