Os VPC Service Controls melhoram sua capacidade de reduzir o risco de cópia ou transferência não autorizada de dados de serviços gerenciados pelo Google.
Com VPC Service Controls, é possível configurar os perímetros de segurança em torno dos recursos dos serviços gerenciados pelo Google e controlar a movimentação de dados por todo o limite do perímetro.
Como usar o Artifact Registry com o VPC Service Controls
Se você estiver usando clusters privados do Artifact Registry e do Google Kubernetes Engine em um projeto em um perímetro de serviço, será possível acessar as imagens de contêiner dentro do perímetro de serviço, bem como as imagens fornecidas pelo Google.
As imagens do Docker Hub armazenadas em cache em mirror.gcr.io não serão incluídas no
perímetro de serviço, a menos que uma regra de saída seja adicionada para permitir a saída para o
cache do Docker do Artifact Registry que hospeda mirror.gcr.io.
Para usar mirror.gcr.io em um perímetro de serviço, adicione a seguinte regra de saída:
- egressTo:
operations:
- serviceName: artifactregistry.googleapis.com
methodSelectors:
- method: artifactregistry.googleapis.com/DockerRead
resources:
- projects/342927644502
egressFrom:
identityType: ANY_IDENTITY
Para mais detalhes sobre regras de entrada e saída, consulte Regras de entrada e saída.
É possível acessar o Artifact Registry usando os endereços IP dos domínios padrão das APIs e serviços do Google ou usando estes endereços IP especiais:
199.36.153.4/30(restricted.googleapis.com)199.36.153.8/30(private.googleapis.com)
Para detalhes sobre essas opções, consulte Como configurar o Acesso privado do Google. Para ver um exemplo
de configuração que usa 199.36.153.4/30 (restricted.googleapis.com),
consulte a documentação sobre acesso ao registro com um IP virtual.
Verifique se os serviços do Google Cloud que precisam acessar o Artifact Registry também estão no perímetro de serviço, incluindo autorização binária, Artifact Analysis e ambientes de execução, como Google Kubernetes Engine e Cloud Run. Consulte a lista de serviços compatíveis para saber mais sobre cada serviço.
Para instruções gerais sobre como adicionar o Artifact Registry a um perímetro de serviço, consulte Como criar um perímetro de serviço.
Como usar o Artifact Analysis com VPC Service Controls
Para saber como adicionar o Artifact Analysis ao perímetro, consulte Como proteger o Artifact Analysis em um perímetro de serviço.