Skip to main content
모든 클라우드 공급자
  • Amazon Web Services에서 직접 지원합니다
  • Google 클라우드
  • Microsoft Azure를 참조하십시오
  • 모든 클라우드 공급자
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

GCP에서 VPC 서비스 제어 계획

기여자
PDF

VPC 서비스 제어를 통해 Google 클라우드 환경을 잠그도록 선택할 때는 BlueXP 및 Cloud Volumes ONTAP이 Google 클라우드 API와 상호 작용하는 방식과 BlueXP 및 Cloud Volumes ONTAP를 배포하기 위해 서비스 경계를 구성하는 방법을 이해해야 합니다.

VPC 서비스 제어를 사용하면 신뢰할 수 있는 경계 외부의 Google 관리 서비스에 대한 액세스를 제어하고, 신뢰할 수 없는 위치에서 데이터 액세스를 차단하고, 무단 데이터 전송 위험을 완화할 수 있습니다. "Google Cloud VPC 서비스 컨트롤에 대해 자세히 알아보십시오".

NetApp 서비스가 VPC 서비스 제어와 통신하는 방법

BlueXP는 Google Cloud API와 직접 통신합니다. 이 문제는 Google Cloud 외부의 외부 IP 주소(예: api.services.cloud.netapp.com) 또는 BlueXP Connector에 할당된 내부 주소에서 Google Cloud 내부에서 발생합니다.

Connector의 배포 스타일에 따라 서비스 경계에 대해 특정 예외가 발생할 수 있습니다.

이미지

Cloud Volumes ONTAP와 BlueXP는 모두 NetApp에서 관리하는 GCP 내 프로젝트의 이미지를 사용합니다. 조직 내에서 호스팅되지 않은 이미지의 사용을 차단하는 정책이 조직에 있는 경우 BlueXP Connector 및 Cloud Volumes ONTAP의 배포에 영향을 줄 수 있습니다.

수동 설치 방법을 사용하여 커넥터를 수동으로 배포할 수도 있지만 Cloud Volumes ONTAP는 NetApp 프로젝트에서도 이미지를 가져와야 합니다. 커넥터 및 Cloud Volumes ONTAP를 배포하려면 허용 목록을 제공해야 합니다.

커넥터 배포

Connector를 배포하는 사용자는 ProjectID_NetApp-cloudmanager_에서 호스팅되는 이미지와 프로젝트 번호_14190056516_를 참조할 수 있어야 합니다.

Cloud Volumes ONTAP 배포

  • BlueXP 서비스 계정은 서비스 프로젝트에서 ProjectID_NetApp-cloudmanager_에 호스팅된 이미지와 프로젝트 번호_14190056516_에 호스팅된 이미지를 참조해야 합니다.

  • 기본 Google API 서비스 에이전트의 서비스 계정은 ProjectID_NetApp-cloudmanager_에서 호스팅되는 이미지와 서비스 프로젝트의 _14190056516_프로젝트 번호를 참조해야 합니다.

VPC 서비스 제어를 사용하여 이러한 이미지를 가져오는 데 필요한 규칙의 예는 아래에 정의되어 있습니다.

VPC 서비스는 경계 정책을 제어합니다

정책은 VPC 서비스 제어 규칙 집합에 대한 예외를 허용합니다. 정책에 대한 자세한 내용은 를 참조하십시오 "GCP VPC 서비스 제어 정책 문서".

BlueXP에 필요한 정책을 설정하려면 조직 내의 VPC 서비스 제어 경계 로 이동하여 다음 정책을 추가합니다. 이 필드는 VPC 서비스 제어 정책 페이지에 제공된 옵션과 일치해야 합니다. 또한 * 모든 * 규칙이 필요하며 * 또는 * 매개 변수를 규칙 집합에 사용해야 합니다.

수신 규칙

From:
	Identities:
		[User Email Address]
	Source > All sources allowed
To:
	Projects =
		[Service Project]
	Services =
		Service name: iam.googleapis.com
		  Service methods: All actions
		Service name: compute.googleapis.com
		  Service methods:All actions

또는

From:
	Identities:
		[User Email Address]
	Source > All sources allowed
To:
	Projects =
		[Host Project]
	Services =
		Service name: compute.googleapis.com
		  Service methods: All actions

또는

From:
	Identities:
		[Service Project Number]@cloudservices.gserviceaccount.com
	Source > All sources allowed
To:
	Projects =
		[Service Project]
		[Host Project]
	Services =
		Service name: compute.googleapis.com
		Service methods: All actions

송신 규칙

From:
	Identities:
		[Service Project Number]@cloudservices.gserviceaccount.com
To:
	Projects =
		14190056516
	Service =
		Service name: compute.googleapis.com
		Service methods: All actions
팁 위에 요약된 프로젝트 번호는 Cloud Volumes ONTAP용 커넥터 및 이미지를 저장하는 데 사용되는 PROJECT_NetApp-cloudmanager_입니다.