Controlli di servizio VPC migliora la tua capacità di ridurre il rischio di copia o trasferimento non autorizzati di dati dai servizi gestiti da Google.
Con i Controlli di servizio VPC, puoi configurare i perimetri di sicurezza intorno alle risorse dei servizi gestiti da Google e controllare lo spostamento dei dati attraverso i confini del perimetro.
Utilizzo di Artifact Registry con i Controlli di servizio VPC
Se utilizzi cluster privati Artifact Registry e Google Kubernetes Engine in un progetto all'interno di un perimetro di servizio, puoi accedere alle immagini container all'interno del perimetro di servizio e alle immagini fornite da Google.
Le immagini Docker Hub memorizzate nella cache e archiviate su mirror.gcr.io
non sono incluse nel perimetro di servizio, a meno che non venga aggiunta una regola in uscita per consentire il traffico in uscita verso la cache Docker di Artifact Registry che ospita mirror.gcr.io
.
Per utilizzare mirror.gcr.io
all'interno di un perimetro di servizio, aggiungi la seguente regola in uscita:
- egressTo:
operations:
- serviceName: artifactregistry.googleapis.com
methodSelectors:
- method: artifactregistry.googleapis.com/DockerRead
resources:
- projects/342927644502
egressFrom:
identityType: ANY_IDENTITY
Per ulteriori dettagli sulle regole in entrata e in uscita, consulta Regole in entrata e in uscita.
Puoi accedere ad Artifact Registry utilizzando gli indirizzi IP per i domini predefiniti delle API e dei servizi di Google oppure utilizzando questi indirizzi IP speciali:
199.36.153.4/30
(restricted.googleapis.com
)199.36.153.8/30
(private.googleapis.com
)
Per maggiori dettagli su queste opzioni, consulta Configurazione dell'accesso privato Google. Per una configurazione di esempio che utilizza 199.36.153.4/30
(restricted.googleapis.com
), consulta la documentazione relativa all'accesso al Registro di sistema con un IP virtuale.
Assicurati che anche i servizi Google Cloud che devono accedere ad Artifact Registry si trovino nel perimetro di servizio, inclusi Autorizzazione binaria, Artifact Analysis e ambienti di runtime come Google Kubernetes Engine e Cloud Run. Consulta l'elenco dei servizi supportati per i dettagli su ciascun servizio.
Per istruzioni generali sull'aggiunta di Artifact Registry a un perimetro di servizio, consulta Creazione di un perimetro di servizio.
Utilizzo di Artifact Analysis con i Controlli di servizio VPC
Per scoprire come aggiungere Artifact Analysis al tuo perimetro, consulta la pagina su come proteggere Artifact Analysis in un perimetro di servizio.