请参阅 Application Integration 支持的连接器。
为 Application Integration 设置 VPC Service Controls
借助 VPC Service Controls,您可以为 Application Integration Google Cloud 服务定义安全边界。借助服务的安全边界,您可以将数据限制在某个 VPC 的范围内并降低数据渗漏风险。如果您尚不熟悉 VPC Service Controls,建议您浏览以下信息:
本文档介绍如何为 Application Integration 服务设置 VPC Service Controls 边界。设置边界后,您可以配置出站流量和入站流量政策,以确定哪些其他 Google Cloud 服务可以访问 Application Integration 服务 (integrations.googleapis.com),反之则是 Application Integration 服务可以访问哪些服务。
准备工作
确保您拥有配置服务边界所需的权限。 如需查看配置 VPC Service Controls 所需的 IAM 角色列表,请参阅 VPC Service Controls 文档中的使用 IAM 进行访问权限控制。
创建 VPC 服务边界
如需创建 VPC 服务边界,您可以使用 Google Cloud console、gcloud 命令或 accessPolicies.servicePerimeters.create API。如需了解详情,请参阅创建服务边界。
如需使用 gcloud 命令创建 VPC Service Controls 边界以向用户提供访问权限,请运行以下命令:
gcloud access-context-manager perimeters create \
--title=PERIMETER_TITLE \
--resources=projects/PROJECT_ID \
--restricted-services=integrations.googleapis.com \
替换以下内容:
PERIMETER_TITLE:VPC Service Controls 边界的名称PROJECT_ID:要为其添加 VPC Service Controls 边界的项目
上述命令需要一些时间才能完成。 使用 Application Integration 服务时,VPC Service Controls 边界会限制项目的集成服务。
如需允许任何 IP 地址、服务帐号或用户使用 Application Integration,请使用入站和出站规则。VPC Service Controls 使用入站和出站规则,以允许进出受服务边界保护的资源和客户端。
向现有服务边界添加出站流量政策
如需向现有服务边界添加出站流量政策,请使用 gcloud access-context-manager perimeters update 命令。例如,以下命令会将在 vpcsc-egress.yaml 文件中定义的出站流量政策添加到名为 integrationPerimeter 的现有服务边界:
gcloud access-context-manager perimeters update integrationPerimeter
--set-egress-policies=vpcsc-egress.yaml
与出站流量政策类似,您还可以定义入站流量政策。如需详细了解如何指定入站流量规则,请参阅入站流量规则参考。
验证边界
如需验证边界,请使用 gcloud access-context-manager perimeters describe PERIMETER_NAME 命令。例如,以下命令描述了 integrationPerimeter 边界:
gcloud access-context-manager perimeters describe integrationPerimeter
如需详细了解如何管理服务边界,请参阅管理服务边界。
注意事项
如果您为 Application Integration 服务启用了 VPC 服务边界,则无法在集成中使用以下任务: