Esta página foi traduzida pela API Cloud Translation.

Proteger repositórios em um perímetro de serviço

Os VPC Service Controls melhoram sua capacidade de reduzir o risco de cópia ou transferência não autorizada de dados de serviços gerenciados pelo Google Cloud.

Com o VPC Service Controls, é possível configurar os perímetros de segurança em torno dos recursos dos serviços gerenciados pelo Google Cloude controlar a movimentação de dados por todo o limite do perímetro.

Como usar o Artifact Registry com o VPC Service Controls

Se você estiver usando clusters privados do Artifact Registry e do Google Kubernetes Engine em um projeto dentro de um perímetro de serviço, será possível acessar as imagens de contêiner dentro do perímetro de serviço, bem como as imagens fornecidas peloGoogle Cloud.

As imagens em cache do Docker Hub armazenadas em mirror.gcr.io não são incluídas no perímetro de serviço, a menos que uma regra de saída seja adicionada para permitir a saída para o cache do Docker do Artifact Registry que hospeda mirror.gcr.io.

Para usar mirror.gcr.io em um perímetro de serviço, adicione a seguinte regra de saída:

- egressTo:
    operations:
    - serviceName: artifactregistry.googleapis.com
      methodSelectors:
      - method: artifactregistry.googleapis.com/DockerRead
    resources:
    - projects/342927644502
  egressFrom:
    identityType: ANY_IDENTITY

Para saber mais sobre as regras de entrada e saída, consulte Regras de entrada e saída.

É possível acessar o Artifact Registry usando os endereços IP dos domínios padrão das APIs e serviços do Google ou usando estes endereços IP especiais:

199.36.153.4/30 (restricted.googleapis.com)
199.36.153.8/30 (private.googleapis.com)

Para detalhes sobre essas opções, consulte Como configurar o Acesso privado do Google. Para ver um exemplo de configuração que usa 199.36.153.4/30 (restricted.googleapis.com), consulte a documentação sobre acesso ao registro com um IP virtual.

Verifique se os Google Cloud serviços que precisam acessar o Artifact Registry também estão no perímetro de serviço, incluindo autorização binária, análise de artefatos e ambientes de execução, como Google Kubernetes Engine e Cloud Run. Consulte a lista de serviços compatíveis para saber mais sobre cada serviço.

Para instruções gerais sobre como adicionar o Artifact Registry a um perímetro de serviço, consulte Como criar um perímetro de serviço.

Como usar o Artifact Analysis com o VPC Service Controls

Para saber como adicionar a Análise de artefato ao seu perímetro, consulte Como proteger a Análise de artefato em um perímetro de serviço.