Los Controles del servicio de VPC mejoran tu capacidad de mitigar el riesgo de copia o transferencia de datos no autorizadas de los servicios administrados por Google.
Con los Controles del servicio de VPC, puedes configurar perímetros de seguridad en torno a los recursos de tus servicios administrados por Google y controlar el movimiento de datos en los límites perimetrales.
Usa Artifact Registry con los Controles del servicio de VPC
Si usas Artifact Registry y clústeres privados de Google Kubernetes Engine en un proyecto dentro de un perímetro de servicio, puedes acceder a las imágenes de contenedor dentro de este, así como a las imágenes que proporciona Google.
Las imágenes de Docker Hub almacenadas en caché almacenadas en mirror.gcr.io no se incluyen en el perímetro de servicio, a menos que se agregue una regla de salida para permitir la salida a la caché de Docker de Artifact Registry que aloja mirror.gcr.io.
Para usar mirror.gcr.io dentro de un perímetro de servicio, agrega la siguiente regla de salida:
- egressTo:
operations:
- serviceName: artifactregistry.googleapis.com
methodSelectors:
- method: artifactregistry.googleapis.com/DockerRead
resources:
- projects/342927644502
egressFrom:
identityType: ANY_IDENTITY
Para obtener más detalles sobre las reglas de entrada y salida, consulta Reglas de entrada y salida.
Puedes acceder a Artifact Registry mediante las direcciones IP para los dominios predeterminados de las APIs y los servicios de Google, o bien con estas direcciones IP especiales:
199.36.153.4/30(restricted.googleapis.com)199.36.153.8/30(private.googleapis.com)
Para obtener detalles acerca de estas opciones, consulta Cómo configurar el Acceso privado a Google. Para ver una configuración de ejemplo que usa 199.36.153.4/30 (restricted.googleapis.com), consulta la documentación sobre el acceso de registro con una IP virtual.
Asegúrate de que los servicios de Google Cloud que necesitan acceder a Artifact Registry también estén en el perímetro de servicio, incluida la autorización binaria, Artifact Analysis y los entornos de ejecución, como Google Kubernetes Engine y Cloud Run. Consulta la lista de servicios compatibles para obtener detalles sobre cada uno.
Para obtener instrucciones generales sobre cómo agregar Artifact Registry a un perímetro de servicio, consulta Crear un perímetro de servicio.
Usa Artifact Analysis con los Controles del servicio de VPC
Para obtener información sobre cómo agregar Artifact Analysis al perímetro, consulta Protege Artifact Analysis en un perímetro de servicio.