Mit VPC Service Controls verringern Sie das Risiko unerlaubten Kopierens oder unbefugten Übertragens von Daten aus von Google verwalteten Diensten.
Sie können Sicherheitsperimeter für die Ressourcen Ihrer von Google verwalteten Dienste konfigurieren und die Übertragung von Daten in und aus dem Perimeter steuern.
Container Registry mit VPC Service Controls verwenden
Wenn Sie Artifact Registry und private Cluster von Google Kubernetes Engine in einem Projekt innerhalb eines Dienstperimeters verwenden, können Sie auf Container-Images innerhalb des Dienstperimeters sowie auf von Google bereitgestellte Images zugreifen.
Im Cache gespeicherte Docker Hub-Images, die in mirror.gcr.io
gespeichert sind, sind nicht im Dienstperimeter enthalten, es sei denn, es wird eine Regel für ausgehenden Traffic hinzugefügt, die den ausgehenden Traffic zum Docker-Cache der Artifact Registry zulässt, in dem mirror.gcr.io
gehostet wird.
Fügen Sie den folgenden ausgehenden Traffic hinzu, um mirror.gcr.io
innerhalb eines Dienstperimeters zu verwenden
Regel:
- egressTo:
operations:
- serviceName: artifactregistry.googleapis.com
methodSelectors:
- method: artifactregistry.googleapis.com/DockerRead
resources:
- projects/342927644502
egressFrom:
identityType: ANY_IDENTITY
Weitere Informationen zu Regeln für ein- und ausgehenden Traffic finden Sie unter Regeln für ein- und ausgehenden Traffic:
Sie können auf Container Registry zugreifen, indem Sie die IP-Adressen für die standardmäßigen Google APIs und Dienstdomains oder diese speziellen IP-Adressen verwenden:
199.36.153.4/30
(restricted.googleapis.com
)199.36.153.8/30
(private.googleapis.com
)
Weitere Informationen zu diesen Optionen finden Sie unter Privaten Google-Zugriff konfigurieren. Eine Beispielkonfiguration, die 199.36.153.4/30
(restricted.googleapis.com
) verwendet, finden Sie in der Dokumentation zu Registry-Zugriff mit einer virtuellen IP-Adresse.
Achten Sie darauf, dass sich Google Cloud-Dienste, die auf Artifact Registry zugreifen müssen, im Dienstperimeter befinden. Dazu gehören Binärautorisierung, Artefaktanalyse und Laufzeitumgebungen wie Google Kubernetes Engine und Cloud Run. Einzelheiten zu den einzelnen Diensten finden Sie in der Liste der unterstützten Dienste.
Allgemeine Anleitungen zum Hinzufügen der Artifact Registry zu einem Dienstperimeter finden Sie unter Dienstperimeter erstellen.
Artefaktanalyse mit VPC Service Controls verwenden
Informationen zum Hinzufügen von Artifact Analysis zu Ihrem Perimeter finden Sie unter Artifact Analysis in einem Dienstperimeter sichern.