Diese Seite wurde von der Cloud Translation API übersetzt.

Dienstperimeter mit VPC Service Controls einrichten

Erweitert Standard

VPC Service Controls ist ein Google Cloud-Feature, mit dem Sie einen Dienstperimeter einrichten und eine Datenübertragungsgrenze erstellen können. Sie können VPC Service Controls mit Eventarc verwenden, um Ihre Dienste zu schützen.

Wir empfehlen, beim Erstellen eines Dienstperimeters alle Dienste zu schützen.

Beschränkungen

In Projekten, die durch einen Dienstperimeter geschützt sind, gelten die folgenden Einschränkungen:

Eventarc Advanced

Ein Eventarc Advanced-Bus außerhalb eines Dienstperimeters kann keine Ereignisse von Google Cloud-Projekten innerhalb des Perimeters empfangen. Ein Eventarc Advanced-Bus innerhalb eines Perimeters kann keine Ereignisse an einen Nutzer außerhalb des Perimeters weiterleiten.
- Wenn Sie Daten in einem Eventarc Advanced-Bus veröffentlichen möchten, muss sich die Quelle eines Ereignisses im selben Dienstperimeter wie der Bus befinden.
- Damit ein Ereignisempfänger eine Nachricht verarbeiten kann, muss er sich im selben Dienstbereich wie der Bus befinden.
Sie können keine Eventarc Advanced-Pipeline innerhalb eines Dienstperimeters erstellen. Sie können die VPC Service Controls-Unterstützung für die Ressourcen MessageBus, GoogleApiSource und Enrollment testen und sich Plattformprotokolle für den Eingang ansehen. Sie können jedoch keinen ausgehenden Traffic von VPC Service Controls testen. Wenn sich eine dieser Ressourcen in einem Dienstperimeter befindet, kannst du Eventarc Advanced nicht so einrichten, dass Ereignisse innerhalb dieses Perimeters Ende-zu-Ende gesendet werden.

Eventarc Standard

Für Eventarc Standard gelten dieselben Einschränkungen wie für Pub/Sub:
- Beim Weiterleiten von Ereignissen an Cloud Run-Ziele können Sie nur neue Pub/Sub-Push-Abos erstellen, wenn die Push-Endpunkte auf Cloud Run-Dienste mit standardmäßigen run.app-URLs festgelegt sind. Benutzerdefinierte Domains funktionieren nicht.
- Wenn Sie Ereignisse an Workflow-Ziele weiterleiten, für die der Pub/Sub-Push-Endpunkt auf eine Workflow-Ausführung festgelegt ist, können Sie nur über Eventarc neue Pub/Sub-Push-Abos erstellen. Das Dienstkonto, das für die Push-Authentifizierung für den Workflow-Endpunkt verwendet wird, muss in den Dienstperimeter aufgenommen werden.
VPC Service Controls verhindern das Erstellen von Eventarc-Triggern für interne HTTP-Endpunkte. Der Schutz von VPC Service Controls gilt nicht, wenn Ereignisse an solche Ziele weitergeleitet werden.

Nächste Schritte

Weitere Informationen zu VPC Service Controls finden Sie in der Übersicht und unter Unterstützte Produkte und Einschränkungen.
Best Practices zum Aktivieren von VPC Service Controls finden Sie unter Best Practices zum Aktivieren von VPC Service Controls.
Best Practices für das Erstellen von Dienstperimetern finden Sie unter Dienstperimeter entwerfen.
Informationen zum Einrichten eines Dienstperimeters finden Sie unter Dienstperimeter erstellen.