I Controlli di servizio VPC sono una Google Cloud funzionalità che ti consente di configurare un perimetro di servizio e creare un confine per il trasferimento dei dati. Puoi utilizzare i Controlli di servizio VPC con Eventarc per proteggere i tuoi servizi.
Ti consigliamo di proteggere tutti i servizi quando crei un perimetro di servizio.
Limitazioni
Nei progetti protetti da un perimetro di servizio si applicano le seguenti limitazioni:
Eventarc Advanced
Un bus Eventarc Advanced esterno a un perimetro di servizio non può ricevere eventi dai progetti all'interno del perimetro. Google Cloud Un bus Eventarc Advanced all'interno di un perimetro non può instradare gli eventi a un consumatore esterno al perimetro.
- Per pubblicare in un bus Eventarc Advanced, l'origine di un evento deve trovarsi nello stesso perimetro di servizio del bus.
- Per consumare un messaggio, un consumatore di eventi deve trovarsi nello stesso perimetro di servizio del bus.
Non puoi creare una pipeline Eventarc Advanced all'interno di un perimetro di servizio. Puoi testare il supporto di VPC Service Controls per le risorse
MessageBus,GoogleApiSourceeEnrollmente visualizzare i log della piattaforma in entrata. Tuttavia, non puoi testare l'uscita di VPC Service Controls. Se una di queste risorse si trova in un perimetro di servizio, non puoi configurare Eventarc Advanced per pubblicare gli eventi end-to-end all'interno di questo perimetro.
Eventarc Standard
Eventarc Standard è soggetto alle stesse limitazioni di Pub/Sub:
Quando inoltri gli eventi alle destinazioni Cloud Run, puoi creare nuovi abbonamenti push Pub/Sub solo se gli endpoint push sono impostati su servizi Cloud Run con URL
run.apppredefiniti. I domini personalizzati non funzionano.Quando indirizzi gli eventi alle destinazioni di Workflows per le quali l'endpoint push di Pub/Sub è impostato su un'esecuzione di Workflows, puoi creare nuove sottoscrizioni push di Pub/Sub solo tramite Eventarc. Tieni presente che l'account di servizio utilizzato per l'autenticazione push per l'endpoint Workflows deve essere incluso nel perimetro del servizio.
Controlli di servizio VPC blocca la creazione di attivatori Eventarc per gli endpoint HTTP interni. La protezione di Controlli di servizio VPC non si applica quando gli eventi vengono instradati a queste destinazioni.
Passaggi successivi
Per scoprire di più sui Controlli di servizio VPC, consulta la panoramica e le limitazioni e i prodotti supportati.
Per le best practice per l'attivazione dei Controlli di servizio VPC, consulta Best practice per l'attivazione dei Controlli di servizio VPC.
Per le best practice per la progettazione dei perimetri di servizio, consulta Progettare e progettare i perimetri di servizio.
Per configurare un perimetro di servizio, consulta Creare un perimetro di servizio.