保护服务边界内的代码库

VPC Service Controls 可帮助您降低未经授权从 Google 托管服务中复制或转移数据的风险。

借助 VPC Service Controls，您可以为 Google 托管服务的资源配置安全边界，并控制跨边界的数据移动。

搭配使用 Artifact Registry 与 VPC Service Controls

如果您在 项目，那么您可以访问 以及 Google 提供的映像。

存储在 mirror.gcr.io 上的缓存 Docker Hub 映像不包含在 除非添加了出站规则以允许 托管 mirror.gcr.io 的 Artifact Registry Docker 缓存。

如需在服务边界内使用 mirror.gcr.io，请添加以下出站规则：

- egressTo:
    operations:
    - serviceName: artifactregistry.googleapis.com
      methodSelectors:
      - method: artifactregistry.googleapis.com/DockerRead
    resources:
    - projects/342927644502
  egressFrom:
    identityType: ANY_IDENTITY

如需详细了解入站和出站规则，请参阅 入站和出站规则。

您可以使用默认 Google API 和服务网域的 IP 地址或以下特殊 IP 地址访问 Artifact Registry：

• 199.36.153.4/30 (restricted.googleapis.com)
• 199.36.153.8/30 (private.googleapis.com)

如需详细了解这些选项，请参阅配置专用 Google 访问通道。如需查看使用 199.36.153.4/30 (restricted.googleapis.com) 的示例配置，请参阅使用虚拟 IP 进行注册表访问文档。

确保需要访问 Artifact Registry 的 Google Cloud 服务也在服务边界内，包括 Binary Authorization、Artifact Analysis 和运行时环境（例如 Google Kubernetes Engine 和 Cloud Run）。请参阅支持的服务列表，详细了解每项服务。

如需了解如何将 Artifact Registry 添加到服务边界，请参阅创建服务边界。

搭配使用 Artifact Analysis 与 VPC Service Controls

如需了解如何将 Artifact Analysis 添加到您的边界， 请参阅在服务中保护 Artifact Analysis 边界。