VPC 서비스 제어는 서비스 경계를 설정하고 데이터 전송 경계를 만들 수 있는 Google Cloud 기능입니다. Eventarc에서 VPC 서비스 제어를 사용하면 서비스를 보호할 수 있습니다.
서비스 경계를 만들 때 모든 서비스를 보호하는 것이 좋습니다.
제한사항
서비스 경계로 보호되는 프로젝트에서는 다음 제한사항이 적용됩니다.
Eventarc Advanced
서비스 경계 외부의 Eventarc Advanced 버스는 경계 내부의 Google Cloud 프로젝트에서 이벤트를 수신할 수 없습니다. 경계 내부의 Eventarc Advanced 버스는 경계 외부의 소비자에게 이벤트를 라우팅할 수 없습니다.
- Eventarc Advanced 버스에 게시하려면 이벤트 소스가 버스와 동일한 서비스 경계 내에 있어야 합니다.
- 메시지를 소비하려면 이벤트 소비자가 버스와 동일한 서비스 경계 내에 있어야 합니다.
서비스 경계 내에서는 Eventarc Advanced 파이프라인을 만들 수 없습니다.
MessageBus
,GoogleApiSource
,Enrollment
리소스에 대한 VPC 서비스 제어 지원을 테스트하고 인그레스에서 플랫폼 로그를 볼 수 있지만 VPC 서비스 제어 이그레스는 테스트할 수 없습니다. 이러한 리소스가 서비스 경계에 있는 경우 Eventarc Advanced를 설정하여 해당 경계 내에서 이벤트를 엔드 투 엔드로 전송할 수 없습니다.
Eventarc Standard
Eventarc Standard에는 Pub/Sub와 동일한 제한사항이 적용됩니다.
Cloud Run 대상으로 이벤트를 라우팅할 때 푸시 엔드포인트가 기본
run.app
URL이 있는 Cloud Run 서비스로 설정되어 있지 않으면 새 Pub/Sub 푸시 구독을 만들 수 없습니다. 커스텀 도메인은 작동하지 않습니다.Pub/Sub 푸시 엔드포인트가 Workflows 실행으로 설정된 Workflows 대상으로 이벤트를 라우팅하는 경우에는 Eventarc를 통해서만 새 Pub/Sub 푸시 구독을 만들 수 있습니다. Workflows 엔드포인트의 푸시 인증에 사용되는 서비스 계정은 서비스 경계 내에 포함되어야 합니다.
VPC 서비스 제어는 내부 HTTP 엔드포인트에 대한 Eventarc 트리거 생성을 차단합니다. 이러한 대상으로 이벤트를 라우팅할 때는 VPC 서비스 제어 보호가 적용되지 않습니다.
다음 단계
VPC 서비스 제어에 대한 자세한 내용은 개요 및 지원되는 제품 및 제한사항 참조하기
VPC 서비스 제어를 사용 설정하기 위한 권장사항은 VPC 서비스 제어 사용 설정 권장사항 참조하기
서비스 경계 설계에 대한 권장사항은 서비스 경계 설계 참조하기
서비스 경계를 설정하려면 서비스 경계 만들기 참조하기