Skip to main content
Todos los proveedores de nube
  • Servicios web de Amazon
  • Google Cloud
  • Microsoft Azure
  • Todos los proveedores de nube
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configurar controles de servicio de VPC para implementar Cloud Volumes ONTAP en Google Cloud

Colaboradores netapp-manini
PDF

Al elegir bloquear su entorno de Google Cloud con controles de servicio de VPC, debe comprender cómo interactúan NetApp Console y Cloud Volumes ONTAP con las API de Google Cloud, así como también cómo configurar su perímetro de servicio para implementar Console y Cloud Volumes ONTAP.

Los controles de servicio de VPC le permiten controlar el acceso a los servicios administrados por Google fuera de un perímetro confiable, bloquear el acceso a datos desde ubicaciones no confiables y mitigar los riesgos de transferencia de datos no autorizada. "Obtenga más información sobre los controles de servicio de Google Cloud VPC" .

Cómo se comunican los servicios de NetApp con los controles de servicio de VPC

La consola se comunica directamente con las API de Google Cloud. Esto se activa desde una dirección IP externa fuera de Google Cloud (por ejemplo, desde api.services.cloud.netapp.com) o dentro de Google Cloud desde una dirección interna asignada al agente de la consola.

Según el estilo de implementación del agente de consola, es posible que se deban realizar ciertas excepciones para el perímetro de su servicio.

Imágenes

Tanto Cloud Volumes ONTAP como la consola utilizan imágenes de un proyecto dentro de GCP administrado por NetApp. Esto puede afectar la implementación del agente de consola y Cloud Volumes ONTAP, si su organización tiene una política que bloquea el uso de imágenes que no están alojadas dentro de la organización.

Puede implementar un agente de consola manualmente mediante el método de instalación manual, pero Cloud Volumes ONTAP también necesitará extraer imágenes del proyecto de NetApp . Debe proporcionar una lista permitida para implementar un agente de consola y Cloud Volumes ONTAP.

Implementación de un agente de consola

El usuario que implementa un agente de consola debe poder hacer referencia a una imagen alojada en el proyecto netapp-cloudmanager y el número de proyecto 14190056516.

Implementación de Cloud Volumes ONTAP

  • La cuenta de servicio de la consola debe hacer referencia a una imagen alojada en el proyecto netapp-cloudmanager y al número de proyecto 14190056516 del proyecto de servicio.

  • La cuenta de servicio del agente de servicio de las API de Google predeterminado debe hacer referencia a una imagen alojada en el proyecto Id. netapp-cloudmanager y al número de proyecto 14190056516 del proyecto de servicio.

A continuación se definen ejemplos de las reglas necesarias para extraer estas imágenes con los controles de servicio de VPC.

Políticas perimetrales de controles de servicio de VPC

Las políticas permiten excepciones a los conjuntos de reglas de controles de servicio de VPC. Para obtener más información sobre las políticas, visite el "Documentación de la política de controles de servicio de GCP VPC" .

Para configurar las políticas que requiere la consola, navegue al perímetro de controles de servicio de VPC dentro de su organización y agregue las siguientes políticas. Los campos deben coincidir con las opciones proporcionadas en la página de políticas de Controles de servicio de VPC. Tenga en cuenta también que todas las reglas son obligatorias y que los parámetros OR deben utilizarse en el conjunto de reglas.

Reglas de ingreso

From:
	Identities:
		[User Email Address]
	Source > All sources allowed
To:
	Projects =
		[Service Project]
	Services =
		Service name: iam.googleapis.com
		  Service methods: All actions
		Service name: compute.googleapis.com
		  Service methods:All actions

O

From:
	Identities:
		[User Email Address]
	Source > All sources allowed
To:
	Projects =
		[Host Project]
	Services =
		Service name: compute.googleapis.com
		  Service methods: All actions

O

From:
	Identities:
		[Service Project Number]@cloudservices.gserviceaccount.com
	Source > All sources allowed
To:
	Projects =
		[Service Project]
		[Host Project]
	Services =
		Service name: compute.googleapis.com
		Service methods: All actions

Reglas de salida

From:
	Identities:
		[Service Project Number]@cloudservices.gserviceaccount.com
To:
	Projects =
		14190056516
	Service =
		Service name: compute.googleapis.com
		Service methods: All actions
Consejo El número de proyecto descrito anteriormente es el proyecto netapp-cloudmanager utilizado por NetApp para almacenar imágenes para el agente de consola y para Cloud Volumes ONTAP.