Como proteger repositórios em um perímetro de serviço

Os VPC Service Controls melhoram sua capacidade de reduzir o risco de cópia ou transferência não autorizada de dados de serviços gerenciados pelo Google.

Com VPC Service Controls, é possível configurar os perímetros de segurança em torno dos recursos dos serviços gerenciados pelo Google e controlar a movimentação de dados por todo o limite do perímetro.

Como usar o Artifact Registry com o VPC Service Controls

Se você estiver usando clusters privados do Artifact Registry e do Google Kubernetes Engine em um projeto em um perímetro de serviço, será possível acessar as imagens de contêiner dentro do perímetro de serviço, bem como as imagens fornecidas pelo Google.

As imagens em cache do Docker Hub armazenadas em mirror.gcr.io não são incluídas no perímetro de serviço se o Artifact Registry estiver no perímetro e se o Container Registry também não estiver no perímetro.

É possível acessar o Artifact Registry usando os endereços IP dos domínios padrão das APIs e serviços do Google ou usando estes endereços IP especiais:

  • 199.36.153.4/30 (restricted.googleapis.com)
  • 199.36.153.8/30 (private.googleapis.com)

Para detalhes sobre essas opções, consulte Como configurar o Acesso privado do Google. Para ver um exemplo de configuração que usa 199.36.153.4/30 (restricted.googleapis.com), consulte a documentação sobre acesso ao registro com um IP virtual.

Verifique se os serviços do Google Cloud que precisam acessar o Artifact Registry também estão no perímetro de serviço, incluindo autorização binária, Container Analysis e ambientes de execução, como Google Kubernetes Engine e Cloud Run. Consulte a lista de serviços compatíveis para saber mais sobre cada serviço.

Para instruções gerais sobre como adicionar o Artifact Registry a um perímetro de serviço, consulte Como criar um perímetro de serviço.

Como usar o Container Analysis com o VPC Service Controls

Para saber como adicionar o Container Analysis ao seu perímetro, consulte Como proteger o Container Analysis em um perímetro de serviço.