将 VPC Service Controls 与 App Hub 搭配使用

VPC Service Controls 是一项 Google Cloud 功能，可让您设置服务边界，从而围绕Google Cloud 资源创建数据传输边界。VPC Service Controls 可为您的 App Hub 资源提供更高的安全性，例如降低数据渗漏的风险。使用 VPC Service Controls，您可以将项目添加到服务边界，从而防止应用、服务和工作负载受到跨边界的请求的影响。

App Hub 资源会显示在 apphub.googleapis.com API 上，该 API 可让您执行各种操作，例如创建和删除应用、服务和工作负载。您可以通过限制与此 API 表面的连接来设置 VPC Service Controls 和 App Hub。

我们建议您在创建服务边界时保护所有 App Hub 资源。

App Hub 支持以下资源类型：

• 应用
• 发现的服务
• 发现的工作负载
• 服务
• 服务项目关联（仅适用于由宿主项目管理的应用）
• 工作负载

已启用应用的文件夹中的应用

当您为文件夹启用应用管理时，系统会执行以下操作：

1. Google 会在文件夹中创建一个由 Google 管理的项目，称为管理项目。
2. 系统会为该项目启用应用管理所需的 API。系统启用的一些 API 直接与应用管理相关。其余 API 均为依赖项。

如果您想将管理项目纳入服务边界，请纳入支持 VPC Service Controls 的已启用 API。如需了解详情，请参阅创建服务边界。

在管理项目中启用的 API

下表列出了为管理项目自动启用的 API。如果某产品支持 VPC Service Controls，请查看关联的文档以了解更多信息，例如限制或其他配置要求。

设计、构建和部署应用所涉及的 API

此表中的 API 包括 App Hub、App Design Center 以及用于构建、部署和存储应用数据的依赖项。

如需启用和管理已启用应用的文件夹，必须使用 Resource Manager。

API	VPC Service Controls 支持
App Hub API (apphub.googleapis.com)	详细信息
App Design Center API (designcenter.googleapis.com)
Artifact Registry API (artifactregistry.googleapis.com)	详细信息
Cloud Asset API (cloudasset.googleapis.com)	详细信息
Cloud Build API (cloudbuild.googleapis.com)	详细信息
Cloud Resource Manager API (cloudresourcemanager.googleapis.com)	详细信息
Infrastructure Manager API (config.googleapis.com)	详细信息
Container Registry API (containerregistry.googleapis.com)	详细信息
Identity and Access Management API (iam.googleapis.com)	详细信息
IAM Service Account Credentials API (iamcredentials.googleapis.com)	详细信息

Google Cloud Observability API

API	VPC Service Controls 支持
Cloud Logging (logging.googleapis.com)	详细信息
Cloud Monitoring (monitoring.googleapis.com)	详细信息
Cloud Trace (cloudtrace.googleapis.com)	详细信息

Google Cloud Observability 依赖项

某些 Logging 和 Cloud Monitoring 功能需要其他产品 API。

Dataform API 和 Dataplex API 是 BigQuery 的依赖项。

API	VPC Service Controls 支持
BigQuery API (bigquery.googleapis.com)	详细信息
Analytics Hub API (analyticshub.googleapis.com) （用于 BigQuery 共享的 API）	详细信息
BigQuery Connection API (bigqueryconnection.googleapis.com)	详细信息
BigQuery Data Policy API (bigquerydatapolicy.googleapis.com)	详细信息
BigQuery Migration API (bigquerymigration.googleapis.com)	详细信息
BigQuery Reservation API (bigqueryreservation.googleapis.com)	详细信息
BigQuery Storage API (bigquerystorage.googleapis.com)	详细信息
Dataform API (dataform.googleapis.com)	详细信息
Dataplex API (dataplex.googleapis.com)	详细信息
Cloud Functions API (cloudfunctions.googleapis.com)	详细信息
Cloud Storage API (storage.googleapis.com)	详细信息
Cloud Storage (storage-api.googleapis.com)
Cloud Storage JSON API (storage-component.googleapis.com)
Pub/Sub API (pubsub.googleapis.com)	详细信息

提供有关资源的资源数据的 API

API	VPC Service Controls 支持
Cloud Quotas API (cloudquotas.googleapis.com)	详细信息
Service Health API (servicehealth.googleapis.com)	详细信息

Gemini Cloud Assist

API	VPC Service Controls 支持
Gemini for Google Cloud API (cloudaicompanion.googleapis.com)	详细信息

由宿主项目管理的应用

您必须先在 App Hub 主机和服务项目中设置 VPC Service Controls，然后才能创建应用并将服务和工作负载注册到该应用。如需了解详情，请参阅创建服务边界。

后续步骤

• 如需详细了解 VPC Service Controls，请参阅概览以及支持的产品和限制。

• 如需了解启用 VPC Service Controls 的最佳做法，请参阅启用 VPC Service Controls 的最佳做法。

• 如需了解设计服务边界的最佳做法，请参阅设计和构建服务边界。

• 如需设置服务边界，请参阅创建服务边界。