Protezione dei repository in un perimetro di servizio

Controlli di servizio VPC migliorano la tua capacità di ridurre il rischio di copia o trasferimento non autorizzato di dati dai servizi gestiti da Google.

Con i Controlli di servizio VPC, puoi configurare perimetri di sicurezza attorno alle risorse dei tuoi servizi gestiti da Google e controllare il movimento dei dati oltre il confine del perimetro.

Utilizzo di Artifact Registry con i Controlli di servizio VPC

Se utilizzi Artifact Registry e cluster privati di Google Kubernetes Engine in una progetto all'interno di un perimetro di servizio, puoi accedere alle immagini container perimetro di servizio e immagini fornite da Google.

Le immagini Docker Hub memorizzate nella cache archiviate su mirror.gcr.io non sono incluse nel perimetro del servizio, a meno che non venga aggiunta una regola di uscita per consentire l'uscita alla cache Docker di Artifact Registry che ospita mirror.gcr.io.

Per utilizzare mirror.gcr.io all'interno di un perimetro di servizio, aggiungi il seguente traffico in uscita regola:

- egressTo:
    operations:
    - serviceName: artifactregistry.googleapis.com
      methodSelectors:
      - method: artifactregistry.googleapis.com/DockerRead
    resources:
    - projects/342927644502
  egressFrom:
    identityType: ANY_IDENTITY

Per maggiori dettagli sulle regole per il traffico in entrata e in uscita, consulta Regole per il traffico in entrata e in uscita.

Puoi accedere ad Artifact Registry utilizzando gli indirizzi IP per i domini predefiniti delle API e dei servizi Google oppure utilizzando questi indirizzi IP speciali:

  • 199.36.153.4/30 (restricted.googleapis.com)
  • 199.36.153.8/30 (private.googleapis.com)

Per maggiori dettagli su queste opzioni, consulta la sezione Configurare l'accesso privato Google. Ad esempio, che utilizza 199.36.153.4/30 (restricted.googleapis.com), consulta la documentazione sull'accesso al registro con un IP virtuale.

Assicurati che i servizi Google Cloud che devono accedere ad Artifact Registry siano in il perimetro di servizio, tra cui Autorizzazione binaria, Artifact Analysis, e ambienti di runtime come Google Kubernetes Engine e Cloud Run. Consulta le di servizi supportati per i dettagli di ogni servizio.

Per istruzioni generali su come aggiungere Artifact Registry a un perimetro di servizio, consulta Creazione di un perimetro di servizio.

Utilizzo di Artifact Analysis con Controlli di servizio VPC

Per scoprire come aggiungere Artifact Analysis al tuo perimetro, consulta la sezione sulla protezione di Artifact Analysis in un perimetro di servizio.