Skip to main content
Tutti i cloud provider
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Tutti i cloud provider
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Pianificazione dei controlli dei servizi VPC in GCP

Collaboratori

Quando si sceglie di bloccare l'ambiente Google Cloud con i controlli dei servizi VPC, è necessario comprendere come BlueXP e Cloud Volumes ONTAP interagiscono con le API di Google Cloud e come configurare il perimetro dei servizi per implementare BlueXP e Cloud Volumes ONTAP.

I controlli dei servizi VPC consentono di controllare l'accesso ai servizi gestiti da Google all'esterno di un perimetro attendibile, di bloccare l'accesso ai dati da posizioni non attendibili e di ridurre i rischi di trasferimento dei dati non autorizzato. "Scopri di più su Google Cloud VPC Service Controls".

Come i servizi NetApp comunicano con VPC Service Controls

BlueXP comunica direttamente con le API di Google Cloud. Questo viene attivato da un indirizzo IP esterno a Google Cloud (ad esempio, da api.services.cloud.netapp.com) o da un indirizzo interno assegnato a BlueXP Connector all'interno di Google Cloud.

A seconda dello stile di implementazione del connettore, potrebbero essere necessarie alcune eccezioni per il perimetro del servizio.

Immagini

Sia Cloud Volumes ONTAP che BlueXP utilizzano le immagini di un progetto all'interno del GCP gestito da NetApp. Questo può influire sulla distribuzione di BlueXP Connector e Cloud Volumes ONTAP, se l'organizzazione dispone di un criterio che blocca l'utilizzo di immagini non ospitate all'interno dell'organizzazione.

È possibile implementare un connettore manualmente utilizzando il metodo di installazione manuale, ma Cloud Volumes ONTAP dovrà anche estrarre le immagini dal progetto NetApp. È necessario fornire un elenco consentito per implementare un connettore e Cloud Volumes ONTAP.

Implementazione di un connettore

L'utente che implementa un connettore deve essere in grado di fare riferimento a un'immagine ospitata nel projectId netapp-cloudmanager e al numero di progetto 14190056516.

Implementazione di Cloud Volumes ONTAP

  • L'account del servizio BlueXP deve fare riferimento a un'immagine ospitata nel projectId netapp-cloudmanager e al numero di progetto 14190056516 del progetto del servizio.

  • L'account di servizio per l'agente di servizio API di Google predefinito deve fare riferimento a un'immagine ospitata nel projectId netapp-cloudmanager e al numero di progetto 14190056516 del progetto di servizio.

Di seguito sono riportati alcuni esempi delle regole necessarie per estrarre queste immagini con VPC Service Controls.

Servizio VPC controlla le policy del perimetro

I criteri consentono eccezioni ai set di regole VPC Service Controls. Per ulteriori informazioni sulle policy, visitare il "GCP VPC Service Controls Policy Documentation".

Per impostare i criteri richiesti da BlueXP, accedere al perimetro dei controlli dei servizi VPC all'interno dell'organizzazione e aggiungere i seguenti criteri. I campi devono corrispondere alle opzioni fornite nella pagina delle policy VPC Service Controls. Si noti inoltre che le regole all sono obbligatorie e che i parametri OR devono essere utilizzati nel set di regole.

Regole di ingresso

From:
	Identities:
		[User Email Address]
	Source > All sources allowed
To:
	Projects =
		[Service Project]
	Services =
		Service name: iam.googleapis.com
		  Service methods: All actions
		Service name: compute.googleapis.com
		  Service methods:All actions

OPPURE

From:
	Identities:
		[User Email Address]
	Source > All sources allowed
To:
	Projects =
		[Host Project]
	Services =
		Service name: compute.googleapis.com
		  Service methods: All actions

OPPURE

From:
	Identities:
		[Service Project Number]@cloudservices.gserviceaccount.com
	Source > All sources allowed
To:
	Projects =
		[Service Project]
		[Host Project]
	Services =
		Service name: compute.googleapis.com
		Service methods: All actions

Regole di uscita

From:
	Identities:
		[Service Project Number]@cloudservices.gserviceaccount.com
To:
	Projects =
		14190056516
	Service =
		Service name: compute.googleapis.com
		Service methods: All actions
Suggerimento Il numero di progetto sopra indicato è il progetto netapp-cloud-manager utilizzato da NetApp per memorizzare le immagini per il connettore e per Cloud Volumes ONTAP.