在GCP中規劃VPC服務控制
建議變更
PDF
選擇使用VPC服務控制來鎖定Google Cloud環境時、您應該瞭解BlueXP和Cloud Volumes ONTAP Isa如何與Google Cloud API互動、以及如何設定服務邊界以部署BlueXP和Cloud Volumes ONTAP Isa。
VPC服務控管可讓您控制在信任邊界之外存取Google管理的服務、封鎖來自不信任位置的資料存取、並降低未獲授權的資料傳輸風險。 "深入瞭解Google Cloud VPC服務控制"。
NetApp服務如何與VPC服務控制通訊
BlueXP直接與Google Cloud API通訊。這可能是從Google Cloud外部的外部IP位址觸發(例如從api.services.cloud.netapp.com)、或從指派給BlueXP Connector的內部位址觸發。
視連接器的部署風格而定、您可能需要針對服務邊界進行某些例外。
映像
支援使用NetApp管理的GCP專案影像。Cloud Volumes ONTAP如果Cloud Volumes ONTAP 您的組織有封鎖使用組織內未託管之映像的原則、這可能會影響到BlueXP Connector和功能的部署。
您可以使用手動安裝方法手動部署Connector、Cloud Volumes ONTAP 但也需要從NetApp專案中擷取影像。您必須提供允許的清單、才能部署連接器和Cloud Volumes ONTAP 功能表。
部署Connector
部署Connector的使用者必須能夠參考專案ID NetApp-cloudmanag__中裝載的映像、以及專案編號_14190056516。
部署Cloud Volumes ONTAP 功能
-
BlueXP服務帳戶需要參考專案ID NetApp-cloudmanager-_中的映像、以及服務專案中的專案編號_14190056516。
-
預設Google API服務代理程式的服務帳戶必須參考專案ID NetApp-cloudmanag__中所裝載的映像、以及服務專案中的專案編號_14190056516。
以下是使用VPC服務控制擷取這些影像所需的規則範例。
VPC服務控制周邊原則
原則允許VPC服務控制規則集例外。如需原則的詳細資訊、請參閱 "GCP VPC服務控制原則文件"。
若要設定BlueXP所需的原則、請瀏覽至組織內部的VPC服務控制周邊、然後新增下列原則。這些欄位應符合VPC服務控制原則頁面中提供的選項。另請注意、* all *規則是必要的、且*或*參數應用於規則集中。
入口規則
From: Identities: [User Email Address] Source > All sources allowed To: Projects = [Service Project] Services = Service name: iam.googleapis.com Service methods: All actions Service name: compute.googleapis.com Service methods:All actions
或
From: Identities: [User Email Address] Source > All sources allowed To: Projects = [Host Project] Services = Service name: compute.googleapis.com Service methods: All actions
或
From: Identities: [Service Project Number]@cloudservices.gserviceaccount.com Source > All sources allowed To: Projects = [Service Project] [Host Project] Services = Service name: compute.googleapis.com Service methods: All actions
出口規則
From: Identities: [Service Project Number]@cloudservices.gserviceaccount.com To: Projects = 14190056516 Service = Service name: compute.googleapis.com Service methods: All actions
|
上述專案編號是NetApp用來儲存Connector和Cloud Volumes ONTAP for the SURO影像的專案_NetApp-cloudmanag__。 |