Los Controles del servicio de VPC mejoran tu capacidad de mitigar el riesgo de copia o transferencia de datos no autorizadas de los servicios administrados por Google.
Con los Controles del servicio de VPC, puedes configurar perímetros de seguridad en torno a los recursos de tus servicios administrados por Google y controlar el movimiento de datos en los límites perimetrales.
Usa Artifact Registry con los Controles del servicio de VPC
Si usas Artifact Registry y los clústeres privados de Google Kubernetes Engine en un dentro de un perímetro de servicio, puedes acceder a las imágenes perímetro de servicio y las imágenes proporcionadas por Google.
Las imágenes de Docker Hub almacenadas en caché que están almacenadas en mirror.gcr.io no se incluyen en
perímetro de servicio, a menos que se agregue una regla de salida
Caché de Docker de Artifact Registry que aloja mirror.gcr.io.
Para usar mirror.gcr.io dentro de un perímetro de servicio, agrega la siguiente regla de salida:
- egressTo:
operations:
- serviceName: artifactregistry.googleapis.com
methodSelectors:
- method: artifactregistry.googleapis.com/DockerRead
resources:
- projects/342927644502
egressFrom:
identityType: ANY_IDENTITY
Para obtener más detalles sobre las reglas de entrada y salida, consulta Reglas de entrada y salida.
Puedes acceder a Artifact Registry mediante las direcciones IP para los dominios de servicios y la API de Google predeterminados o mediante estas direcciones IP especiales:
199.36.153.4/30(restricted.googleapis.com)199.36.153.8/30(private.googleapis.com)
Para obtener detalles acerca de estas opciones, consulta Cómo configurar el Acceso privado a Google. Para ver una configuración de ejemplo que usa 199.36.153.4/30 (restricted.googleapis.com), consulta la documentación sobre el acceso de registro con una IP virtual.
Asegúrate de que los servicios de Google Cloud que necesiten acceder a Artifact Registry también estén en el perímetro de servicio, incluidos la autorización de objetos binarios, el análisis de artefactos y los entornos de ejecución, como Google Kubernetes Engine y Cloud Run. Consulta la lista de servicios compatibles con detalles sobre cada servicio.
Para obtener instrucciones generales sobre cómo agregar Artifact Registry a un perímetro de servicio, consulta Crear un perímetro de servicio.
Usa Artifact Analysis con los Controles del servicio de VPC
Para obtener información sobre cómo agregar Artifact Analysis a tu perímetro, consulta Protege Artifact Analysis en un perímetro de servicio.