使用 VPC Service Controls 設定服務範圍

VPC Service Controls 是 Google Cloud 可讓您設定服務範圍並建立資料傳輸邊界的功能。您可以搭配使用 VPC Service Controls 和 Eventarc，協助保護服務。

建議您在建立服務範圍時保護所有服務。

限制

在受服務範圍保護的專案中，適用下列限制：

Eventarc Advanced

• 位於服務範圍外的 Eventarc Advanced 匯流排無法接收範圍內 Google Cloud 專案的事件。範圍內的 Eventarc Advanced 匯流排無法將事件轉送至範圍外的消費者。

  • 如要發布至 Eventarc Advanced 匯流排，事件來源必須與匯流排位於相同的服務範圍內。
  • 如要使用訊息，事件使用者必須位於與匯流排相同的服務範圍內。

• 您無法在服務範圍內建立 Eventarc Advanced 管道。您可以測試 VPC Service Controls 是否支援 MessageBus、GoogleApiSource 和 Enrollment 資源，以及查看入站平台記錄；但無法測試 VPC Service Controls 的出站。如果這些資源中的任何一項位於服務範圍內，您就無法設定 Eventarc Advanced，以便在該範圍內端對端傳送事件。

Eventarc Standard

• Eventarc Standard 受到與 Pub/Sub 相同的限制：

  • 將事件路由至 Cloud Run 目的地時，只有在推送端點設為使用預設 run.app 網址的 Cloud Run 服務時，才能建立新的 Pub/Sub 推送訂閱。自訂網域無法使用。

  • 將事件轉送至 Workflows 目的地時，如果 Pub/Sub 推送端點設為 Workflows 執行作業，您只能透過 Eventarc 建立新的 Pub/Sub 推送訂閱項目。請注意，用於 Workflows 端點推送驗證的服務帳戶必須納入服務範圍。

• VPC Service Controls 會封鎖為內部 HTTP 端點建立 Eventarc 觸發事件。將事件轉送至此類目的地時，VPC Service Controls 保護措施不會套用。

後續步驟

• 如要進一步瞭解 VPC Service Controls，請參閱總覽和支援的產品和限制。

• 如要瞭解啟用 VPC Service Controls 的最佳做法，請參閱「啟用 VPC Service Controls 的最佳做法」。

• 如需設計服務範圍的最佳做法，請參閱「設計及建構服務範圍」。

• 如要設定服務範圍，請參閱「建立服務範圍」。