Configurar um perímetro de serviço usando o VPC Service Controls

O VPC Service Controls é um Google Cloud recurso que permite configurar um perímetro de serviço e criar um limite de transferência de dados. É possível usar o VPC Service Controls com o Eventarc para ajudar a proteger seus serviços.

Recomendamos que você proteja todos os serviços ao criar um perímetro de serviço.

Eventarc Advanced

  • Um barramento do Eventarc Advanced fora de um perímetro de serviço não pode receber eventos de projetos Google Cloud dentro do perímetro. Um barramento do Eventarc Advanced dentro de um perímetro não pode rotear eventos para um consumidor fora dele.

    • Para publicar em um barramento do Eventarc Advanced, a origem de um evento precisa estar no mesmo perímetro de serviço que o barramento.
    • Para consumir uma mensagem, um consumidor de eventos precisa estar no mesmo perímetro de serviço que o barramento.

  • Para verificar o suporte do VPC Service Controls aos recursos Enrollment, GoogleApiSource, MessageBus e Pipeline, consulte os registros da plataforma no ingresso.

Eventarc Standard

  • Em projetos protegidos por um perímetro de serviço, o Eventarc Standard está sujeito às mesmas limitações do Pub/Sub:

    • Ao rotear eventos para destinos do Cloud Run, só é possível criar novas assinaturas de push do Pub/Sub quando os endpoints de push estão configurados para serviços do Cloud Run com URLs run.app padrão. Domínios personalizados não funcionam.

    • Ao rotear eventos para destinos do Workflows em que o endpoint de push do Pub/Sub está definido como uma execução do Workflows, só é possível criar novas assinaturas de push do Pub/Sub por meio do Eventarc. A conta de serviço usada na autenticação por push do endpoint do Workflows precisa ser incluída no perímetro de serviço.

  • O VPC Service Controls bloqueia a criação de gatilhos do Eventarc para endpoints HTTP internos. A proteção do VPC Service Controls não se aplica ao roteamento de eventos para esses destinos.

A seguir