VPC Service Controls 可帮助您降低未经授权从 Google Cloud托管服务中复制或转移数据的风险。
借助 VPC Service Controls,您可以为 Google Cloud托管的服务的资源配置安全边界,并控制跨边界的数据移动。
搭配使用 Artifact Registry 与 VPC Service Controls
如果您在服务边界内的项目中使用 Artifact Registry 和 Google Kubernetes Engine 专用集群,则可以访问服务边界内的容器映像以及 Google Cloud提供的映像。
存储在mirror.gcr.io 中的缓存 Docker Hub 映像不包含在服务边界内,除非添加出站流量规则以允许出站到托管 mirror.gcr.io 的 Artifact Registry Docker 缓存。
如需在服务边界内使用 mirror.gcr.io,请添加以下出站规则:
- egressTo:
operations:
- serviceName: artifactregistry.googleapis.com
methodSelectors:
- method: artifactregistry.googleapis.com/DockerRead
resources:
- projects/342927644502
egressFrom:
identityType: ANY_IDENTITY
如需了解入站和出站规则,请参阅入站和出站规则。
您可以使用默认 Google API 和服务网域的 IP 地址或以下特殊 IP 地址访问 Artifact Registry:
199.36.153.4/30(restricted.googleapis.com)199.36.153.8/30(private.googleapis.com)
如需详细了解这些选项,请参阅配置专用 Google 访问通道。如需查看使用 199.36.153.4/30 (restricted.googleapis.com) 的示例配置,请参阅使用虚拟 IP 进行注册表访问文档。
如需了解如何将 Artifact Registry 添加到服务边界,请参阅创建服务边界。
搭配使用 Artifact Analysis 与 VPC Service Controls
如需了解如何将 Artifact Analysis 添加到您的边界中,请参阅保护服务边界中的 Artifact Analysis。