查看 Application Integration 支援的連接器。
為 Application Integration 設定 VPC Service Controls
您可以使用 VPC Service Controls,為 Application Integration Google Cloud 服務定義安全範圍。服務周圍的安全範圍可限制虛擬私有雲中的資料,並降低資料竊取風險。如果您還不熟悉 VPC Service Controls,建議先瞭解下列資訊:
本文說明如何為 Application Integration 服務設定 VPC Service Controls 範圍。設定安全防護範圍後,您可以設定輸出和輸入政策,決定其他 Google Cloud 服務可存取哪些 Application Integration 服務 (integrations.googleapis.com),以及 Application Integration 服務可存取哪些服務。
事前準備
請確認您具備設定服務範圍的必要權限。 如要查看設定 VPC Service Controls 時須具備的 IAM 角色清單,請參閱 VPC Service Controls 說明文件中的「使用 IAM 進行存取權控管」。
建立 VPC 服務範圍
如要建立虛擬私有雲服務範圍,可以使用 Google Cloud console 或 gcloud 指令,也可以使用 accessPolicies.servicePerimeters.create API。詳情請參閱「建立服務範圍」。
如要建立 VPC Service Controls 範圍並使用 gcloud 指令授予使用者存取權,請執行下列指令:
gcloud access-context-manager perimeters create \
--title=PERIMETER_TITLE \
--resources=projects/PROJECT_ID \
--restricted-services=integrations.googleapis.com \
PERIMETER_TITLE:VPC Service Controls 範圍的名稱PROJECT_ID:要新增 VPC Service Controls 範圍的專案
上述指令需要一段時間才能完成。 使用 Application Integration 服務時,VPC Service Controls 範圍會限制專案的整合服務。
如要允許任何 IP 位址、服務帳戶或使用者使用 Application Integration,請使用輸入和輸出規則。VPC Service Controls 會使用輸入和輸出規則,允許存取受服務範圍保護的資源和用戶端。
在現有服務範圍中新增輸出政策
如要為現有服務範圍新增輸出政策,請使用 gcloud access-context-manager
perimeters update 指令。舉例來說,下列指令會將 vpcsc-egress.yaml 檔案中定義的出站政策,新增至名為 integrationPerimeter 的現有服務範圍:
gcloud access-context-manager perimeters update integrationPerimeter --set-egress-policies=vpcsc-egress.yaml
與輸出政策類似,您也可以定義輸入政策。如要進一步瞭解如何指定輸入規則,請參閱輸入規則參考資料。
驗證範圍
如要驗證服務範圍,請使用 gcloud access-context-manager perimeters describe PERIMETER_NAME 指令。舉例來說,下列指令會說明 integrationPerimeter 邊界:
gcloud access-context-manager perimeters describe integrationPerimeter
如要進一步瞭解如何管理服務範圍,請參閱「管理服務範圍」。
注意事項
如果您已為 Application Integration 服務啟用 VPC 服務範圍,就無法在整合中使用下列工作: