Melindungi repositori di perimeter layanan

Kontrol Layanan VPC meningkatkan kemampuan Anda untuk mengurangi risiko penyalinan atau transfer data tanpa izin dari layanan yang dikelola Google.

Dengan Kontrol Layanan VPC, Anda dapat mengonfigurasi perimeter keamanan di sekitar resource layanan yang dikelola Google dan mengontrol pergerakan data di seluruh batas perimeter.

Menggunakan Artifact Registry dengan Kontrol Layanan VPC

Jika Anda menggunakan cluster pribadi Artifact Registry dan Google Kubernetes Engine dalam sebuah project dalam perimeter layanan, Anda dapat mengakses image container di dalam perimeter layanan serta image yang disediakan Google.

Image Docker Hub dalam cache yang disimpan di mirror.gcr.io tidak disertakan dalam perimeter layanan, kecuali jika aturan traffic keluar ditambahkan untuk mengizinkan traffic keluar ke cache Docker Artifact Registry yang menghosting mirror.gcr.io.

Untuk menggunakan mirror.gcr.io dalam perimeter layanan, tambahkan aturan traffic keluar berikut:

- egressTo:
    operations:
    - serviceName: artifactregistry.googleapis.com
      methodSelectors:
      - method: artifactregistry.googleapis.com/DockerRead
    resources:
    - projects/342927644502
  egressFrom:
    identityType: ANY_IDENTITY

Untuk mengetahui detail selengkapnya tentang aturan masuk dan keluar, lihat Aturan masuk dan keluar.

Anda dapat mengakses Artifact Registry menggunakan alamat IP untuk domain layanan dan Google API default, atau menggunakan alamat IP khusus berikut:

  • 199.36.153.4/30 (restricted.googleapis.com)
  • 199.36.153.8/30 (private.googleapis.com)

Untuk mengetahui detail tentang opsi ini, lihat Mengonfigurasi Akses Google Pribadi. Untuk contoh konfigurasi yang menggunakan 199.36.153.4/30 (restricted.googleapis.com), lihat dokumentasi untuk akses registry dengan IP virtual.

Pastikan layanan Google Cloud yang perlu mengakses Artifact Registry juga berada di perimeter layanan, termasuk Otorisasi Biner, Analisis Artefak, dan lingkungan runtime seperti Google Kubernetes Engine dan Cloud Run. Lihat daftar layanan yang didukung untuk mengetahui detail tentang setiap layanan.

Untuk mengetahui petunjuk umum cara menambahkan Artifact Registry ke perimeter layanan, lihat Membuat perimeter layanan.

Menggunakan Analisis Artefak dengan Kontrol Layanan VPC

Untuk mempelajari cara menambahkan Artifact Analysis ke perimeter Anda, lihat mengamankan Analisis Artefak dalam perimeter layanan.