Repositories in einem Dienstperimeter schützen

Mit VPC Service Controls verringern Sie das Risiko unerlaubten Kopierens oder unbefugten Übertragens von Daten aus von Google Cloudverwalteten Diensten.

Mit VPC Service Controls können Sie Sicherheitsperimeter für die Ressourcen Ihrer von Google Cloudverwalteten Dienste konfigurieren und die Übertragung von Daten in und aus dem Perimeter steuern.

Container Registry mit VPC Service Controls verwenden

Wenn Sie Artifact Registry und private Cluster von Google Kubernetes Engine in einem Projekt innerhalb eines Dienstperimeters verwenden, können Sie auf Container-Images innerhalb des Dienstperimeters sowie auf vonGoogle Cloudbereitgestellte Images zugreifen.

Im Cache gespeicherte Docker Hub-Images, die in mirror.gcr.io gespeichert sind, sind nicht im Dienstperimeter enthalten, es sei denn, es wird eine Regel für ausgehenden Traffic hinzugefügt, die den ausgehenden Traffic zum Docker-Cache der Artifact Registry zulässt, in dem mirror.gcr.io gehostet wird.

Wenn Sie mirror.gcr.io innerhalb eines Dienstperimeters verwenden möchten, fügen Sie die folgende Regel für ausgehenden Traffic hinzu:

- egressTo:
    operations:
    - serviceName: artifactregistry.googleapis.com
      methodSelectors:
      - method: artifactregistry.googleapis.com/DockerRead
    resources:
    - projects/342927644502
  egressFrom:
    identityType: ANY_IDENTITY

Informationen zu Regeln für ein- und ausgehenden Traffic finden Sie unter Regeln für ein- und ausgehenden Traffic.

Sie können auf Container Registry zugreifen, indem Sie die IP-Adressen für die standardmäßigen Google APIs und Dienstdomains oder diese speziellen IP-Adressen verwenden:

  • 199.36.153.4/30 (restricted.googleapis.com)
  • 199.36.153.8/30 (private.googleapis.com)

Weitere Informationen zu diesen Optionen finden Sie unter Privaten Google-Zugriff konfigurieren. Eine Beispielkonfiguration, die 199.36.153.4/30 (restricted.googleapis.com) verwendet, finden Sie in der Dokumentation zu Registry-Zugriff mit einer virtuellen IP-Adresse.

Achten Sie darauf, dass sich Google Cloud Dienste, die auf Artifact Registry zugreifen müssen, im Dienstperimeter befinden. Dazu gehören Binärautorisierung, Artifact Analysis und Laufzeitumgebungen wie Google Kubernetes Engine und Cloud Run. Einzelheiten zu den einzelnen Diensten finden Sie in der Liste der unterstützten Dienste.

Allgemeine Anleitungen zum Hinzufügen der Artifact Registry zu einem Dienstperimeter finden Sie unter Dienstperimeter erstellen.

Auf Bilder in gcr.io-Repositories zugreifen

Wenn Sie auf Images in Artifact Registry-gcr.io-Repositories zugreifen möchten, verwenden Sie beim Festlegen von Ingress- oder Egress-Richtlinien den Identitätstyp ANY_IDENTITY. Die Identitätstypen ANY_SERVICE_ACCOUNT oder ANY_USER_ACCOUNT können nicht für Bilder in der Domain gcr.io verwendet werden.

Artifact Analysis mit VPC Service Controls verwenden

Informationen zum Hinzufügen von Artifact Analysis zu Ihrem Perimeter finden Sie unter Artifact Analysis in einem Dienstperimeter sichern.