Configurar um perímetro de serviço usando o VPC Service Controls

O VPC Service Controls é um recurso do Google Cloud que permite configurar um perímetro de serviço e criar um limite de transferência de dados. É possível usar o VPC Service Controls com o Eventarc para ajudar a proteger seus serviços.

Recomendamos que você proteja todos os serviços ao criar um perímetro de serviço.

Limitações

Em projetos protegidos por um perímetro de serviço, as seguintes limitações se aplicam:

Eventarc Advanced

  • Um barramento do Eventarc Advanced fora de um perímetro de serviço não pode receber eventos de projetos do Google Cloud dentro do perímetro. Um barramento do Eventarc Advanced dentro de um perímetro não pode encaminhar eventos para um consumidor fora do perímetro.

    • Para publicar em um barramento do Eventarc Advanced, a origem de um evento precisa estar no mesmo perímetro de serviço que o barramento.
    • Para consumir uma mensagem, um consumidor de eventos precisa estar dentro do mesmo perímetro de serviço do barramento.
  • Não é possível criar um pipeline do Eventarc Advanced dentro de um perímetro de serviço. É possível testar o suporte do VPC Service Controls para os recursos MessageBus, GoogleApiSource e Enrollment e conferir os registros da plataforma na entrada. No entanto, não é possível testar a saída do VPC Service Controls. Se algum desses recursos estiver em um perímetro de serviço, não será possível configurar o Eventarc Advanced para enviar eventos de ponta a ponta nesse perímetro.

Eventarc Standard

  • O Eventarc Standard está vinculado às mesmas limitações do Pub/Sub:

    • Ao rotear eventos para destinos do Cloud Run, só é possível criar novas assinaturas de push do Pub/Sub quando os endpoints de push estão configurados para serviços do Cloud Run com URLs run.app padrão. Domínios personalizados não funcionam.

    • Ao encaminhar eventos para destinos do Workflows em que o endpoint de push do Pub/Sub está definido como uma execução do Workflows, só é possível criar novas assinaturas de push do Pub/Sub pelo Eventarc. A conta de serviço usada na autenticação por push do endpoint do Workflows precisa ser incluída no perímetro de serviço.

  • O VPC Service Controls bloqueia a criação de gatilhos do Eventarc para endpoints HTTP internos. A proteção do VPC Service Controls não se aplica ao roteamento de eventos para esses destinos.

A seguir