Controlli di servizio VPC migliora la tua capacità di ridurre il rischio di copia o trasferimento non autorizzati di dati dai servizi gestiti da Google.
Con i Controlli di servizio VPC, puoi configurare i perimetri di sicurezza intorno alle risorse dei servizi gestiti da Google e controllare lo spostamento dei dati attraverso i confini del perimetro.
Utilizzo di Artifact Registry con i Controlli di servizio VPC
Se utilizzi cluster privati Artifact Registry e Google Kubernetes Engine in un progetto all'interno di un perimetro di servizio, puoi accedere alle immagini container all'interno del perimetro di servizio e alle immagini fornite da Google.
Le immagini Docker Hub memorizzate nella cache e archiviate su mirror.gcr.io non sono incluse nel perimetro di servizio, a meno che non venga aggiunta una regola in uscita per consentire il traffico in uscita verso la cache Docker di Artifact Registry che ospita mirror.gcr.io.
Per utilizzare mirror.gcr.io all'interno di un perimetro di servizio, aggiungi la seguente regola in uscita:
- egressTo:
operations:
- serviceName: artifactregistry.googleapis.com
methodSelectors:
- method: artifactregistry.googleapis.com/DockerRead
resources:
- projects/342927644502
egressFrom:
identityType: ANY_IDENTITY
Per ulteriori dettagli sulle regole in entrata e in uscita, consulta Regole in entrata e in uscita.
Puoi accedere ad Artifact Registry utilizzando gli indirizzi IP per i domini predefiniti delle API e dei servizi di Google oppure utilizzando questi indirizzi IP speciali:
199.36.153.4/30(restricted.googleapis.com)199.36.153.8/30(private.googleapis.com)
Per maggiori dettagli su queste opzioni, consulta Configurazione dell'accesso privato Google. Per una configurazione di esempio che utilizza 199.36.153.4/30 (restricted.googleapis.com), consulta la documentazione relativa all'accesso al Registro di sistema con un IP virtuale.
Assicurati che anche i servizi Google Cloud che devono accedere ad Artifact Registry si trovino nel perimetro di servizio, inclusi Autorizzazione binaria, Artifact Analysis e ambienti di runtime come Google Kubernetes Engine e Cloud Run. Consulta l'elenco dei servizi supportati per i dettagli su ciascun servizio.
Per istruzioni generali sull'aggiunta di Artifact Registry a un perimetro di servizio, consulta Creazione di un perimetro di servizio.
Utilizzo di Artifact Analysis con i Controlli di servizio VPC
Per scoprire come aggiungere Artifact Analysis al tuo perimetro, consulta la pagina su come proteggere Artifact Analysis in un perimetro di servizio.