Questa pagina è stata tradotta dall'API Cloud Translation.

Proteggere i repository in un perimetro di servizio

Controlli di servizio VPC migliorano la tua capacità di ridurre il rischio di copia o trasferimento non autorizzato di dati dai servizi gestiti da Google Cloud.

Con i Controlli di servizio VPC, puoi configurare perimetri di sicurezza attorno alle risorse dei tuoi servizi gestiti da Google Cloude controllare il movimento dei dati oltre il confine del perimetro.

Utilizzo di Artifact Registry con i Controlli di servizio VPC

Se utilizzi Artifact Registry e cluster privati Google Kubernetes Engine in un progetto all'interno di un perimetro di servizio, puoi accedere alle immagini dei contenitori all'interno del perimetro di servizio, nonché alle immagini fornite da Google Cloud.

Le immagini Docker Hub memorizzate nella cache su mirror.gcr.io non sono incluse nel perimetro del servizio, a meno che non venga aggiunta una regola di uscita per consentire l'uscita alla cache Docker di Artifact Registry che ospita mirror.gcr.io.

Per utilizzare mirror.gcr.io all'interno di un perimetro di servizio, aggiungi la seguente regola di uscita:

- egressTo:
    operations:
    - serviceName: artifactregistry.googleapis.com
      methodSelectors:
      - method: artifactregistry.googleapis.com/DockerRead
    resources:
    - projects/342927644502
  egressFrom:
    identityType: ANY_IDENTITY

Per informazioni sulle regole per il traffico in entrata e in uscita, consulta Regole per il traffico in entrata e in uscita.

Puoi accedere ad Artifact Registry utilizzando gli indirizzi IP per i domini predefiniti delle API e dei servizi Google oppure utilizzando questi indirizzi IP speciali:

199.36.153.4/30 (restricted.googleapis.com)
199.36.153.8/30 (private.googleapis.com)

Per maggiori dettagli su queste opzioni, consulta la sezione Configurare l'accesso privato Google. Per un esempio di configurazione che utilizza 199.36.153.4/30 (restricted.googleapis.com), consulta la documentazione relativa all'accesso al registry con un indirizzo IP virtuale.

Assicurati che Google Cloud i servizi che devono accedere ad Artifact Registry siano presenti anche nel perimetro del servizio, tra cui l'autorizzazione di binari, l'analisi degli elementi e gli ambienti di runtime come Google Kubernetes Engine e Cloud Run. Consulta l'elenco di servizi supportati per informazioni dettagliate su ciascun servizio.

Per istruzioni generali su come aggiungere Artifact Registry a un perimetro di servizio, consulta Creare un perimetro di servizio.

Utilizzo di Artifact Analysis con Controlli di servizio VPC

Per scoprire come aggiungere Artifact Analysis al tuo perimetro, consulta la sezione sulla protezione di Artifact Analysis in un perimetro di servizio.