VPC 서비스 제어를 사용하여 서비스 경계 설정

VPC 서비스 제어는 서비스 경계를 설정하고 데이터 전송 경계를 만들 수 있는 Google Cloud 기능입니다. Eventarc에서 VPC 서비스 제어를 사용하면 서비스를 보호할 수 있습니다.

서비스 경계를 만들 때 모든 서비스를 보호하는 것이 좋습니다.

제한사항

서비스 경계로 보호되는 프로젝트에서는 다음 제한사항이 적용됩니다.

Eventarc Advanced

  • 서비스 경계 외부의 Eventarc Advanced 버스는 경계 내부의 Google Cloud 프로젝트에서 이벤트를 수신할 수 없습니다. 경계 내부의 Eventarc Advanced 버스는 경계 외부의 소비자에게 이벤트를 라우팅할 수 없습니다.

    • Eventarc Advanced 버스에 게시하려면 이벤트 소스가 버스와 동일한 서비스 경계 내에 있어야 합니다.
    • 메시지를 소비하려면 이벤트 소비자가 버스와 동일한 서비스 경계 내에 있어야 합니다.
  • 서비스 경계 내에서는 Eventarc Advanced 파이프라인을 만들 수 없습니다. MessageBus, GoogleApiSource, Enrollment 리소스에 대한 VPC 서비스 제어 지원을 테스트하고 인그레스에서 플랫폼 로그를 볼 수 있지만 VPC 서비스 제어 이그레스는 테스트할 수 없습니다. 이러한 리소스가 서비스 경계에 있는 경우 Eventarc Advanced를 설정하여 해당 경계 내에서 이벤트를 엔드 투 엔드로 전송할 수 없습니다.

Eventarc Standard

  • Eventarc Standard에는 Pub/Sub와 동일한 제한사항이 적용됩니다.

    • Cloud Run 대상으로 이벤트를 라우팅할 때 푸시 엔드포인트가 기본 run.app URL이 있는 Cloud Run 서비스로 설정되어 있지 않으면 새 Pub/Sub 푸시 구독을 만들 수 없습니다. 커스텀 도메인은 작동하지 않습니다.

    • Pub/Sub 푸시 엔드포인트가 Workflows 실행으로 설정된 Workflows 대상으로 이벤트를 라우팅하는 경우에는 Eventarc를 통해서만 새 Pub/Sub 푸시 구독을 만들 수 있습니다. Workflows 엔드포인트의 푸시 인증에 사용되는 서비스 계정은 서비스 경계 내에 포함되어야 합니다.

  • VPC 서비스 제어는 내부 HTTP 엔드포인트에 대한 Eventarc 트리거 생성을 차단합니다. 이러한 대상으로 이벤트를 라우팅할 때는 VPC 서비스 제어 보호가 적용되지 않습니다.

다음 단계