Skip to main content
Tous les fournisseurs de cloud
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Tous les fournisseurs de cloud
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Configurer VPC Service Controls pour déployer Cloud Volumes ONTAP dans Google Cloud

Contributeurs netapp-manini
PDF

Lorsque vous choisissez de verrouiller votre environnement Google Cloud avec VPC Service Controls, vous devez comprendre comment NetApp Console et Cloud Volumes ONTAP interagissent avec les API Google Cloud, ainsi que comment configurer votre périmètre de service pour déployer la console et Cloud Volumes ONTAP.

Les contrôles de service VPC vous permettent de contrôler l'accès aux services gérés par Google en dehors d'un périmètre approuvé, de bloquer l'accès aux données à partir d'emplacements non approuvés et d'atténuer les risques de transfert de données non autorisé. "En savoir plus sur les contrôles de service VPC de Google Cloud" .

Comment les services NetApp communiquent avec les contrôles de service VPC

La console communique directement avec les API Google Cloud. Cela est déclenché soit à partir d'une adresse IP externe en dehors de Google Cloud (par exemple, à partir de api.services.cloud.netapp.com), soit dans Google Cloud à partir d'une adresse interne attribuée à l'agent de la console.

Selon le style de déploiement de l’agent de console, certaines exceptions peuvent devoir être effectuées pour votre périmètre de service.

Images

Cloud Volumes ONTAP et la console utilisent tous deux des images d’un projet dans GCP géré par NetApp. Cela peut affecter le déploiement de l’agent de console et de Cloud Volumes ONTAP, si votre organisation dispose d’une politique qui bloque l’utilisation d’images qui ne sont pas hébergées au sein de l’organisation.

Vous pouvez déployer un agent de console manuellement à l'aide de la méthode d'installation manuelle, mais Cloud Volumes ONTAP devra également extraire des images du projet NetApp . Vous devez fournir une liste autorisée pour déployer un agent de console et Cloud Volumes ONTAP.

Déploiement d'un agent de console

L'utilisateur qui déploie un agent de console doit pouvoir référencer une image hébergée dans le projectId netapp-cloudmanager et le numéro de projet 14190056516.

Déploiement de Cloud Volumes ONTAP

  • Le compte de service de la console doit référencer une image hébergée dans le projectId netapp-cloudmanager et le numéro de projet 14190056516 du projet de service.

  • Le compte de service de l'agent de service Google API par défaut doit référencer une image hébergée dans le projectId netapp-cloudmanager et le numéro de projet 14190056516 du projet de service.

Des exemples de règles nécessaires pour extraire ces images avec VPC Service Controls sont définis ci-dessous.

Politiques de périmètre des contrôles de service VPC

Les politiques autorisent des exceptions aux ensembles de règles VPC Service Controls. Pour plus d'informations sur les politiques, veuillez visiter le "Documentation de la politique de contrôle des services VPC GCP" .

Pour définir les stratégies requises par la console, accédez à votre périmètre VPC Service Controls au sein de votre organisation et ajoutez les stratégies suivantes. Les champs doivent correspondre aux options indiquées dans la page de stratégie VPC Service Controls. Notez également que toutes les règles sont obligatoires et que les paramètres OU doivent être utilisés dans l'ensemble de règles.

Règles d'entrée

From:
	Identities:
		[User Email Address]
	Source > All sources allowed
To:
	Projects =
		[Service Project]
	Services =
		Service name: iam.googleapis.com
		  Service methods: All actions
		Service name: compute.googleapis.com
		  Service methods:All actions

OU

From:
	Identities:
		[User Email Address]
	Source > All sources allowed
To:
	Projects =
		[Host Project]
	Services =
		Service name: compute.googleapis.com
		  Service methods: All actions

OU

From:
	Identities:
		[Service Project Number]@cloudservices.gserviceaccount.com
	Source > All sources allowed
To:
	Projects =
		[Service Project]
		[Host Project]
	Services =
		Service name: compute.googleapis.com
		Service methods: All actions

Règles de sortie

From:
	Identities:
		[Service Project Number]@cloudservices.gserviceaccount.com
To:
	Projects =
		14190056516
	Service =
		Service name: compute.googleapis.com
		Service methods: All actions
Astuce Le numéro de projet décrit ci-dessus est le projet netapp-cloudmanager utilisé par NetApp pour stocker des images pour l'agent de console et pour Cloud Volumes ONTAP.