设置适用于 Apigee Integration 的 VPC Service Controls

借助 VPC Service Controls,您可以定义 Apigee Integration Google Cloud 服务的安全边界。借助服务的安全边界,您可以将数据限制在某个 VPC 的范围内并降低数据渗漏风险。如果您尚不熟悉 VPC Service Controls,建议您浏览以下信息:

本文档介绍如何为 Apigee Integration 服务设置 VPC Service Controls 边界。设置边界后,您可以配置出站流量和入站流量政策,以确定其他哪些 Google Cloud 服务可以访问 Apigee Integration 服务 (integrations.googleapis.com),以及 Apigee Integration 服务可以访问其他哪些 Google Cloud 服务。

准备工作

确保您拥有配置服务边界所需的权限。 如需查看配置 VPC Service Controls 所需的 IAM 角色列表,请参阅 VPC Service Controls 文档中的使用 IAM 进行访问权限控制

创建 VPC 服务边界

如需创建 VPC 服务边界,您可以使用 Google Cloud consolegcloud 命令或 accessPolicies.servicePerimeters.create API。如需了解详情,请参阅创建服务边界。如需创建 VPC Service Controls 服务边界以使用 gcloud 命令向用户提供访问权限,请运行以下命令:

gcloud access-context-manager perimeters create  \
    --title=PERIMETER_TITLE \
    --resources=projects/PROJECT_ID \
    --restricted-services=integrations.googleapis.com \
请替换以下内容:

  • PERIMETER_TITLE:VPC Service Controls 边界的名称
  • PROJECT_ID:您要为其添加 VPC Service Controls 边界的项目

上述命令需要一些时间才能完成。使用 Apigee Integration 服务时,VPC Service Controls 边界会限制项目的集成服务。

如需允许任何 IP 地址、服务账号或用户使用 Apigee Integration,请使用入站和出站规则。VPC Service Controls 使用入站和出站规则来允许访问受服务边界保护的资源和客户端或来自它们的访问。

向现有服务边界添加出站流量政策

如需向现有服务边界添加出站流量政策,请使用 gcloud access-context-manager perimeters update 命令。例如,以下命令会将在 vpcsc-egress.yaml 文件中定义的出站流量政策添加到名为 integrationPerimeter 的现有服务边界:

gcloud access-context-manager perimeters update integrationPerimeter
    --set-egress-policies=vpcsc-egress.yaml

与出站流量政策类似,您还可以定义入站流量政策。如需详细了解如何指定入站流量规则,请参阅入站流量规则参考

验证边界

如需验证边界,请使用 gcloud access-context-manager perimeters describe PERIMETER_NAME 命令。例如,以下命令描述了 integrationPerimeter 边界:

gcloud access-context-manager perimeters describe integrationPerimeter

如需详细了解如何管理服务边界,请参阅管理服务边界

注意事项

如果您为 Apigee Integration 服务启用了 VPC 服务边界,则将无法在集成中使用以下任务:

后续步骤

了解 VPC Service Controls 如何保护您的数据。