简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

在 GCP 中规划 VPC 服务控制

选择使用 VPC 服务控制锁定 Google 云环境时,您应了解 Cloud Manager 和 Cloud Volumes ONTAP 如何与 Google 云 API 交互,以及如何配置服务边界以部署 Cloud Manager 和 Cloud Volumes ONTAP 。

通过 VPC 服务控制,您可以控制对受信任边界以外 Google 管理的服务的访问,阻止来自不受信任位置的数据访问以及降低未经授权的数据传输风险。 "了解有关 Google Cloud VPC 服务控制的更多信息"

NetApp 服务如何与 VPC 服务控制进行通信

Cloud Central 和 Cloud Manager 等 NetApp 服务可直接与 Google Cloud API 进行通信。这是从 Google Cloud 外部的外部 IP 地址(例如,从 api.services.cloud.netapp.com )触发的,或者从分配给 Cloud Manager Connector 的内部地址在 Google Cloud 内部触发的。

根据连接器的部署模式,可能需要对服务范围进行某些例外处理。

映像

Cloud Volumes ONTAP 和 Cloud Manager 都使用由 NetApp 管理的 GCP 中某个项目的映像。如果您的组织的策略阻止使用未托管在组织中的映像,则这可能会影响 Cloud Manager Connector 和 Cloud Volumes ONTAP 的部署。

您可以使用手动安装方法手动部署连接器,但 Cloud Volumes ONTAP 也需要从 NetApp 项目中提取映像。要部署连接器和 Cloud Volumes ONTAP ,必须提供允许的列表。

部署连接器

部署 Connector 的用户需要能够引用 projectId netapp-cloudmanager 中托管的映像,项目编号 141900 56516

部署 Cloud Volumes ONTAP

  • Cloud Manager 服务帐户需要引用服务项目中 projectId netapp-cloudmanager 和项目编号 1419056516 中托管的映像。

  • 默认 Google API Service Agent 的服务帐户需要引用服务项目中 projectId netapp-cloudmanager 和项目编号 1419056516 中托管的映像。

下面定义了使用 VPC 服务控制提取这些映像所需的规则示例。

VPC 服务控制外围策略

策略允许对 VPC 服务控制规则集进行例外处理。有关策略的详细信息,请访问 "GCP VPC 服务控制策略文档"

要设置 Cloud Manager 所需的策略,请导航到组织内的 VPC 服务控制外围并添加以下策略。这些字段应与 VPC 服务控制策略页面中提供的选项匹配。另请注意,需要使用 * 所有 * 规则,并且规则集中应使用 * 或 * 参数。

传入规则

From:
	Identities:
		[User Email Address]
	Source > All sources allowed
To:
	Projects =
		[Service Project]
	Services =
		Service name: iam.googleapis.com
		  Service methods: All actions
		Service name: compute.googleapis.com
		  Service methods:All actions

From:
	Identities:
		[User Email Address]
	Source > All sources allowed
To:
	Projects =
		[Host Project]
	Services =
		Service name: compute.googleapis.com
		  Service methods: All actions

From:
	Identities:
		[Service Project Number]@cloudservices.gserviceaccount.com
	Source > All sources allowed
To:
	Projects =
		[Service Project]
		[Host Project]
	Services =
		Service name: compute.googleapis.com
		Service methods: All actions

外出规则

From:
	Identities:
		[Service Project Number]@cloudservices.gserviceaccount.com
To:
	Projects =
		14190056516
	Service =
		Service name: compute.googleapis.com
		Service methods: All actions
提示 上述项目编号是 NetApp 用于存储 Connector 和 Cloud Volumes ONTAP 映像的 netapp-cloudmanager 项目。