Diese Seite wurde von der Cloud Translation API übersetzt.

Repositories in einem Dienstperimeter schützen

Mit VPC Service Controls verringern Sie das Risiko unerlaubten Kopierens oder unbefugten Übertragens von Daten aus von Google verwalteten Diensten.

Sie können Sicherheitsperimeter für die Ressourcen Ihrer von Google verwalteten Dienste konfigurieren und die Übertragung von Daten in und aus dem Perimeter steuern.

Container Registry mit VPC Service Controls verwenden

Wenn Sie Artifact Registry und private Cluster von Google Kubernetes Engine in einem Projekt innerhalb eines Dienstperimeters verwenden, können Sie auf Container-Images innerhalb des Dienstperimeters sowie auf von Google bereitgestellte Images zugreifen.

Im Cache gespeicherte Docker Hub-Images, die unter mirror.gcr.io gespeichert sind, sind nicht enthalten in Dienstperimeter, es sei denn, es wird eine Regel für ausgehenden Traffic hinzugefügt, um ausgehenden Traffic an den Artifact Registry-Docker-Cache, der mirror.gcr.io hostet.

Fügen Sie den folgenden ausgehenden Traffic hinzu, um mirror.gcr.io innerhalb eines Dienstperimeters zu verwenden Regel:

- egressTo:
    operations:
    - serviceName: artifactregistry.googleapis.com
      methodSelectors:
      - method: artifactregistry.googleapis.com/DockerRead
    resources:
    - projects/342927644502
  egressFrom:
    identityType: ANY_IDENTITY

Weitere Informationen zu Regeln für ein- und ausgehenden Traffic finden Sie unter Regeln für ein- und ausgehenden Traffic:

Sie können auf Container Registry zugreifen, indem Sie die IP-Adressen für die standardmäßigen Google APIs und Dienstdomains oder diese speziellen IP-Adressen verwenden:

199.36.153.4/30 (restricted.googleapis.com)
199.36.153.8/30 (private.googleapis.com)

Weitere Informationen zu diesen Optionen finden Sie unter Privaten Google-Zugriff konfigurieren. Eine Beispielkonfiguration, die 199.36.153.4/30 (restricted.googleapis.com) verwendet, finden Sie in der Dokumentation zu Registry-Zugriff mit einer virtuellen IP-Adresse.

Achten Sie darauf, dass sich Google Cloud-Dienste, die auf Artifact Registry zugreifen müssen, im Dienstperimeter befinden. Dazu gehören Binärautorisierung, Artefaktanalyse und Laufzeitumgebungen wie Google Kubernetes Engine und Cloud Run. Einzelheiten zu den einzelnen Diensten finden Sie in der Liste der unterstützten Dienste.

Allgemeine Anleitungen zum Hinzufügen der Artifact Registry zu einem Dienstperimeter finden Sie unter Dienstperimeter erstellen.

Artefaktanalyse mit VPC Service Controls verwenden

So fügen Sie Ihrem Perimeter eine Artefaktanalyse hinzu: die Artefaktanalyse in einem Dienst sichern Perimeter