sidebar | permalink | keywords | summary |
---|---|---|---|
sidebar |
reference-vpc-service-controls-gcp.html |
vpc, service controls, vpc-sc, google, psc, private service connect |
选择使用VPC服务控制锁定Google环境时、您应了解BlueXP和Cloud Volumes ONTAP 如何与Google API交互、以及如何配置服务参数以部署BlueXP和Cloud Volumes ONTAP。 |
选择使用VPC服务控制锁定Google云环境时、您应了解BlueXP和Cloud Volumes ONTAP 如何与Google云API交互、以及如何配置服务边界以部署BlueXP和Cloud Volumes ONTAP。
通过 VPC 服务控制,您可以控制对受信任边界以外 Google 管理的服务的访问,阻止来自不受信任位置的数据访问以及降低未经授权的数据传输风险。 "了解有关 Google Cloud VPC 服务控制的更多信息"。
BlueXP可直接与Google Cloud API进行通信。这是从Google Cloud外部的外部IP地址(例如、从api.services.cloud.netapp.com)触发的、或者从分配给BlueXP Connector的内部地址在Google Cloud内部触发的。
根据连接器的部署模式,可能需要对服务范围进行某些例外处理。
Cloud Volumes ONTAP 和BlueXP都使用由NetApp管理的GCP中某个项目的映像。如果贵组织的策略阻止使用组织中未托管的映像、则这可能会影响BlueXP Connector和Cloud Volumes ONTAP 的部署。
您可以使用手动安装方法手动部署连接器,但 Cloud Volumes ONTAP 也需要从 NetApp 项目中提取映像。要部署连接器和 Cloud Volumes ONTAP ,必须提供允许的列表。
策略允许对 VPC 服务控制规则集进行例外处理。有关策略的详细信息,请访问 "GCP VPC 服务控制策略文档"。
要设置BlueXP所需的策略、请导航到组织内的VPC服务控制外围并添加以下策略。这些字段应与 VPC 服务控制策略页面中提供的选项匹配。另请注意,需要使用 * 所有 * 规则,并且规则集中应使用 * 或 * 参数。
From: Identities: [User Email Address] Source > All sources allowed To: Projects = [Service Project] Services = Service name: iam.googleapis.com Service methods: All actions Service name: compute.googleapis.com Service methods:All actions
或
From: Identities: [User Email Address] Source > All sources allowed To: Projects = [Host Project] Services = Service name: compute.googleapis.com Service methods: All actions
或
From: Identities: [Service Project Number]@cloudservices.gserviceaccount.com Source > All sources allowed To: Projects = [Service Project] [Host Project] Services = Service name: compute.googleapis.com Service methods: All actions