Mit VPC Service Controls verringern Sie das Risiko unerlaubten Kopierens oder unbefugten Übertragens von Daten aus von Google verwalteten Diensten.
Sie können Sicherheitsperimeter für die Ressourcen Ihrer von Google verwalteten Dienste konfigurieren und die Übertragung von Daten in und aus dem Perimeter steuern.
Container Registry mit VPC Service Controls verwenden
Wenn Sie Artifact Registry und private Cluster von Google Kubernetes Engine in einem Projekt innerhalb eines Dienstperimeters verwenden, können Sie auf Container-Images innerhalb des Dienstperimeters sowie auf von Google bereitgestellte Images zugreifen.
Im Cache gespeicherte Docker Hub-Images, die in mirror.gcr.io gespeichert sind, sind nur dann im Dienstperimeter enthalten, wenn eine Regel für ausgehenden Traffic hinzugefügt wird, die ausgehenden Traffic zum Artifact Registry-Docker-Cache zulässt, der mirror.gcr.io hostet.
Fügen Sie die folgende Regel für ausgehenden Traffic hinzu, um mirror.gcr.io innerhalb eines Dienstperimeters zu verwenden:
- egressTo:
operations:
- serviceName: artifactregistry.googleapis.com
methodSelectors:
- method: artifactregistry.googleapis.com/DockerRead
resources:
- projects/342927644502
egressFrom:
identityType: ANY_IDENTITY
Weitere Informationen zu den Regeln für ein- und ausgehenden Traffic finden Sie unter Regeln für eingehenden und ausgehenden Traffic.
Sie können auf Container Registry zugreifen, indem Sie die IP-Adressen für die standardmäßigen Google APIs und Dienstdomains oder diese speziellen IP-Adressen verwenden:
199.36.153.4/30(restricted.googleapis.com)199.36.153.8/30(private.googleapis.com)
Weitere Informationen zu diesen Optionen finden Sie unter Privaten Google-Zugriff konfigurieren. Eine Beispielkonfiguration, die 199.36.153.4/30 (restricted.googleapis.com) verwendet, finden Sie in der Dokumentation zu Registry-Zugriff mit einer virtuellen IP-Adresse.
Google Cloud-Dienste, die auf Artifact Registry zugreifen müssen, müssen sich auch im Dienstperimeter befinden, einschließlich Binärautorisierung, Artefaktanalyse und Laufzeitumgebungen wie Google Kubernetes Engine und Cloud Run. Einzelheiten zu den einzelnen Diensten finden Sie in der Liste der unterstützten Dienste.
Allgemeine Anleitungen zum Hinzufügen der Artifact Registry zu einem Dienstperimeter finden Sie unter Dienstperimeter erstellen.
Artefaktanalyse mit VPC Service Controls verwenden
Informationen zum Hinzufügen der Artefaktanalyse zu Ihrem Perimeter finden Sie unter Artefaktanalyse in einem Dienstperimeter sichern.