Controlli di servizio VPC migliorano la tua capacità di ridurre il rischio di copia o trasferimento non autorizzato di dati dai servizi gestiti da Google.
Con i Controlli di servizio VPC, puoi configurare perimetri di sicurezza attorno alle risorse dei tuoi servizi gestiti da Google e controllare il movimento dei dati oltre il confine del perimetro.
Utilizzo di Artifact Registry con i Controlli di servizio VPC
Se utilizzi Artifact Registry e i cluster privati di Google Kubernetes Engine in un progetto all'interno di un perimetro di servizio, puoi accedere alle immagini dei container all'interno del perimetro di servizio, nonché alle immagini fornite da Google.
Le immagini Docker Hub memorizzate nella cache archiviate su mirror.gcr.io non sono incluse nel perimetro di servizio, a meno che non venga aggiunta una regola di uscita per consentire l'uscita alla cache Docker di Artifact Registry che ospita mirror.gcr.io.
Per utilizzare mirror.gcr.io all'interno di un perimetro di servizio, aggiungi la seguente regola di uscita:
- egressTo:
operations:
- serviceName: artifactregistry.googleapis.com
methodSelectors:
- method: artifactregistry.googleapis.com/DockerRead
resources:
- projects/342927644502
egressFrom:
identityType: ANY_IDENTITY
Per maggiori dettagli sulle regole per il traffico in entrata e in uscita, consulta Regole per il traffico in entrata e in uscita.
Puoi accedere ad Artifact Registry utilizzando gli indirizzi IP per i domini predefiniti delle API e dei servizi Google o utilizzando questi indirizzi IP speciali:
199.36.153.4/30(restricted.googleapis.com)199.36.153.8/30(private.googleapis.com)
Per maggiori dettagli su queste opzioni, consulta la sezione Configurare l'accesso privato Google. Per un esempio di configurazione che utilizza 199.36.153.4/30 (restricted.googleapis.com), consulta la documentazione relativa all'accesso al registry con un indirizzo IP virtuale.
Assicurati che i servizi Google Cloud che devono accedere ad Artifact Registry siano inclusi anche nel perimetro di servizio, tra cui l'Autorizzazione binaria, l'Artifact Analysis e gli ambienti di runtime come Google Kubernetes Engine e Cloud Run. Consulta l'elenco di servizi supportati per informazioni dettagliate su ciascun servizio.
Per istruzioni generali su come aggiungere Artifact Registry a un perimetro di servizio, consulta Creare un perimetro di servizio.
Utilizzo di Artifact Analysis con Controlli di servizio VPC
Per scoprire come aggiungere Artifact Analysis al tuo perimetro, consulta la sezione sulla protezione di Artifact Analysis in un perimetro di servizio.