Google CloudでのVPCサービス制御の計画
Google Cloud環境をVPC Service Controlsでロックダウンする場合は、BlueXPとCloud Volumes ONTAP がGoogle Cloud APIとどのように連携するか、またBlueXPとCloud Volumes ONTAP を展開するためのサービス境界を構成する方法について理解しておく必要があります。
vPC サービスコントロールを使用すると、信頼できる境界外の Google 管理サービスへのアクセスを制御し、信頼できない場所からのデータアクセスをブロックし、不正なデータ転送のリスクを軽減できます。 "Google Cloud VPC Service Controls の詳細をご覧ください"。
ネットアップサービスと VPC サービスコントロールの通信方法
BlueXPは、Google Cloud APIと直接通信します。これは、Google Cloudの外部の外部IPアドレス(たとえば、api.services.cloud.netapp.comから)、またはBlueXPコネクタに割り当てられた内部アドレスからGoogle Cloud内でトリガーされます。
コネクタの配置スタイルによっては、サービスの境界に対して特定の例外を設定する必要があります。
イメージ
Cloud Volumes ONTAP とBlueXPはどちらも、ネットアップが管理するGCP内のプロジェクトのイメージを使用します。組織内でホスティングされていない画像の使用をブロックするポリシーがある場合、これはBlueXP ConnectorおよびCloud Volumes ONTAP の展開に影響を与える可能性があります。
手動インストールでもコネクタを手動で導入できますが、 Cloud Volumes ONTAP プロジェクトからイメージを取得する必要があります。Connector と Cloud Volumes ONTAP を導入するには、許可されたリストを指定する必要があります。
コネクタの配置
コネクタを導入するユーザーは、 projectId_NetApp-cloudmanager_and the project Number_14190056516_ でホストされているイメージを参照できる必要があります。
Cloud Volumes ONTAP の導入
-
BlueXPサービスアカウントは、projectId_NetApp-cloudmanager_and the project number_14190056516_でホストされているイメージをサービスプロジェクトから参照する必要があります。
-
デフォルトの Google API サービスエージェントのサービスアカウントは、 projectId_NetApp-cloudmanager_and the project number_14190056516_ サービスプロジェクトからホストされているイメージを参照する必要があります。
VPC サービスコントロールを使用してこれらのイメージをプルするために必要なルールの例を次に示します。
vPC サービスは境界ポリシーを制御します
ポリシーでは、 VPC Service Controls ルールセットの例外が許可されます。ポリシーの詳細については、を参照してください "GCP VPC Service Controls Policy Documentation を参照してください"。
BlueXPで必要なポリシーを設定するには、組織内のVPC Service Controls Perimeterに移動し、次のポリシーを追加します。各フィールドは、 VPC の [Service Controls Policy] ページで指定されたオプションと一致する必要があります。また、 * すべての * ルールが必要であり、 * または * パラメーターをルールセットで使用する必要があります。
入力規則
From: Identities: [User Email Address] Source > All sources allowed To: Projects = [Service Project] Services = Service name: iam.googleapis.com Service methods: All actions Service name: compute.googleapis.com Service methods:All actions
または
From: Identities: [User Email Address] Source > All sources allowed To: Projects = [Host Project] Services = Service name: compute.googleapis.com Service methods: All actions
または
From: Identities: [Service Project Number]@cloudservices.gserviceaccount.com Source > All sources allowed To: Projects = [Service Project] [Host Project] Services = Service name: compute.googleapis.com Service methods: All actions
出力ルール
From: Identities: [Service Project Number]@cloudservices.gserviceaccount.com To: Projects = 14190056516 Service = Service name: compute.googleapis.com Service methods: All actions
上記のプロジェクト番号は、コネクタと Cloud Volumes ONTAP のイメージを格納するためにネットアップが使用する project_name cloudmanager_used です。 |