Skip to main content
Cloud Volumes ONTAP
所有云提供商
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • 所有云提供商
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

在 GCP 中规划 VPC 服务控制

贡献者

选择使用VPC服务控制锁定Google云环境时、您应了解BlueXP和Cloud Volumes ONTAP 如何与Google云API交互、以及如何配置服务边界以部署BlueXP和Cloud Volumes ONTAP。

通过 VPC 服务控制,您可以控制对受信任边界以外 Google 管理的服务的访问,阻止来自不受信任位置的数据访问以及降低未经授权的数据传输风险。 "了解有关 Google Cloud VPC 服务控制的更多信息"

NetApp 服务如何与 VPC 服务控制进行通信

BlueXP可直接与Google Cloud API进行通信。这是从Google Cloud外部的外部IP地址(例如、从api.services.cloud.netapp.com)触发的、或者从分配给BlueXP Connector的内部地址在Google Cloud内部触发的。

根据连接器的部署模式,可能需要对服务范围进行某些例外处理。

映像

Cloud Volumes ONTAP 和BlueXP都使用由NetApp管理的GCP中某个项目的映像。如果贵组织的策略阻止使用组织中未托管的映像、则这可能会影响BlueXP Connector和Cloud Volumes ONTAP 的部署。

您可以使用手动安装方法手动部署连接器,但 Cloud Volumes ONTAP 也需要从 NetApp 项目中提取映像。要部署连接器和 Cloud Volumes ONTAP ,必须提供允许的列表。

部署连接器

部署 Connector 的用户需要能够引用 projectId netapp-cloudmanager 中托管的映像,项目编号 141900 56516

部署 Cloud Volumes ONTAP

  • BlueXP服务帐户需要引用服务项目中projectId _netapp-cloudmanager_和项目编号_1419056516_中托管的映像。

  • 默认 Google API Service Agent 的服务帐户需要引用服务项目中 projectId netapp-cloudmanager 和项目编号 1419056516 中托管的映像。

下面定义了使用 VPC 服务控制提取这些映像所需的规则示例。

VPC 服务控制外围策略

策略允许对 VPC 服务控制规则集进行例外处理。有关策略的详细信息,请访问 "GCP VPC 服务控制策略文档"

要设置BlueXP所需的策略、请导航到组织内的VPC服务控制外围并添加以下策略。这些字段应与 VPC 服务控制策略页面中提供的选项匹配。另请注意,需要使用 * 所有 * 规则,并且规则集中应使用 * 或 * 参数。

传入规则

From:
	Identities:
		[User Email Address]
	Source > All sources allowed
To:
	Projects =
		[Service Project]
	Services =
		Service name: iam.googleapis.com
		  Service methods: All actions
		Service name: compute.googleapis.com
		  Service methods:All actions

From:
	Identities:
		[User Email Address]
	Source > All sources allowed
To:
	Projects =
		[Host Project]
	Services =
		Service name: compute.googleapis.com
		  Service methods: All actions

From:
	Identities:
		[Service Project Number]@cloudservices.gserviceaccount.com
	Source > All sources allowed
To:
	Projects =
		[Service Project]
		[Host Project]
	Services =
		Service name: compute.googleapis.com
		Service methods: All actions

外出规则

From:
	Identities:
		[Service Project Number]@cloudservices.gserviceaccount.com
To:
	Projects =
		14190056516
	Service =
		Service name: compute.googleapis.com
		Service methods: All actions
提示 上述项目编号是 NetApp 用于存储 Connector 和 Cloud Volumes ONTAP 映像的 netapp-cloudmanager 项目。