Backup and DR Service 用に VPC Service Controls を構成する

このページでは、VPC Service Controls の概要と、Backup and DR Service と統合してデータとリソースを保護する方法について説明します。

VPC Service Controls について

VPC Service Controls を使用すると、Backup and DR Service 管理コンソールからのデータ引き出しのリスクを軽減できます。VPC Service Controls を使用すると、さまざまなサービスのリソースとデータを保護するサービス境界を作成できます。Backup and DR サービスが境界で保護されている場合、境界外のリソースは管理コンソールと通信できません。ただし、サービス境界外のリソースが管理コンソールと API にアクセスできるようにすることはできます。詳細については、保護されたリソースへの境界外部からのアクセスの許可をご覧ください。

VPC Service Controls、そのセキュリティ上のメリット、Google Cloud CLI プロダクト全体の機能の概要については、VPC Service Controls の概要をご覧ください。

始める前に

Backup and DR Service 用の VPC Service Controls の構成を開始する前に、次の操作を行います。

  1. Google Cloud コンソールの [プロジェクト セレクタ] ページで、[Google Cloud CLI プロジェクトを作成] を選択します。
  2. Google Cloud プロジェクトで課金が有効になっていることを確認します。詳しくは、プロジェクトで課金が有効になっているかどうかを確認する方法をご覧ください。
  3. API を有効にするの手順に沿って、プロジェクトの Access Context Manager API を有効にします。

バックアップ保管庫のアクセスレベルと方向ポリシーを構成する

バックアップ/復元アプライアンスとバックアップ ボルトが同じ VPC Service Controls 境界内にある場合は、アクセスレベルと方向ポリシーを構成する必要はありません。それ以外の場合は、セキュリティ境界の構成要件に基づいて、次のいずれかの構成シナリオを選択します。

  • バックアップ/リカバリ アプライアンスとバックアップ Vault が境界内にあり、異なる境界に存在する場合:
    • バックアップ Vault リソースが存在する境界で上り(内向き)例外を構成します。Ingress ルールに backupdr.googleapis.comstorage.googleapis.com の両方を追加します。ソースは、IP アドレス、ネットワーク、バックアップ/復元アプライアンスが存在するプロジェクトのいずれかです。
    • バックアップ/リカバリ アプライアンスが存在する境界で下り(外向き)例外を構成します。上り(内向き)ルールに backupdr.googleapis.comstorage.googleapis.com の両方を追加します。ターゲットは、バックアップ ボルト リソースが存在するプロジェクトです。これをバックアップ/復元アプライアンスの IP アドレスなどの他のプロパティと組み合わせることができます。
  • Backup Vault リソースのみが境界内にある場合: Backup Vault リソースが存在する境界で上り(内向き)例外を構成します。backupdr.googleapis.comstorage.googleapis.com の両方を Ingress ルールに追加します。ソースは、バックアップ/復元アプライアンスが存在する IP アドレス、ネットワーク、またはプロジェクトにできます。
  • 境界にバックアップ/復元アプライアンスのみが存在する場合: バックアップ/復元アプライアンスが存在する境界で下り(外向き)例外を構成します。下り(外向き)ルールに backupdr.googleapis.comstorage.googleapis.com の両方を追加します。ターゲットは、バックアップ Vault リソースが存在するプロジェクトです。これをバックアップ/復元アプライアンスの IP アドレスなどの他のプロパティと組み合わせることができます。

Compute Engine のアクセスレベルと方向ポリシーを構成する

管理者プロジェクトとワークロード プロジェクトが同じ VPC Service Controls 境界内にある場合は、アクセスレベルと方向ポリシーを構成する必要はありません。それ以外の場合は、セキュリティ境界の構成要件に基づいて、次のいずれかの構成シナリオを選択します。

  • 管理者プロジェクトとワークロード プロジェクトの両方が異なるサービス境界に存在する場合:
    • 管理者プロジェクトは、backupdr.googleapis.comcompute.googleapis.com の両方について、バックアップ Vault サービス エージェントの下り(外向き)ルールをワークロード プロジェクトに追加する必要があります。
    • ワークロード プロジェクトでは、バックアップ ボルト サービス エージェントからの呼び出しを許可する上り(内向き)ルールと、バックアップ ボルト サービス エージェントの管理者プロジェクトに対する下り(外向き)ルールを backupdr.googleapis.comcompute.googleapis.com の両方に追加する必要があります。
  • 管理者プロジェクトにのみサービス境界がある場合: 管理者プロジェクトは、backupdr.googleapis.comcompute.googleapis.com の両方について、バックアップ ボルト サービス エージェントの下り(外向き)ルールをワークロード プロジェクトに追加する必要があります。
  • ワークロード プロジェクトにのみサービス境界がある場合: ワークロード プロジェクトは、バックアップ ボルト サービス エージェントからの呼び出しを許可する上り(内向き)ルールと、backupdr.googleapis.comcompute.googleapis.com の両方について、バックアップ ボルト サービス エージェントから管理者プロジェクトへの下り(外向き)ルールを追加する必要があります。

Cloud SQL と AlloyDB のアクセスレベルと方向ポリシーを構成する

管理者プロジェクトとワークロード プロジェクトの両方が同じ VPC Service Controls の境界内にある必要があります。

Backup and DR Service 用に VPC Service Controls を構成する

Backup and DR Service 用に VPC Service Controls を構成する手順は次のとおりです。

  1. サービス境界を作成する
  2. Google API とサービスへの接続を構成する

以降のセクションで、この手順について詳しく説明します。

サービス境界を作成する

次の手順でサービス境界を作成します。

  1. Google Cloud コンソールのプロジェクト セレクタ ページで、VPC サービス境界で保護する Backup and DR Service プロジェクトを選択します。
  2. サービス境界を作成するの説明に沿って、サービス境界を作成します。

  3. [制限付きサービス] セクションのサービス境界に次の API を追加します。

    • 必須: Backup and DR Service API - backupdr.googleapis.com
    • 省略可: Compute Engine API - compute.googleapis.com
    • 省略可: Resource Manager API - cloudresourcemanager.googleapis.com
    • 省略可: Workflows API - workflows.googleapis.com
    • 省略可: Cloud Key Management Service API - cloudkms.googleapis.com
    • 省略可: Identity and Access Management API - iam.googleapis.com
    • 省略可: Cloud Logging API - logging.googleapis.com
    • 省略可: Cloud Storage API - storage.googleapis.com
    • 省略可: Cloud SQL Admin API - sqladmin.googleapis.com

  4. 共有 VPC を使用している場合は、[リソースを追加] セクションでホスト プロジェクトとサービス プロジェクトを追加します。

境界を設定すると、デフォルトでは、Backup and DR サービス管理コンソールと API へのアクセスはセキュリティ境界内からのみ許可されます。

バックアップ/復元アプライアンスがサービス境界外にクラウド API リクエストを行う場合(たとえば、同じ境界内にないプロジェクトまたは VPC ネットワークに Compute Engine インスタンスを復元する場合)、VPC Service Controls のアクセス違反が発生することがあります。API リクエストを許可するには、バックアップ/復元アプライアンスのサービス アカウントに対して、VPC Service Controls サービス境界に適切な上り(内向き)ルールと下り(外向き)ルールを作成する必要があります。

Google API とサービスへの接続

VPC Service Controls 構成でネットワーク トラフィックを制御するには、restricted.googleapis.com ドメインを介して Google API とサービスへのアクセスを構成します。このドメインは、VPC Service Controls をサポートしていない Google API とサービスへのアクセスをブロックします。詳細については、ドメイン オプションをご覧ください。

Google API とサービスの DNS ルールを構成しない場合、DNS ルールはデフォルト ドメインのドメイン オプションを使用して解決されます。

Backup and DR サービスは次のドメインを使用します。

  • *.backupdr.cloud.google.com は、管理コンソールへのアクセスに使用されます。
  • *.googleapis.com は、他の Google サービスへのアクセスに使用されます。

[DNS レコード] セクションで、次の restricted.googleapis.com エンドポイントへの接続を構成します。

ドメイン DNS 名 CNAME レコード A レコード
*.googleapis.com googleapis.com. DNS 名: *.googleapis.com.
リソース レコードのタイプ: CNAME
正規名: googleapis.com. 		リソース レコードのタイプ: A
IPv4 アドレス: 199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7
*.backupdr.cloud.google.com backupdr.cloud.google.com. DNS 名: *.backupdr.cloud.google.com.
リソース レコードのタイプ: CNAME
正規名: backupdr.cloud.google.com. 		リソース レコードのタイプ: A
IPv4 アドレス:
199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7
*.backupdr.googleusercontent.com backupdr.googleusercontent.com DNS 名: *.backupdr.googleusercontent.com.
リソース レコードのタイプ: CNAME
正規名: backupdr.googleusercontent.com. 		リソース レコードのタイプ: A
IPv4 アドレス:
199.36.153.4,
199.36.153.5,
199.36.153.6,
199.36.153.7

DNS レコードを作成する

DNS レコードを作成するには、次の操作を行います。

  1. Google Cloud コンソールで、[DNS ゾーンの作成] ページに移動します。

    [DNS ゾーンの作成] に移動

  2. [ゾーンのタイプ] で [限定公開] を選択します。

  3. [ゾーン名] フィールドに名前を入力します。例: backup-dr-new-zone

  4. [DNS 名] フィールドに、所有しているドメイン名を使用してゾーンの名前を入力します(例: backupdr.cloud.google.com)。

  5. (省略可)説明を追加します。

  6. [オプション] で、[デフォルト(限定公開)] を選択します。

  7. [作成] をクリックします。

  8. [ゾーンの詳細] ページで、[標準を追加] をクリックします。

  9. [レコードセットの作成] ページで、次の手順に沿って CNAME レコードのレコードセットを追加します。

    1. [DNS 名] フィールドに「*.backupdr.cloud.google.com」と入力します。
    2. [リソース レコードのタイプ] で [CNAME] を選択します。
    3. [正規名] フィールドに「backupdr.cloud.google.com」と入力します。
    4. [作成] をクリックします。

  10. [ゾーンの詳細] ページで、[標準を追加] をクリックし、次の手順で IP アドレスを含むレコードセットを追加します。

    1. [DNS 名] フィールドに「*.backupdr.cloud.google.com」と入力します。
    2. [リソース レコードのタイプ] で [A] を選択します。
    3. [IPv4 アドレス] フィールドに、199.36.153.4199.36.153.5199.36.153.6199.36.153.7 を入力します。
    4. [作成] をクリックします。

詳細については、Google API とサービスへのプライベート接続を設定するをご覧ください。

トラブルシューティング

Backup and DR Service の VPC Service Controls は、バージョン 11.0.5 以降でサポートされています。バージョンは、管理コンソールの [ヘルプ] > [バージョン情報] で確認できます。

Backup and DR Service 用に VPC Service Controls を構成する際に問題が発生した場合は、VPC Service Controls のトラブルシューティング セクションをご覧ください。

制限事項

gcloud コマンドを使用してサービス プロデューサー プロジェクトからインターネットのデフォルト ルートを削除した場合(gcloud services vpc-peerings enable-vpc-service-controls)、管理コンソールにアクセスできなくなるか、作成できなくなることがあります。この問題が発生した場合は、Google Cloud カスタマーケアにお問い合わせください。

Compute Engine バックアップ イメージをマウントする前に、サービス プロジェクトとホスト プロジェクトを同じ境界に追加します。そうしないと、利用可能なネットワークが表示されないことがあります。