本页面简要介绍了 VPC Service Controls,以及如何将其与 Backup and DR Service 集成以保护数据和资源。
关于 VPC Service Controls
VPC Service Controls 有助于降低从 Backup and DR Service 管理控制台数据渗漏的风险。您可以使用 VPC Service Controls 创建服务边界,以保护各种服务的资源和数据。如果 Backup and DR Service 受边界保护,则边界外的资源无法与管理控制台通信。不过,您可以允许服务边界外的资源访问管理控制台和 API。如需了解详情,请参阅允许从边界外访问受保护的资源。
如需大致了解 VPC Service Controls、其安全优势以及跨 Google Cloud CLI 产品的功能,请参阅 VPC Service Controls 概览。
准备工作
在开始为备份和灾难恢复服务配置 VPC Service Controls 之前,请执行以下操作:
- 在 Google Cloud 控制台的项目选择器页面上,选择创建 Google Cloud CLI 项目。
- 确保您的 Google Cloud 项目已启用结算功能。 了解如何检查项目是否已启用结算功能。
- 按照启用 API 部分中的说明,为您的项目启用 Access Context Manager API。
为备份保险库配置访问权限级别和方向政策
如果备份/恢复设备和备份保险库位于同一 VPC Service Controls 边界内,则无需配置访问权限级别和方向政策。否则,请根据安全边界配置要求,从以下配置方案中选择一个。
- 如果备份/恢复设备和备份保险柜位于边界内,但位于不同的边界内:
- 在备份保险柜资源所在的边界中配置入站流量例外情况。
在 Ingress 规则中同时添加
backupdr.googleapis.com和storage.googleapis.com。来源可以是 IP 地址、网络或备份/恢复设备所在的项目。 - 在存在备份/恢复设备的边界中配置出站流量例外规则。
将
backupdr.googleapis.com和storage.googleapis.com都添加到出站规则中。目标是备份库资源所在的项目。您可以将此信息与备份/恢复设备的 IP 地址或任何其他属性相结合。
- 在备份保险柜资源所在的边界中配置入站流量例外情况。
在 Ingress 规则中同时添加
- 如果边界内只有备份保险柜资源:在存在备份保险柜资源的边界内配置入站流量例外情况。将
backupdr.googleapis.com和storage.googleapis.com都添加到 Ingress 规则中。来源可以是 IP 地址、网络或备份/恢复设备所在的项目。 - 如果边界中仅存在备份/恢复设备:在存在备份/恢复设备的边界中配置出站流量例外情况。
将
backupdr.googleapis.com和storage.googleapis.com都添加到出站流量规则中。目标是备份保险柜资源所在的项目。您可以将该属性与备份/恢复设备的 IP 地址或任何其他属性相结合。
为 Compute Engine 配置访问权限级别和方向政策
如果管理员项目和工作负载项目位于同一 VPC Service Controls 边界内,则无需配置访问权限级别和方向政策。否则,请根据安全边界配置要求,从以下配置方案中选择一个。
- 如果管理员项目和工作负载项目位于不同的服务边界内:
- 管理员项目需要为工作负载项目中的备份保险柜服务代理添加出站规则,以用于
backupdr.googleapis.com和compute.googleapis.com。 - 工作负载项目需要添加一项入站流量规则,以允许来自备份保险柜服务代理的调用;还需要添加一项出站流量规则,以允许备份保险柜服务代理向管理员项目发送
backupdr.googleapis.com和compute.googleapis.com的流量。
- 管理员项目需要为工作负载项目中的备份保险柜服务代理添加出站规则,以用于
- 如果只有管理员项目具有服务边界:管理员项目需要为工作负载项目添加备份保险库服务代理的出站流量规则,以用于
backupdr.googleapis.com和compute.googleapis.com。 - 如果只有工作负载项目具有服务边界:工作负载项目需要添加一项入站流量规则,以允许来自备份保险库服务代理的调用;还需要添加一项出站流量规则,以允许备份保险库服务代理对管理员项目进行
backupdr.googleapis.com和compute.googleapis.com调用。
为 Cloud SQL 和 AlloyDB 配置访问权限级别和方向政策
管理员项目和工作负载项目都应位于同一 VPC Service Controls 边界内。
为 Backup and DR Service 配置 VPC Service Controls
按照以下步骤为 Backup and DR Service 配置 VPC Service Controls:
下面几部分将详细介绍这些步骤。
创建服务边界
请按照以下说明创建服务边界:
- 在 Google Cloud 控制台的项目选择器页面上,选择您希望 VPC 服务边界保护的备份和灾难恢复服务项目。
- 按照创建服务边界中的说明创建服务边界。
在受限服务部分,将以下 API 添加到服务边界:
- 必需:Backup and DR Service API -
backupdr.googleapis.com - 可选:Compute Engine API -
compute.googleapis.com - 可选:Resource Manager API -
cloudresourcemanager.googleapis.com - 可选:Workflows API -
workflows.googleapis.com - 可选:Cloud Key Management Service API -
cloudkms.googleapis.com - 可选:Identity and Access Management API -
iam.googleapis.com - 可选:Cloud Logging API -
logging.googleapis.com - 可选:Cloud Storage API -
storage.googleapis.com - 可选:Cloud SQL Admin API -
sqladmin.googleapis.com
- 必需:Backup and DR Service API -
如果您使用的是共享 VPC,请在添加资源部分中添加宿主项目和服务项目。
设置边界后,默认情况下,只有从安全边界内才能访问 Backup and DR Service 管理控制台和 API。
如果备份/恢复设备向服务边界之外发出 Cloud API 请求(例如,将 Compute Engine 实例恢复到不在同一边界内的项目或 VPC 网络),您可能会看到 VPC Service Controls 访问违规情况。如需允许 API 请求,您必须在 VPC Service Controls 服务边界中为备份/恢复设备服务账号创建适当的入站和出站规则。
配置与 Google API 和服务的连接
在 VPC Service Controls 配置中,如需控制网络流量,请通过 restricted.googleapis.com 网域配置对 Google API 和服务的访问权限。此网域会阻止对不支持 VPC Service Controls 的 Google API 和服务的访问。如需了解详情,请参阅网域选项。
如果您未为 Google API 和服务配置 DNS 规则,系统会使用默认网域的网域选项来解析它们。
备份和灾难恢复服务使用以下网域:
*.backupdr.cloud.google.com用于访问管理控制台。*.googleapis.com用于访问其他 Google 服务。
在 DNS 记录部分中,配置与以下 restricted.googleapis.com 端点的连接。
| 网域 | DNS 名称 | CNAME 记录 | A 记录 |
|---|---|---|---|
*.googleapis.com
|
googleapis.com.
|
DNS 名称:*.googleapis.com.资源记录类型: CNAME规范名称: googleapis.com.
|
资源记录类型:AIPv4 地址:
199.36.153.4,
|
*.backupdr.cloud.google.com
|
backupdr.cloud.google.com.
|
DNS 名称:*.backupdr.cloud.google.com.资源记录类型: CNAME规范名称: backupdr.cloud.google.com.
|
资源记录类型:AIPv4 地址:
|
*.backupdr.googleusercontent.com
|
backupdr.googleusercontent.com
|
DNS 名称:*.backupdr.googleusercontent.com.资源记录类型: CNAME规范名称: backupdr.googleusercontent.com.
|
资源记录类型:AIPv4 地址:
|
创建 DNS 记录
按照以下说明创建 DNS 记录:
在 Google Cloud 控制台中,前往创建 DNS 区域页面。
对于可用区类型,请选择专用。
在可用区名称字段中,输入名称。例如
backup-dr-new-zone。在 DNS 名称字段中,使用您拥有的域名输入该地区的名称,例如
backupdr.cloud.google.com。可选:添加说明。
在选项下,选择默认(专用)。
点击创建。
在区域详情页面上,点击添加标准。
在创建记录集页面中,按照以下步骤为 CNAME 记录添加记录集:
- 在 DNS 名称字段中,输入
*.backupdr.cloud.google.com。 - 在资源记录类型部分,选择 CNAME。
- 在规范名称字段中,输入
backupdr.cloud.google.com。 - 点击创建。
- 在 DNS 名称字段中,输入
在区域详情页面上,点击添加标准,然后按照以下步骤添加包含 IP 地址的记录集:
- 在 DNS 名称字段中,输入
*.backupdr.cloud.google.com。 - 选择 A 作为资源记录类型。
- 在 IPv4 地址字段中,输入 199.36.153.4、199.36.153.5、199.36.153.6、199.36.153.7。
- 点击创建。
- 在 DNS 名称字段中,输入
如需了解详情,请参阅设置与 Google API 和服务的专用连接。
问题排查
版本 11.0.5 及更高版本支持 Backup and DR Service 的 VPC Service Controls。您可以在管理控制台中依次选择帮助 > 关于来查看版本。
如果您在为 Backup and DR Service 配置 VPC Service Controls 时遇到任何问题,请参阅 VPC Service Controls 问题排查部分。
限制
如果您使用 gcloud 命令从服务提供方项目中移除了互联网默认路由,则可能无法访问或创建管理控制台。gcloud services vpc-peerings enable-vpc-service-controls如果您遇到此问题,请与 Google Cloud Customer Care 联系。
在装载 Compute Engine 备份映像之前,请将服务项目和宿主项目添加到同一边界。否则,您可能看不到可用的网络。