Dienstperimeter mit VPC Service Controls einrichten

VPC Service Controls ist ein Google Cloud Feature, mit dem Sie einen Dienstperimeter einrichten und eine Datenübertragungsgrenze erstellen können. Sie können VPC Service Controls mit Eventarc verwenden, um Ihre Dienste zu schützen.

Wir empfehlen, beim Erstellen eines Dienstperimeters alle Dienste zu schützen.

Eventarc Advanced

• Ein Eventarc Advanced-Bus außerhalb eines Dienstperimeters kann keine Ereignisse von Google Cloud Projekten innerhalb des Perimeters empfangen. Ein Eventarc Advanced-Bus innerhalb eines Perimeters kann keine Ereignisse an einen Consumer außerhalb des Perimeters weiterleiten.

  • Damit Sie in einem Eventarc Advanced-Bus veröffentlichen können, muss sich die Quelle eines Ereignisses im selben Dienstperimeter wie der Bus befinden.
  • Damit ein Ereignis-Consumer eine Nachricht nutzen kann, muss er sich im selben Serviceperimeter wie der Bus befinden.

• Sie können die Unterstützung von VPC Service Controls für die Ressourcen Enrollment, GoogleApiSource, MessageBus und Pipeline überprüfen, indem Sie sich die Plattformlogs für eingehende Daten ansehen.

Eventarc Standard

• In Projekten, die durch einen Dienstperimeter geschützt sind, unterliegt Eventarc Standard denselben Einschränkungen wie Pub/Sub:

  • Beim Weiterleiten von Ereignissen an Cloud Run-Ziele können Sie nur neue Pub/Sub-Push-Abos erstellen, wenn die Push-Endpunkte auf Cloud Run-Dienste mit standardmäßigen run.app-URLs festgelegt sind. Benutzerdefinierte Domains funktionieren nicht.

  • Wenn Sie Ereignisse an Workflows-Ziele weiterleiten, für die der Pub/Sub-Push-Endpunkt auf eine Workflows-Ausführung festgelegt ist, können Sie nur neue Pub/Sub-Push-Abos über Eventarc erstellen. Das Dienstkonto, das für die Push-Authentifizierung für den Workflows-Endpunkt verwendet wird, muss im Dienstperimeter enthalten sein.

• VPC Service Controls blockiert die Erstellung von Eventarc-Triggern für interne HTTP-Endpunkte. Der Schutz von VPC Service Controls gilt nicht, wenn Ereignisse an solche Ziele weitergeleitet werden.

Nächste Schritte

• Weitere Informationen zu VPC Service Controls finden Sie in der Übersicht und unter Unterstützte Produkte und Einschränkungen.

• Best Practices zum Aktivieren von VPC Service Controls finden Sie unter Best Practices zum Aktivieren von VPC Service Controls.

• Best Practices für das Erstellen von Dienstperimetern finden Sie unter Dienstperimeter entwerfen.

• Informationen zum Einrichten eines Dienstperimeters finden Sie unter Dienstperimeter erstellen.