VPC Service Controls 可讓您更有效降低他人未經授權複製或轉移資料的風險, Google Cloud代管服務。
透過 VPC Service Controls,您可以為 Google Cloud代管服務的資源設定安全範圍,並控管跨服務邊界的資料移動。
搭配使用 Artifact Registry 和 VPC Service Controls
如果您在服務範圍內的專案中使用 Artifact Registry 和 Google Kubernetes Engine 私人叢集,就可以存取服務範圍內的容器映像檔,以及 Google Cloud提供的映像檔。
儲存在mirror.gcr.io 上的快取 Docker Hub 映像檔不會納入服務範圍,除非新增了出口規則,允許出口至代管 mirror.gcr.io 的 Artifact Registry Docker 快取。
如要在服務範圍內使用 mirror.gcr.io,請新增下列出口規則:
- egressTo:
operations:
- serviceName: artifactregistry.googleapis.com
methodSelectors:
- method: artifactregistry.googleapis.com/DockerRead
resources:
- projects/342927644502
egressFrom:
identityType: ANY_IDENTITY
如要瞭解輸入和輸出規則,請參閱「輸入和輸出規則」。
您可以使用預設 Google API 和服務網域的 IP 位址,或使用下列特殊 IP 位址存取 Artifact Registry:
199.36.153.4/30(restricted.googleapis.com)199.36.153.8/30(private.googleapis.com)
如要進一步瞭解這些選項,請參閱「設定私人 Google 存取權」。如需使用 199.36.153.4/30 (restricted.googleapis.com) 的設定範例,請參閱使用虛擬 IP 存取註冊服務的說明文件。
如需將 Artifact Registry 新增至服務範圍的一般操作說明,請參閱「建立服務範圍」一文。
存取 gcr.io 存放區中的圖片
如要存取 Artifact Registry gcr.io 存放區中的圖片,請在設定入站或出站政策時,使用身分類型 ANY_IDENTITY。您無法在 gcr.io 網域中使用圖片的 ANY_SERVICE_ACCOUNT 或 ANY_USER_ACCOUNT 身分類型。
搭配使用 Artifact Analysis 和 VPC Service Controls
如要瞭解如何將 Artifact Analysis 新增至邊界,請參閱「在服務邊界中保護 Artifact Analysis」一文。