컨트롤 플레인 아키텍처
변경 제안
PDF
Google Cloud NetApp 볼륨에 대한 모든 관리 작업은 API를 통해 수행됩니다. GCP Cloud Console에 통합된 Google Cloud NetApp Volumes 관리는 Google Cloud NetApp Volumes API도 사용합니다.
ID 및 액세스 관리
ID 및 액세스 관리("IAM")는 Google Cloud 프로젝트 인스턴스에 대한 인증(로그인) 및 권한 부여(권한)를 제어할 수 있는 표준 서비스입니다. Google IAM은 권한 승인 및 제거에 대한 전체 감사 추적을 제공합니다. 현재 Google Cloud NetApp 볼륨은 컨트롤 플레인 감사를 제공하지 않습니다.
인증/권한 개요
IAM은 Google Cloud NetApp 볼륨에 대한 내장된 세부 권한을 제공합니다. 를 찾을 수 "여기에서 세분화된 사용 권한의 전체 목록을 확인할 수 있습니다" 있습니다.
IAM은 또한 netapcloudvolumes.admin과 netapcloudvolumes.viewer라는 두 가지 사전 정의된 역할을 제공합니다. 이러한 역할은 특정 사용자 또는 서비스 계정에 할당할 수 있습니다.
IAM 사용자가 Google Cloud NetApp 볼륨을 관리할 수 있도록 적절한 역할 및 권한을 할당합니다.
세분화된 사용 권한을 사용하는 예는 다음과 같습니다.
-
사용자가 볼륨을 삭제할 수 없도록 get/list/create/update 권한만 가진 사용자 지정 역할을 만듭니다.
-
'스냅샷 *' 권한으로만 사용자 지정 역할을 사용하여 애플리케이션 정합성 보장 스냅샷 통합을 구축하는 데 사용되는 서비스 계정을 생성합니다.
-
특정 사용자에게 '볼륨 증가 *'를 위임하는 사용자 지정 역할을 만듭니다.
서비스 계정
스크립트 또는 를 통해 Google Cloud NetApp Volumes API를 호출하려면 "Terraform(Terraform" 해당 역할을 가진 서비스 계정을 생성해야 roles/netappcloudvolumes.admin 합니다. 이 서비스 계정을 사용하여 Google Cloud NetApp 볼륨 API 요청을 인증하는 데 필요한 JWT 토큰을 생성할 수 있습니다.
-
JSON 키를 생성하고 Google API를 사용하여 JWT 토큰을 파생시킵니다. 이 방법이 가장 간단한 방법이지만 수동 비밀(JSON 키) 관리와 관련이 있습니다.
-
사용 "서비스 계정 가장" 역할/iam.serviceAccountTokenCreator` 포함. 이 코드(스크립트, Terraform 등)는 에서 실행됩니다 "애플리케이션 기본 자격 증명" 서비스 계정을 가장하여 권한을 얻습니다. 이 접근 방식은 Google 보안 모범 사례를 반영합니다.
을 참조하십시오 "서비스 계정 및 개인 키 생성" 자세한 내용은 Google 클라우드 설명서를 참조하십시오.
Google Cloud NetApp 볼륨 API
Google Cloud NetApp Volumes API는 HTTPS(TLSv1.2)를 기본 네트워크 전송으로 사용하여 REST 기반 API를 사용합니다. 최신 API 정의 및 API 사용 방법에 대한 정보는 에서 확인할 수 "여기" 있습니다 "Google Cloud 설명서에서 Cloud Volumes API를 참조하십시오".
API 엔드포인트는 표준 HTTPS(TLSv1.2) 기능을 사용하여 NetApp에서 작동 및 보안됩니다.
JWT 토큰
API에 대한 인증은 JWT 베어러 토큰을 사용하여 수행됩니다 ("RFC-7519")를 클릭합니다. Google Cloud IAM 인증을 사용하여 유효한 JWT 토큰을 얻어야 합니다. 서비스 계정 JSON 키를 제공하여 IAM에서 토큰을 가져와 수행해야 합니다.
로깅 감사
현재 사용자가 액세스할 수 있는 컨트롤 플레인 감사 로그를 사용할 수 없습니다.