Diese Seite wurde von der Cloud Translation API übersetzt.

Dienstperimeter mit VPC Service Controls einrichten

Erweitert Standard

VPC Service Controls ist ein Google Cloud Feature, mit dem Sie einen Dienstperimeter einrichten und eine Datenübertragungsgrenze erstellen können. Sie können VPC Service Controls mit Eventarc verwenden, um Ihre Dienste zu schützen.

Wir empfehlen, beim Erstellen eines Dienstperimeters alle Dienste zu schützen.

Beschränkungen

In Projekten, die durch einen Dienstperimeter geschützt sind, gelten die folgenden Einschränkungen:

Eventarc Advanced

Ein Eventarc Advanced-Bus außerhalb eines Dienstperimeters kann keine Ereignisse von Google Cloud Projekten innerhalb des Perimeters empfangen. Ein Eventarc Advanced-Bus innerhalb eines Perimeters kann keine Ereignisse an einen Consumer außerhalb des Perimeters weiterleiten.
- Damit Sie in einem Eventarc Advanced-Bus veröffentlichen können, muss sich die Quelle eines Ereignisses im selben Dienstperimeter wie der Bus befinden.
- Damit ein Ereignis-Consumer eine Nachricht nutzen kann, muss er sich im selben Serviceperimeter wie der Bus befinden.
Sie können keine Eventarc Advanced-Pipeline innerhalb eines Dienstperimeters erstellen. Sie können die Unterstützung von VPC Service Controls für die Ressourcen MessageBus, GoogleApiSource und Enrollment testen und Plattformlogs für eingehenden Traffic ansehen. Ausgehender Traffic kann jedoch nicht getestet werden. Wenn sich eine dieser Ressourcen in einem Dienstperimeter befindet, können Sie Eventarc Advanced nicht so einrichten, dass Ereignisse End-to-End innerhalb dieses Perimeters übertragen werden.

Eventarc Standard

Für Eventarc Standard gelten dieselben Einschränkungen wie für Pub/Sub:
- Beim Weiterleiten von Ereignissen an Cloud Run-Ziele können Sie nur neue Pub/Sub-Push-Abos erstellen, wenn die Push-Endpunkte auf Cloud Run-Dienste mit standardmäßigen run.app-URLs festgelegt sind. Benutzerdefinierte Domains funktionieren nicht.
- Wenn Sie Ereignisse an Workflows-Ziele weiterleiten, für die der Pub/Sub-Push-Endpunkt auf eine Workflows-Ausführung festgelegt ist, können Sie nur neue Pub/Sub-Push-Abos über Eventarc erstellen. Das Dienstkonto, das für die Push-Authentifizierung für den Workflows-Endpunkt verwendet wird, muss im Dienstperimeter enthalten sein.
VPC Service Controls blockiert die Erstellung von Eventarc-Triggern für interne HTTP-Endpunkte. Der Schutz von VPC Service Controls gilt nicht, wenn Ereignisse an solche Ziele weitergeleitet werden.

Nächste Schritte

Weitere Informationen zu VPC Service Controls finden Sie in der Übersicht und unter Unterstützte Produkte und Einschränkungen.
Best Practices zum Aktivieren von VPC Service Controls finden Sie unter Best Practices zum Aktivieren von VPC Service Controls.
Best Practices für das Erstellen von Dienstperimetern finden Sie unter Dienstperimeter entwerfen.
Informationen zum Einrichten eines Dienstperimeters finden Sie unter Dienstperimeter erstellen.