VPC 서비스 제어는 Google 관리형 서비스에서 데이터를 무단으로 복사하거나 전송하는 위험을 완화하는 기능을 개선합니다.
VPC 서비스 제어를 사용하면 Google 관리형 서비스의 리소스 주위에 보안 경계를 구성하고 경계를 넘는 데이터 이동을 제어할 수 있습니다.
VPC 서비스 제어로 Artifact Registry 사용
서비스 경계 내 프로젝트에서 Artifact Registry와 Google Kubernetes Engine 비공개 클러스터를 사용하는 경우 서비스 경계 내부의 컨테이너 이미지와 Google 제공 이미지에 액세스할 수 있습니다.
mirror.gcr.io
에 저장된 캐시된 Docker Hub 이미지는 mirror.gcr.io
를 호스팅하는 Artifact Registry Docker 캐시로의 이그레스를 허용하는 이그레스 규칙이 추가되지 않는 한 서비스 경계에 포함되지 않습니다.
서비스 경계 내에서 mirror.gcr.io
를 사용하려면 다음 이그레스 규칙을 추가합니다.
- egressTo:
operations:
- serviceName: artifactregistry.googleapis.com
methodSelectors:
- method: artifactregistry.googleapis.com/DockerRead
resources:
- projects/342927644502
egressFrom:
identityType: ANY_IDENTITY
인그레스 규칙과 이그레스 규칙에 대한 자세한 내용은 인그레스 및 이그레스 규칙을 참조하세요.
기본 Google API 및 서비스 도메인의 IP 주소나 다음과 같은 특수 IP 주소를 사용하여 Artifact Registry에 액세스할 수 있습니다.
199.36.153.4/30
(restricted.googleapis.com
)199.36.153.8/30
(private.googleapis.com
)
이러한 옵션에 대한 자세한 내용은 비공개 Google 액세스 구성을 참조하세요. 199.36.153.4/30
(restricted.googleapis.com
)을 사용하는 구성 예시는 가상 IP로 레지스트리 액세스 문서를 참조하세요.
Artifact Registry에 액세스해야 하는 Google Cloud 서비스가 Binary Authorization, Artifact Analysis, 런타임 환경(예: Google Kubernetes Engine 및 Cloud Run)을 포함한 서비스 경계 내에 있는지 확인합니다. 각 서비스에 대한 자세한 내용은 지원 서비스 목록을 참조하세요.
Artifact Registry를 서비스 경계에 추가하는 방법에 대한 일반적인 안내는 서비스 경계 만들기를 참조하세요.
VPC 서비스 제어로 Artifact Analysis 사용
Artifact Analysis를 경계에 추가하는 방법을 알아보려면 서비스 경계에서 Artifact Analysis 보호를 참조하세요.