VPC Service Controls 是一项 Google Cloud 功能,可让您设置服务边界,从而在Google Cloud 资源周围创建数据传输边界。VPC Service Controls 可为您的 App Hub 资源提供更高的安全性,例如降低数据渗漏的风险。使用 VPC Service Controls,您可以将项目添加到服务边界,从而防止应用、服务和工作负载受到跨边界的请求的影响。
App Hub 资源会显示在 apphub.googleapis.com API 上,该 API 可让您执行各种操作,例如创建和删除应用、服务和工作负载。您可以通过限制与此 API 表面的连接来设置 VPC Service Controls 和 App Hub。
我们建议您在创建服务边界时保护所有 App Hub 资源。
App Hub 支持以下资源类型:
- 应用
- 发现的服务
- 发现的工作负载
- 服务
- 服务项目关联(仅适用于由宿主项目管理的应用)
- 工作负载
已启用应用的文件夹中的应用
当您为文件夹启用应用管理时,系统会执行以下操作:
- Google 会在文件夹中创建一个由 Google 管理的项目,称为管理项目。
- 系统会为该项目启用应用管理所需的 API。系统启用的一些 API 直接与应用管理相关。其余 API 均为依赖项。
如果您想将管理项目纳入服务边界,请纳入支持 VPC Service Controls 的已启用 API。如需了解详情,请参阅创建服务边界。
管理项目中启用的 API
下表列出了为管理项目自动启用的 API。如果某产品支持 VPC Service Controls,请查看相关文档以了解更多信息,例如限制或其他配置要求。
设计、构建和部署应用所涉及的 API
此表中的 API 包括 App Hub、App Design Center 以及用于构建、部署和存储应用数据的依赖项。
如需启用和管理已启用应用的文件夹,必须使用资源管理器。
| API | VPC Service Controls 支持 |
|---|---|
App Hub API (apphub.googleapis.com) |
详细信息 |
App Design Center API (designcenter.googleapis.com) |
|
Artifact Registry API (artifactregistry.googleapis.com) |
详细信息 |
Cloud Asset API (cloudasset.googleapis.com) |
详细信息 |
Cloud Build API (cloudbuild.googleapis.com) |
详细信息 |
Cloud Resource Manager API (cloudresourcemanager.googleapis.com) |
详细信息 |
Infrastructure Manager API (config.googleapis.com) |
详细信息 |
Container Registry API (containerregistry.googleapis.com) |
详细信息 |
Identity and Access Management API (iam.googleapis.com) |
详细信息 |
IAM Service Account Credentials API (iamcredentials.googleapis.com) |
详细信息 |
Google Cloud Observability API
| API | VPC Service Controls 支持 |
|---|---|
Cloud Logging (logging.googleapis.com) |
详细信息 |
Cloud Monitoring (monitoring.googleapis.com) |
详细信息 |
Cloud Trace (cloudtrace.googleapis.com) |
详细信息 |
Google Cloud Observability 依赖项
某些 Logging 和 Cloud Monitoring 功能需要其他产品 API。
Dataform 和 Dataplex Universal Catalog API 是 BigQuery 依赖项。
| API | VPC Service Controls 支持 |
|---|---|
BigQuery API (bigquery.googleapis.com) |
详细信息 |
Analytics Hub API (analyticshub.googleapis.com) (用于 BigQuery 共享的 API) |
详细信息 |
BigQuery Connection API (bigqueryconnection.googleapis.com) |
详细信息 |
BigQuery Data Policy API (bigquerydatapolicy.googleapis.com) |
详细信息 |
BigQuery Migration API (bigquerymigration.googleapis.com) |
详细信息 |
BigQuery Reservation API (bigqueryreservation.googleapis.com) |
详细信息 |
BigQuery Storage API (bigquerystorage.googleapis.com) |
详细信息 |
Dataform API (dataform.googleapis.com) |
详细信息 |
Dataplex API (dataplex.googleapis.com) |
详细信息 |
Cloud Functions API (cloudfunctions.googleapis.com) |
详细信息 |
Cloud Storage API (storage.googleapis.com) |
详细信息 |
Cloud Storage (storage-api.googleapis.com) |
|
Cloud Storage JSON API (storage-component.googleapis.com) |
|
Pub/Sub API (pubsub.googleapis.com) |
详细信息 |
提供有关资源的资源数据的 API
| API | VPC Service Controls 支持 |
|---|---|
Cloud Quotas API (cloudquotas.googleapis.com) |
详细信息 |
Service Health API (servicehealth.googleapis.com) |
详细信息 |
Gemini Cloud Assist
| API | VPC Service Controls 支持 |
|---|---|
Gemini for Google Cloud API (cloudaicompanion.googleapis.com) |
详细信息 |
由宿主项目管理的应用
您必须先在 App Hub 主机和服务项目中设置 VPC Service Controls,然后才能创建应用并将服务和工作负载注册到该应用。如需了解详情,请参阅创建服务边界。
后续步骤
如需了解启用 VPC Service Controls 的最佳做法,请参阅启用 VPC Service Controls 的最佳做法。
如需了解设计服务边界的最佳做法,请参阅设计和构建服务边界。
如需设置服务边界,请参阅创建服务边界。