Skip to main content
Tous les fournisseurs cloud
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Tous les fournisseurs cloud
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Planification des contrôles de service VPC dans Google Cloud

Contributeurs

Lorsque vous choisissez de verrouiller votre environnement Google Cloud avec les contrôles de service VPC, vous devez comprendre comment BlueXP et Cloud Volumes ONTAP interagissent avec les API Google Cloud, ainsi que comment configurer votre périmètre de service pour déployer BlueXP et Cloud Volumes ONTAP.

Les contrôles de service VPC vous permettent de contrôler l'accès aux services gérés par Google en dehors d'un périmètre sécurisé, de bloquer l'accès aux données à partir de sites non fiables et de limiter les risques de transferts de données non autorisés. "En savoir plus sur les contrôles de service Google Cloud VPC".

La communication des services NetApp avec les contrôles de service VPC

BlueXP communique directement avec les API Google Cloud. Ceci est déclenché à partir d'une adresse IP externe en dehors de Google Cloud (par exemple à partir de api.services.cloud.netapp.com) ou dans Google Cloud à partir d'une adresse interne attribuée au connecteur BlueXP.

Selon le style de déploiement du connecteur, certaines exceptions peuvent être nécessaires pour votre périmètre de service.

Images

Cloud Volumes ONTAP et BlueXP utilisent toutes les deux des images d'un projet GCP géré par NetApp. Cela peut affecter le déploiement du connecteur BlueXP et de Cloud Volumes ONTAP, si votre organisation dispose d'une stratégie qui bloque l'utilisation d'images qui ne sont pas hébergées au sein de l'organisation.

Vous pouvez déployer un connecteur manuellement selon la méthode d'installation manuelle, mais Cloud Volumes ONTAP devra également extraire des images du projet NetApp. Vous devez fournir une liste autorisée pour déployer un connecteur et un Cloud Volumes ONTAP.

Déploiement d'un connecteur

L'utilisateur qui déploie un connecteur doit pouvoir référencer une image hébergée dans le projectId netapp-cloudManager et le numéro de projet 14190056516.

Le déploiement de Cloud Volumes ONTAP

  • Le compte de service BlueXP doit référencer une image hébergée dans le projectId netapp-cloudManager et le numéro de projet 14190056516 du projet de service.

  • Le compte de service de l'agent de service Google API par défaut doit référencer une image hébergée dans le projectId netapp-cloudManager et le numéro de projet 14190056516 du projet de service.

Des exemples des règles requises pour extraire ces images avec les contrôles de service VPC sont définis ci-dessous.

Le service VPC contrôle les stratégies de périmètre

Les règles permettent des exceptions aux jeux de règles de contrôle de service VPC. Pour plus d'informations sur les politiques, veuillez consulter le "Documentation sur les règles de contrôle du service VPC GCP".

Pour définir les stratégies requises par BlueXP, accédez à vos contrôles de service VPC Perimeter dans votre entreprise et ajoutez les stratégies suivantes. Les champs doivent correspondre aux options indiquées dans la page de stratégie contrôles de service VPC. Notez également que toutes règles sont requises et que les paramètres OU doivent être utilisés dans le jeu de règles.

Règles d'entrée

From:
	Identities:
		[User Email Address]
	Source > All sources allowed
To:
	Projects =
		[Service Project]
	Services =
		Service name: iam.googleapis.com
		  Service methods: All actions
		Service name: compute.googleapis.com
		  Service methods:All actions

OU

From:
	Identities:
		[User Email Address]
	Source > All sources allowed
To:
	Projects =
		[Host Project]
	Services =
		Service name: compute.googleapis.com
		  Service methods: All actions

OU

From:
	Identities:
		[Service Project Number]@cloudservices.gserviceaccount.com
	Source > All sources allowed
To:
	Projects =
		[Service Project]
		[Host Project]
	Services =
		Service name: compute.googleapis.com
		Service methods: All actions

Règles de sortie

From:
	Identities:
		[Service Project Number]@cloudservices.gserviceaccount.com
To:
	Projects =
		14190056516
	Service =
		Service name: compute.googleapis.com
		Service methods: All actions
Astuce Le numéro de projet mentionné ci-dessus est le projet netapp-cloudManager utilisé par NetApp pour stocker des images pour le connecteur et pour Cloud Volumes ONTAP.