Architettura del piano di controllo
-
PDF del sito di questa documentazione
- Intelligenza artificiale
- Cloud pubblico e ibrido
- Virtualizzazione
-
Container
- Red Hat OpenShift con NetApp
Raccolta di documenti PDF separati
Creating your file...
Tutte le azioni di gestione di Cloud Volumes Service vengono eseguite tramite API. La gestione Cloud Volumes Service integrata nella console cloud GCP utilizza anche l'API Cloud Volumes Service.
Gestione di identità e accessi
Gestione di identità e accessi ("IAM") È un servizio standard che consente di controllare l'autenticazione (accessi) e l'autorizzazione (autorizzazioni) per le istanze di progetto di Google Cloud. Google IAM offre un audit trail completo delle autorizzazioni di autorizzazione e rimozione. Attualmente Cloud Volumes Service non fornisce il controllo del piano di controllo.
Panoramica delle autorizzazioni
IAM offre permessi granulari integrati per Cloud Volumes Service. È possibile trovare un "completa l'elenco delle autorizzazioni granulari qui".
IAM offre anche due ruoli predefiniti chiamati netappcloudvolumes.admin
e. netappcloudvolumes.viewer
. Questi ruoli possono essere assegnati a specifici utenti o account di servizio.
Assegnare ruoli e autorizzazioni appropriati per consentire agli utenti IAM di gestire Cloud Volumes Service.
Di seguito sono riportati alcuni esempi di utilizzo delle autorizzazioni granulari:
-
Creare un ruolo personalizzato con solo autorizzazioni Get/List/create/Update in modo che gli utenti non possano eliminare i volumi.
-
Utilizzare un ruolo personalizzato solo con
snapshot.*
Autorizzazioni per creare un account di servizio utilizzato per creare un'integrazione Snapshot coerente con l'applicazione. -
Creare un ruolo personalizzato da delegare
volumereplication.*
a utenti specifici.
Account di servizio
Per effettuare chiamate API Cloud Volumes Service tramite script o. "Terraform", è necessario creare un account di servizio con roles/netappcloudvolumes.admin
ruolo. È possibile utilizzare questo account di servizio per generare i token JWT necessari per autenticare le richieste API Cloud Volumes Service in due modi diversi:
-
Generare una chiave JSON e utilizzare le API di Google per derivare un token JWT da essa. Questo è l'approccio più semplice, ma implica la gestione manuale dei segreti (la chiave JSON).
-
Utilizzare "Rappresentazione dell'account di servizio" con
roles/iam.serviceAccountTokenCreator
. Il codice (script, Terraform e così via). funziona con "Credenziali predefinite dell'applicazione" e rappresenta l'account del servizio per ottenere le autorizzazioni. Questo approccio riflette le Best practice di sicurezza di Google.
Vedere "Creazione dell'account di servizio e della chiave privata" Nella documentazione di Google Cloud per ulteriori informazioni.
API Cloud Volumes Service
L'API Cloud Volumes Service utilizza un'API basata SU REST utilizzando HTTPS (TLSv1.2) come trasporto di rete sottostante. È possibile trovare la definizione API più recente "qui" E informazioni su come utilizzare l'API all'indirizzo "Cloud Volumes API nella documentazione cloud di Google".
L'endpoint API viene gestito e protetto da NetApp utilizzando la funzionalità HTTPS standard (TLSv1.2).
Token JWT
L'autenticazione all'API viene eseguita con token bearer JWT ("RFC-7519"). I token JWT validi devono essere ottenuti utilizzando l'autenticazione IAM di Google Cloud. A tale scopo, è necessario recuperare un token da IAM fornendo una chiave JSON dell'account di servizio.
Registrazione dell'audit
Attualmente, non sono disponibili registri di audit del piano di controllo accessibili dall'utente.